Amazon Elastic Compute Cloud
Windows 实例用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

带加密快照的 AMI

由 Amazon EBS 快照支持的 AMI 可以利用 Amazon EBS 加密。可以将数据和根卷的快照加密并附加到 AMI。

带加密卷的 EC2 实例从 AMI 中启动的方式与其他实例的相同。

CopyImage 操作可用于从带未加密快照的 AMI 创建带加密快照的 AMI。默认情况下,在创建目标副本时,CopyImage 会保留源快照的加密状态。但是,您也可以配置复制过程的参数来加密目标快照。

可使用您的默认 AWS Key Management Service 客户主密钥 (CMK),或您指定的自定义密钥加密快照。在所有情况下,您都必须拥有使用所选密钥的权限。如果您拥有带加密快照的 AMI,则可以选择使用其他加密密钥对其重新加密以作为 CopyImage 操作的一部分。CopyImage 一次只接受一个密钥并且会将映像的所有快照 (无论是根还是数据) 加密到该密钥。但是,无法使用加密到多个密钥的快照手动构建 AMI。

对创建带加密快照的 AMI 的支持可通过 Amazon EC2 控制台、Amazon EC2 API 或 AWS CLI 获得。

CopyImage 的加密参数在 AWS KMS 可用的所有区域中都可用。

涉及加密的 EBS 快照的 AMI 情景

您可以使用 AWS 管理控制台或命令行复制 AMI 并同时对与其关联的 EBS 快照进行加密。

复制带加密数据快照的 AMI

在此方案中,EBS 支持的 AMI 拥有未加密的根快照和加密的数据快照,如步骤 1 所示。在步骤 2 中,CopyImage 操作在没有加密参数的情况下调用。因此,将保留每个快照的加密状态,以便让目标 AMI (如步骤 3 所示) 也由未加密的根快照和加密的数据快照提供支持。尽管这两种快照包含相同的数据,但两者是截然不同的,两个 AMI 中的快照都将产生存储费用,从任一 AMI 启动的任何实例也将产生费用。

 复制带加密数据快照的 AMI

您可以使用 Amazon EC2 控制台或命令行执行简单复制 (如上述复制)。有关更多信息,请参阅 复制 AMI

复制由加密的根快照支持的 AMI

在此方案中,Amazon EBS 支持的 AMI 拥有加密的根快照,如步骤 1 所示。在步骤 2 中,CopyImage 操作在没有加密参数的情况下调用。因此,将保留快照的加密状态,以便让目标 AMI (如步骤 3 所示) 也由加密的根快照支持。尽管这两种根快照包含相同的系统数据,但两者是截然不同的,两个 AMI 中的快照都将产生存储费用,从任一 AMI 启动的任何实例也将产生费用。

 复制由加密的根快照支持的 AMI

您可以使用 Amazon EC2 控制台或命令行执行简单复制 (如上述复制)。有关更多信息,请参阅 复制 AMI

从未加密的 AMI 创建带加密的根快照的 AMI

在此方案中,Amazon EBS 支持的 AMI 拥有未加密的根快照 (如步骤 1 所示),将创建带加密的根快照的 AMI (如步骤 3 所示)。步骤 2 中的 CopyImage 操作将通过两个加密参数 (包括选择 CMK) 调用。因此,根快照的加密状态将更改,以便让目标 AMI 由包含与源快照相同的数据但使用指定密钥进行加密的根快照提供支持。两个 AMI 中的快照都将产生存储费用,从任一 AMI 启动的任何实例也将产生费用。

 从未加密的 AMI 创建 AMI

您可以使用 Amazon EC2 控制台或命令行执行复制和加密操作 (如上述操作)。有关更多信息,请参阅 复制 AMI

从正在运行的实例创建带加密的根快照的 AMI

在此方案中,将从正在运行的 EC2 实例创建 AMI。步骤 1 中的正在运行的实例拥有加密的根卷,步骤 3 中创建的 AMI 拥有加密到与源卷相同的密钥的根快照。无论加密是否存在,CreateImage 操作都具有完全相同的行为。

 从带加密根快照的实例创建 AMI

您可以使用 Amazon EC2 控制台或命令行从正在运行的 Amazon EC2 实例 (带或不带加密卷) 创建 AMI。有关更多信息,请参阅创建 Amazon EBS 支持的 Windows AMI

使用每个加密快照的唯一 CMK 创建 AMI

此方案最初有一个由根卷快照 (加密到密钥 #1) 支持的 AMI,最终得到一个附加了 2 个额外数据卷快照 (加密到密钥 #2 和密钥 #3) 的 AMI。CopyImage 操作无法将多个加密密钥应用于单个操作。但是,您可以从拥有加密到不同密钥的多个附加卷的实例创建 AMI。生成的 AMI 拥有加密到这些密钥的快照,且从此新 AMI 启动的任何实例也拥有加密到这些密钥的卷。

本示例过程的步骤对应于下图。

  1. 从 vol. #1 (根) 快照支持的源 AMI 开始,该快照使用密钥 #1 进行加密。

  2. 从源 AMI 启动 EC2 实例。

  3. 创建 EBS 卷 vol.#2 (数据) 和 vol.#3 (数据),它们分别加密到密钥 #2 和密钥 #3。

  4. 将加密的数据卷附加到 EC2 实例。

  5. EC2 实例现在拥有 1 个加密的根卷以及 2 个加密的数据卷,这些卷都使用不同的密钥。

  6. 对 EC2 实例执行 CreateImage 操作。

  7. 生成的目标 AMI 包含三个 EBS 卷的加密快照,这些卷都使用不同的密钥。

 创建带有唯一 CMK 的 AMI

您可以使用 Amazon EC2 控制台或命令行执行此过程。有关更多信息,请参阅以下主题: