AMI certificables
Una AMI certificable es una imagen de máquina de Amazon (AMI) con un hash criptográfico correspondiente que representa todo su contenido. El hash se genera durante el proceso de creación de la AMI y se calcula en función de todo el contenido de dicha AMI, incluidas las aplicaciones, el código y el proceso de arranque.
Cómo mantener un estado certificable
Las mediciones de una instancia se basan en su estado de arranque inicial. Cualquier cambio en el software o el código realizado en la instancia después del lanzamiento y que persista tras los reinicios modificará la medición de la instancia después de los reinicios. Si las mediciones se alteran, dejarán de coincidir con las mediciones de referencia de la AMI certificable, y la instancia ya no podrá superar correctamente la atestación ante AWS KMS después de reiniciarse. Por tanto, para que las AMI certificables resulten útiles, las instancias deben restaurar su estado de arranque original cada vez que se reinicien.
Mantener el estado de arranque original garantiza que la instancia pueda superar la atestación correctamente después de reiniciarse. Las siguientes utilidades pueden ayudar a garantizar que las instancias conserven su capacidad de atestación después de los reinicios:
-
erofs: sistema de archivos de solo lectura mejorado Esta utilidad mantiene el sistema de archivos raíz en modo de solo lectura. Con ella, las operaciones de escritura en el sistema de archivos, incluidas/etc,/runy/var, se almacenan en memoria y se descartan al reiniciar la instancia, de modo que el sistema de archivos raíz se conserva en su estado original de arranque. Para obtener más información, consulte la documentación de EROFS. -
dm-verity: protección de integridad para el sistema de archivos raíz de solo lectura. Esta utilidad calcula un hash de los bloques del sistema de archivos y lo almacena en la línea de comandos del kernel. Esto permite que el kernel verifique la integridad del sistema de archivos durante el arranque. Para obtener más información, consulte la documentación de dm-verity.
Requisitos para crear AMI con capacidad de atestación
Las AMI con capacidad de atestación tienen los siguientes requisitos:
-
Sistema operativo base: Amazon Linux 2023 y NixOS
-
Arquitectura: arquitectura
x86_64oarm64 -
Compatibilidad con TPM: NitroTPM debe estar habilitado. Para obtener más información, consulte Requisitos para utilizar NitroTPM con instancias de Amazon EC2.
-
Modo de arranque: el modo de arranque UEFI debe estar habilitado.
Temas
Creación de AMI con capacidad de atestación
Para crear una AMI con capacidad de atestación, debe usar Amazon Linux 2023 con KIWI Next Generation (KIWI-NG)
KIWI NG es una herramienta de código abierto que permite compilar imágenes de Linux preconfiguradas. KIWI NG utiliza descripciones de imagen XML que definen el contenido de una imagen. La descripción de imagen especifica el sistema operativo base, el software, la configuración del kernel y los scripts que se deben ejecutar para generar una AMI lista para usar, adaptada a un caso de uso específico.
Durante el proceso de compilación de la AMI, debe usar la utilidad nitro-tpm-pcr-compute para generar las mediciones de referencia basadas en la imagen de núcleo unificado (UKI) generada por KIWI NG. Para obtener más información sobre cómo usar la utilidad nitro-tpm-pcr-compute, consulte Cálculo de mediciones PCR para una AMI personalizada.
AWS proporciona una descripción de la imagen de muestra de Amazon Linux 2023 que incluye todas las configuraciones necesarias para configurar una instancia de EC2 en un entorno de computacicón aislado. Para obtener más información, consulte Compilación de la descripción de imagen de Amazon Linux 2023 de muestra.
