Cálculo de mediciones PCR para una AMI personalizada
La utilidad nitro-tpm-pcr-compute permite generar las mediciones de referencia para una AMI con capacidad de atestación durante el proceso de compilación, con base en su imagen de núcleo unificado (UKI).
La descripción de la imagen de muestra de Amazon Linux 2023 instala automáticamente la utilidad en la imagen compilada, dentro del directorio /usr/bin/. La descripción de imagen de muestra también incluye un script con los comandos necesarios para ejecutar la utilidad y generar las mediciones de referencia durante la compilación de la imagen. Si utiliza la descripción de imagen de muestra, no es necesario instalar la utilidad ni ejecutarla manualmente. Para obtener más información, consulte Compilación de la descripción de imagen de Amazon Linux 2023 de muestra.
Instalación de la utilidad nitro-tpm-pcr-compute
Si utiliza Amazon Linux 2023, puede instalar la utilidad nitro-tpm-pcr-compute desde el repositorio de Amazon Linux de la siguiente manera:
sudo yum install aws-nitro-tpm-tools
Las herramientas se instalan en el directorio /usr/bin.
Uso de la utilidad nitro-tpm-pcr-compute
La utilidad proporciona un único comando (nitro-tpm-pcr-compute) para generar las mediciones de referencia.
Al ejecutar el comando, debe especificar lo siguiente:
-
Imagen de núcleo unificado (
UKI.efi): requerida para el arranque estándar y UEFI.
Para generar las mediciones de referencia de una AMI con capacidad de atestación:
Use el siguiente comando y parámetros:
/usr/bin/nitro-tpm-pcr-compute \ --imageUKI.efi
La utilidad devuelve las mediciones de referencia en el siguiente formato JSON.
{ "Measurements": { "HashAlgorithm": "SHA384 { ... }", "PCR4": "PCR4_measurement", "PCR7": "PCR7_measurement" } }
Para un ejemplo práctico sobre cómo usar la utilidad nitro-tpm-pcr-compute, consulte el script edit_boot_install.sh incluido en la descripción de la imagen de muestra de Amazon Linux 2023.
