使用 AWS re:Post 即表示您同意 AWS re:Post 使用條款

如何檢視有關 AMI 或快照的加密資訊?

2 分的閱讀內容
0

我想知道 Amazon Machine Image (AMI) 或快照是否已加密。如果已加密,我想知道其是使用 AWS Key Management Service (KMS) 受管金鑰還是客戶自管金鑰。

解決方法

注意:

AWS CLI

若要使用 AWS CLI 檢視加密資訊,請完成下列步驟:

  1. 若要檢視與 AMI 相關聯的快照,請使用 BlockDeviceMappings 查詢篩選條件執行 describe-images 命令。

    aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
    [    
        [{
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-#########",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }]
    ]

    **注意:**請使用 AMI 的映像 ID 和 AWS 區域取代 image-idsregion

    上述範例輸出會顯示與 AMI 相關聯的快照。快照的 Encrypted 參數設定為 true

  2. 執行 describe-snapshots 命令。使用 describe-images 命令輸出中所列快照的 snapshot-id

    aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
    {    "Snapshots": [{
            "Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-##########",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }]
    }

    從命令輸出中複製 KMSKeyId

  3. 若要判斷金鑰是 AWS KMS key 還是客戶自管金鑰,請執行 describe-key 命令。

    aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
    {    "KeyMetadata": {
            "AWSAccountId": "92#########",
            "KeyId": "dcd4d062-#########-#########",
            "Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
            "CreationDate": 1579611763.538,
            "Enabled": true,
            "Description": "02-example-CMK",
            "KeyUsage": "ENCRYPT_DECRYPT",
            "KeyState": "Enabled",
            "Origin": "AWS_KMS",
            "KeyManager": "CUSTOMER",
            "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
            "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
        }
    }

    **注意:**請使用 describe-snapshot 命令中列出的 KMSKeyId 取代 key-id。請使用快照的區域取代 region
    在上述範例輸出中,KeyManager 參數為 Customer。金鑰是客戶自管的金鑰。針對 AWS KMS key,KeyManager 參數為 AWS

Amazon EC2 主控台

若要使用 Amazon Elastic Compute Cloud (Amazon EC2) 主控台來檢視加密資訊,請完成下列步驟:

  1. 開啟 Amazon EC2 主控台
  2. 從導覽窗格中選擇 AMIs
  3. 使用篩選和搜尋選項,將顯示的 AMI 清單限制為僅符合您條件的 AMI。
  4. 選擇 Preferences (偏好設定) 圖示,然後選取要顯示的影像屬性 (例如根裝置類型)。或者,您可以從清單中選取 AMI,並在 Details (詳細資訊) 索引標籤上檢視其屬性。
  5. 選擇 Storage properties (儲存空間屬性) 索引標籤。
  6. 選取快照,然後在 Description (說明) 索引標籤上驗證 Encryption (加密) 是設定為 Encrypted (已加密) 還是 Not Encrypted (未加密)。如果快照已加密,請記下 KMS 金鑰 IDKMS 金鑰 ARN
  7. 開啟 AWS KMS 主控台
  8. 選擇 AWS 受管金鑰,然後輸入 KMS 金鑰 ID。如果沒有顯示任何結果,請選擇客戶受管金鑰,然後輸入 KMS 金鑰 ID

**注意:**您無法共用使用 AWS 受管金鑰加密的 AMI。如需詳細資訊,請參閱共用快照之前

相關資訊

AWS KMS 概念

AWS 官方
AWS 官方已更新 1 個月前