Je veux savoir si mon Amazon Machine Image (AMI) ou mon instantané sont chiffrés. Si tel est le cas, je veux savoir s'il utilise une clé gérée par AWS Key Management Service (AWS KMS) ou une clé gérée par le client.
Résolution
Remarque :
AWS CLI
Pour utiliser l'interface de ligne de commande AWS afin d'afficher les informations de chiffrement, procédez comme suit :
-
Pour afficher les instantanés associés à l'AMI, exécutez la commande describe-images avec le filtre de requête BlockDeviceMappings.
aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
[
[{
"DeviceName": "/dev/xvda",
"Ebs": {
"DeleteOnTermination": true,
"SnapshotId": "snap-#########",
"VolumeSize": 8,
"VolumeType": "gp2",
"Encrypted": true
}
}]
]
Remarque : Remplacez image-ids et region par l'ID d'image et la région AWS de votre AMI.
L'exemple de sortie précédent montre l’instantané associé à l'AMI. Le paramètre Chiffré de l'instantané est défini sur vrai.
-
Exécutez la commande describe-snapshots. Utilisez le snapshot-id de l'instantané répertorié dans la sortie de la commande describe-images :
aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
{ "Snapshots": [{
"Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
"Encrypted": true,
"KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
"OwnerId": "111122223333",
"Progress": "100%",
"SnapshotId": "snap-##########",
"StartTime": "2020-01-21T13:05:53.887Z",
"State": "completed",
"VolumeId": "vol-ffffffff",
"VolumeSize": 8
}]
}
À partir de la sortie de commande, copiez le KMSKeyId.
-
Pour déterminer s'il s'agit d'une clé AWS KMS ou d'une clé gérée par le client, exécutez la commande describe-key.
aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
{ "KeyMetadata": {
"AWSAccountId": "92#########",
"KeyId": "dcd4d062-#########-#########",
"Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
"CreationDate": 1579611763.538,
"Enabled": true,
"Description": "02-example-CMK",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
}
}
Remarque : Remplacez key-id par le KMSKeyId qui est répertorié dans la commande describe-snapshot. Remplacez region par la région de l'instantané.
Dans l'exemple de sortie précédent, le paramètre KeyManager est Client. La clé est une clé gérée par le client. Pour une clé AWS KMS, le paramètre KeyManager est AWS.
Console Amazon EC2
Pour utiliser la console Amazon Elastic Compute Cloud (Amazon EC2) afin d'afficher les informations de chiffrement, procédez comme suit :
- Ouvrez la console Amazon EC2.
- Dans le volet de navigation, sélectionnez AMI.
- Utilisez les options de filtre et de recherche pour limiter la liste des AMI affichées aux AMI qui correspondent à vos critères.
- Cliquez sur l'icône Préférences et sélectionnez les attributs d'image à afficher, tels que le type de périphérique racine. Vous pouvez également sélectionner une AMI dans la liste et afficher ses propriétés dans l'onglet Détails.
- Choisissez l'onglet Propriétés de stockage.
- Sélectionnez l’instantané, puis dans l'onglet Description, vérifiez si Chiffrement est défini sur Chiffré ou Non chiffré. Si l’instantané est chiffré, notez l'ID de clé KMS et l'ARN de la clé KMS.
- Ouvrez la console AWS KMS.
- Choisissez les clés gérées par AWS, puis entrez l'ID de clé KMS. Si aucun résultat n'apparaît, choisissez Clés gérées par le client, puis entrez l'ID de clé KMS.
Remarque : Vous ne pouvez pas partager d'AMI chiffrées à l'aide d'une clé gérée par AWS. Pour plus d'informations, voir Avant de partager un instantané.
Informations connexes
Concepts d’AWS KMS