Можно ли создать зашифрованный загрузочный том ebs для экземпляра windows ec2?
В этом примере AWS показано, как скопировать незашифрованный загрузочный том, создав зашифрованный загрузочный том: aws ec2 copy-image -r us-east-1 -s ami-60b6c60a --encrypted --kmsKeyID arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef
Однако, когда я пробую это с База Microsoft Windows Server 2012 R2 - ami-c8a9baa2 в качестве источника с использованием aws ec2 copy-image --source-region us-east-1 --source-image-id ami-c8a9baa2 --name 'W12R2_Base_encrypted' --description 'Microsoft Windows Server 2012 R2 Base - ami-c8a9baa2 (encrypted)' --encrypted
, Я получаю сообщение об ошибке: "При вызове операции CopyImage произошла ошибка клиента (InvalidRequest): изображения с кодами EC2 BillingProduct нельзя скопировать в другую учетную запись AWS."
Вы первый необходимо создать собственный частный AMI на основе этого AMI Marketplace. Часть ошибки "BillingProduct" является главной подсказкой.
Более детально:
copy-image
режим с --encrypted
флаг.Больше информации: http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html
Теперь это возможно (по состоянию на май 2019 г.). Вам не нужно копировать AMI. Вместо этого вы можете запустить экземпляр с зашифрованными томами (boot / ephemeral / ebs) непосредственно из незашифрованного рыночного AMI.
Я не пробовал делать это с помощью интерфейса командной строки или программно, но он работает из консоли EC2 с использованием последнего образа сервера Windows (Windows_Server-2019-English-Full-Base-2019.08.16)
«Дополнительные шаги», подробно описывающие создание / копирование вашего личного AMI, были удалены из их последней документации. Я не смог найти больше информации об этом, кроме этого сообщения в блоге.
Запуск зашифрованных экземпляров EC2 с резервной копией EBS из незашифрованных AMI