Как получить сведения об AMI или моментальном снимке, если они зашифрованы, и с помощью какого ключа AWS Managed CMK или Customer Manager CMK в AWS

Решение:➜

**** Мы можем получить эту информацию с помощью консоли AWS, а также интерфейса командной строки AWS, что может быть полезно при устранении неполадок, связанных с зашифрованными AMI/снимками состояния и KMS****

Как я могу проверить с помощью команд AWS CLI:

Вы можете использовать следующие API для получения информации:

• describe-images (это можно использовать чтобы получить информацию о блочных устройствах AMI, которая также предоставляет вам идентификатор моментального снимка, связанный с этим устройством).
• describe-snapshots (можно использовать чтобы получить информацию о каждом снимке, чтобы получить параметр шифрования "true" или "false" и соответствующий keyid)
• describe-key (если снимок зашифровано, вы можете проверить детали ключа, будь то «AWS Managed CMK» или «Customer Manager CMK»)

Пример:

Я хочу получить подробную информацию о моем AMI (ami-0xxxxxx), расположенном в регионе (eu-west-1). Я хотел бы знать, зашифрован ли этот AMI, и если да, то какие ключи используются для шифрования, чтобы в дальнейшем я мог принять решение о предоставлении доступа другим аккаунтам для его использования.

1 Проверка сопоставлений блоков AMI для просмотра моментальных снимков связанные :

# aws ec2 describe-images --image-ids ami-0xxxxxx --region eu-west-1 --query "Images[*].BlockDeviceMappings" 

2 Проверка сведений о моментальных снимках для поиска ключа и детали шифрования:

 # aws ec2 describe-snapshots --snapshot-ids "snap-xxxxxxxxxxxxx"  --region eu-west-1

3 Теперь проверяем, зашифровано ли оно с помощью Ключ, управляемый AWS или ключ, управляемый клиентом:

 # aws kms describe-key --key-id "dcd4dcd4xxxxxxxxxxxxxxxxxx"  --region eu-west-1

Как проверить с помощью AWS Console:

• Перейдите в консоль AWS — EC2 — перейдите в раздел «Изображения» и нажмите «AMI» или Нажмите здесь
• Скопируйте идентификатор AMI, информацию о котором вы хотели бы узнать. Перейдите в «Магазин эластичных блоков» и перейдите на страницу «Снимки» или нажмите здесь, и вы можете вставить идентификатор AMI в доступное поле поиска, которое вы скопировали (оно покажет вам связанные снимки для этого AMI)
• To know the Snapshot Encryption Status check Description below and you will find details such as :
  • Encryption : Encrypted
  • Идентификатор ключа KMS: dcd4dxxxxxxxxxx
  • ARN ключа KMS: arn:aws:kms:eu-west-1:920ssss:key/dcd4dxxxxxxxxxx

➜Это означает, что AMI зашифрован (имеется в виду зашифрованный моментальный снимок) с идентификатором ключа (dcd4dxxxxxxxxxx) — и вы можете записать это для дальнейшей проверки типа ключа.

‹‹ Теперь у нас нет подробностей о ключе, будь то (управляемый CMK AWS или CMK менеджера клиентов) >>

Чтобы узнать это, выполните следующие действия:

• Go to AWS Console - KMS - and there on the left hand side you have all the keys available:
  • AWS managed keys
  • Ключи, управляемые клиентом

➜ Теперь вы можете щелкнуть один из приведенных выше вариантов, чтобы отфильтровать идентификатор ключа, который вы указали выше, чтобы проверить тип ключа, независимо от того, является ли он (AWS Managed CMK или Customer Manager CMK).

Теперь вы можете использовать приведенную выше информацию для дальнейшего использования, например для совместного использования этого AMI с другим аккаунтом

*****Пожалуйста, обрати внимание*****

➜ Вы не можете делиться образами AMI, которые зашифрованы с помощью управляемого ключа AWS (это ключ aws по умолчанию для шифрования), который также задокументирован здесь: [+] Рекомендации: https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-snapshot-considerations

Кроме того, чтобы узнать больше о «CMK, управляемых клиентом» и «CMK, управляемых AWS», см.:

[+] Концепции службы управления ключами AWS: https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html