Bescheinigbar AMIs - Amazon Elastic Compute Cloud
Beibehaltung eines bescheinigbaren ZustandsAnforderungen für die Erstellung von Attestable AMIsAttestable wird erstellt AMIs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bescheinigbar AMIs

Ein attestierbares AMI ist ein Amazon Machine Image (AMI) mit einem entsprechenden kryptografischen Hash, der seinen gesamten Inhalt darstellt. Der Hash wird während des AMI-Erstellungsprozesses generiert und auf der Grundlage des gesamten Inhalts dieses AMI berechnet, einschließlich der Anwendungen, des Codes und des Startvorgangs.

Beibehaltung eines bescheinigbaren Zustands

Die Messungen einer Instanz basieren auf ihrem anfänglichen Startstatus. Alle Software- oder Codeänderungen, die nach dem Start an der Instance vorgenommen werden und auch nach Neustarts bestehen bleiben, wirken sich auf die Messwerte der Instanz nach dem Neustart aus. Wenn die Messungen geändert werden, weichen sie von den Referenzmessungen des Attestable AMI ab, und die Instanz kann dies AWS KMS nach dem Neustart der Instanz nicht mehr erfolgreich bestätigen. Damit Attestable nützlich ist, müssen Instances daher AMIs nach dem Neustart zu ihrem ursprünglichen Startstatus zurückkehren.

Wenn Sie immer zum ursprünglichen Startstatus zurückkehren, wird sichergestellt, dass eine Instance nach dem Neustart den Test erfolgreich durchführen kann. Die folgenden Dienstprogramme können verwendet werden, um sicherzustellen, dass Ihre Instanzen auch nach einem Neustart nachweisbar bleiben:

  • erofs— Verbessertes schreibgeschütztes Dateisystem. Dieses Hilfsprogramm stellt sicher, dass Ihr Root-Dateisystem schreibgeschützt ist. Mit diesem Hilfsprogramm werden Schreibvorgänge in das Dateisystem, einschließlich, und /etc/run, im Speicher gespeichert und gehen verloren/var, wenn die Instanz neu gestartet wird, sodass das Root-Dateisystem in seinem ursprünglichen Startzustand belassen wird. Weitere Informationen finden Sie in der erofs-Dokumentation.

  • dm-verity— Bietet Integritätsschutz für das schreibgeschützte Root-Dateisystem. Das Hilfsprogramm berechnet einen Hash der Dateisystemblöcke und speichert ihn in der Kernel-Befehlszeile. Dadurch kann der Kernel die Integrität des Dateisystems beim Booten überprüfen. Weitere Informationen finden Sie in der dm-verity-Dokumentation.

Anforderungen für die Erstellung von Attestable AMIs

Für Attestable gelten die folgenden AMIs Anforderungen:

Themen

Attestable wird erstellt AMIs

Um ein attestierbares AMI zu erstellen, müssen Sie Amazon Linux 2023 mit KIWI Next Generation (KIWI NG) verwenden. Amazon Linux 2023 bietet die gesamte Software und Hilfsprogramme, die für die Erstellung eines bescheinigbaren AMI mit KIWI NG erforderlich sind.

KIWI NG ist ein Open-Source-Tool zum Erstellen vorkonfigurierter Linux-basierter Images. KIWI NG verwendet XML-Bildbeschreibungen, die den Inhalt eines Bildes definieren. Die Image-Beschreibung spezifiziert das Basisbetriebssystem, die Software, die Kernelkonfiguration und die Skripts, die ausgeführt werden müssen, um ein ready-to-use AMI für einen bestimmten Anwendungsfall zu erstellen.

Während der AMI-Erstellungszeit müssen Sie das nitro-tpm-pcr-compute Hilfsprogramm verwenden, um die Referenzmessungen auf der Grundlage des von KIWI NG generierten Unified Kernel Image (UKI) zu generieren. Weitere Informationen zur Verwendung des nitro-tpm-pcr-compute Dienstprogramms finden Sie unterPCR-Messungen für ein benutzerdefiniertes AMI berechnen.

AWS bietet ein Beispiel für eine Beschreibung eines Amazon Linux 2023-Images, das alle Konfigurationen enthält, die für die Konfiguration einer EC2 Instance in einer isolierten Computerumgebung erforderlich sind. Weitere Informationen finden Sie unter Erstellen Sie die Beispielbildbeschreibung für Amazon Linux 2023.