web-dev-qa-db-ja.com

Windowsインスタンス用のAWS暗号化EBSブートボリューム

Windows ec2インスタンス用に 暗号化されたebsブートボリューム を作成することは可能ですか?

このAWSの例は、暗号化されていないブートボリュームをコピーして、暗号化されたブートボリュームを作成する方法を示しています。_aws ec2 copy-image -r us-east-1 -s AMI-60b6c60a --encrypted --kmsKeyID arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef_

ただし、aws ec2 copy-image --source-region us-east-1 --source-image-id AMI-c8a9baa2 --name 'W12R2_Base_encrypted' --description 'Microsoft Windows Server 2012 R2 Base - AMI-c8a9baa2 (encrypted)' --encryptedを使用してソースとして Microsoft Windows Server 2012 R2 Base --AMI-c8a9baa2 を使用してこれを試すと、エラーが発生します: "CopyImage操作の呼び出し中にクライアントエラー(InvalidRequest)が発生しました:EC2 BillingProductコードの画像を別のAWSアカウントにコピーできません。 "

3
Peter M

これが可能になりました(2019年5月現在)。 AMIをコピーする必要はありません。代わりに、暗号化されていないマーケットプレイスAMIから直接、暗号化されたボリューム(boot/ephemeral/ebs)を使用してインスタンスを起動できます。

CLIまたはプログラムでこれを実行しようとはしていませんが、最新のWindowsサーバーイメージ(Windows_Server-2019-English-Full-Base-2019.08.16)を使用してEC2コンソールから機能します。

独自のプライベートAMIの作成/コピーを詳細に説明する「追加の手順」は、最新のドキュメントから削除されました。このブログ投稿以外に、これ以上の情報は見つかりませんでした。

暗号化されていないAMIから暗号化されたEBS Bcked EC2インスタンスを起動します

1
fleetoiler

あなたfirstは、このMarketplaceAMIに基づいて独自のプライベートAMIを作成する必要があります。エラーの「BillingProduct」の部分が主な手がかりです。

さらに詳細に:

  1. このマーケットプレイスAMIでインスタンスを起動します。 [オプションで、ログインして変更できます。]
  2. この新しく起動されたインスタンスを使用して、独自のプライベートAMIを作成します(イメージの作成)
  3. この画像をコピーして、[暗号化]チェックボックスをオンにします。 CLIを使用すると、copy-imageフラグを指定して--encryptedモードを使用します。

詳細: http://docs.aws.Amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html

3
KJH