更新没有交互访问权限的可认证的 AMI - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

更新没有交互访问权限的可认证的 AMI

使用隔离计算环境 AMI 启动实例后,任何用户或操作员都无法连接到该实例。这意味着启动后无法在该实例上安装或更新任何软件。

如果需要新软件或软件更新,则必须创建一个新的可认证 AMI,其中包含所需软件或软件更新。然后,使用该 AMI 启动新实例,或在原始实例上执行根卷替换。对 AMI 所做的任何软件更改都将导致生成新的哈希值。

以下操作将导致 NitroTPM 认证文档中的参考测量值发生变化:

  • 停止和启动使用可认证的 AMI 启动的实例

  • 使用其他 AMI 执行根卷替换

如果您执行上述任何操作,则必须使用新的参考测量值更新您的认证服务。例如,如果您使用 Amazon KMS 进行认证,则必须将 KMS 密钥策略更新为新的参考测量值。

实例在整个实例生命周期中都会保留其 NitroTPM 密钥材料,并在停止/启动和根卷替换操作中保持不变。