Comment puis-je afficher les informations de chiffrement sur mon AMI ou mon instantané ?

Date de la dernière mise à jour : 14/12/2020

Comment puis-je déterminer si mon Amazon Machine Image (AMI) ou mon instantané est chiffré et, si c'est le cas, s'il utilise une clé principale client (CMK) gérée par AWS ou une CMK gérée par le client ?

Brève description

Vous pouvez afficher les informations de chiffrement pour vos instantanés ou AMI à l'aide de la console ou de l'interface de ligne de commande AWS (AWS CLI).

Résolution

Remarques :

Afficher les informations de chiffrement à l'aide des commandes AWS CLI

1.     Exécutez la commande describe-images avec le filtre de requête BlockDeviceMappings pour afficher les instantanés associés à l'AMI. Dans l'exemple suivant, remplacez les image-ids et la région par l'ID et la région de votre AMI.

# aws ec2 describe-images --image-ids ami-xxxxxxxxx --region eu-west-1 --query "Images[*].BlockDeviceMappings"
[
    [
        {
            "DeviceName": "/dev/xvda",
            "Ebs": {
                "DeleteOnTermination": true,
                "SnapshotId": "snap-xxxxxxxxx",
                "VolumeSize": 8,
                "VolumeType": "gp2",
                "Encrypted": true
            }
        }
    ]
]

L'exemple de sortie de commande précédent montre que l'instantané associé à l'AMI a le paramètre Chiffré défini sur vrai.

2.    Exécutez la commande describe-snapshots à l'aide de l' snapshot-id de l'instantané répertorié dans la sortie de la commande describe-images :

# aws ec2 describe-snapshots --snapshot-ids snap-xxxxxxxxx  --region eu-west-1
{
    "Snapshots": [
        {
            "Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
            "Encrypted": true,
            "KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
            "OwnerId": "111122223333",
            "Progress": "100%",
            "SnapshotId": "snap-xxxxxxxxx",
            "StartTime": "2020-01-21T13:05:53.887Z",
            "State": "completed",
            "VolumeId": "vol-ffffffff",
            "VolumeSize": 8
        }
    ]
}

Dans la sortie de la commande, notez la valeur KMSKeyId.

3.    Exécutez la commande describe-key pour déterminer si la clé est une clé CMK gérée par AWS ou une clé CMK gérée par le client. Dans la commande suivante, remplacez id-clé par le KMSKeyId répertorié dans la commande décrire-instantané. Remplacez la région par la région de l'instantané.

# aws kms describe-key --key-id dcd4d062-xxxxxxxxx-xxxxxxxxx  --region eu-west-1
{
    "KeyMetadata": {
        "AWSAccountId": "92xxxxxxxxx",
        "KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
        "Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
        "CreationDate": 1579611763.538,
        "Enabled": true,
        "Description": "02-example-CMK",
        "KeyUsage": "ENCRYPT_DECRYPT",
        "KeyState": "Enabled",
        "Origin": "AWS_KMS",
        "KeyManager": "CUSTOMER",
        "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
        "EncryptionAlgorithms": [
            "SYMMETRIC_DEFAULT"
        ]
    }
}

Dans l'exemple de sortie précédent, le paramètre « KeyManager » est « Customer », indiquant que la clé est une clé CMK gérée par le client. Pour une clé gérée par AWS, le paramètre « KeyManager » est « AWS».

Afficher les informations de chiffrement à l'aide de la console

1.    Ouvrez la console Amazon EC2, puis choisissez les AMI.

2.    Copiez l'ID de l'AMI pour laquelle vous souhaitez obtenir des détails.

3.    Sous Elastic Block Store, sélectionnez Instantanés.

4.    Collez l'ID d’AMI dans la zone de recherche, puis appuyez sur ENTRÉE.

5.    Sélectionnez l'instantané, puis dans l'onglet Description vérifiez si le Chiffrement est défini sur Chiffré ou Non chiffré. Si l'instantané est chiffré, notez l' ID de clé KMS et l' ARN de clé KMS.

6.    Ouvrez la console AWS Key Management Service (AWS KMS).

7.    Sélectionnez les clés gérées par AWS puis collez l' ID de clé KMS dans la zone de filtre. Si aucun résultat n'apparaît, choisissez Clés gérées par le client puis collez l' ID de clé KMS dans la zone de filtre.

Remarque : vous ne pouvez pas partager des AMI chiffrées avec une clé gérée par AWS. Pour plus d'informations, consultez Partage d'un instantané - Considérations.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?