Actualización de AMI con capacidad de atestación sin acceso interactivo

Una vez que se lanza una instancia mediante una AMI con un entorno de computación aislado, no existe forma de que ningún usuario ni operador se conecte a la instancia. Esto significa que no hay manera de instalar ni actualizar ningún software en la instancia después de su lanzamiento.

Si se requiere instalar un nuevo software o realizar una actualización, debe crear una nueva AMI con capacidad de atestación que incluya el software o las actualizaciones necesarias. Luego, utilice esa AMI para lanzar una nueva instancia o para reemplazar el volumen raíz de la instancia original. Cualquier cambio de software realizado en la AMI generará un nuevo valor hash.

Las siguientes acciones provocarán un cambio en las mediciones de referencia del documento de atestación de NitroTPM:

Detención e inicio de una instancia lanzada con una AMI con capacidad de atestación
Realización de un reemplazo del volumen raíz con una AMI diferente

Si realiza cualquiera de estas acciones, debe actualizar el servicio de atestación con las nuevas mediciones de referencia. Por ejemplo, debe actualizar la política de claves de KMS con las nuevas mediciones de referencia si usa AWS KMS para la atestación.

Una instancia conserva su material de claves NitroTPM durante todo el ciclo de vida de la instancia y lo mantiene a través de las operaciones de detención, inicio y reemplazo del volumen raíz.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Cómo aislar los datos de operadores propios

Credential Guard para instancias de Windows