跳至內容
使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款
AWS re:Postre:Post
關於 re:Post

如何跨帳戶共用加密的 AMI,以啟動加密的 EC2 執行個體?

2 分的閱讀內容
0

我想跨 AWS 帳戶共用加密的 Amazon Machine Image (AMI),以啟動加密的 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體。

解決方法

**先決條件:**確認您遵守共用 AMI 的要求

若要跨帳戶共用加密的 AMI,請完成下列步驟:

  1. 查看 AMI 加密詳細資料
    **注意:**您無法在帳戶之間共用 AWS 受管金鑰。因此,您無法共用使用預設 AWS 受管金鑰加密的 AMI。如果您使用 AWS 受管金鑰加密 AMI,請複製 AMI 並使用客戶自管金鑰加密新的 AMI
  2. 與目標帳戶共用 AMI
    **注意:**目標帳戶是使用共用自訂 AMI 啟動加密 EC2 執行個體的帳戶。
  3. 編輯金鑰政策,以允許目標帳戶中的使用者存取 AWS Key Management Service (KMS) 金鑰
  4. 在目標帳戶中建立 AWS Identity and Access Management (IAM) 使用者或角色。然後,將政策附加到該角色,為其授予 AWS KMS key 的 DescribeKeyReEncrypt*DecryptGenerateDataKeyWithoutPlainTextCreateGrant 權限。政策範例: 
    {  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "kms:DescribeKey",
        "kms:ReEncrypt*",
        "kms:Decrypt",
        "kms:GenerateDataKeyWithoutPlainText",
        "kms:CreateGrant"
      ],
      "Resource": [
        "arn:aws:kms:us-east-1:111111111111:key/cmkSource"
      ]
    }
  ]
}
    **注意:**將 111111111111 替換為包含加密 AMI 的來源帳戶 ID,將 us-east-1 替換為您的 AWS 區域,並將 cmk Source 替換為客戶自管金鑰的 ID。
  5. 開啟 Amazon EC2 console (Amazon EC2 主控台)。
  6. 在導覽窗格中,選擇 EC2 dashboard (EC2 儀表板),然後選擇 Launch instance (啟動執行個體)。
  7. Names and tags (名稱和標籤) 下的 Name (名稱) 中,輸入執行個體的名稱。
  8. Application and OS Images (Amazon Machine Image) (應用程式和作業系統映像檔 (Amazon Machine Image)) 下,選擇 Browse more AMIs (瀏覽更多 AMI) 以尋找共用加密 AMI。
  9. 選擇 My AMIs (我的 AMI),然後選擇 Shared with me (與我共用)。
  10. Instance type (執行個體類型) 下,選取一種執行個體類型。
  11. Key pair (login) (金鑰對 (登入)) 下的 Key pair name (金鑰對名稱) 中,選取金鑰對。或者,建立新的金鑰對
  12. (選用) 在 Network settings (網路設定) 下,選擇 Edit (編輯),然後選取您的虛擬私有雲端 (VPC) 或子網路。
  13. Configure storage (設定儲存體) 下,選擇 Advanced (進階)。
  14. EBS Volumes (EBS 磁碟區) 下,展開 Volume. (磁碟區)。
  15. Encrypted (加密) 下,選擇 Encrypted (加密)。
  16. KMS key 下,選擇 Specify a custom value (指定自訂值),然後輸入金鑰的完整 Amazon Resource Name (ARN)。例如,arn:aws:kms:us-east-1:111111111111:key/key-id
    **注意:**如果您未選擇AWS KMS key,Amazon EC2 將使用目標帳戶的預設金鑰進行 Amazon Elastic Block Store (Amazon EBS) 加密
  17. Summary (摘要) 下,選擇 Launch instance (啟動執行個體)。

如需詳細資訊,請參閱使用主控台中的啟動執行個體精靈啟動 EC2 執行個體

相關資訊

如何與另一個 AWS 帳戶私下共用 Amazon Machine Image (AMI)?

執行個體啟動情境

啟動 Amazon EC2 執行個體

如何從自訂 AMI 啟動 EC2 執行個體?

主題
Compute
標籤
LinuxAmazon EC2Windows
語言
中文 (繁體)
AWS 官方已更新 9 個月前
沒有評論

相關內容