AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

如何檢視有關 AMI 或快照的加密資訊？

2 分的閱讀內容

我想知道 Amazon Machine Image (AMI) 或快照是否已加密。如果已加密，我想知道其是使用 AWS Key Management Service (KMS) 受管金鑰還是客戶自管金鑰。

解決方法

注意：

如果您在執行 AWS Command Line Interface (AWS CLI) 命令時收到錯誤，則請參閱對 AWS CLI 進行錯誤疑難排解。此外，請確定您使用的是最新的 AWS CLI 版本。
JSON 是預設 AWS CLI 輸出。您可以使用預設格式，或選擇不同的輸出格式。如需詳細資訊，請參閱在 AWS CLI 中設定輸出格式。

AWS CLI

若要使用 AWS CLI 檢視加密資訊，請完成下列步驟：

若要檢視與 AMI 相關聯的快照，請使用 BlockDeviceMappings 查詢篩選條件執行 describe-images 命令。

aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
[    
    [{
        "DeviceName": "/dev/xvda",
        "Ebs": {
            "DeleteOnTermination": true,
            "SnapshotId": "snap-#########",
            "VolumeSize": 8,
            "VolumeType": "gp2",
            "Encrypted": true
        }
    }]
]

**注意：**請使用 AMI 的映像 ID 和 AWS 區域取代 image-ids 和 region。

上述範例輸出會顯示與 AMI 相關聯的快照。快照的 Encrypted 參數設定為 true。

執行 describe-snapshots 命令。使用 describe-images 命令輸出中所列快照的 snapshot-id：

aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
{    "Snapshots": [{
        "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
        "Encrypted": true,
        "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
        "OwnerId": "111122223333",
        "Progress": "100%",
        "SnapshotId": "snap-##########",
        "StartTime": "2020-01-21T13:05:53.887Z",
        "State": "completed",
        "VolumeId": "vol-ffffffff",
        "VolumeSize": 8
    }]
}

從命令輸出中複製 KMSKeyId。

若要判斷金鑰是 AWS KMS key 還是客戶自管金鑰，請執行 describe-key 命令。

aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
{    "KeyMetadata": {
        "AWSAccountId": "92#########",
        "KeyId": "dcd4d062-#########-#########",
        "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
        "CreationDate": 1579611763.538,
        "Enabled": true,
        "Description": "02-example-CMK",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
    }
}

**注意：**請使用 describe-snapshot 命令中列出的 KMSKeyId 取代 key-id。請使用快照的區域取代 region。
在上述範例輸出中，KeyManager 參數為 Customer。金鑰是客戶自管的金鑰。針對 AWS KMS key，KeyManager 參數為 AWS。

Amazon EC2 主控台

若要使用 Amazon Elastic Compute Cloud (Amazon EC2) 主控台來檢視加密資訊，請完成下列步驟：

開啟 Amazon EC2 主控台。
從導覽窗格中選擇 AMIs。
使用篩選和搜尋選項，將顯示的 AMI 清單限制為僅符合您條件的 AMI。
選擇 Preferences (偏好設定) 圖示，然後選取要顯示的影像屬性 (例如根裝置類型)。或者，您可以從清單中選取 AMI，並在 Details (詳細資訊) 索引標籤上檢視其屬性。
選擇 Storage properties (儲存空間屬性) 索引標籤。
選取快照，然後在 Description (說明) 索引標籤上驗證 Encryption (加密) 是設定為 Encrypted (已加密) 還是 Not Encrypted (未加密)。如果快照已加密，請記下 KMS 金鑰 ID 和 KMS 金鑰 ARN。
開啟 AWS KMS 主控台。
選擇 AWS 受管金鑰，然後輸入 KMS 金鑰 ID。如果沒有顯示任何結果，請選擇客戶受管金鑰，然後輸入 KMS 金鑰 ID。

**注意：**您無法共用使用 AWS 受管金鑰加密的 AMI。如需詳細資訊，請參閱共用快照之前。

如何檢視有關 AMI 或快照的加密資訊？

解決方法

AWS CLI

Amazon EC2 主控台

相關資訊

相關內容