Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo

Come posso creare un'AMI crittografata per Batch?

3 minuti di lettura
0

Desidero creare un'Amazon Machine Image (AMI) crittografata per Batch AWS.

Breve descrizione

Puoi utilizzare chiavi del Servizio di gestione delle chiavi AWS (AWS KMS) personalizzate per crittografare le tue AMI e quindi utilizzare le AMI crittografate per avviare istanze Batch AWS.

Risoluzione

Creazione di uno snapshot di un'AMI ottimizzata per Amazon ECS

Completa i seguenti passaggi:

  1. Avvia un'istanza Amazon Elastic Compute Cloud (Amazon EC2) basata su un'AMI ottimizzata per Amazon Elastic Container Service (Amazon ECS).
    Nota: per scegliere un'AMI, consulta Amazon ECS-optimized Linux AMIs.
  2. Crea uno snapshot dal volume root dell'istanza EC2 che hai avviato.
  3. Per evitare addebiti, elimina l'istanza EC2 creata in precedenza.

Crittografia dello snapshot e creazione di un'AMI dello snapshot crittografato

Completa i seguenti passaggi:

  1. Apri la console Amazon EC2.
  2. Nel riquadro di navigazione, in ** Elastic Block Store**, scegli Snapshot.
  3. Seleziona lo snapshot che hai creato in precedenza, scegli Azioni, quindi scegli Copia.
  4. Nella finestra Copia snapshot, seleziona in Crittografia la casella di controllo Esegui la crittografia di questo snapshot.
  5. Per Chiave KMS, scegli la tua chiave AWS KMS gestita dal cliente.
    Nota: la chiave utilizzata per la crittografia in questi passaggi è una chiave simmetrica.
  6. Scegli Copia snapshot.
  7. Seleziona lo snapshot crittografato dopo che è passato allo stato completato, scegli Azioni, quindi seleziona Crea un’immagine dallo snapshot.

Nota: puoi visualizzare l'AMI dalla console Amazon EC2. Nella sezione Immagini del riquadro di navigazione, scegli AMI.

Concessione dell’accesso alla chiave KMS al ruolo collegato al servizio

Per specificare una chiave AWS KMS gestita dal cliente per la crittografia di Amazon Elastic Block Store (Amazon EBS), concedi al ruolo collegato al servizio l'accesso alla chiave. Ciò consente ad Amazon EC2 Auto Scaling di avviare istanze per tuo conto. Per concedere questo accesso, è necessario modificare la policy della chiave della chiave KMS.

Quando aggiorni la policy, assicurati di impostare AWSServiceRoleForAutoScaling come utente principale della chiave KMS.

Per utilizzare questa policy, sostituisci Amazon Resource Name (ARN) con l'ARN del ruolo collegato al servizio che può accedere alla chiave KMS.

Esempio di policy:

{
  "Id": "key-consolepolicy-3",
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Enable IAM User Permissions",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
      },
      "Action": "kms:*",
      "Resource": "*"
    },
    {
      "Sid": "Allow use of the key",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
      },
      "Action": [
        "kms:Encrypt",
        "kms:Decrypt",
        "kms:ReEncrypt*",
        "kms:GenerateDataKey*",
        "kms:DescribeKey"
      ],
      "Resource": "*"
    },
    {
      "Sid": "Allow attachment of persistent resources",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling"
      },
      "Action": [
        "kms:CreateGrant",
        "kms:ListGrants",
        "kms:RevokeGrant"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "kms:GrantIsForAWSResource": "true"
        }
      }
    }
  ]
}

Nota: se stai utilizzando l'ambiente di calcolo spot con una strategia Migliore adattamento, utilizza AWSServiceRoleForEC2SpotFleet anziché AWSServiceRoleForAutoScaling nella policy della chiave precedente.

Creazione di un nuovo ambiente di calcolo

Crea un nuovo ambiente di calcolo.

Importante: quando crei il tuo ambiente di calcolo, devi selezionare la casella di controllo Abilita l'ID dell'istanza AMI specificato dall'utente. Quindi, inserisci il tuo ID AMI nella casella ID AMI che appare e scegli Convalida istanza AMI.

AWS UFFICIALE
AWS UFFICIALEAggiornata 2 mesi fa