Como posso visualizar as informações de criptografia sobre minha AMI ou snapshot?
Quero saber se minha imagem de máquina da Amazon (AMI) ou snapshot está criptografado. Se estiver, quero saber se ele(a) usa uma chave gerenciada do AWS Key Management Service (AWS KMS) ou uma chave gerenciada pelo cliente.
Resolução
Observação:
- Se você receber erros ao executar comandos da AWS Command Line Interface (AWS CLI), verifique se está usando sua versão mais recente.
- JSON é a saída padrão da AWS CLI. Você pode usar o formato padrão ou acrescentar --output json aos comandos para receber uma saída semelhante às saídas do exemplo a seguir. Para obter mais informações, consulte Selecionar o formato de saída.
Usar os comandos da AWS CLI para visualizar informações de criptografia
1. Para visualizar os snapshots associados à AMI, execute o comando describe-images com o filtro de consulta BlockDeviceMappings. No exemplo a seguir, substitua image-ids e region pelo ID e pela região da AWS da sua AMI.
# aws ec2 describe - images--image - ids ami - xxxxxxxxx--region eu - west - 1--query "Images[*].BlockDeviceMappings" [ [{ "DeviceName": "/dev/xvda", "Ebs": { "DeleteOnTermination": true, "SnapshotId": "snap-xxxxxxxxx", "VolumeSize": 8, "VolumeType": "gp2", "Encrypted": true } }] ]
O exemplo de saída anterior mostra o snapshot associado à AMI. O parâmetro Encrypted do snapshot está definido como true.
2.Execute o comando describe-snapshots. Use o snapshot-id do snapshot listado na saída do comando describe-images:
# aws ec2 describe - snapshots--snapshot - ids snap - xxxxxxxxx--region eu - west - 1 { "Snapshots": [{ "Description": "Copied for DestinationAmi ami-xxxxxxxxx from SourceAmi ami-xxxxxxxxx for SourceSnapshot snap-xxxxxxxxx. Task created on 1,579,611,950,318.", "Encrypted": true, "KmsKeyId": "arn:aws:kms:eu-west-1:9208xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxxxxx", "OwnerId": "111122223333", "Progress": "100%", "SnapshotId": "snap-xxxxxxxxx", "StartTime": "2020-01-21T13:05:53.887Z", "State": "completed", "VolumeId": "vol-ffffffff", "VolumeSize": 8 }] }
Na saída do comando, anote o KMSKeyId.
3. Para determinar se a chave é uma chave do AWS KMS ou uma chave gerenciada pelo cliente, execute o comando describe-key. No comando a seguir, substitua key-id pelo KMSKeyId que está listado no comando describe-snapshot. Substitua region pela região do snapshot.
# aws kms describe - key--key - id dcd4d062 - xxxxxxxxx - xxxxxxxxx--region eu - west - 1 { "KeyMetadata": { "AWSAccountId": "92xxxxxxxxx", "KeyId": "dcd4d062-xxxxxxxxx-xxxxxxxx", "Arn": "arn:aws:kms:eu-west-1:92xxxxxxxxx:key/dcd4d062-xxxxxxxxx-xxxxxxx", "CreationDate": 1579611763.538, "Enabled": true, "Description": "02-example-CMK", "KeyUsage": "ENCRYPT_DECRYPT", "KeyState": "Enabled", "Origin": "AWS_KMS", "KeyManager": "CUSTOMER", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": ["SYMMETRIC_DEFAULT"] } }
No exemplo de saída anterior, o parâmetro KeyManager é Customer. Isso indica que a chave é uma chave gerenciada pelo cliente. Para uma chave do AWS KMS, o parâmetro KeyManager é AWS.
Use o console para visualizar as informações de criptografia
- Abra o console do Amazon Elastic Compute Cloud (Amazon EC2) e escolha AMIs.
- Copie o ID da AMI para a qual você deseja obter detalhes.
- Em Elastic Block Store, escolha Snapshots.
- Insira o ID da AMI e aperte ENTER.
- Selecione o snapshot e na guia Descrição verifique se Criptografia está definida como Criptografado ou Não criptografado. Se o snapshot estiver criptografado, anote o ID da chave do KMS e o ARN da chave do KMS.
- Abra o console do AWS KMS.
- Escolha chaves gerenciadas da AWS e insira o ID da chave do KMS. Se nenhum resultado aparecer, escolha Chaves gerenciadas pelo cliente e insira o ID da chave do KMS.
Observação: Você não pode compartilhar AMIs criptografadas com uma chave gerenciada pela AWS. Para obter mais informações, consulte Antes de compartilhar um snapshot.
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há um ano
- AWS OFICIALAtualizada há 3 meses