Come posso visualizzare le informazioni sulla crittografia relative alla mia AMI o al mio snapshot?
Voglio sapere se la mia Amazon Machine Image (AMI) o lo snapshot sono crittografati. In tal caso, voglio sapere se utilizza una chiave gestita da AWS Key Management Service (AWS KMS) o una chiave gestita dal cliente.
Risoluzione
Nota:
- Se visualizzi errori durante l'esecuzione dei comandi dell’Interfaccia a riga di comando AWS (AWS CLI), assicurati di utilizzare la versione più recente dell'interfaccia a riga di comando AWS.
- JSON è l'output predefinito dell'interfaccia AWS CLI. Puoi usare il formato predefinito o aggiungere --output json ai comandi per ricevere un output simile agli output di esempio seguenti. Per ulteriori informazioni consulta la sezione Select the output format.
Usa i comandi dell'interfaccia a riga di comando di AWS per visualizzare le informazioni sulla crittografia
1. Esegui il comando describe-images con il filtro di query BlockDeviceMappings per visualizzare gli snapshot associati all'AMI. Nell'esempio seguente, sostituisci image-ids e region con l'ID e la regione dell'AMI.
# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [ [{ "DeviceName": "/dev/xvda", "Ebs": { "DeleteOnTermination": true, "SnapshotId": "snap-xxxxxxxxx", "VolumeSize": 8, "VolumeType": "gp2", "Encrypted": true } }] ]
L'output dell'esempio precedente mostra lo snapshot associato all'AMI. Il parametro Encrypted dello snapshot è impostato su true.
2. Esegui il comando describe-snapshots. Usa lo snapshot-id dell'istantanea elencata nell'output del comando describe-images:
# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 { "Snapshots": [{ "Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.", "Encrypted": true, "KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx", "OwnerId": "111122223333", "Progress": "100%", "SnapshotId": "snap-xxxxxxxxx", "StartTime": "2020-01-21T13:05:53.887Z", "State": "completed", "VolumeId": "vol-ffffffff", "VolumeSize": 8 }] }
Nell'output del comando, prendi nota del KMSKeyId.
3. Esegui il comando describe-key per determinare se si tratta di una chiave AWS KMS oppure una chiave gestita dal cliente. Nel comando seguente, sostituisci key-id con il KMSKeyId elencato nel comando describe-snapshot. Sostituisci region con la regione dello snapshot.
# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 { "KeyMetadata": { "AWSAccountId": "92xxxxxxxxx", "KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx", "Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx", "CreationDate": 1579611763.538, "Enabled": true, "Description": "02-example-CMK", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"] } }
Nell'output dell'esempio precedente, il parametro KeyManager è Customer. Ciò indica che la chiave è una chiave gestita dal cliente. Per le chiavi AWS KMS, il parametro KeyManager è AWS.
Usa la console per visualizzare le informazioni sulla crittografia
- Apri la console Amazon Elastic Compute Cloud (Amazon EC2) e seleziona le AMI.
- Copia l'ID dell'AMI di cui desideri i dettagli.
- In Elastic Block Store, scegli Snapshot.
- Inserisci l'ID dell'AMI, quindi premi INVIO.
- Seleziona lo snapshot, quindi nella scheda Descrizione verifica se la Crittografia è impostata su Crittografato o Non crittografato. Se lo snapshot è crittografato, prendi nota dell'ID della chiave KMS e dell'ARN della chiave KMS.
- Apri la console AWS KMS.
- Scegli le chiavi gestite da AWS, quindi inserisci l'ID della chiave KMS. Se non viene visualizzato alcun risultato, scegli Chiavi gestite dal cliente, quindi inserisci l'ID della chiave KMS.
Nota: non puoi condividere AMI crittografate con una chiave gestita da AWS. Per ulteriori informazioni consulta la sezione Before you share a snapshot.
Informazioni correlate
Contenuto pertinente
- AWS UFFICIALEAggiornata 6 mesi fa
- AWS UFFICIALEAggiornata 2 anni fa
- AWS UFFICIALEAggiornata un anno fa