Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Bescheinigbar AMIs
Ein attestierbares AMI ist ein Amazon Machine Image (AMI) mit einem entsprechenden kryptografischen Hash, der seinen gesamten Inhalt darstellt. Der Hash wird während des AMI-Erstellungsprozesses generiert und auf der Grundlage des gesamten Inhalts dieses AMI berechnet, einschließlich der Anwendungen, des Codes und des Startvorgangs.
## Beibehaltung eines attestierbaren Status
Die Messungen einer Instance basieren auf ihrem anfänglichen Startstatus. Alle Software- oder Codeänderungen, die nach dem Start an der Instance vorgenommen werden und auch nach Neustarts bestehen bleiben, wirken sich auf die Messwerte der Instance nach dem Neustart aus. Wenn die Messungen geändert werden, weichen sie von den Referenzmessungen des attestierbaren AMI ab, und die Instance kann nach dem Neustart nicht mehr erfolgreich von AWS KMS attestiert werden. Damit Attestable AMIs nützlich ist, müssen Instances daher nach dem Neustart in ihren ursprünglichen Startstatus zurückkehren.
Wenn Sie immer zum ursprünglichen Startstatus zurückkehren, wird sichergestellt, dass eine Instance nach dem Neustart erfolgreich attestiert werden kann. Die folgenden Hilfsprogramme können verwendet werden, um sicherzustellen, dass Ihre Instances auch nach einem Neustart attestierbar bleiben:
+ `erofs` – Verbessertes schreibgeschütztes Dateisystem. Dieses Hilfsprogramm stellt sicher, dass Ihr Root-Dateisystem schreibgeschützt ist. Mit diesem Hilfsprogramm werden Schreibvorgänge in das Dateisystem, einschließlich `/etc`, `/run` und `/var` im Arbeitsspeicher gespeichert und gehen verloren, wenn die Instance neu gestartet wird, sodass das Root-Dateisystem in seinem ursprünglichen Startstatus belassen wird. Weitere Informationen finden Sie in der [erofs-Dokumentation](https://docs.kernel.org/filesystems/erofs.html).
+ `dm-verity` – Bietet Integritätsschutz für das schreibgeschützte Root-Dateisystem. Das Hilfsprogramm berechnet einen Hash der Dateisystemblöcke und speichert ihn in der Kernel-Befehlszeile. Dadurch kann der Kernel die Integrität des Dateisystems beim Hochfahren überprüfen. Weitere Informationen finden Sie in der [dm-verity-Dokumentation](https://docs.kernel.org/admin-guide/device-mapper/verity.html).
## Voraussetzungen für die Erstellung von Attestable AMIs
Für Attestable gelten die folgenden AMIs Anforderungen:
+ **Basisbetriebssystem** – Amazon Linux 2023 und [NixOS](https://github.com/aws/nitrotpm-attestation-samples)
+ **Architektur** – `x86_64`- oder `arm64`-Architektur
+ **TPM-Unterstützung** – NitroTPM muss aktiviert sein. Weitere Informationen finden Sie unter [Anforderungen für die Verwendung von NitroTPM mit Amazon-EC2-Instances](enable-nitrotpm-prerequisites.md).
+ **Startmodus** – Der UEFI-Startmodus muss aktiviert sein.
**Topics**
+ [Beibehaltung eines attestierbaren Status](#maintain-attestability)
+ [Voraussetzungen für die Erstellung von Attestable AMIs](#ami-attestable-requirements)
+ [Attestable wird erstellt AMIs](#sample-ami)
+ [Beispiel-Image-Beschreibung erstellen](build-sample-ami.md)
+ [Beispiel-Image-Beschreibung für Amazon Linux 2023](al2023-isolated-compute-recipe.md)
+ [Die Beispiel-Image-Beschreibung anpassen](customize-sample-ami.md)
+ [PCR-Messungen berechnen](create-pcr-compute.md)
## Attestable wird erstellt AMIs
Um ein attestierbares AMI zu erstellen, müssen Sie Amazon Linux 2023 mit [KIWI Next Generation (KIWI NG)](https://osinside.github.io/kiwi/) verwenden. Amazon Linux 2023 bietet die gesamte Software und sämtliche Hilfsprogramme, die für die Erstellung eines attestierbaren AMI mit KIWI NG erforderlich sind.
KIWI NG ist ein Open-Source-Tool zum Entwickeln von vorkonfigurierten Linux-basierten Images. KIWI NG verwendet XML-*Image-Beschreibungen*, die den Inhalt eines Images definieren. Die Image-Beschreibung spezifiziert das Basisbetriebssystem, die Software, die Kernelkonfiguration und die Skripts, die ausgeführt werden müssen, um ein ready-to-use AMI für einen bestimmten Anwendungsfall zu erstellen.
Während der AMI-Erstellungszeit müssen Sie das Hilfsprogramm `nitro-tpm-pcr-compute` verwenden, um die Referenzmessungen auf der Grundlage des von KIWI NG generierten Unified Kernel Image (UKI) zu generieren. Weitere Informationen zur Verwendung des Hilfsprogramms `nitro-tpm-pcr-compute` finden Sie unter [PCR-Messungen für ein benutzerdefiniertes AMI berechnen](create-pcr-compute.md).
AWS bietet ein Beispiel für eine Beschreibung eines Amazon Linux 2023-Images, das alle Konfigurationen enthält, die für die Konfiguration einer EC2-Instance in einer isolierten Computerumgebung erforderlich sind. Weitere Informationen finden Sie unter [Beispiel-Image-Beschreibung für Amazon Linux 2023 erstellen](build-sample-ami.md).