Beglaubigbar AMIs - Amazon Elastic Compute Cloud
Beibehaltung eines attestierbaren StatusVoraussetzungen für die Erstellung von Attestable AMIsAttestable wird erstellt AMIs

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beglaubigbar AMIs

Ein attestierbares AMI ist ein Amazon Machine Image (AMI) mit einem entsprechenden kryptografischen Hash, der seinen gesamten Inhalt darstellt. Der Hash wird während des AMI-Erstellungsprozesses generiert und auf der Grundlage des gesamten Inhalts dieses AMI berechnet, einschließlich der Anwendungen, des Codes und des Startvorgangs.

Beibehaltung eines attestierbaren Status

Die Messungen einer Instance basieren auf ihrem anfänglichen Startstatus. Alle Software- oder Codeänderungen, die nach dem Start an der Instance vorgenommen werden und auch nach Neustarts bestehen bleiben, wirken sich auf die Messwerte der Instance nach dem Neustart aus. Wenn die Messungen geändert werden, weichen sie von den Referenzmessungen des attestierbaren AMI ab, und die Instance kann nach dem Neustart nicht mehr erfolgreich von AWS KMS attestiert werden. Damit Attestable AMIs nützlich ist, müssen Instances daher nach dem Neustart in ihren ursprünglichen Startstatus zurückkehren.

Wenn Sie immer zum ursprünglichen Startstatus zurückkehren, wird sichergestellt, dass eine Instance nach dem Neustart erfolgreich attestiert werden kann. Die folgenden Hilfsprogramme können verwendet werden, um sicherzustellen, dass Ihre Instances auch nach einem Neustart attestierbar bleiben:

  • erofs – Verbessertes schreibgeschütztes Dateisystem. Dieses Hilfsprogramm stellt sicher, dass Ihr Root-Dateisystem schreibgeschützt ist. Mit diesem Hilfsprogramm werden Schreibvorgänge in das Dateisystem, einschließlich /etc, /run und /var im Arbeitsspeicher gespeichert und gehen verloren, wenn die Instance neu gestartet wird, sodass das Root-Dateisystem in seinem ursprünglichen Startstatus belassen wird. Weitere Informationen finden Sie in der erofs-Dokumentation.

  • dm-verity – Bietet Integritätsschutz für das schreibgeschützte Root-Dateisystem. Das Hilfsprogramm berechnet einen Hash der Dateisystemblöcke und speichert ihn in der Kernel-Befehlszeile. Dadurch kann der Kernel die Integrität des Dateisystems beim Hochfahren überprüfen. Weitere Informationen finden Sie in der dm-verity-Dokumentation.

Voraussetzungen für die Erstellung von Attestable AMIs

Für Attestable gelten die folgenden AMIs Anforderungen:

Themen

Attestable wird erstellt AMIs

Um ein attestierbares AMI zu erstellen, müssen Sie Amazon Linux 2023 mit KIWI Next Generation (KIWI NG) verwenden. Amazon Linux 2023 bietet die gesamte Software und sämtliche Hilfsprogramme, die für die Erstellung eines attestierbaren AMI mit KIWI NG erforderlich sind.

KIWI NG ist ein Open-Source-Tool zum Entwickeln von vorkonfigurierten Linux-basierten Images. KIWI NG verwendet XML-Image-Beschreibungen, die den Inhalt eines Images definieren. Die Image-Beschreibung spezifiziert das Basisbetriebssystem, die Software, die Kernelkonfiguration und die Skripts, die ausgeführt werden müssen, um ein ready-to-use AMI für einen bestimmten Anwendungsfall zu erstellen.

Während der AMI-Erstellungszeit müssen Sie das Hilfsprogramm nitro-tpm-pcr-compute verwenden, um die Referenzmessungen auf der Grundlage des von KIWI NG generierten Unified Kernel Image (UKI) zu generieren. Weitere Informationen zur Verwendung des Hilfsprogramms nitro-tpm-pcr-compute finden Sie unter PCR-Messungen für ein benutzerdefiniertes AMI berechnen.

AWS bietet ein Beispiel für eine Beschreibung eines Amazon Linux 2023-Images, das alle Konfigurationen enthält, die für die Konfiguration einer EC2 Instance in einer isolierten Computerumgebung erforderlich sind. Weitere Informationen finden Sie unter Beispiel-Image-Beschreibung für Amazon Linux 2023 erstellen.