使用AWS re:Post即您表示您同意 AWS re:Post 使用条款

如何查看有关我的 AMI 或快照的加密信息?

2 分钟阅读
0

我想知道我的亚马逊机器映像 (AMI) 或快照是否已加密。如果已加密,我想知道使用的是 AWS Key Management Service (AWS KMS) 托管式密钥还是客户自主管理型密钥。

解决方案

注意:

AWS CLI

要使用 AWS CLI 查看加密信息,请完成以下步骤:

  1. 要查看与 AMI 关联的快照,请使用 BlockDeviceMappings 查询筛选器运行 describe-images 命令。

    aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
    [    
        [{
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-#########",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }]
    ]

    **注意:**请将 image-idsregion 替换为您的 AMI 的映像 ID 和 AWS 区域。

    上述示例输出结果显示了与 AMI 关联的快照。快照的 Encrypted 参数设置为 true

  2. 运行 describe-snapshots 命令。使用 describe-images 命令输出结果中列出的快照的 snapshot-id

    aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
    {    "Snapshots": [{
            "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-##########",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }]
    }

    复制命令输出结果中的 KMSKeyId

  3. 要确定密钥是 AWS KMS 密钥还是客户自主管理型密钥,请运行 describe-key 命令。

    aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
    {    "KeyMetadata": {
            "AWSAccountId": "92#########",
            "KeyId": "dcd4d062-#########-#########",
            "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
            "CreationDate": 1579611763.538,
            "Enabled": true,
            "Description": "02-example-CMK",
            "KeyUsage": "ENCRYPT_DECRYPT",
            "KeyState": "Enabled",
            "Origin": "AWS_KMS",
            "KeyManager": "CUSTOMER",
            "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
            "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
        }
    }

    **注意:**请将 key-id 替换为 describe-snapshot 命令中列出的 KMSKeyId。将 region 替换为快照的区域。
    在上述示例输出结果中,KeyManager 参数为 Customer。密钥为客户自主管理型密钥。对于 AWS KMS 密钥,KeyManager 参数为 AWS

Amazon EC2 控制台

要使用 Amazon Elastic Compute Cloud (Amazon EC2) 控制台查看加密信息,请完成以下步骤:

  1. 打开 Amazon EC2 控制台
  2. 在导航窗格中,选择 AMI
  3. 使用筛选和搜索选项将显示的 AMI 列表限制为仅显示匹配您条件的 AMI。
  4. 选择 Preferences(首选项)图标,然后选择要显示的映像属性,例如根设备类型。或者,您可以从列表中选择一个 AMI,然后在 Details(详细信息)选项卡中查看其属性。
  5. 选择 Storage properties(存储属性)选项卡。
  6. 选择快照,然后在 Description(描述)选项卡上,验证 Encryption(加密)是设置为 Encrypted(加密)还是 Not Encrypted(未加密)。如果快照已加密,请记下 KMS 密钥 IDKMS 密钥 ARN
  7. 打开 AWS KMS 控制台
  8. 选择 AWS 托管式密钥,然后输入 KMS 密钥 ID。如果未显示任何结果,请选择客户托管密钥,然后输入 KMS 密钥 ID

**注意:**您无法共享使用 AWS 托管式密钥加密的 AMI。有关更多信息,请参阅共享快照之前的注意事项

相关信息

AWS KMS 概念

AWS 官方
AWS 官方已更新 1 个月前