PCR-Messungen für ein benutzerdefiniertes AMI berechnen - Amazon Elastic Compute Cloud
Installieren Sie das nitro-tpm-pcr-compute HilfsprogrammVerwenden Sie das nitro-tpm-pcr-compute Hilfsprogramm

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

PCR-Messungen für ein benutzerdefiniertes AMI berechnen

Das nitro-tpm-pcr-compute Tool ermöglicht es Ihnen, während der Build-Zeit die Referenzmessungen für ein attestierbares AMI auf der Grundlage seines Unified Kernel Image (UKI) zu generieren.

Die Beispiel-Imagebeschreibung für Amazon Linux 2023 installiert das Hilfsprogramm automatisch im erstellten Image im /usr/bin/ Verzeichnis. Die Beispiel-Bildbeschreibung enthält auch ein Skript mit den Befehlen, die für die Ausführung des Dienstprogramms zur Generierung der Referenzmessungen während der Image-Erstellung erforderlich sind. Wenn Sie die Beschreibung des Beispielbilds verwenden, müssen Sie das Hilfsprogramm weder installieren noch manuell ausführen. Weitere Informationen finden Sie unter Erstellen Sie die Beispielbildbeschreibung für Amazon Linux 2023.

Installieren Sie das nitro-tpm-pcr-compute Hilfsprogramm

Wenn Sie Amazon Linux 2023 verwenden, können Sie das nitro-tpm-pcr-compute Hilfsprogramm wie folgt aus dem Amazon Linux-Repository installieren.

sudo yum install aws-nitro-tpm-tools

Die Tools sind im /usr/bin Verzeichnis installiert.

Verwenden Sie das nitro-tpm-pcr-compute Hilfsprogramm

Das Hilfsprogramm bietet einen einzigen Befehl,nitro-tpm-pcr-compute, zum Generieren der Referenzmessungen.

Wenn Sie den Befehl ausführen, müssen Sie Folgendes angeben:

  • Einheitliches Kernel-Image (UKI.efi) — Erforderlich für Standardstart und UEFI.

Um die Referenzmessungen für ein attestierbares AMI zu generieren:

Verwenden Sie den folgenden Befehl und die folgenden Parameter:

/usr/bin/nitro-tpm-pcr-compute \
--image UKI.efi

Das Hilfsprogramm gibt die Referenzmessungen im folgenden JSON-Format zurück:

{
  "Measurements": {
    "HashAlgorithm": "SHA384 { ... }",
    "PCR4": "PCR4_measurement",
    "PCR7": "PCR7_measurement"
  }
}

Ein praktisches Beispiel für die Verwendung des nitro-tpm-pcr-compute Dienstprogramms finden Sie in dem edit_boot_install.sh Skript, das in der Beschreibung des Amazon Linux 2023-Beispielbilds enthalten ist.