Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AMD SEV-SNP pour les instances Amazon EC2
AMD Secure Virtualization-Secure Encrypted Nested Paging (AMD SEV-SNP) est une fonctionnalité du processeur qui fournit les propriétés suivantes :
-
Attestation : AMD vous SEV-SNP permet de récupérer un rapport d'attestation signé qui contient une mesure cryptographique qui peut être utilisée pour valider l'état et l'identité de l'instance, ainsi que le fait qu'elle fonctionne sur du matériel AMD authentique. Pour de plus amples informations, veuillez consulter Tester une instance Amazon EC2 avec AMD SEV-SNP.
-
Chiffrement de la mémoire : à partir des processeurs AMD EPYC (Milan), AWS Graviton2 et Intel Xeon Scalable (Ice Lake), la mémoire de l'instance est toujours chiffrée.
Vous pouvez utiliser AMD SEV-SNP avec des hôtes dédiés ou avec une location partagée.
Table des matières
Concepts et terminologie
Avant de commencer à utiliser AMD SEV-SNP, assurez-vous de connaître les concepts et la terminologie suivants.
Rapport SEV-SNP d'attestation AMD
Le rapport SEV-SNP d'attestation AMD est un document qu'une instance peut demander au processeur. Le rapport SEV-SNP d'attestation AMD peut être utilisé pour valider l'état et l'identité d'une instance et pour vérifier qu'elle s'exécute dans un environnement AMD homologué. Le rapport inclut une mesure de lancement, qui est un hachage cryptographique de l’état de démarrage initial d’une instance, y compris le contenu de la mémoire de l’instance initiale et l’état initial des vCPU. Le rapport SEV-SNP d'attestation AMD est signé avec une signature VCEK (sur les hôtes dédiés) ou une signature VLEK (sur une location partagée) qui renvoie à une racine de confiance AMD.
VCEK
La clé d'approbation des puces versionnées (VCEK) est une clé de signature par puce certifiée par AMD et utilisée par le processeur AMD pour signer les rapports d' SEV-SNP attestation AMD sur les hôtes dédiés. Les signatures VCEK peuvent être validées à l'aide de certificats fournis par AMD.
VLEK
La clé d'approbation chargée versionnée (VLEK) est une clé de signature versionnée certifiée par AMD et utilisée par le processeur AMD pour signer les rapports d' SEV-SNP attestation AMD sur la location partagée. Les signatures VLEK peuvent être validées à l’aide de certificats fournis par AMD.
OVMF binaire
L’OVMF (Open Virtual Machine Firmware) est le code de démarrage anticipé utilisé pour fournir un environnement UEFI à l’instance. Le code de démarrage anticipé est exécuté avant le démarrage du code de l’AMI. L’OVMF trouve et exécute également le chargeur de démarrage fourni dans l’AMI. Pour plus d’informations, consultez le référentiel OVMF
Exigences
Les exigences pour AMD SEV-SNP varient selon que vous utilisez des hôtes dédiés ou une location partagée.
Exigences relatives aux hôtes dédiés
Pour utiliser AMD SEV-SNP avec des hôtes dédiés, vous devez répondre aux exigences suivantes :
-
Utilisez l’un des types d’instance pris en charge suivants :
-
Usage général :
m6a.large|m6a.xlarge|m6a.2xlarge|m6a.4xlarge|m6a.8xlarge -
Optimisées pour le calcul :
c6a.large|c6a.xlarge|c6a.2xlarge|c6a.4xlarge|c6a.8xlarge|c6a.12xlarge|c6a.16xlarge -
Mémoire optimisée :
r6a.large|r6a.xlarge|r6a.2xlarge|r6a.4xlarge
-
-
Allouez un hôte dédié avec AMD SEV-SNP activé. Pour de plus amples informations, veuillez consulter Allouez un hôte dédié avec AMD SEV-SNP.
-
Lancez votre instance dans n'importe quelle publicité Région AWS.
-
Utilisez une AMI avec
uefiou en mode deuefi-preferreddémarrage et un système d'exploitation compatible avec AMD SEV-SNP. En effet AWS, AMD SEV-SNP est pris en charge sur AL2023, RHEL 9.3, SLES 15 SP4 et Ubuntu 23.04 et versions ultérieures.
Exigences relatives à la location partagée
Pour utiliser AMD SEV-SNP en location partagée, vous devez satisfaire aux exigences suivantes :
-
Utilisez l’un des types d’instance pris en charge suivants :
-
Usage général :
m6a.large|m6a.xlarge|m6a.2xlarge|m6a.4xlarge|m6a.8xlarge -
Optimisées pour le calcul :
c6a.large|c6a.xlarge|c6a.2xlarge|c6a.4xlarge|c6a.8xlarge|c6a.12xlarge|c6a.16xlarge -
Mémoire optimisée :
r6a.large|r6a.xlarge|r6a.2xlarge|r6a.4xlarge
-
-
Lancez votre instance dans un pays pris en charge Région AWS : USA Est (Ohio) ou Europe (Irlande).
-
Utilisez une AMI avec
uefiou en mode deuefi-preferreddémarrage et un système d'exploitation compatible avec AMD SEV-SNP. En effet AWS, AMD SEV-SNP est pris en charge sur AL2023, RHEL 9.3, SLES 15 SP4 et Ubuntu 23.04 et versions ultérieures.
Considérations
Vous ne pouvez activer AMD que SEV-SNP lorsque vous lancez une instance. Lorsque AMD SEV-SNP est activé pour le lancement de votre instance, les règles suivantes s'appliquent.
-
Une fois qu'il est activé, AMD ne SEV-SNP peut pas être désactivé. Il reste activé tout au long du cycle de vie de l’instance.
-
Vous ne pouvez modifier le type d'instance que pour un autre type d'instance compatible avec AMD SEV-SNP.
-
La veille prolongée et les enclaves Nitro ne sont pas prises en charge.
Considérations supplémentaires pour les hôtes dédiés
Les considérations supplémentaires suivantes s'appliquent lorsque vous utilisez AMD SEV-SNP avec des hôtes dédiés :
-
Les mises à jour du microprogramme sont appliquées lorsque vous allouez un hôte. Pour obtenir le dernier microprogramme, libérez l'hôte existant et allouez-en un nouveau. Pour de plus amples informations, veuillez consulter Mettre à jour le microprogramme sur un hôte SEV-SNP dédié AMD.
-
Vous pouvez lancer des instances avec ou sans AMD SEV-SNP activé sur un hôte dédié SEV-SNP compatible avec AMD.
-
Les réservations Host Resource Groups et Dedicated Host sont prises en charge.
Considérations supplémentaires relatives à la location partagée
Les considérations supplémentaires suivantes s'appliquent lorsque vous utilisez AMD SEV-SNP en location partagée :
-
Si l’hôte sous-jacent de votre instance doit faire l’objet d’une maintenance, vous recevrez une notification d’événement programmé 14 jours avant l’événement. Vous devez arrêter ou redémarrer manuellement votre instance pour la déplacer vers un nouvel hôte.
Tarification
Hôtes dédiés
L'utilisation d'AMD SEV-SNP sur des hôtes dédiés est gratuite. Vous ne payez que le tarif standard pour les hôtes dédiés. Pour plus d'informations, consultez la section Tarification des hôtes dédiés
Location partagée
Lorsque vous lancez une instance Amazon EC2 avec AMD SEV-SNP activé en location partagée, des frais d'utilisation supplémentaires vous sont facturés, équivalant à 10 % du taux On-Demand horaire du type
Si vous configurez une instance Spot pour qu'elle soit lancée avec AMD SEV-SNP activé en location partagée, des frais d'utilisation supplémentaires vous sont facturés, équivalant à 10 % du taux On-Demand horaire