適用於 Windows 實例的 AWS 加密 EBS 引導卷
是否可以為 Windows ec2 實例創建加密的 ebs 啟動卷?
此 AWS 範例顯示如何複製未加密的引導卷,創建加密的引導卷:
aws ec2 copy-image -r us-east-1 -s ami-60b6c60a --encrypted --kmsKeyID arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef
但是,當我使用Microsoft Windows Server 2012 R2 Base - ami-c8a9baa2作為源嘗試此操作時
aws ec2 copy-image --source-region us-east-1 --source-image-id ami-c8a9baa2 --name 'W12R2_Base_encrypted' --description 'Microsoft Windows Server 2012 R2 Base - ami-c8a9baa2 (encrypted)' --encrypted
,我收到錯誤:“呼叫 CopyImage 操作時發生客戶端錯誤 (InvalidRequest):無法複製具有 EC2 BillingProduct 程式碼的圖像到另一個 AWS 賬戶。 ”
現在可以做到這一點(截至 2019 年 5 月)。您不需要複製 AMI。相反,您可以直接從未加密的市場 AMI 啟動具有加密卷(啟動/臨時/ebs)的實例。
我沒有嘗試使用 CLI 或以程式方式執行此操作,但它可以在 EC2 控制台上使用最新的 Windows 伺服器映像 (Windows_Server-2019-English-Full-Base-2019.08.16)
詳細說明創建/複製您自己的私有 AMI 的“額外步驟”已從其最新文件中刪除。除了這篇博文之外,我找不到更多關於它的資訊。