Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# NitroTPM für Amazon-EC2-Instances
Nitro Trusted Platform Module (NitroTPM) ist ein virtuelles Gerät von [AWS -Nitro-System](https://aws.amazon.com//ec2/nitro/) und entspricht [TPM 2.0](https://trustedcomputinggroup.org/resource/trusted-platform-module-2-0-a-brief-introduction/). Es speichert sicher Artefakte (etwa Passwörter, Zertifikate oder Verschlüsselungsschlüssel), die zur Authentifizierung der Instance verwendet werden. NitroTPM kann Schlüssel generieren und sie für kryptografische Funktionen nutzen (etwa Hashing, Signieren, Verschlüsselung und Entschlüsselung).
NitroTPM bietet *Measured Boot*, einen Prozess, bei dem der Bootloader und das Betriebssystem kryptografische Hashes für jede Start-Binärdatei erstellen und diese mit den vorherigen Werten in den internen Plattformkonfigurationsregistern () von NitroTPM kombinieren. PCRs Mit „Measured Boot“ können Sie signierte PCR-Werte von NitroTPM abrufen und diese verwenden, um gegenüber Remote-Entitäten die Integrität der Bootsoftware der Instance zu beweisen. Dieser Vorgang wird als Remote-*Bescheinigung* bezeichnet.
Mit NitroTPM können Schlüssel und Secrets mit einem bestimmten PCR-Wert gekennzeichnet werden. Wenn sich der Wert des PCRs und damit die Instance-Integrität ändert, kann dadurch nicht mehr auf die Schlüssel und Secrets zugegriffen werden. Diese besondere Form des bedingten Zugangs wird als *Sealiung und Unsealing* (etwa: Versiegeln und Entsiegeln) bezeichnet. Betriebssystemtechnologien wie können NitroTPM verwenden [BitLocker](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/), um einen Laufwerks-Entschlüsselungsschlüssel zu versiegeln, sodass das Laufwerk nur dann entschlüsselt werden kann, wenn das Betriebssystem korrekt gestartet wurde und sich in einem zweifelsfrei funktionierenden Zustand befindet.
Um NitroTPM verwenden zu können, müssen Sie ein [Amazon Machine Image](AMIs.md) (AMI) auswählen, das für Unterstützung von NitroTPM konfiguriert wurde, und dann das AMI zum Starten einer [Nitro-basierten Instance](instance-types.md#instance-hypervisor-type) verwenden. Sie können eines der AMIs vorgefertigten Produkte von Amazon auswählen oder selbst eines erstellen.
**Preisgestaltung**
Für die Nutzung von NitroTPM fallen keine zusätzlichen Kosten an. Sie bezahlen nur für die zugrundeliegenden Ressourcen, die Sie nutzen.
**Topics**
+ [Voraussetzungen](enable-nitrotpm-prerequisites.md)
+ [Linux-AMIs für NitroTPM aktivieren](enable-nitrotpm-support-on-ami.md)
+ [Überprüfen, ob ein AMI für NitroTPM aktiviert ist](verify-nitrotpm-support-on-ami.md)
+ [Aktivieren oder Beenden der Verwendung von NitroTPM](nitrotpm-instance.md)
+ [Überprüfen, dass eine Instance für NitroTPM aktiviert ist](verify-nitrotpm-support-on-instance.md)
+ [Abrufen des Bestätigungsschlüssels](retrieve-ekpub.md)
# Anforderungen für die Verwendung von NitroTPM mit Amazon-EC2-Instances
Um eine Instance mit aktiviertem NitroTPM zu starten, müssen Sie die folgenden Anforderungen erfüllen.
**Topics**
+ [AMIs](#nitrotpm-ami)
+ [Instance-Typen](#nitrotpm-instancetypes)
+ [Überlegungen](#nitrotpm-considerations)
## AMIs
Für das AMI muss NitroTPM aktiviert sein.
**Linux AMIs**
Es gibt keine vorkonfigurierten AMIs. Sie müssen Ihr eigenes AMI konfigurieren. Weitere Informationen finden Sie unter [Linux-AMIs für NitroTPM aktivieren](enable-nitrotpm-support-on-ami.md).
**Windows AMIs**
*Informationen zu einem AWS Windows-AMI, das für NitroTPM und UEFI Secure Boot mit Microsoft-Schlüsseln vorkonfiguriert ist, [finden Sie unter Suchen Sie nach einem mit NitroTPM und UEFI Secure Boot AMIs konfigurierten Windows Server](https://docs.aws.amazon.com/ec2/latest/windows-ami-reference/ami-windows-tpm.html#ami-windows-tpm-find) in der Windows-Referenz.AWS AMIs *
**Anmerkung**
**Betriebssystem** – Das AMI muss ein Betriebssystem mit einem TPM 2.0 Command Response Buffer (CRB)-Treiber enthalten. Die meisten aktuellen Betriebssysteme enthalten einen TPM-2.0-CRB-Treiber.
**UEFI-Boot-Modus** – Das AMI muss für den UEFI-Boot-Modus konfiguriert sein. Weitere Informationen finden Sie unter [UEFI Secure Boot für Amazon-EC2-Instances](uefi-secure-boot.md).
## Instance-Typen
Sie müssen einen der folgenden virtualisierten Instance-Typen verwenden:
+ **Allzweck**: M5, M5a, M5ad, M5d, M5dn, M5Zn, M6a, M6g, M6GD, M6i, M6id, M6idn, M6in, M7in, M7a, M7g, M7gd, M7i, M7i-Flex, M8a, M8azn, M8g, M8GB, M8 8GD, M8Gn, M8i, M8id, M8i-Flex, T3, T3a, T4g
+ **Computeroptimiert**: C5, C5a, C5ad, C5d, C5n, C6a, C6g, C6gd, C6Gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-Flex, C8a, C8g, C8GB, C8GD, C8gn, C8i, C8id, C8i-Flex
+ **Speicheroptimiert**: R5, R5a, R5ad, R5b, R5d, R5dn, R5n, R6a, R6g, R6gd, R6i, R6id, R6idn, R6in, R7a, R7g, R7g, R7gd, R7iz, R8a, R8g, R8GB, R8gd, R8gn, R8i, R8id, R8i-Flex, U7i-6 TB, U7i-8 TB, U7i-12 TB, U7in-16 TB, U7in-24 TB, U7in-32 TB, X2IDN, X2iEDN, X2IEZN, X8G, X8AEDZ, X8i, z1d
+ **Speicheroptimiert**: D3, D3en, I3en, I4i, I7i, I7ie, I8g, I8ge, Im4gn
+ **Beschleunigtes Rechnen**: F2, G4dn, G5, G6, G6e, G6f, Gr6, Gr6f, G7e, Inf1, Inf2, P5, P5e, P5en, P6-B200, P6-B300, Trn2, Trn2u
+ **Hochleistungsrechnen**: HPC6a, HPC6id, HPC8a
## Überlegungen
Die folgenden Hinweise gelten für die Verwendung von NitroTPM:
+ Wenn Sie nach dem Start einer Instance über ein AMI mit aktiviertem NitroTPM den Instance-Typ ändern möchten, muss der neue Instance-Typ, den Sie wählen, auch NitroTPM unterstützen.
+ BitLocker Volumes, die mit NitroTPM-basierten Schlüsseln verschlüsselt sind, können nur auf der ursprünglichen Instanz verwendet werden.
+ Der NitroTPM-Satus wird nicht in der Amazon-EC2-Konsole angezeigt.
+ Der NitroTPM-Status ist nicht in [Amazon EBS-Snapshots](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-snapshots.html) enthalten.
+ Der NitroTPM-Status ist nicht in [VM-Import-/Export](https://docs.aws.amazon.com/vm-import/latest/userguide/)-Images enthalten.
+ NitroTPM wird auf AWS Outposts., Local Zones oder Wavelength Zones nicht unterstützt.
# Linux-AMIs für NitroTPM aktivieren
Um NitroTPM für eine Instance zu aktivieren, müssen Sie die Instance mit einem AMI starten, bei dem NitroTPM aktiviert ist. Sie konfigurieren Ihr Linux-AMI für die NitroTPM-Unterstützung bei der Registrierung des AMIs. Sie können die NitroTPM-Unterstützung später nicht mehr konfigurieren.
Eine Liste der Windows AMIs , die für die NitroTPM-Unterstützung vorkonfiguriert sind, finden Sie unter. [Anforderungen für die Verwendung von NitroTPM mit Amazon-EC2-Instances](enable-nitrotpm-prerequisites.md)
Sie müssen ein AMI mit NitroTPM erstellen, das mithilfe der [RegisterImage](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RegisterImage.html)API konfiguriert wurde. Sie können die Amazon-EC2-Konsole oder VM Import/Export nicht verwenden.
**So aktivieren Sie ein Linux-AMI für NitroTPM**
1. Starten Sie eine temporäre Instance mit Ihrem erforderlichen Linux-AMI. Notieren Sie sich die ID des Root-Volumes, die Sie in der Konsole auf der Registerkarte **Speicher** für die Instance finden.
1. Wenn die Instance den `running`-Status erreicht hat, erstellen Sie einen Snapshot des Root-Volumes der Instance. Weitere Informationen finden Sie unter [Erstellen eines Snapshots eines EBS-Volumes](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-create-snapshot.html).
1. Registrieren Sie den Snapshot, den Sie erstellt haben, als AMI. Geben Sie in der Blockgerät-Zuweisung den Snapshot an, den Sie für das Root-Volume erstellt haben.
Im Folgenden finden Sie ein Beispiel für den Befehl [register-image](https://docs.aws.amazon.com/cli/latest/reference/ec2/register-image.html). Legen Sie für `--tpm-support` die Option `v2.0` fest. Legen Sie für `--boot-mode` die Option `uefi` fest.
```
aws ec2 register-image \
--name my-image \
--boot-mode uefi \
--architecture x86_64 \
--root-device-name /dev/xvda \
--block-device-mappings DeviceName=/dev/xvda,Ebs={SnapshotId=snap-0abcdef1234567890} \
--tpm-support v2.0
```
Das Folgende ist ein Beispiel für das [Register-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Register-EC2Image.html)Cmdlet.
```
$block = @{SnapshotId=snap-0abcdef1234567890}
Register-EC2Image `
-Name my-image `
-Architecture "x86_64" `
-RootDeviceName /dev/xvda `
-BlockDeviceMapping @{DeviceName="/dev/xvda";Ebs=$block} `
-BootMode Uefi `
-TpmSupport V20
```
1. Beenden Sie die temporäre Instance, die Sie in Schritt 1 gestartet haben.
# Überprüfen, ob ein AMI für NitroTPM aktiviert ist
Um NitroTPM für eine Instance zu aktivieren, müssen Sie die Instance mit einem AMI starten, bei dem NitroTPM aktiviert ist. Sie können ein Image beschreiben, um zu überprüfen, ob es für NitroTPM aktiviert ist. Wenn Sie der AMI-Besitzer sind, können Sie das Image-Attribut `tpmSupport` beschreiben.
Die Amazon-EC2-Konsole zeigt `TpmSupport` nicht an.
------
#### [ AWS CLI ]
**So überprüfen Sie, ob NitroTPM aktiviert ist**
Verwenden Sie den Befehl [describe-images](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-images.html).
```
aws ec2 describe-images \
--image-ids ami-0abcdef1234567890 \
--query Images[*].TpmSupport
```
Wenn NitroTPM für das AMI aktiviert ist, sieht die Ausgabe wie folgt aus. Wenn TPM nicht aktiviert ist, ist die Ausgabe leer.
```
[
"v2.0"
]
```
Wenn Sie der AMI-Besitzer sind, können Sie alternativ den [describe-image-attribute](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-image-attribute.html)Befehl mit dem `tpmSupport` Attribut verwenden.
```
aws ec2 describe-image-attribute \
--image-id ami-0abcdef1234567890 \
--attribute tpmSupport
```
Es folgt eine Beispielausgabe.
```
{
"ImageId": "ami-0abcdef1234567890",
"TpmSupport": {
"Value": "v2.0"
}
}
```
**Um zu suchen, wenn AMIs NitroTPM aktiviert ist**
Das folgende Beispiel listet diejenigen auf, die IDs Sie besitzen und bei AMIs denen NitroTPM aktiviert ist.
```
aws ec2 describe-images \
--owners self \
--filters Name=tpm-support,Values=v2.0 \
--query Images[].ImageId
```
------
#### [ PowerShell ]
**So überprüfen Sie, ob NitroTPM aktiviert ist**
Verwenden Sie das cmdlet [Get-EC2Image](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Image.html).
```
Get-EC2Image `
-ImageId ami-0abcdef1234567890 | Select TpmSupport
```
Wenn NitroTPM für das AMI aktiviert ist, sieht die Ausgabe wie folgt aus. Wenn TPM nicht aktiviert ist, ist die Ausgabe leer.
```
TpmSupport
----------
v2.0
```
Wenn Sie der AMI-Besitzer sind, können Sie alternativ das [Get-EC2ImageAttribute](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2ImageAttribute.html)Cmdlet mit dem `tpmSupport` Attribut verwenden.
```
Get-EC2ImageAttribute `
-ImageId ami-0abcdef1234567890 `
-Attribute tpmSupport
```
**Um zu suchen, wenn NitroTPM AMIs aktiviert ist**
Das folgende Beispiel listet diejenigen auf, die IDs Sie besitzen und bei AMIs denen NitroTPM aktiviert ist.
```
Get-EC2Image `
-Owner self `
-Filter @{Name="tpm-support; Values="v2.0"} | Select ImageId
```
------
# Aktivieren oder Beenden der Nutzung von NitroTPM in einer Amazon-EC2-Instance
Sie können NitroTPM für eine Amazon-EC2-Instance nur beim Start aktivieren. Sobald eine Instance für NitroTPM aktiviert ist, können Sie sie nicht mehr deaktivieren. Wenn Sie NitroTPM nicht mehr verwenden müssen, müssen Sie das Betriebssystem so konfigurieren, dass es nicht mehr verwendet wird.
**Topics**
+ [Starten Sie eine Instance mit aktiviertem NitroTPM](#launch-instance-with-nitrotpm)
+ [Beenden der Verwendung von NitroTPM für eine Instance](#disable-nitrotpm-support-on-instance)
## Starten Sie eine Instance mit aktiviertem NitroTPM
Wenn Sie eine Instance mit den [Voraussetzungen](enable-nitrotpm-prerequisites.md) starten, wird NitroTPM automatisch auf der Instance aktiviert. Sie können NitroTPM für eine Instance nur beim Start aktivieren. Weitere Informationen über das Starten einer Instance finden Sie unter [Starten Sie eine Amazon-EC2-Instance](LaunchingAndUsingInstances.md).
## Beenden der Verwendung von NitroTPM für eine Instance
Nachdem Sie eine Instance mit aktiviertem NitroTPM gestartet haben, können Sie NitroTPM für die Instance nicht deaktivieren. Sie können das Betriebssystem jedoch so konfigurieren, dass es NitroTPM nicht mehr verwendet. Deaktivieren Sie dazu den TPM 2.0-Gerätetreiber für die Instance mithilfe der folgenden Tools:
+ Verwenden Sie für **Linux-Instances** „tpm-tools“.
+ Verwenden Sie für **Windows-Instances** die TPM-Verwaltungskonsole (tpm.msc).
Weitere Informationen über das Deaktivieren des Gerätetreibers finden Sie in der Dokumentation für Ihr Betriebssystem.
# Sicherstellen, dass eine Amazon-EC2-Instance für NitroTPM aktiviert ist
Sie können überprüfen, ob eine Amazon-EC2-Instance für NitroTPM aktiviert ist. Wenn die NitroTPM-Unterstützung auf der Instance aktiviert ist, gibt der Befehl `"v2.0"` zurück. Andernfalls ist das `TpmSupport`-Feld in der Ausgabe nicht vorhanden.
Die Amazon-EC2-Konsole zeigt das Feld `TpmSupport` nicht an.
------
#### [ AWS CLI ]
**So überprüfen Sie, ob eine Instance für NitroTPM aktiviert ist**
Verwenden Sie den Befehl [describe-instances](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instances.html).
```
aws ec2 describe-instances \
--instance-ids i-1234567890abcdef0 \
--query Reservations[].Instances[].TpmSupport
```
------
#### [ PowerShell ]
**So überprüfen Sie, ob eine Instance für NitroTPM aktiviert ist**
Verwenden Sie das cmdlet [Get-EC2Instance](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2Instance.html).
```
(Get-EC2Instance `
-InstanceId i-1234567890abcdef0).Instances.TpmSupport
```
------
## NitroTPM-Zugriff auf Ihrer Windows-Instance verifizieren
**(Nur Windows-Instances) So überprüfen Sie, ob Windows Zugriff auf NitroTPM hat**
1. [Stellen Sie eine Verbindung mit Ihrer Windows-Instance her.](connecting_to_windows_instance.md)
1. Führen Sie in der Instance das Programm „tpm.msc“ aus.
Das Fenster **TPM Management on Local Computer** (TPM-Verwaltung auf lokalem Computer) wird geöffnet.
1. Setzen Sie einen Haken bei dem Feld **TPM Manufacturer Information** (TPM-Herstellerinformationen). Es enthält den Namen des Herstellers und die Version von NitroTPM auf der Instance.
![\[Das Fenster „TPM Management on Local Computer“ (TPM-Verwaltung auf lokalem Computer) und das Feld „TPM Manufacturer Information“ (TPM-Herstellerinformationen) zeigen die NitroTPM-Version auf der Instance an.\]](http://docs.aws.amazon.com/de_de/AWSEC2/latest/UserGuide/images/tpm-1.png)
# Den öffentlichen Bestätigungsschlüssel für eine EC2-Instance abrufen
Sie können den öffentlichen Bestätigungsschlüssel für eine Instance jederzeit sicher abrufen.
------
#### [ AWS CLI ]
**So rufen Sie den öffentlichen Bestätigungsschlüssel für eine Instance ab**
Verwenden Sie den Befehl [get-instance-tpm-ek-pub](https://docs.aws.amazon.com/cli/latest/reference/ec2/get-instance-tpm-ek-pub.html).
**Beispiel 1**
Das folgende Beispiel ruft den öffentlichen `rsa-2048`-Bestätigungsschlüssel im Format `tpmt` für die angegebene Instance ab.
```
aws ec2 get-instance-tpm-ek-pub \
--instance-id i-1234567890abcdef0 \
--key-format tpmt \
--key-type rsa-2048
```
Es folgt eine Beispielausgabe.
```
{
"InstanceId": "i-01234567890abcdef",
"KeyFormat": "tpmt",
"KeyType": "rsa-2048",
"KeyValue": "AAEACwADALIAIINxl2dEhLEXAMPLEUal1yT9UtduBlILZPKh2hszFGmqAAYAgABDA
EXAMPLEAAABAOiRd7WmgtdGNoV1h/AxmW+CXExblG8pEUfNm0LOLiYnEXAMPLERqApiFa/UhvEYqN4
Z7jKMD/usbhsQaAB1gKA5RmzuhSazHQkax7EXAMPLEzDthlS7HNGuYn5eG7qnJndRcakS+iNxT8Hvf
0S1ZtNuItMs+Yp4SO6aU28MT/JZkOKsXIdMerY3GdWbNQz9AvYbMEXAMPLEPyHfzgVO0QTTJVGdDxh
vxtXCOu9GYf0crbjEXAMPLEd4YTbWdDdgOKWF9fjzDytJSDhrLAOUctNzHPCd/92l5zEXAMPLEOIFA
Ss50C0/802c17W2pMSVHvCCa9lYCiAfxH/vYKovAAE="
}
```
**Beispiel 2**
Das folgende Beispiel ruft den öffentlichen `rsa-2048`-Bestätigungsschlüssel im Format `der` für die angegebene Instance ab.
```
aws ec2 get-instance-tpm-ek-pub \
--instance-id i-1234567890abcdef0 \
--key-format der \
--key-type rsa-2048
```
Es folgt eine Beispielausgabe.
```
{
"InstanceId": "i-1234567890abcdef0",
"KeyFormat": "der",
"KeyType": "rsa-2048",
"KeyValue": "MIIBIjANBgEXAMPLEw0BAQEFAAOCAQ8AMIIBCgKCAQEA6JF3taEXAMPLEXWH8DGZb4
JcTFuUbykRR82bQs4uJifaKSOv5NGoEXAMPLEG8Rio3hnuMowP+6xuGxBoAHWAoDlGbO6FJrMdEXAMP
LEnYUHvMO2GVLsc0a5ifl4buqcmd1FxqRL6I3FPwe9/REXAMPLE0yz5inhI7ppTbwxP8lmQ4qxch0x6
tjcZ1Zs1DP0EXAMPLERUYLQ/Id/OBU7RBNMlUZ0PGG/G1cI670Zh/RytuOdx9iEXAMPLEtZ0N2A4pYX
1+PMPK0lIOGssA5Ry03Mc8J3/3aXnOD2/ASRQ4gUBKznQLT/zTZEXAMPLEJUe8IJr2VgKIB/Ef+9gqi
8AAQIDAQAB"
}
```
------
#### [ PowerShell ]
**So rufen Sie den öffentlichen Bestätigungsschlüssel für eine Instance ab**
Verwenden Sie das cmdlet [Get-EC2InstanceTpmEkPub](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-EC2InstanceTpmEkPub.html).
**Beispiel 1**
Das folgende Beispiel ruft den öffentlichen `rsa-2048`-Bestätigungsschlüssel im Format `tpmt` für die angegebene Instance ab.
```
Get-EC2InstanceTpmEkPub `
-InstanceId i-1234567890abcdef0 `
-KeyFormat tpmt `
-KeyType rsa-2048
```
**Beispiel 2**
Das folgende Beispiel ruft den öffentlichen `rsa-2048`-Bestätigungsschlüssel im Format `der` für die angegebene Instance ab.
```
Get-EC2InstanceTpmEkPub `
-InstanceId i-1234567890abcdef0 `
-KeyFormat der `
-KeyType rsa-2048
```
------