Решение : ➜
**** Мы можем получить эту информацию с помощью консоли AWS, а также AWS CLI, которая может быть полезна при устранении неполадок зашифрованных AMI / снимков и Соотношение KMS ****
Как я могу проверить, используя AWS Команды CLI:
Вы можете использовать следующие API для получения информации:
- description-images (это можно использовать для получения информации о блочных устройствах AMI, которая также предоставляет вам идентификатор моментального снимка, связанного с этим устройством).
- description-snapshots (это можно использовать для получения информации о каждом снимке с целью получения параметра шифрования «true» или «false» и соответствующего ключа)
- ключ-описания (если снимок зашифрован, вы можете проверить подробности ключа, является ли он «AWS Managed CMK» или «Customer Manager CMK»)
Пример:
Я хочу получить подробную информацию о моем AMI (ami-0xxxxxx), расположенном в регионе (eu-west-1). Я хотел бы знать, зашифрован ли этот AMI, и если да, то какие ключи используются для шифрования, чтобы я мог далее принять решение о предоставлении доступа к другим учетным записям для его использования.
1 Проверка сопоставлений блоков AMI для просмотра связанных снимков:
# aws ec2 describe-images --image-ids ami-0xxxxxx --region eu-west-1 --query "Images[*].BlockDeviceMappings"
2 Проверка сведений о снимках для поиска ключ и детали шифрования:
# aws ec2 describe-snapshots --snapshot-ids "snap-xxxxxxxxxxxxx" --region eu-west-1
3 Сейчас, проверяем, зашифрован ли он с помощью AWS Управляемый ключ или Клиент Управляемый ключ:
# aws kms describe-key --key-id "dcd4dcd4xxxxxxxxxxxxxxxxxx" --region eu-west-1
Как проверить с помощью AWS Консоль:
- Go в AWS Консоль - EC2 - Перейдите в раздел «Изображения» и нажмите «AMI» или Нажмите здесь
- Скопируйте идентификатор AMI, информацию о котором вы хотели бы узнать. Перейдите к «Elasti c Block Store» и перейдите к странице «Снимки» или нажмите здесь , и вы можете вставить идентификатор AMI в поле поиска, которое вы скопировали (он покажет вам связанный Снимки для этого AMI)
- Для ознакомления с приведенным ниже описанием проверки состояния шифрования снимков вы найдете следующие сведения:
- Шифрование: зашифровано
- Идентификатор ключа KMS: dcd4dxxxxxxxxxx
- Ключ KMS ARN: arn: aws: кмс: eu-west-1: 920ssss: ключ / dcd4dxxxxxxxxxx
meansЭто означает AMI Зашифрован (значит, есть Зашифрованный снимок) с Идентификатором ключа (dcd4dxxxxxxxxxx) - И вы можете сделать это, чтобы проверить тип ключа далее.
<< Теперь мы не У вас есть информация о ключе (AWS Managed CMK или Customer Manager CMK) >>
Чтобы узнать это, выполните следующие действия:
- Go до AWS Консоль - KMS - и там на левой руке Если у вас есть все доступные ключи:
- AWS управляемые ключи
- Клиентские управляемые ключи
➜ Теперь вы можете нажать на один из приведенных выше вариантов фильтрации для идентификатора ключа, который вы отметили выше для проверки типа ключа (AWS Managed CMK или Customer Manager CMK).
Теперь, Вы можете использовать вышеуказанную информацию для дальнейшего использования, например, для передачи этого AMI с другой учетной записью
***** Обратите внимание *****
ouВы не можете поделиться AMI, которые зашифрованы с помощью AWS Управляемого ключа (который является aws ключом по умолчанию для шифрования), который также задокументирован здесь: [+] Замечания: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share -snapshot-материал
Кроме того, чтобы узнать больше о «управляемых клиентом CMK» и «AWS управляемых CMK», см.
[+] AWS Основные понятия службы управления ключами: https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html