Mantenimento di uno stato attestabile Requisiti per la creazione di Attestable AMIs Creazione di Attestable AMIs

Attestabile AMIs

Un'AMI Attestable è un'Amazon Machine Image (AMI) con un hash crittografico corrispondente che ne rappresenta tutto il contenuto. L'hash viene generato durante il processo di creazione dell'AMI e calcolato in base all'intero contenuto dell'AMI, incluse le applicazioni, il codice e il processo di avvio.

Mantenimento di uno stato attestabile

Le misurazioni di un'istanza si basano sul suo stato di avvio iniziale. Qualsiasi modifica al software o al codice apportata all'istanza dopo l'avvio e che persiste dopo il riavvio modificherà la misurazione dell'istanza dopo il riavvio. Se le misurazioni vengono alterate, si discostano dalle misurazioni di riferimento dell'AMI Attestable e l'istanza non sarà più in grado di AWS KMS attestarla con successo dopo il riavvio dell'istanza. Pertanto, affinché Attestable AMIs sia utile, le istanze devono tornare allo stato di avvio originale dopo il riavvio.

Il ritorno sempre allo stato di avvio originale garantisce che un'istanza possa attestarsi correttamente dopo il riavvio. Le seguenti utilità possono essere utilizzate per garantire che le istanze rimangano attestabili dopo il riavvio:

erofs— File system di sola lettura migliorato. Questa utilità assicura che il filesystem root sia di sola lettura. Con questa utilità, le scritture sul filesystem, tra cui, e /etc /run/var, vengono archiviate in memoria e perse al riavvio dell'istanza, lasciando il filesystem root nello stato di avvio originale. Per ulteriori informazioni, consulta la documentazione di erofs.
dm-verity— Fornisce protezione dell'integrità per il filesystem root di sola lettura. L'utilità calcola un hash dei blocchi del filesystem e lo memorizza nella riga di comando del kernel. Ciò consente al kernel di verificare l'integrità del filesystem durante l'avvio. Per ulteriori informazioni, consultate la documentazione di dm-verity.

Requisiti per la creazione di Attestable AMIs

Attestable AMIs ha i seguenti requisiti:

Sistema operativo di base: Amazon Linux 2023 e NixOS
Architettura o architettura x86_64 arm64
Supporto TPM: NitroTPM deve essere abilitato. Per ulteriori informazioni, consulta Requisiti per l'utilizzo di NitroTPM con istanze Amazon EC2 .
Modalità di avvio: la modalità di avvio UEFI deve essere abilitata.

Argomenti

Creazione di Attestable AMIs

Per creare un'AMI attestabile, dovrai utilizzare Amazon Linux 2023 con KIWI Next Generation (KIWI NG). Amazon Linux 2023 fornisce tutto il software e le utilità necessari per creare un'AMI attestabile utilizzando KIWI NG.

KIWI NG è uno strumento open source per la creazione di immagini preconfigurate basate su Linux. KIWI NG utilizza descrizioni di immagini XML che definiscono il contenuto di un'immagine. La descrizione dell'immagine specifica il sistema operativo di base, il software, la configurazione del kernel e gli script da eseguire per creare un' ready-to-useAMI per un caso d'uso specifico.

Durante la fase di compilazione dell'AMI, è necessario utilizzare l'nitro-tpm-pcr-computeutilità per generare le misurazioni di riferimento basate sull'Unified Kernel Image (UKI) generata da KIWI NG. Per ulteriori informazioni sull'utilizzo dell'nitro-tpm-pcr-computeutilità, vedere. Calcola le misurazioni PCR per un'AMI personalizzata

AWS fornisce un esempio di descrizione dell'immagine Amazon Linux 2023 che include tutte le configurazioni necessarie per configurare un' EC2 istanza in un ambiente di calcolo isolato. Per ulteriori informazioni, consulta Crea la descrizione dell'immagine di esempio di Amazon Linux 2023.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

EC2 attestazione di istanza

Crea la descrizione dell'immagine di esempio