Come posso visualizzare le informazioni sulla crittografia relative alla mia AMI o al mio snapshot?

3 minuti di lettura
0

Voglio sapere se la mia Amazon Machine Image (AMI) o lo snapshot sono crittografati. In tal caso, voglio sapere se utilizza una chiave gestita da AWS Key Management Service (AWS KMS) o una chiave gestita dal cliente.

Risoluzione

Nota:

Usa i comandi dell'interfaccia a riga di comando di AWS per visualizzare le informazioni sulla crittografia

1.    Esegui il comando describe-images con il filtro di query BlockDeviceMappings per visualizzare gli snapshot associati all'AMI. Nell'esempio seguente, sostituisci image-ids e region con l'ID e la regione dell'AMI.

# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [
	[{
		"DeviceName": "/dev/xvda",
		"Ebs": {
			"DeleteOnTermination": true,
			"SnapshotId": "snap-xxxxxxxxx",
			"VolumeSize": 8,
			"VolumeType": "gp2",
			"Encrypted": true
		}
	}]
]

L'output dell'esempio precedente mostra lo snapshot associato all'AMI. Il parametro Encrypted dello snapshot è impostato su true.

2.    Esegui il comando describe-snapshots. Usa lo snapshot-id dell'istantanea elencata nell'output del comando describe-images:

# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 {
	"Snapshots": [{
		"Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.",
		"Encrypted": true,
		"KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx",
		"OwnerId": "111122223333",
		"Progress": "100%",
		"SnapshotId": "snap-xxxxxxxxx",
		"StartTime": "2020-01-21T13:05:53.887Z",
		"State": "completed",
		"VolumeId": "vol-ffffffff",
		"VolumeSize": 8
	}]
}

Nell'output del comando, prendi nota del KMSKeyId.

3.    Esegui il comando describe-key per determinare se si tratta di una chiave AWS KMS oppure una chiave gestita dal cliente. Nel comando seguente, sostituisci key-id con il KMSKeyId elencato nel comando describe-snapshot. Sostituisci region con la regione dello snapshot.

# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 {
	"KeyMetadata": {
		"AWSAccountId": "92xxxxxxxxx",
		"KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx",
		"Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx",
		"CreationDate": 1579611763.538,
		"Enabled": true,
		"Description": "02-example-CMK",
		"KeyUsage": "ENCRYPT_DECRYPT",
		"KeyState": "Enabled",
		"Origin": "AWS_KMS",
		"KeyManager": "CUSTOMER",
		"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
		"EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"]
	}
}

Nell'output dell'esempio precedente, il parametro KeyManager è Customer. Ciò indica che la chiave è una chiave gestita dal cliente. Per le chiavi AWS KMS, il parametro KeyManager è AWS.

Usa la console per visualizzare le informazioni sulla crittografia

  1. Apri la console Amazon Elastic Compute Cloud (Amazon EC2) e seleziona le AMI.
  2. Copia l'ID dell'AMI di cui desideri i dettagli.
  3. In Elastic Block Store, scegli Snapshot.
  4. Inserisci l'ID dell'AMI, quindi premi INVIO.
  5. Seleziona lo snapshot, quindi nella scheda Descrizione verifica se la Crittografia è impostata su Crittografato o Non crittografato. Se lo snapshot è crittografato, prendi nota dell'ID della chiave KMS e dell'ARN della chiave KMS.
  6. Apri la console AWS KMS.
  7. Scegli le chiavi gestite da AWS, quindi inserisci l'ID della chiave KMS. Se non viene visualizzato alcun risultato, scegli Chiavi gestite dal cliente, quindi inserisci l'ID della chiave KMS.

Nota: non puoi condividere AMI crittografate con una chiave gestita da AWS. Per ulteriori informazioni consulta la sezione Before you share a snapshot.

Informazioni correlate

Concetti AWS KMS

AWS UFFICIALE
AWS UFFICIALEAggiornata 8 mesi fa