可證明AMIs

可證明的 AMI 是 Amazon Machine Image (AMI)，具有代表其所有內容的對應密碼編譯雜湊。雜湊會在 AMI 建立程序期間產生，並根據該 AMI 的整個內容計算，包括應用程式、程式碼和開機程序。

維護可證明狀態

執行個體的測量是根據其初始開機狀態。在啟動後對執行個體所做的任何軟體或程式碼變更，以及在重新啟動後持續存在，都會在重新啟動後變更執行個體的測量。如果測量有所變更，它們會偏離可證明 AMI 的參考測量，而且執行個體在執行個體重新啟動後將無法再成功向證明 AWS KMS 。因此，為了讓可驗證AMIs 有用，執行個體必須在重新啟動後返回其原始開機狀態。

一律返回原始開機狀態，可確保執行個體在重新啟動後可成功證明。下列公用程式可用來確保您的執行個體在重新啟動後仍可證明：

erofs — 增強型唯讀檔案系統。此公用程式可確保您的根檔案系統為唯讀。使用此公用程式，寫入檔案系統，包括 /etc、 /run和 /var，會儲存在記憶體中，並在執行個體重新啟動時遺失，使根檔案系統處於原始啟動狀態。如需詳細資訊，請參閱 erofs 文件。
dm-verity — 為唯讀根檔案系統提供完整性保護。公用程式會計算檔案系統區塊的雜湊，並將其存放在核心命令列中。這可讓核心在開機期間驗證檔案系統的完整性。如需詳細資訊，請參閱 dm-verity 文件。

建立可認證 AMIs的需求

可證明AMIs 有下列要求：

基本作業系統 – Amazon Linux 2023 和 NixOS
架構 – x86_64或 arm64 架構
TPM 支援 – 必須啟用 NitroTPM。如需詳細資訊，請參閱搭配 Amazon EC2 執行個體使用 NitroTPM 的需求。
開機模式 – 必須啟用 UEFI 開機模式。

主題

建立可證明AMIs

若要建立可證明的 AMI，您需要使用 Amazon Linux 2023 搭配 KIWI 新一代 (KIWI NG)。Amazon Linux 2023 提供使用 KIWI NG 建置可認證 AMI 所需的所有軟體和公用程式。

KIWI NG 是一種開放原始碼工具，用於建置預先設定的 Linux 型映像。KIWI NG 使用定義影像內容的 XML 影像描述。影像描述會指定要執行的基本作業系統、軟體、核心組態和指令碼，以針對特定使用案例建置ready-to-use AMI。

在 AMI 建置期間，您需要使用 nitro-tpm-pcr-compute公用程式，根據 KIWI NG 產生的統一核心映像 (UKI) 產生參考測量。如需使用 nitro-tpm-pcr-compute公用程式的詳細資訊，請參閱自訂 AMI 的運算 PCR 測量。

AWS 提供範例 Amazon Linux 2023 映像描述，其中包含在隔離運算環境中設定 EC2 執行個體所需的所有組態。如需詳細資訊，請參閱建置範例 Amazon Linux 2023 映像描述。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

EC2 執行個體認證

建置範例映像描述