我想知道 Amazon Machine Image (AMI) 或快照是否已加密。如果已加密,我想知道其是使用 AWS Key Management Service (KMS) 受管金鑰還是客戶自管金鑰。
解決方法
注意:
AWS CLI
若要使用 AWS CLI 檢視加密資訊,請完成下列步驟:
-
若要檢視與 AMI 相關聯的快照,請使用 BlockDeviceMappings 查詢篩選條件執行 describe-images 命令。
aws ec2 describe-images --image-ids ami - ######## --region us-east-1 --query "Images[*].BlockDeviceMappings"
[
[{
"DeviceName": "/dev/xvda",
"Ebs": {
"DeleteOnTermination": true,
"SnapshotId": "snap-#########",
"VolumeSize": 8,
"VolumeType": "gp2",
"Encrypted": true
}
}]
]
**注意:**請使用 AMI 的映像 ID 和 AWS 區域取代 image-ids 和 region。
上述範例輸出會顯示與 AMI 相關聯的快照。快照的 Encrypted 參數設定為 true。
-
執行 describe-snapshots 命令。使用 describe-images 命令輸出中所列快照的 snapshot-id:
aws ec2 describe-snapshots --snapshot-ids snap - #########--region us-east-1
{ "Snapshots": [{
"Description": "Copied for DestinationAmi ami-######### from SourceAmi ami-######### for SourceSnapshot snap-#########. Task created on 1,579,611,950,318.",
"Encrypted": true,
"KmsKeyId": "arn:aws:kms:eu-west-1:9208#########:key/dcd4d062-#########-##########",
"OwnerId": "111122223333",
"Progress": "100%",
"SnapshotId": "snap-##########",
"StartTime": "2020-01-21T13:05:53.887Z",
"State": "completed",
"VolumeId": "vol-ffffffff",
"VolumeSize": 8
}]
}
從命令輸出中複製 KMSKeyId。
-
若要判斷金鑰是 AWS KMS key 還是客戶自管金鑰,請執行 describe-key 命令。
aws kms describe-key --key-id dcd4d062 - ######### - ######### --region us-east-1
{ "KeyMetadata": {
"AWSAccountId": "92#########",
"KeyId": "dcd4d062-#########-#########",
"Arn": "arn:aws:kms:eu-west-1:92#########:key/dcd4d062-#########-#########",
"CreationDate": 1579611763.538,
"Enabled": true,
"Description": "02-example-CMK",
"KeyUsage": "ENCRYPT_DECRYPT",
"KeyState": "Enabled",
"Origin": "AWS_KMS",
"KeyManager": "CUSTOMER",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
}
}
**注意:**請使用 describe-snapshot 命令中列出的 KMSKeyId 取代 key-id。請使用快照的區域取代 region。
在上述範例輸出中,KeyManager 參數為 Customer。金鑰是客戶自管的金鑰。針對 AWS KMS key,KeyManager 參數為 AWS。
Amazon EC2 主控台
若要使用 Amazon Elastic Compute Cloud (Amazon EC2) 主控台來檢視加密資訊,請完成下列步驟:
- 開啟 Amazon EC2 主控台。
- 從導覽窗格中選擇 AMIs。
- 使用篩選和搜尋選項,將顯示的 AMI 清單限制為僅符合您條件的 AMI。
- 選擇 Preferences (偏好設定) 圖示,然後選取要顯示的影像屬性 (例如根裝置類型)。或者,您可以從清單中選取 AMI,並在 Details (詳細資訊) 索引標籤上檢視其屬性。
- 選擇 Storage properties (儲存空間屬性) 索引標籤。
- 選取快照,然後在 Description (說明) 索引標籤上驗證 Encryption (加密) 是設定為 Encrypted (已加密) 還是 Not Encrypted (未加密)。如果快照已加密,請記下 KMS 金鑰 ID 和 KMS 金鑰 ARN。
- 開啟 AWS KMS 主控台。
- 選擇 AWS 受管金鑰,然後輸入 KMS 金鑰 ID。如果沒有顯示任何結果,請選擇客戶受管金鑰,然後輸入 KMS 金鑰 ID。
**注意:**您無法共用使用 AWS 受管金鑰加密的 AMI。如需詳細資訊,請參閱共用快照之前。
相關資訊
AWS KMS 概念