AMDSEV- SNP pour les EC2 instances Amazon - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AMDSEV- SNP pour les EC2 instances Amazon

AMDVirtualisation cryptée sécurisée-pagination imbriquée sécurisée (AMDSEV-SNP) est une CPU fonctionnalité qui fournit les propriétés suivantes :

  • Attestation — AMD SEV - vous SNP permet de récupérer un rapport d'attestation signé contenant une mesure cryptographique qui peut être utilisée pour valider l'état et l'identité de l'instance, et pour confirmer qu'elle s'exécute sur du AMD matériel authentique. Pour plus d’informations, consultez Tester une EC2 instance Amazon avec - AMD SEV SNP.

  • Chiffrement de la mémoire : à partir des processeurs AMD EPYC (Milan), AWS Graviton2 et Intel Xeon Scalable (Ice Lake), la mémoire de l'instance est toujours chiffrée. Instances activées pour AMD SEV : SNP utilisent une clé spécifique à l'instance pour le chiffrement de leur mémoire.

Concepts et terminologie

Avant de commencer à utiliser AMD SEV -SNP, assurez-vous de connaître les concepts et la terminologie suivants.

AMDSEV- rapport SNP d'attestation

Le AMD SEV rapport SNP d'attestation est un document qu'une instance peut demander auCPU. Le AMD SEV rapport SNP d'attestation peut être utilisé pour valider l'état et l'identité d'une instance et pour vérifier qu'elle s'exécute dans un AMD environnement sanctionné. Le rapport inclut une mesure de lancement, qui est un hachage cryptographique de l'état de démarrage initial d'une instance, y compris le contenu de la mémoire initiale de l'instance et l'état initial du. vCPUs Le AMD SEV rapport SNP d'attestation est signé avec une VLEK signature qui remonte à une AMD source de confiance.

VLEK

La clé d'approbation chargée versionnée (VLEK) est une clé de signature versionnée qui est certifiée AMD et utilisée par le AMD CPU pour signer les AMD SEV rapports SNP d'attestation. VLEKles signatures peuvent être validées à l'aide des certificats fournis parAMD.

OVMFbinaire

Le microprogramme Open Virtual Machine (OVMF) est le code de démarrage anticipé utilisé pour fournir un UEFI environnement à l'instance. Le code de démarrage anticipé est exécuté avant le démarrage du code contenu dans AMI le. OVMFIl trouve et exécute également le chargeur de démarrage fourni dans leAMI. Pour plus d'informations, consultez le OVMFréférentiel.

Prérequis

Pour utiliser AMD SEV -SNP, vous devez effectuer les opérations suivantes :

  • Utilisez l’un des types d’instance pris en charge suivants :

    • Usage général : m6a.large | m6a.xlarge | m6a.2xlarge | m6a.4xlarge | m6a.8xlarge

    • Optimisées pour le calcul : c6a.large | c6a.xlarge | c6a.2xlarge | c6a.4xlarge | c6a.8xlarge | c6a.12xlarge | c6a.16xlarge

    • Mémoire optimisée : r6a.large | r6a.xlarge | r6a.2xlarge | r6a.4xlarge

  • Lancez votre instance dans un environnement compatible Région AWS. À l’heure actuelle, seules les régions USA Est (Ohio) et Europe (Irlande) sont prises en charge.

  • Utilisez un mode AMI avec uefi ou de uefi-preferred démarrage et un système d'exploitation compatible avec AMD SEV -SNP. Pour plus d'informations sur AMD SEV le SNP support de votre système d'exploitation, reportez-vous à la documentation du système d'exploitation correspondant. Car AWS, AMD SEV - SNP est pris en charge sur les AL2 versions 023, RHEL 9.3SP4, SLES 15 et Ubuntu 23.04 et versions ultérieures.

Considérations

Vous ne pouvez l'activer AMD SEV que SNP lorsque vous lancez une instance. Lorsque AMD SEV - SNP est activé pour le lancement de votre instance, les règles suivantes s'appliquent.

  • Une fois activé, AMD SEV - ne SNP peut pas être désactivé. Il reste activé tout au long du cycle de vie de l'instance.

  • Vous pouvez uniquement remplacer le type d'instance par un autre type d'instance prenant en charge AMD SEV -SNP.

  • Hibernation et Nitro Enclaves ne sont pas pris en charge.

  • Les hôtes dédiés ne sont pas pris en charge.

  • Si la maintenance de l'hôte sous-jacent de votre instance est planifiée, vous recevrez une notification d'événement planifié 14 jours avant l'événement. Vous devez arrêter ou redémarrer manuellement votre instance pour la déplacer vers un nouvel hôte.

Tarification

Lorsque vous lancez une EC2 instance Amazon avec l'SNPoption AMD SEV - activée, des frais d'utilisation supplémentaires vous sont facturés, équivalant à 10 % du taux horaire à la demande du type d'instance sélectionné.

Ces AMD SEV frais SNP d'utilisation sont facturés séparément de l'utilisation de votre EC2 instance Amazon. Les instances réservées, les Savings Plans et l’utilisation du système d’exploitation n’ont aucune incidence sur ces frais.

Si vous configurez une instance Spot pour qu'elle soit lancée avec l'SNPoption AMDSEV- activé, des frais d'utilisation supplémentaires vous sont facturés, équivalant à 10 % du taux horaire à la demande du type d'instance sélectionné. Si la stratégie d’allocation utilise le prix comme entrée, le parc d’instances Spot n’inclut pas ces frais supplémentaires ; seul le prix au comptant est utilisé.