Question

问题： ➜我想获取有关我的AMI的信息，以了解它是否已加密，如果是，则使用它使用哪个密钥（AWS Managed CMK或Customer Manager CMK）进行加密，以便在与我共享AMI时可以利用此信息没有任何问题的另一个帐户。

Answer 1

解决方案：➜

****我们可以使用AWS控制台以及AWS CLI获取此信息，这在对加密的AMI /快照和KMS相互关系进行故障排除时很有用****

如何使用AWS CLI命令进行检查：

您可以使用以下API来获取信息：

示例：

我想获取位于区域（eu-west-1）的My AMI（ami-0xxxxxx）的详细信息。我想知道此AMI是否已加密，如果是，那么哪个密钥正在用于加密，以便我可以进一步决定允许其他帐户使用它。

1检查AMI块映射以查看关联的快照：

# aws ec2 describe-images --image-ids ami-0xxxxxx --region eu-west-1 --query "Images[*].BlockDeviceMappings"

2检查快照详细信息以找到密钥和加密详细信息：

 # aws ec2 describe-snapshots --snapshot-ids "snap-xxxxxxxxxxxxx"  --region eu-west-1

3现在，检查其是否使用AWS托管密钥或客户托管密钥加密：

 # aws kms describe-key --key-id "dcd4dcd4xxxxxxxxxxxxxxxxxx"  --region eu-west-1

如何使用AWS Console进行检查：

转到AWS控制台-EC2-导航到“图像”部分，然后单击“ AMI” 或Click here
复制您想要了解其信息的AMI ID。导航到“ Elastic Block Store”并导航到“快照”页面或单击here，然后可以将AMI ID粘贴到已复制的可用搜索框中（它将显示此AMI的关联快照）
要了解下面的快照加密状态检查说明，您将找到诸如以下的详细信息：
- 加密：已加密
- KMS密钥ID：dcd4dxxxxxxxxxx
- KMS密钥ARN：arn：aws：kms：eu-west-1：920sssss：key / dcd4dxxxxxxxxxx

➜这意味着AMI已被加密（意味着具有加密的快照），其密钥ID为（dcd4dxxxxxxxxxx）-您可以记下此信息以进一步检查密钥类型。

<<现在，无论是密钥（AWS托管CMK还是客户经理CMK），我们都没有有关密钥的详细信息>>

要了解此信息，请按照以下步骤操作：

➜现在，您可以单击以上选项之一来过滤您在下面在上面指出的密钥ID，以验证密钥的类型是（AWS Managed CMK还是Customer Manager CMK）。

现在，您可以使用上述信息作进一步使用，例如与另一个帐户共享此AMI

*****请注意*****

➜您无法共享使用AWS托管密钥（这是要加密的aws默认密钥）加密的AMI，该AMI也记录在这里： [+]注意事项：https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-snapshot-considerations

此外，要了解有关“客户管理的CMK”和“ AWS管理的CMK”的更多信息，请参阅：