是否可以为 Windows ec2 实例创建加密的 ebs 启动卷?
此 AWS 示例显示如何复制未加密的引导卷,创建加密的引导卷: aws ec2 copy-image -r us-east-1 -s ami-60b6c60a --encrypted --kmsKeyID arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef
但是,当我使用Microsoft Windows Server 2012 R2 Base - ami-c8a9baa2作为源尝试此操作时aws ec2 copy-image --source-region us-east-1 --source-image-id ami-c8a9baa2 --name 'W12R2_Base_encrypted' --description 'Microsoft Windows Server 2012 R2 Base - ami-c8a9baa2 (encrypted)' --encrypted,我收到错误:“调用 CopyImage 操作时发生客户端错误 (InvalidRequest):无法复制具有 EC2 BillingProduct 代码的图像到另一个 AWS 账户。 ”
您首先需要基于此 Marketplace AMI 创建您自己的私有 AMI。错误的“BillingProduct”部分是主要线索。
更详细地说:
copy-image带有--encrypted标志的模式。更多信息:http ://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html
现在可以做到这一点(截至 2019 年 5 月)。您不需要复制 AMI。相反,您可以直接从未加密的市场 AMI 启动具有加密卷(启动/临时/ebs)的实例。
我没有尝试使用 CLI 或以编程方式执行此操作,但它可以在 EC2 控制台上使用最新的 Windows 服务器映像 (Windows_Server-2019-English-Full-Base-2019.08.16)
详细说明创建/复制您自己的私有 AMI 的“额外步骤”已从其最新文档中删除。除了这篇博文之外,我找不到更多关于它的信息。
从未加密的 AMI 启动加密的 EBS 支持的 EC2 实例