Como faço para visualizar as informações de criptografia sobre minha AMI ou snapshot?

4 minuto de leitura
0

Quero saber se minha imagem de máquina da Amazon (AMI) ou snapshot está criptografado. Se estiver, quero saber se ele(a) usa uma chave gerenciada do AWS Key Management Service (AWS KMS) ou uma chave gerenciada pelo cliente.

Resolução

Observação:

AWS CLI

Para usar a AWS CLI para visualizar as informações de criptografia, conclua as seguintes etapas:

  1. Para visualizar os snapshots associados à AMI, execute o comando describe-images com o filtro de consulta BlockDeviceMappings.

    aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
    [    
        [{
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-#########",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }]
    ]

    Observação: Substitua image-ids e região pelo ID de imagem e pela região AWS da sua AMI.

    O exemplo de saída anterior mostra o snapshot associado à AMI. O parâmetro Encrypted do snapshot está definido como verdadeiro.

  2. Execute o comando describe-snapshots. Use o snapshot-id do snapshot listado na saída do comando describe-images:

    aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
    {    "Snapshots": [{
            "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-##########",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }]
    }

    Na saída do comando, copie KMSKeyId.

  3. Para determinar se a chave é uma chave do AWS KMS ou uma chave gerenciada pelo cliente, execute o comando describe-key.

    aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
    {    "KeyMetadata": {
            "AWSAccountId": "92#########",
            "KeyId": "dcd4d062-#########-#########",
            "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
            "CreationDate": 1579611763.538,
            "Enabled": true,
            "Description": "02-example-CMK",
            "KeyUsage": "ENCRYPT_DECRYPT",
            "KeyState": "Enabled",
            "Origin": "AWS_KMS",
            "KeyManager": "CUSTOMER",
            "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
            "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
        }
    }

    Observação: Substitua key-id pelo KMSKeyId listado no comando describe-snapshot. Substitua região pela região do snapshot.
    No exemplo de saída anterior, o parâmetro KeyManager é Customer. A chave é uma chave gerenciada pelo cliente. Para uma chave do AWS KMS, o parâmetro KeyManager é AWS.

Console do Amazon EC2

Para usar o console do Amazon Elastic Compute Cloud (Amazon EC2) para visualizar as informações de criptografia, conclua as seguintes etapas:

  1. Abra o console do Amazon EC2.
  2. No painel de navegação, escolha AMIs.
  3. Use as opções de filtro e pesquisa para limitar a lista de AMIs exibidas somente às AMIs que correspondem aos seus critérios.
  4. Escolha o ícone Preferências e selecione os atributos da imagem a serem exibidos, como o tipo de dispositivo raiz. Ou você pode selecionar uma AMI na lista e visualizar suas propriedades na guia Detalhes.
  5. Escolha a guia Propriedades de armazenamento.
  6. Selecione o snapshot e, em seguida, na guia Descrição, verifique se Criptografia está definida como Criptografado ou Não criptografado. Se o snapshot estiver criptografado, anote o ID da chave do KMS e o ARN da chave do KMS.
  7. Abra o console do AWS KMS.
  8. Escolha chaves gerenciadas da AWS e insira o ID da chave do KMS. Se nenhum resultado aparecer, escolha Chaves gerenciadas pelo cliente e insira o ID da chave do KMS.

Observação: você não pode compartilhar AMIs criptografadas com uma chave gerenciada pela AWS. Para obter mais informações, consulte Antes de compartilhar um snapshot.

Informações relacionadas

Conceitos do AWS KMS

AWS OFICIAL
AWS OFICIALAtualizada há 2 meses