カスタム AMI の PCR 測定値を計算する - Amazon Elastic Compute Cloud
nitro-tpm-pcr-compute ユーティリティをインストールするnitro-tpm-pcr-compute ユーティリティを使用する

カスタム AMI の PCR 測定値を計算する

nitro-tpm-pcr-compute ユーティリティを使用すると、Unified Kernel Image (UKI) に基づいて、ビルド時に Attestable AMI のリファレンス測定値を生成できます。

Amazon Linux 2023 のサンプルイメージの説明では、/usr/bin/ ディレクトリのビルド済みイメージにユーティリティが自動的にインストールされます。サンプルイメージの説明には、イメージのビルド時にユーティリティを実行してリファレンス測定値を生成するために必要なコマンドを含むスクリプトも含まれています。サンプルイメージの説明を使用している場合は、ユーティリティをインストールしたり、手動で実行したりする必要はありません。詳細については、「Amazon Linux 2023 のサンプルイメージの説明を作成する」を参照してください。

nitro-tpm-pcr-compute ユーティリティをインストールする

Amazon Linux 2023 を使用している場合は、次のように Amazon Linux リポジトリから nitro-tpm-pcr-compute ユーティリティをインストールできます。

sudo yum install aws-nitro-tpm-tools

ツールは /usr/bin ディレクトリにインストールされます。

nitro-tpm-pcr-compute ユーティリティを使用する

ユーティリティは、リファレンス測定値を生成するための単一のコマンド nitro-tpm-pcr-compute を提供します。

コマンドの実行時に以下を指定する必要がありますます。

  • Unified Kernel Image (UKI.efi) – 標準ブートと UEFI に必要です。

Attestable AMI のリファレンス測定値を生成するには:

次のコマンドとパラメータを使用します。

/usr/bin/nitro-tpm-pcr-compute \
--image UKI.efi

ユーティリティは、リファレンス測定値を次の JSON 形式で返します。

{
  "Measurements": {
    "HashAlgorithm": "SHA384 { ... }",
    "PCR4": "PCR4_measurement",
    "PCR7": "PCR7_measurement"
  }
}

nitro-tpm-pcr-compute ユーティリティの使用方法の実例については、Amazon Linux 2023 のサンプルイメージの説明に含まれている edit_boot_install.sh スクリプトを参照してください。