Come posso visualizzare le informazioni sulla crittografia relative a un'AMI o a uno snapshot?
Desidero sapere se un'Amazon Machine Image (AMI) o uno snapshot sono crittografati. In tal caso, desidero sapere se è utilizzata una chiave gestita dal Servizio AWS di gestione delle chiavi (AWS KMS) o una chiave gestita dal cliente.
Risoluzione
Nota:
- Se ricevi messaggi di errore durante l'esecuzione dei comandi dell'interfaccia della linea di comando AWS (AWS CLI), consulta Troubleshooting errors for the AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
- JSON è l'output predefinito dell'interfaccia AWS CLI. Puoi utilizzare il formato predefinito o selezionare un formato di output diverso. Per ulteriori informazioni, consulta Setting the output format in the AWS CLI.
AWS CLI
Per utilizzare AWS CLI per visualizzare le informazioni sulla crittografia, completa i passaggi seguenti:
-
Esegui il comando describe-images con il filtro di query BlockDeviceMappings per visualizzare gli snapshot associati all'AMI.
aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings" [ [{ "DeviceName": "/dev/xvda", "Ebs": { "DeleteOnTermination": true, "SnapshotId": "snap-#########", "VolumeSize": 8, "VolumeType": "gp2", "Encrypted": true } }] ]
Nota: sostituisci image-ids e region con l'ID e la regione AWS della tua AMI.
L'output dell'esempio precedente mostra lo snapshot associato all'AMI. Il parametro Encrypted dello snapshot è impostato su true.
-
Esegui il comando describe-snapshots. Usa lo snapshot-id dello snapshot riportato nell'output del comando describe-images:
aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1 { "Snapshots": [{ "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.", "Encrypted": true, "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########", "OwnerId": "111122223333", "Progress": "100%", "SnapshotId": "snap-##########", "StartTime": "2020-01-21T13:05:53.887Z", "State": "completed", "VolumeId": "vol-ffffffff", "VolumeSize": 8 }] }
Dall'output del comando, copia il valore KMSKeyId.
-
Esegui il comando describe-key per determinare se si tratta di una chiave AWS KMS o di una chiave gestita dal cliente.
aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1 { "KeyMetadata": { "AWSAccountId": "92#########", "KeyId": "dcd4d062-#########-#########", "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########", "CreationDate": 1579611763.538, "Enabled": true, "Description": "02-example-CMK", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"] } }
Nota: sostituisci key-id con il valore di KMSKeyId riportato nel comando describe-snapshot. Sostituisci region con la regione dello snapshot.
Nell'output dell'esempio precedente, il parametro KeyManager è Customer. La chiave è una chiave gestita dal cliente. Per le chiavi AWS KMS, il parametro KeyManager è AWS.
Console Amazon EC2
Per utilizzare la console Amazon Elastic Compute Cloud (Amazon EC2) per visualizzare le informazioni sulla crittografia, completa i passaggi seguenti:
- Apri la console Amazon EC2.
- Dal pannello di navigazione, scegli AMI.
- Usa le opzioni di filtro e ricerca per limitare l'elenco delle AMI visualizzate alle sole AMI che corrispondono ai tuoi criteri.
- Fai clic sull'icona Preferenze e seleziona gli attributi dell'immagine da visualizzare, ad esempio il tipo di dispositivo root. In alternativa, puoi selezionare un'AMI dall'elenco e visualizzarne le proprietà nella scheda Dettagli.
- Scegli la scheda Storage properties (Proprietà storage).
- Seleziona lo snapshot, quindi nella scheda Descrizione verifica se Crittografia è impostato su Crittografato o Non crittografato. Se lo snapshot è crittografato, prendi nota dell'ID chiave KMS e dell'ARN chiave KMS.
- Apri la console AWS KMS.
- Scegli le chiavi gestite da AWS, quindi inserisci l'ID della chiave KMS. Se non viene visualizzato alcun risultato, scegli Chiavi gestite dal cliente, quindi inserisci l'ID della chiave KMS.
Nota: non puoi condividere AMI crittografate con una chiave gestita da AWS. Per ulteriori informazioni consulta la sezione Before you share a snapshot.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa
- AWS UFFICIALEAggiornata 2 anni fa