AMD SEV-SNP für Amazon-EC2-Instances
AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP) ist ein CPU-Feature, das die folgenden Eigenschaften bietet:
-
Bescheinigung – Mit AMD SEV-SNP können Sie einen signierten Bescheinigungsbericht abrufen, der eine kryptografische Maßnahme enthält, mit welcher der Status und die Identität der Instance sowie die Ausführung auf echter AMD-Hardware überprüft werden kann. Weitere Informationen finden Sie unter Eine Amazon-EC2-Instance mit AMD SEV-SNP bescheinigen.
-
Speicherverschlüsselung – Ab den folgenden Prozessoren ist der Instance-Speicher immer verschlüsselt: AMD EPYC (Milan), AWS Graviton2 und Intel Xeon Scalable (Ice Lake). Für AMD SEV-SNP aktivierte Instances verwenden einen Instance-spezifischen Schlüssel für ihre Speicherverschlüsselung.
Themen
Konzepte und Terminologie
Bevor Sie mit AMD SEV-SNP beginnen, sollten Sie mit den folgenden Konzepten und Begriffen vertraut sein:
Bescheinigungsbericht von AMD SEV-SNP
Der Bescheinigungsbericht von AMD SEV-SNP ist ein Dokument, das eine Instance von der CPU anfordern kann. Der Bescheinigungsbericht von AMD SEV-SNP kann verwendet werden, um den Status und die Identität einer Instance zu überprüfen und sicherzustellen, ob sie in einer genehmigten AMD-Umgebung ausgeführt wird. Der Bericht enthält eine Startmessung, bei der es sich um einen kryptografischen Hash des anfänglichen Startstatus einer Instance handelt, einschließlich des ursprünglichen Speicherinhalts der Instance und des Anfangsstatus der vCPUs. Der Bescheinigungsbericht von AMD SEV-SNP ist mit einer VLEK-Signatur signiert, die auf eine AMD-Stammvertrauenstellung zurückgeht.
VLEK
Der VLEK (Versioned Loaded Endorsement Key) ist ein Signaturschlüssel mit Versionsverwaltung, der von AMD zertifiziert ist und von der AMD-CPU zum Signieren der Bescheinigungsberichte von AMD SEV-SNP verwendet wird. VLEK-Signaturen können mit den von AMD bereitgestellten Zertifikaten validiert werden.
OVMF-Binärdatei
OVMF (Open Virtual Machine Firmware) ist der Frühstartcode, der verwendet wird, um eine UEFI-Umgebung für die Instance bereitzustellen. Der Frühstartcode wird ausgeführt, bevor der Code im AMI gestartet wird. Die OVMF findet und führt auch das im AMI bereitgestellte Startladeprogramm aus. Weitere Informationen finden Sie im OMVF-Repository
Voraussetzungen
Zur Verwendung von AMD SEV-SNP müssen Sie folgende Voraussetzungen erfüllen:
-
Verwenden Sie einen der folgenden unterstützten Instance-Typen:
-
Universell:
m6a.large
|m6a.xlarge
|m6a.2xlarge
|m6a.4xlarge
|m6a.8xlarge
-
Für Datenverarbeitung optimiert:
c6a.large
|c6a.xlarge
|c6a.2xlarge
|c6a.4xlarge
|c6a.8xlarge
|c6a.12xlarge
|c6a.16xlarge
-
Speicheroptimiert:
r6a.large
|r6a.xlarge
|r6a.2xlarge
|r6a.4xlarge
-
-
Starten Sie Ihre Instance in einer unterstützten AWS-Region. Derzeit werden nur USA Ost (Ohio) und Europa (Irland) unterstützt.
-
Verwenden Sie ein AMI mit dem Startmodus
uefi
oderuefi-preferred
und einem Betriebssystem, das AMD SEV-SNP unterstützt. Weitere Informationen zur Unterstützung von AMD SEV-SNP unter Ihrem Betriebssystem finden Sie in der Dokumentation des jeweiligen Betriebssystems. Für AWS wird AMD SEV-SNP auf AL2023, RHEL 9.3, SLES 15 SP4 und Ubuntu 23.04 und höher unterstützt.
Überlegungen
AMD SEV-SNP kann nur beim Start einer Instance aktiviert werden. Wenn AMD SEV-SNP für den Start Ihrer Instance aktiviert ist, gelten die folgenden Regeln.
-
Sobald es aktiviert ist, kann AMD SEV-SNP nicht mehr deaktiviert werden. Es bleibt während des gesamten Instance-Lebenszyklus aktiviert.
-
Sie können den Instance-Typ nur in einen anderen Instance-Typ ändern, der AMD SEV-SNP unterstützt.
-
Ruhezustand und Nitro Enclaves werden nicht unterstützt.
-
Dedicated Hosts werden nicht unterstützt.
-
Wenn für den zugrundeliegenden Host Ihrer Instance eine Wartung geplant ist, erhalten Sie 14 Tage im Voraus eine Benachrichtigung über ein geplantes Ereignis. Sie müssen Ihre Instance manuell stoppen oder neu starten, um sie auf einen neuen Host zu verschieben.
Preisgestaltung
Wenn Sie eine Amazon-EC2-Instance mit aktiviertem AMD SEV-SNP starten, wird Ihnen eine zusätzliche stündliche Nutzungsgebühr in Höhe von 10 Prozent des On-Demand-Stundensatzes
Diese Nutzungsgebühr für AMD SEV-SNP ist eine separate Gebühr für die Nutzung Ihrer Amazon-EC2-Instance. Reserved Instances, Savings Plans und die Nutzung des Betriebssystems haben keinen Einfluss auf diese Gebühr.
Wenn Sie eine Spot Instance konfigurieren, mit aktiviertem AMD SEV-SNP zu starten, wird Ihnen eine zusätzliche stündliche Nutzungsgebühr in Höhe von 10 % des On-Demand-Stundensatzes