写点什么

如何通过未加密的 AMI 快速启动由 EBS 支持的加密 EC2 实例

  • 2019-09-26
  • 本文字数:1752 字

    阅读完需:约 6 分钟

如何通过未加密的 AMI 快速启动由 EBS 支持的加密 EC2 实例

Amazon 系统映像 (AMI) 可提供在 AWS 环境中启动实例(虚拟服务器)所需的信息。AWS Marketplace 提供了许多 AMI(例如 Amazon Linux、Red Hat 或 Ubuntu),您可以使用这些 AMI 启动 Amazon Elastic Compute Cloud (Amazon EC2) 实例。通过这些 AMI 启动实例时,所生成的卷未加密。但是,出于监管目的或内部合规性原因,您可能需要通过加密根卷启动实例。以前,您需要按照多步骤流程进行操作,在这一流程中,您需要在账户中维护 AMI 的单独加密副本,才能通过加密卷启动实例。现在,您不再需要维护多个 AMI 副本以进行加密。要通过未加密的 AMI 启动由 Amazon Elastic Block Store (Amazon EBS) 支持的加密实例,您可以直接在现有工作流程中指定加密属性(例如使用 RunInstances API 或启动实例向导)。这简化了使用加密卷启动实例的流程,并降低了相关的 AMI 存储成本。


在本文中,我们将演示如何从未加密的 AMI 开始,进而启动由 EBS 支持的加密 Amazon EC2 实例。我们将向您展示如何通过 AWS 管理控制台,以及通过带有 AWS 命令行界面 (AWS CLI) 的 RunInstances API 做到这一点。

通过 AWS 管理控制台启动实例

1.登录 AWS 管理控制台并打开 EC2 控制台。


2.选择启动实例,然后按照启动实例向导的提示操作:


a.在向导的第 1 步中,选择您要使用的 Amazon 系统映像 (AMI)。


b.在向导的第 2 步中,选择实例类型。


c.在第 3 步中,提供其他配置详细信息。有关配置实例的详细信息,请参阅启动实例。


d.在第 4 步中,指定 EBS 卷。卷的加密属性继承自您所选的 AMI。如果您使用的是未加密的 AMI,它将显示为“未加密”。 然后,您可以从下拉列表中选择一个用于加密卷的客户主密钥 (CMK)。您可以为要创建的每个卷选择相同的 CMK,也可以为每个卷使用不同的 CMK。



图 1:指定 EBS 卷


  1. 选择查看,然后选择启动。您的实例将通过加密的 Amazon EBS 卷启动,该卷使用的是您所选的 CMK。要了解有关启动向导的更多信息,请参阅使用启动实例向导启动实例。

通过 RunInstances API 启动实例

通过 RunInstances API/CLI,您可以通过在 BlockDeviceMapping (BDM) 对象中指定加密来提供 kmsKeyID,以加密那些要通过 AMI 创建的卷。如果您未在 BDM 中指定 kmsKeyID,而是将加密标志设置为“true”,那么 AWS 托管的 CMK 将用于加密卷。


例如,要通过附带 100 GB 的空数据卷 (/dev/sdb) 的 Amazon Linux AMI 启动加密的实例,API 调用如下:



$> aws ec2 run-instances --image-id ami-009d6802948d06e52 --count 1 --instance-ype m4.large --region us-east-1 --subnet-id subnet-aec2fc86 --key-name 2016KeyPair --security-group-ids sg-f7dbc78e subnet-id subnet-aec2fc86 --block-device-mappings file://mapping.json
复制代码


其中 mapping.json 包含以下内容:



[ { "DeviceName": "/dev/xvda", "Ebs": { "Encrypted": true, "KmsKeyId": "arn:aws:kms:<us-east-1:012345678910>:key/<Example_Key_ID_12345>" } },
{ "DeviceName": "/dev/sdb", "Ebs": { "DeleteOnTermination": true, "VolumeSize": 100, "VolumeType": "gp2", "Encrypted": true, "KmsKeyId": "arn:aws:kms:<us-east-1:012345678910>:key/<Example_Key_ID_12345>" } }]
复制代码


您可以为不同的卷指定不同的密钥。提供没有加密标志的 kmsKeyID 会导致 API 错误。

小结

在这篇博文中,我们演示了如何只需几步即可通过未加密的 AMI 快速启动由 EBS 支持的加密实例。您还可以使用同一流程通过未加密的快照启动由 EBS 支持的加密卷。这简化了使用加密卷启动实例的流程,并降低了 AMI 存储成本。


在所有 AWS 商业区域(中国除外),您均可通过 AWS 管理控制台、AWS CLI 或 AWS SDK 免费获得此功能。如果您对此博文有反馈,请在下面的评论部分中提交评论。如果您对此博文有疑问,请在 Amazon EC2 论坛上发表新帖子,或联系 AWS Support。


作者介绍:


Nishit Nagar


Nishit 是 AWS 高级产品经理。


本文转载自 AWS 技术博客。


原文链接:


https://amazonaws-china.com/cn/blogs/china/how-to-quickly-launch-encrypted-ebs-backed-ec2-instances-from-unencrypted-amis/


2019-09-26 18:45712
用户头像

发布了 1866 篇内容, 共 133.2 次阅读, 收获喜欢 81 次。

关注

评论

发布
暂无评论
发现更多内容

起底印度禁用59款应用的数据表现

谢锐 | Frozen

移动应用 游戏开发 游戏出海 移动互联网 游戏制作

Gradle快速入门使用指南 - 安装篇

小隐乐乐

maven

集中全世界程序员的力量,可以在三天之内实现一个手机淘宝吗?

非著名程序员

程序员 软件 程序人生 软件工程 人月神话

一文解决MySQL时区相关问题

Simon

MySQL 数据库

阿里大型企业级开发必用微服务:深入浅出SpringBoot2.x

小闫

spring jdk 面试 后端 springboot

微服务网关演进之路

捉虫大师

Java 微服务 dubbo 网关

手把手教你看MySQL官方文档

Simon

MySQL

自由职业半年之后,我又滚回职场了...

王磊

程序员 程序人生

大数学家笛卡尔到底是怎么死的? |《隐秘的角落》

赵新龙

数学 隐秘的角落 笛卡尔

计算机操作系统基础(十)---存储管理之虚拟内存

书旅

php laravel 线程 操作系统 进程

小师妹学JVM之:JIT中的PrintAssembly续集

程序那些事

JVM jdk8 JDK14 assembly 签约计划第二季

十分钟带你彻底搞懂原码、反码、补码

程序员生活志

补码 原码 反码

公司短信平台上的两万块钱,瞬间就被刷没了

古时的风筝

短信防刷 接口安全 短信轰炸机

分布式缓存 - 第五周作业

孙志平

谁没个焦虑的时段呢?

封不羁

程序员 个人成长 个人感想

了不起的 Webpack 构建流程学习指南

Geek_z9ygea

Java 大前端 Web webpack

​ “强大基座”再展能力,一朵“云”掀起国产化浪潮

Geek_116789

写给孩子的两本书我读得津津有味

孙苏勇

读书 陪伴 随笔杂谈

锦囊篇|一文摸懂SharedPreferences和MMKV(一)

ClericYi

【自学成才系列二】multipass上ubuntu安装篇

小朱

ubuntu multipass

为什么大家都说SELECT * 效率低

Java小咖秀

MySQL 面试 经验

面试时被问创建多少个线程合适?你该怎么说?

小谈

面试 线程 JVM springboot SpringCloud

重学 Java 设计模式:实战状态模式「模拟系统营销活动,状态流程审核发布上线场景」

小傅哥

Java 设计模式 小傅哥 重构 代码规范

架构师训练营第五周总结

陈靓-哲露

Git 的进阶操作

多选参数

git GitHub gitlab

理解Redis的内存回收机制和过期淘汰策略

老胡爱分享

redis LRU

系统架构师week 04 - 互联网架构总结

尔东雨田

极客大学架构师训练营

神经网络攻防:开篇词——你所不知道的神经网络攻防

P小二

神经网络 AIPwn 对抗样本 AI安全 P小二

MyBatis入门

Simon郎

Java mybatis

了不起的 tsconfig.json 学习指南

Geek_z9ygea

typescript 大前端 Web

数据集永久下架,微软不是第一个,MIT 也不是最后一个

神经星星

AI 计算机视觉 MIT AI 伦理 数据集

如何通过未加密的 AMI 快速启动由 EBS 支持的加密 EC2 实例_文化 & 方法_亚马逊云科技 (Amazon Web Services)_InfoQ精选文章