Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Attestable AMIs
Une AMI attestable est une Amazon Machine Image (AMI) avec un hachage cryptographique correspondant qui représente l'ensemble de son contenu. Le hachage est généré pendant le processus de création de l'AMI et il est calculé en fonction de l'intégralité du contenu de cette AMI, y compris les applications, le code et le processus de démarrage.
Maintien d'un état attestable
Les mesures d'une instance sont basées sur son état de démarrage initial. Toute modification logicielle ou de code apportée à l'instance après le lancement et qui persiste après le redémarrage modifiera la mesure de l'instance après le redémarrage. Si les mesures sont modifiées, elles s'écartent des mesures de référence de l'AMI attestable, et l'instance ne pourra plus en attester avec succès AWS KMS après le redémarrage de l'instance. Par conséquent, pour qu'Attestable AMIs soit utile, les instances doivent revenir à leur état de démarrage d'origine après le redémarrage.
Le fait de toujours revenir à l'état de démarrage d'origine garantit qu'une instance peut attester avec succès après son redémarrage. Les utilitaires suivants peuvent être utilisés pour garantir que vos instances restent attestables après le redémarrage :
-
erofs— Système de fichiers en lecture seule amélioré. Cet utilitaire garantit que votre système de fichiers racine est en lecture seule. Avec cet utilitaire, les écritures sur le système de fichiers/etc, y compris/run, et/var, sont stockées en mémoire et perdues au redémarrage de l'instance, laissant le système de fichiers racine dans son état de lancement initial. Pour plus d'informations, consultez la documentation erofs. -
dm-verity— Fournit une protection d'intégrité pour le système de fichiers racine en lecture seule. L'utilitaire calcule le hachage des blocs du système de fichiers et le stocke dans la ligne de commande du noyau. Cela permet au noyau de vérifier l'intégrité du système de fichiers lors du démarrage. Pour plus d'informations, consultez la documentation de dm-verity.
Exigences relatives à la création d'Attestable AMIs
Les attestables AMIs répondent aux exigences suivantes :
-
Système d'exploitation de base — Amazon Linux 2023 et NixOS
-
Architecture —
x86_64ouarm64architecture -
Support TPM — NitroTPM doit être activé. Pour de plus amples informations, veuillez consulter Conditions requises pour utiliser NitroTPM avec les instances Amazon EC2 .
-
Mode de démarrage : le mode de démarrage UEFI doit être activé.
Rubriques
Création d'un attestable AMIs
Pour créer une AMI attestable, vous devez utiliser Amazon Linux 2023 avec KIWI Next Generation (KIWI NG)
KIWI NG est un outil open source permettant de créer des images préconfigurées basées sur Linux. KIWI NG utilise des descriptions d'image XML qui définissent le contenu d'une image. La description de l'image indique le système d'exploitation de base, le logiciel, la configuration du noyau et les scripts à exécuter afin de créer une ready-to-use AMI pour un cas d'utilisation spécifique.
Pendant la phase de création de l'AMI, vous devez utiliser l'nitro-tpm-pcr-computeutilitaire pour générer les mesures de référence en fonction de l'image UKI (Unified Kernel Image) générée par KIWI NG. Pour plus d'informations sur l'utilisation de nitro-tpm-pcr-compute cet utilitaire, consultezCalculez les mesures de PCR pour une AMI personnalisée.
AWS fournit un exemple de description d'image Amazon Linux 2023 qui inclut toutes les configurations nécessaires pour configurer une EC2 instance dans un environnement informatique isolé. Pour de plus amples informations, veuillez consulter Créez l'exemple de description de l'image Amazon Linux 2023.
