Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# NitroTPM untuk instans Amazon EC2
<a name="nitrotpm"></a>

Nitro Trusted Platform Module (NitroTPM) adalah perangkat virtual yang disediakan oleh [Sistem Nitro AWS](https://aws.amazon.com//ec2/nitro/) dan sesuai dengan [Spesifikasi TPM 2.0](https://trustedcomputinggroup.org/resource/trusted-platform-module-2-0-a-brief-introduction/). Perangkat virtual ini akan menyimpan artefak dengan aman (seperti kata sandi, sertifikat, atau kunci enkripsi) yang digunakan untuk melakukan autentikasi terhadap instans. NitroTPM dapat membuat kunci dan menggunakan kunci tersebut untuk fungsi kriptografi (seperti melakukan hashing, penandatanganan, enkripsi, dan dekripsi).

NitroTPM menyediakan *boot terukur*, sebuah proses di mana bootloader dan sistem operasi membuat hash kriptografi dari setiap biner boot dan menggabungkannya dengan nilai sebelumnya di NitroTPM internal Platform Configuration Registers (). PCRs Dengan boot terukur, Anda dapat memperoleh nilai PCR yang ditandatangani dari NitroTPM dan menggunakannya untuk membuktikan kepada entitas jarak jauh integritas dari perangkat lunak boot milik instans. Hal ini dikenal sebagai *pengesahan* jarak jauh.

Dengan NitroTPM, kunci dan rahasia dapat ditandai dengan nilai PCR tertentu sehingga kunci dan rahasia tersebut tidak akan pernah dapat diakses jika nilai PCR, dan dengan demikian integritas instansnya, berubah. Bentuk akses bersyarat khusus ini disebut sebagai *sealing and unsealing*. Teknologi sistem operasi, seperti [BitLocker](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/), dapat menggunakan NitroTPM untuk menyegel kunci dekripsi drive sehingga drive hanya dapat didekripsi ketika sistem operasi telah boot dengan benar dan dalam keadaan baik yang diketahui.

[Untuk menggunakan NitroTPM, Anda harus memilih [Amazon Machine Image](AMIs.md) (AMI) yang telah dikonfigurasi untuk dukungan NitroTPM, dan kemudian menggunakan AMI untuk meluncurkan instans berbasis Nitro.](instance-types.md#instance-hypervisor-type) Anda dapat memilih salah satu prebuilt Amazon AMIs atau membuatnya sendiri.

**Harga**  
Tidak ada biaya tambahan yang dikenakan untuk menggunakan NitroTPM. Anda hanya harus membayar untuk sumber daya dasar yang Anda gunakan.

**Topics**
+ [Persyaratan](enable-nitrotpm-prerequisites.md)
+ [Aktifkan AMI Linux untuk NitroTPM](enable-nitrotpm-support-on-ami.md)
+ [Verifikasi bahwa AMI diaktifkan untuk NitroTPM](verify-nitrotpm-support-on-ami.md)
+ [Aktifkan atau hentikan penggunaan NitroTPM](nitrotpm-instance.md)
+ [Verifikasi bahwa instance diaktifkan untuk NitRotPM](verify-nitrotpm-support-on-instance.md)
+ [Ambil kunci dukungan publik](retrieve-ekpub.md)

# Persyaratan untuk menggunakan NitroTPM dengan instans Amazon EC2
<a name="enable-nitrotpm-prerequisites"></a>

Untuk meluncurkan instance dengan NitroTPM diaktifkan, Anda harus memenuhi persyaratan berikut.

**Topics**
+ [AMIs](#nitrotpm-ami)
+ [Tipe instans](#nitrotpm-instancetypes)
+ [Pertimbangan-pertimbangan](#nitrotpm-considerations)

## AMIs
<a name="nitrotpm-ami"></a>

AMI harus mengaktifkan NitroTPM.

**Linux AMIs**  
Tidak ada yang telah dikonfigurasi sebelumnya AMIs. Anda harus mengkonfigurasi AMI Anda sendiri. Untuk informasi selengkapnya, lihat [Aktifkan AMI Linux untuk NitroTPM](enable-nitrotpm-support-on-ami.md).

**Jendela AMIs**  
*Untuk menemukan AMI AWS Windows yang telah dikonfigurasi sebelumnya untuk NitRotPM dan UEFI Secure Boot dengan kunci Microsoft, lihat [Temukan Windows Server yang AMIs dikonfigurasi dengan NitRotPM dan UEFI](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find) Secure Boot di Referensi Windows.AWS AMIs *

**catatan**  
**Sistem operasi** — AMI harus menyertakan sistem operasi dengan driver TPM 2.0 Command Response Buffer (CRB). Sebagian besar sistem operasi saat ini termasuk driver TPM 2.0 CRB.  
**Mode boot UEFI** — AMI harus dikonfigurasi untuk mode boot UEFI. Untuk informasi selengkapnya, lihat [Boot Aman UEFI untuk instans Amazon EC2](uefi-secure-boot.md).

## Tipe instans
<a name="nitrotpm-instancetypes"></a>

Anda harus menggunakan salah satu jenis instance virtual berikut:
+ **Tujuan umum**: M5, M5a, M5ad, M5d, M5dn, M5n, M5Zn, M6a, M6g, M6gd, M6i, M6iD, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex, M8a, M8AZN, m8g, m8gb, m8gd, m8gn, m8i, m8id, m8i-flex, t3, t3a, t4g
+ **Komputasi dioptimalkan**: C5, C5a, C5ad, C5d, C5n, C6a, C6g, C6gd, C6Gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gN, C7i, C7i-flex, C8a, C8g, C8gB, C8gB d, C8GN, C8i, C8iB, C8id, C8in, C8i-flex
+ **Memori dioptimalkan**: R5, R5a, R5ad, R5b, R5d, R5dn, R5n, R6a, R6g, R6gd, R6i, R6iD, R6idn, R6in, R7a, R7g, R7gd, R7i, R7iZ, R8a, R8a, R8g, R8GB, R8GD, R8GN, R8i, R8id, R8i-Flex, U7i-6TB, U7i-8tb, U7i-12TB, U7in-16TB, U7in-24TB, U7in-32tb, X2iEDN, X2iEZN, X8g, X8AEDZ, X8i, z1d
+ **Penyimpanan dioptimalkan**: D3, D3en, i3en, i4i, i7i, i7ie, i8g, i8ge, iM4gn
+ **Komputasi yang dipercepat**: F2, G4dn, G5, G6, G6e, G6f, Gr6, Gr6f, G7e, Inf1, Inf2, P5, P5e, P5en, P6-B200, P6-B300, Trn2, Trn2u
+ **Komputasi kinerja tinggi**: HPC6a, HPC6id, HPC8a

## Pertimbangan-pertimbangan
<a name="nitrotpm-considerations"></a>

Pertimbangan-pertimbangan berikut ini berlaku saat Anda menggunakan NitroTPM:
+ Setelah Anda meluncurkan instance menggunakan AMI dengan nitRotPM diaktifkan, jika Anda ingin mengubah jenis instance, jenis instans baru yang Anda pilih juga harus mendukung NitRotPM.
+ BitLocker volume yang dienkripsi dengan kunci berbasis NitroTPM hanya dapat digunakan pada instance asli.
+ Status NitroTPM tidak ditampilkan di konsol Amazon EC2.
+ Status NitroTPM tidak disertakan dalam [Snapshot Amazon EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html).
+ Status NitroTPM tidak disertakan dalam citra [VM Import/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/).
+ NitroTPM tidak didukung pada AWS Outposts., Local Zones, atau Wavelength Zones.

# Aktifkan AMI Linux untuk NitroTPM
<a name="enable-nitrotpm-support-on-ami"></a>

Untuk mengaktifkan NitRotPM untuk sebuah instance, Anda harus meluncurkan instance menggunakan AMI dengan NitroTPM diaktifkan. Anda harus mengkonfigurasi AMI Linux Anda dengan dukungan NitroTPM ketika Anda mendaftarkannya. Anda tidak dapat mengonfigurasi dukungan NitroTPM nanti.

Untuk daftar Windows AMIs yang telah dikonfigurasi sebelumnya untuk dukungan NitroTPM, lihat. [Persyaratan untuk menggunakan NitroTPM dengan instans Amazon EC2](enable-nitrotpm-prerequisites.md)

Anda harus membuat AMI dengan nitRotPM yang dikonfigurasi dengan menggunakan API. [RegisterImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RegisterImage.html) Anda tidak dapat menggunakan konsol Amazon EC2 atau Impor/Ekspor VM.

**Untuk mengaktifkan AMI Linux untuk NitroTPM**

1. Luncurkan instance sementara dengan AMI Linux yang Anda butuhkan. Perhatikan ID volume root, yang dapat Anda temukan di konsol pada tab **Storage** untuk instance.

1. Setelah instance mencapai `running` status, buat snapshot dari volume root instance. Untuk informasi selengkapnya, lihat [Membuat snapshot volume EBS](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-create-snapshot.html).

1. Daftarkan snapshot yang Anda buat sebagai AMI. Dalam pemetaan perangkat blok, tentukan snapshot yang Anda buat untuk volume root.

   Berikut ini adalah contoh perintah [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Untuk `--tpm-support`, tentukan `v2.0`. Untuk `--boot-mode`, tentukan `uefi`. 

   ```
   aws ec2 register-image \
       --name my-image \
       --boot-mode uefi \
       --architecture x86_64 \
       --root-device-name /dev/xvda \
       --block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0abcdef1234567890} \
       --tpm-support v2.0
   ```

   Berikut ini adalah contoh untuk [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)cmdlet.

   ```
   $block = @{SnapshotId=snap-0abcdef1234567890}
   Register-EC2Image `
       -Name my-image `
       -Architecture "x86_64" `
       -RootDeviceName /dev/xvda `
       -BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
       -BootMode Uefi `
       -TpmSupport V20
   ```

1. Hentikan instance sementara yang Anda luncurkan di langkah 1.

# Verifikasi bahwa AMI diaktifkan untuk NitroTPM
<a name="verify-nitrotpm-support-on-ami"></a>

Untuk mengaktifkan NitRotPM untuk sebuah instance, Anda harus meluncurkan instance menggunakan AMI dengan NitroTPM diaktifkan. Anda dapat menjelaskan gambar untuk memverifikasi bahwa itu diaktifkan untuk NitroTPM. Jika Anda adalah pemilik AMI, Anda dapat menggambarkan atribut `tpmSupport` gambar.

Konsol Amazon EC2 tidak ditampilkan. `TpmSupport`

------
#### [ AWS CLI ]

**Untuk memverifikasi bahwa NitroTPM diaktifkan**  
Gunakan perintah [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).

```
aws ec2 describe-images \
    --image-ids ami-0abcdef1234567890 \
    --query Images[*].TpmSupport
```

Jika NitroTPM diaktifkan untuk AMI, outputnya adalah sebagai berikut. Jika TPM tidak diaktifkan, output kosong.

```
[
    "v2.0"
]
```

Atau, jika Anda adalah pemilik AMI, Anda dapat menggunakan [describe-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html)perintah dengan `tpmSupport` atribut.

```
aws ec2 describe-image-attribute \
    --image-id ami-0abcdef1234567890 \
    --attribute tpmSupport
```

 Berikut ini adalah output contoh.

```
{
    "ImageId": "ami-0abcdef1234567890",
    "TpmSupport": {
        "Value": "v2.0"
    }
}
```

**Untuk menemukan AMIs dengan NitroTPM diaktifkan**  
Contoh berikut mencantumkan IDs AMIs yang Anda miliki dengan NitrotPM diaktifkan.

```
aws ec2 describe-images \
    --owners self \
    --filters Name=tpm-support,Values=v2.0 \
    --query Images[].ImageId
```

------
#### [ PowerShell ]

**Untuk memverifikasi bahwa NitroTPM diaktifkan**  
Gunakan [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html)cmdlet.

```
Get-EC2Image `
    -ImageId ami-0abcdef1234567890 | Select TpmSupport
```

Jika NitroTPM diaktifkan untuk AMI, outputnya adalah sebagai berikut. Jika TPM tidak diaktifkan, output kosong.

```
TpmSupport
----------
v2.0
```

Atau, jika Anda adalah pemilik AMI, Anda dapat menggunakan [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html)cmdlet dengan atribut. `tpmSupport`

```
Get-EC2ImageAttribute `
    -ImageId ami-0abcdef1234567890 `
    -Attribute tpmSupport
```

**Untuk menemukan AMIs dengan NitroTPM diaktifkan**  
Contoh berikut mencantumkan IDs AMIs yang Anda miliki dengan NitrotPM diaktifkan.

```
Get-EC2Image `
    -Owner self `
    -Filter @{Name="tpm-support; Values="v2.0"} | Select ImageId
```

------

# Mengaktifkan atau berhenti menggunakan NitroTPM pada instans Amazon EC2
<a name="nitrotpm-instance"></a>

Anda dapat mengaktifkan instans Amazon EC2 untuk NitroTPM hanya saat peluncuran. Setelah instance diaktifkan untuk NitRotPM, Anda tidak dapat menonaktifkannya. Jika Anda tidak perlu lagi menggunakan NitroTPM, Anda harus mengkonfigurasi sistem operasi untuk berhenti menggunakannya.

**Topics**
+ [Meluncurkan instans dengan NitroTPM](#launch-instance-with-nitrotpm)
+ [Menghentikan menggunakan NitroTPM pada instans](#disable-nitrotpm-support-on-instance)

## Meluncurkan instans dengan NitroTPM
<a name="launch-instance-with-nitrotpm"></a>

Ketika Anda meluncurkan instans dengan [ prasyarat](enable-nitrotpm-prerequisites.md), NitroTPM secara otomatis akan diaktifkan pada instans. Anda dapat mengaktifkan NitroTPM pada instance hanya saat peluncuran. Untuk informasi tentang cara meluncurkan instans, lihat [Luncurkan instans Amazon EC2](LaunchingAndUsingInstances.md).

## Menghentikan menggunakan NitroTPM pada instans
<a name="disable-nitrotpm-support-on-instance"></a>

Setelah meluncurkan instance dengan NitRotPM diaktifkan, Anda tidak dapat menonaktifkan NitrotPM untuk instance tersebut. Namun demikian, Anda dapat mengonfigurasi sistem operasi untuk berhenti menggunakan NitroTPM dengan menonaktifkan driver perangkat TPM 2.0 pada instans menggunakan alat-alat berikut:
+ Untuk **instance Linux**, gunakan tpm-tools.
+ Untuk **instance Windows**, gunakan konsol manajemen TPM (tpm.msc).

Untuk informasi selengkapnya tentang bagaimana menonaktifkan driver perangkat, lihat dokumentasi untuk sistem operasi Anda.

# Verifikasi bahwa instans Amazon EC2 diaktifkan untuk NitroTPM
<a name="verify-nitrotpm-support-on-instance"></a>

Anda dapat memverifikasi apakah instans Amazon EC2 diaktifkan untuk NitroTPM. Jika dukungan NitroTPM diaktifkan pada instance, perintah kembali. `"v2.0"` Jika tidak, `TpmSupport` bidang tidak ada dalam output.

Konsol Amazon EC2 tidak menampilkan bidang. `TpmSupport`

------
#### [ AWS CLI ]

**Untuk memverifikasi apakah sebuah instance diaktifkan untuk NitRotPM**  
Gunakan perintah [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html).

```
aws ec2 describe-instances \
    --instance-ids i-1234567890abcdef0 \
    --query Reservations[].Instances[].TpmSupport
```

------
#### [ PowerShell ]

**Untuk memverifikasi apakah sebuah instance diaktifkan untuk NitRotPM**  
Gunakan [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html)cmdlet.

```
(Get-EC2Instance `
    -InstanceId i-1234567890abcdef0).Instances.TpmSupport
```

------

## Verifikasi akses NitroTPM pada instance Windows Anda
<a name="verify-nitrotpm-support-windows-instance"></a>

**(Hanya instance Windows) Untuk memverifikasi apakah NitrotPM dapat diakses oleh Windows**

1. [Hubungkan ke instans Windows EC2 Anda.](connecting_to_windows_instance.md)

1. Pada instans tersebut, jalankan program tpm.msc.

   Jendela **Manajemen TPM pada Komputer Lokal** akan terbuka.

1. Periksa bidang **Informasi Produsen TPM**. Bidang tersebut berisi nama produsen dan versi NitroTPM yang ada pada instans.  
![\[Jendela Manajemen TPM pada Komputer Lokal dan bidang Informasi Produsen TPM menampilkan versi NitroTPM yang ada pada instans.\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/tpm-1.png)

# Ambil kunci dukungan publik untuk instans EC2
<a name="retrieve-ekpub"></a>

Anda dapat dengan aman mengambil kunci dukungan publik untuk sebuah instance kapan saja.

------
#### [ AWS CLI ]

**Untuk mengambil kunci dukungan publik untuk sebuah contoh**  
Gunakan perintah [get-instance-tpm-ek-pub](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-tpm-ek-pub.html).

**Contoh 1**  
Contoh berikut mendapatkan kunci dukungan `rsa-2048` publik dalam `tpmt` format untuk instance tertentu.

```
aws ec2 get-instance-tpm-ek-pub \
    --instance-id i-1234567890abcdef0 \
    --key-format tpmt \ 
    --key-type rsa-2048
```

Berikut ini adalah contoh output.

```
{
    "InstanceId": "i-01234567890abcdef",
    "KeyFormat": "tpmt",
    "KeyType": "rsa-2048",
    "KeyValue": "AAEACwADALIAIINxl2dEhLEXAMPLEUal1yT9UtduBlILZPKh2hszFGmqAAYAgABDA
    EXAMPLEAAABAOiRd7WmgtdGNoV1h/AxmW+CXExblG8pEUfNm0LOLiYnEXAMPLERqApiFa/UhvEYqN4
    Z7jKMD/usbhsQaAB1gKA5RmzuhSazHQkax7EXAMPLEzDthlS7HNGuYn5eG7qnJndRcakS+iNxT8Hvf
    0S1ZtNuItMs+Yp4SO6aU28MT/JZkOKsXIdMerY3GdWbNQz9AvYbMEXAMPLEPyHfzgVO0QTTJVGdDxh
    vxtXCOu9GYf0crbjEXAMPLEd4YTbWdDdgOKWF9fjzDytJSDhrLAOUctNzHPCd/92l5zEXAMPLEOIFA
    Ss50C0/802c17W2pMSVHvCCa9lYCiAfxH/vYKovAAE="
}
```

**Contoh 2**  
Contoh berikut mendapatkan kunci dukungan `rsa-2048` publik dalam `der` format untuk instance tertentu.

```
aws ec2 get-instance-tpm-ek-pub \
    --instance-id i-1234567890abcdef0 \
    --key-format der \ 
    --key-type rsa-2048
```

Berikut ini adalah contoh output.

```
{
    "InstanceId": "i-1234567890abcdef0",
    "KeyFormat": "der",
    "KeyType": "rsa-2048",
    "KeyValue": "MIIBIjANBgEXAMPLEw0BAQEFAAOCAQ8AMIIBCgKCAQEA6JF3taEXAMPLEXWH8DGZb4
    JcTFuUbykRR82bQs4uJifaKSOv5NGoEXAMPLEG8Rio3hnuMowP+6xuGxBoAHWAoDlGbO6FJrMdEXAMP
    LEnYUHvMO2GVLsc0a5ifl4buqcmd1FxqRL6I3FPwe9/REXAMPLE0yz5inhI7ppTbwxP8lmQ4qxch0x6
    tjcZ1Zs1DP0EXAMPLERUYLQ/Id/OBU7RBNMlUZ0PGG/G1cI670Zh/RytuOdx9iEXAMPLEtZ0N2A4pYX
    1+PMPK0lIOGssA5Ry03Mc8J3/3aXnOD2/ASRQ4gUBKznQLT/zTZEXAMPLEJUe8IJr2VgKIB/Ef+9gqi
    8AAQIDAQAB"
}
```

------
#### [ PowerShell ]

**Untuk mengambil kunci dukungan publik untuk sebuah contoh**  
Gunakan [Get-EC2InstanceTpmEkPub](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceTpmEkPub.html)cmdlet.

**Contoh 1**  
Contoh berikut mendapatkan kunci dukungan `rsa-2048` publik dalam `tpmt` format untuk instance tertentu.

```
Get-EC2InstanceTpmEkPub `
    -InstanceId i-1234567890abcdef0 `
    -KeyFormat tpmt `
    -KeyType rsa-2048
```

**Contoh 2**  
Contoh berikut mendapatkan kunci dukungan `rsa-2048` publik dalam `der` format untuk instance tertentu.

```
Get-EC2InstanceTpmEkPub `
    -InstanceId i-1234567890abcdef0 `
    -KeyFormat der `
    -KeyType rsa-2048
```

------