我想知道我的亚马逊机器映像 (AMI) 或快照是否已加密。如果已加密,我想知道使用的是 AWS Key Management Service (AWS KMS) 托管式密钥还是客户自主管理型密钥。
解决方案
注意:
AWS CLI
要使用 AWS CLI 查看加密信息,请完成以下步骤:
-
要查看与 AMI 关联的快照,请使用 BlockDeviceMappings 查询筛选器运行 describe-images 命令。
aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
[
[{
"DeviceName": "/dev/xvda",
"Ebs": {
"DeleteOnTermination": true,
"SnapshotId": "snap-#########",
"VolumeSize": 8,
"VolumeType": "gp2",
"Encrypted": true
}
}]
]
**注意:**请将 image-ids 和 region 替换为您的 AMI 的映像 ID 和 AWS 区域。
上述示例输出结果显示了与 AMI 关联的快照。快照的 Encrypted 参数设置为 true。
-
运行 describe-snapshots 命令。使用 describe-images 命令输出结果中列出的快照的 snapshot-id:
aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
{ "Snapshots": [{
"Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
"Encrypted": true,
"KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
"OwnerId": "111122223333",
"Progress": "100%",
"SnapshotId": "snap-##########",
"StartTime": "2020-01-21T13:05:53.887Z",
"State": "completed",
"VolumeId": "vol-ffffffff",
"VolumeSize": 8
}]
}
复制命令输出结果中的 KMSKeyId。
-
要确定密钥是 AWS KMS 密钥还是客户自主管理型密钥,请运行 describe-key 命令。
aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
{ "KeyMetadata": {
"AWSAccountId": "92#########",
"KeyId": "dcd4d062-#########-#########",
"Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
"CreationDate": 1579611763.538,
"Enabled": true,
"Description": "02-example-CMK",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
}
}
**注意:**请将 key-id 替换为 describe-snapshot 命令中列出的 KMSKeyId。将 region 替换为快照的区域。
在上述示例输出结果中,KeyManager 参数为 Customer。密钥为客户自主管理型密钥。对于 AWS KMS 密钥,KeyManager 参数为 AWS。
Amazon EC2 控制台
要使用 Amazon Elastic Compute Cloud (Amazon EC2) 控制台查看加密信息,请完成以下步骤:
- 打开 Amazon EC2 控制台。
- 在导航窗格中,选择 AMI。
- 使用筛选和搜索选项将显示的 AMI 列表限制为仅显示匹配您条件的 AMI。
- 选择 Preferences(首选项)图标,然后选择要显示的映像属性,例如根设备类型。或者,您可以从列表中选择一个 AMI,然后在 Details(详细信息)选项卡中查看其属性。
- 选择 Storage properties(存储属性)选项卡。
- 选择快照,然后在 Description(描述)选项卡上,验证 Encryption(加密)是设置为 Encrypted(加密)还是 Not Encrypted(未加密)。如果快照已加密,请记下 KMS 密钥 ID 和 KMS 密钥 ARN。
- 打开 AWS KMS 控制台。
- 选择 AWS 托管式密钥,然后输入 KMS 密钥 ID。如果未显示任何结果,请选择客户托管密钥,然后输入 KMS 密钥 ID。
**注意:**您无法共享使用 AWS 托管式密钥加密的 AMI。有关更多信息,请参阅共享快照之前的注意事项。
相关信息
AWS KMS 概念