Calcular medidas de PCR para uma AMI personalizada
O utilitário nitro-tpm-pcr-compute permite gerar as medidas de referência para uma AMI atestável durante a compilação com base na Unified Kernel Image (UKI).
O exemplo de descrição de imagem do Amazon Linux 2023 instala automaticamente o utilitário na imagem compilada no diretório /usr/bin/. O exemplo de descrição de imagem também inclui um script com os comandos necessários para executar o utilitário e gerar as medidas de referência durante a criação da imagem. Se você estiver usando o exemplo de descrição de imagem, não precisará instalar ou executar o utilitário manualmente. Para obter mais informações, consulte Criar o exemplo de descrição de imagem do Amazon Linux 2023.
Instalar o utilitário nitro-tpm-pcr-compute
Se você estiver usando o Amazon Linux 2023, poderá instalar o utilitário nitro-tpm-pcr-compute a partir do repositório Amazon Linux como se segue.
sudo yum install aws-nitro-tpm-tools
As ferramentas são instaladas no diretório /usr/bin.
Usar o utilitário nitro-tpm-pcr-compute
O utilitário fornece um único comando, nitro-tpm-pcr-compute, para gerar as medidas de referência.
Ao executar o comando, você deve especificar o seguinte:
-
Unified Kernel Image (
UKI.efi): necessária para inicialização padrão e UEFI.
Para gerar as medidas de referência para uma AMI atestável:
Use o seguinte comando e os seguintes parâmetros:
/usr/bin/nitro-tpm-pcr-compute \ --imageUKI.efi
O utilitário retorna as medidas de referência no seguinte formato JSON:
{ "Measurements": { "HashAlgorithm": "SHA384 { ... }", "PCR4": "PCR4_measurement", "PCR7": "PCR7_measurement" } }
Para obter um exemplo prático de como usar o utilitário nitro-tpm-pcr-compute, consulte o script edit_boot_install.sh incluído no exemplo de descrição de imagem do Amazon Linux 2023.
