Dapat dibuktikan AMIs - Amazon Elastic Compute Cloud
Mempertahankan Negara yang Dapat DibuktikanPersyaratan untuk membuat Attestable AMIsMenciptakan Dapat Dibuktikan AMIs

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dapat dibuktikan AMIs

AMI yang Dapat Dibuktikan adalah Gambar Mesin Amazon (AMI) dengan hash kriptografi yang sesuai yang mewakili semua isinya. Hash dihasilkan selama proses pembuatan AMI, dan dihitung berdasarkan seluruh konten AMI itu, termasuk aplikasi, kode, dan proses boot.

Mempertahankan Negara yang Dapat Dibuktikan

Pengukuran instance didasarkan pada status boot awalnya. Setiap perubahan perangkat lunak atau kode yang dibuat pada instance setelah peluncuran dan yang bertahan setelah restart akan mengubah pengukuran instance setelah restart. Jika pengukuran diubah, pengukuran tersebut menyimpang dari pengukuran referensi AMI yang Dapat Dibuktikan, dan instance tidak akan lagi dapat dibuktikan dengan sukses setelah instance dimulai ulang AWS KMS . Oleh karena itu, AMIs agar Attestable berguna, instance harus kembali ke status boot aslinya setelah restart.

Selalu kembali ke status boot asli memastikan bahwa sebuah instance dapat berhasil membuktikan setelah restart. Utilitas berikut dapat digunakan untuk memastikan bahwa instans Anda tetap dapat dibuktikan setelah restart:

  • erofs— Sistem File Baca-Saja yang Ditingkatkan. Utilitas ini memastikan bahwa sistem file root Anda hanya-baca. Dengan utilitas ini, menulis ke sistem file, termasuk,/etc, dan /run/var, disimpan dalam memori dan hilang ketika instance dimulai ulang, meninggalkan sistem file root dalam status peluncuran aslinya. Untuk informasi selengkapnya, lihat dokumentasi erofs.

  • dm-verity— Memberikan perlindungan integritas untuk sistem file root read-only. Utilitas menghitung hash dari blok sistem file dan menyimpannya di baris perintah kernel. Hal ini memungkinkan kernel untuk memverifikasi integritas sistem file selama boot. Untuk informasi selengkapnya, lihat dokumentasi dm-verity.

Persyaratan untuk membuat Attestable AMIs

Dapat dibuktikan AMIs memiliki persyaratan sebagai berikut:

Topik

Menciptakan Dapat Dibuktikan AMIs

Untuk membuat AMI yang Dapat Dibuktikan, Anda harus menggunakan Amazon Linux 2023 dengan KIWI Next Generation (KIWI NG). Amazon Linux 2023 menyediakan semua perangkat lunak dan utilitas yang diperlukan untuk membangun AMI yang Dapat Dibuktikan menggunakan KIWI NG.

KIWI NG adalah alat sumber terbuka untuk membangun gambar berbasis Linux yang telah dikonfigurasi sebelumnya. KIWI NG menggunakan deskripsi gambar XMLyang menentukan isi dari sebuah gambar. Deskripsi gambar menentukan sistem operasi dasar, perangkat lunak, konfigurasi kernel, dan skrip yang akan dijalankan untuk membangun ready-to-use AMI untuk kasus penggunaan tertentu.

Selama waktu pembuatan AMI, Anda perlu menggunakan nitro-tpm-pcr-compute utilitas untuk menghasilkan pengukuran referensi berdasarkan Unified Kernel Image (UKI) yang dihasilkan oleh KIWI NG. Untuk informasi selengkapnya tentang penggunaan nitro-tpm-pcr-compute utilitas, lihatHitung pengukuran PCR untuk AMI khusus.

AWS menyediakan contoh deskripsi gambar Amazon Linux 2023 yang mencakup semua konfigurasi yang diperlukan untuk mengonfigurasi EC2 instance dalam lingkungan komputasi yang terisolasi. Untuk informasi selengkapnya, lihat Buat contoh deskripsi gambar Amazon Linux 2023.