Назад | Перейти на главную страницу

Зашифрованные загрузочные тома EBS AWS для экземпляров Windows

Можно ли создать зашифрованный загрузочный том ebs для экземпляра windows ec2?

В этом примере AWS показано, как скопировать незашифрованный загрузочный том, создав зашифрованный загрузочный том: aws ec2 copy-image -r us-east-1 -s ami-60b6c60a --encrypted --kmsKeyID arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef

Однако, когда я пробую это с База Microsoft Windows Server 2012 R2 - ami-c8a9baa2 в качестве источника с использованием aws ec2 copy-image --source-region us-east-1 --source-image-id ami-c8a9baa2 --name 'W12R2_Base_encrypted' --description 'Microsoft Windows Server 2012 R2 Base - ami-c8a9baa2 (encrypted)' --encrypted, Я получаю сообщение об ошибке: "При вызове операции CopyImage произошла ошибка клиента (InvalidRequest): изображения с кодами EC2 BillingProduct нельзя скопировать в другую учетную запись AWS."

Вы первый необходимо создать собственный частный AMI на основе этого AMI Marketplace. Часть ошибки "BillingProduct" является главной подсказкой.

Более детально:

  1. Запустите экземпляр с этим AMI торговой площадки. [при желании вы можете войти в систему и изменить его.]
  2. Используйте этот недавно запущенный экземпляр для создания собственного частного AMI (Create Image)
  3. Скопируйте это изображение и установите флажок Шифрование. Используя CLI, вы должны использовать copy-image режим с --encrypted флаг.

Больше информации: http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html

Теперь это возможно (по состоянию на май 2019 г.). Вам не нужно копировать AMI. Вместо этого вы можете запустить экземпляр с зашифрованными томами (boot / ephemeral / ebs) непосредственно из незашифрованного рыночного AMI.

Я не пробовал делать это с помощью интерфейса командной строки или программно, но он работает из консоли EC2 с использованием последнего образа сервера Windows (Windows_Server-2019-English-Full-Base-2019.08.16)

«Дополнительные шаги», подробно описывающие создание / копирование вашего личного AMI, были удалены из их последней документации. Я не смог найти больше информации об этом, кроме этого сообщения в блоге.

Запуск зашифрованных экземпляров EC2 с резервной копией EBS из незашифрованных AMI