Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Membuktikan EC2 instans Amazon dengan AMD SEV-SNP
Pengesahan adalah proses yang memungkinkan instans Anda membuktikan status dan identitasnya. Setelah Anda mengaktifkan AMD SEV-SNP untuk instans Anda, Anda dapat meminta laporan pengesahan AMD SEV-SNP dari prosesor yang mendasarinya. Laporan pengesahan AMD SEV-SNP berisi hash kriptografi, yang disebut pengukuran peluncuran, dari konten memori tamu awal dan status vCPU awal. Laporan pengesahan ditandatangani dengan tanda tangan VLEK yang berantai kembali ke root kepercayaan AMD. Anda dapat menggunakan pengukuran peluncuran yang disertakan dalam laporan pengesahan untuk memvalidasi bahwa instans berjalan di lingkungan AMD asli dan untuk memvalidasi kode boot awal yang digunakan untuk meluncurkan instans.
**Prasyarat**
Luncurkan instance yang diaktifkan untuk AMD SEV-SNP. Untuk informasi selengkapnya, lihat [Aktifkan AMD SEV-SNP untuk sebuah instance EC2](snp-work-launch.md).
**Topics**
+ [Langkah 1: Dapatkan laporan pengesahan](#snp-att-get-report)
+ [Langkah 2: Validasi tanda tangan laporan pengesahan](#snp-att-validate-signature)
## Langkah 1: Dapatkan laporan pengesahan
Pada langkah ini, Anda menginstal dan membangun `snpguest` utilitas, dan kemudian menggunakannya untuk meminta laporan pengesahan AMD SEV-SNP dan sertifikat.
1. Terhubung ke instans Anda.
1. Jalankan perintah berikut untuk membangun `snpguest` utilitas dari file [https://github.com/virtee/snpguest](https://github.com/virtee/snpguest).
```
$ git clone https://github.com/virtee/snpguest.git
$ cd snpguest
$ cargo build -r
$ cd target/release
```
1. Hasilkan permintaan untuk laporan pengesahan. Utilitas meminta laporan pengesahan dari host, dan menuliskannya ke file biner dengan data permintaan yang disediakan.
Contoh berikut membuat string permintaan acak, dan menggunakannya sebagai file permintaan (`request-file.txt`). Ketika perintah mengembalikan laporan pengesahan itu disimpan di jalur file yang Anda tentukan ()`report.bin`. Dalam hal ini, utilitas menyimpan laporan di direktori saat ini.
```
$ ./snpguest report report.bin request-file.txt --random
```
1. Minta sertifikat dari memori host, dan simpan sebagai file PEM. Contoh berikut menyimpan file dalam direktori yang sama dengan `snpguest` utilitas. Jika sertifikat sudah ada di direktori yang ditentukan, sertifikat tersebut akan ditimpa.
```
$ ./snpguest certificates PEM ./
```
## Langkah 2: Validasi tanda tangan laporan pengesahan
Laporan pengesahan ditandatangani dengan sertifikat, yang disebut Versioned Loaded Endorsement Key (VLEK), yang dikeluarkan oleh AMD untuk. AWS Pada langkah ini, Anda dapat memvalidasi bahwa sertifikat VLEK dikeluarkan oleh AMD, dan bahwa laporan pengesahan ditandatangani oleh sertifikat VLEK itu.
1. Unduh root sertifikat kepercayaan VLEK dari situs web resmi AMD ke direktori saat ini.
```
$ sudo curl --proto '=https' --tlsv1.2 -sSf https://kdsintf.amd.com/vlek/v1/Milan/cert_chain -o ./cert_chain.pem
```
1. Gunakan `openssl` untuk memvalidasi bahwa sertifikat VLEK ditandatangani oleh root sertifikat kepercayaan AMD.
```
$ sudo openssl verify --CAfile ./cert_chain.pem vlek.pem
```
Berikut ini adalah output contoh.
```
vlek.pem: OK
```
1. Gunakan pemanfaatan `snpguest` untuk memvalidasi bahwa laporan pengesahan ditandatangi oleh sertifikat VLEK.
```
$ ./snpguest verify attestation ./ report.bin
```
Berikut ini adalah output contoh.
```
Reported TCB Boot Loader from certificate matches the attestation report.
Reported TCB TEE from certificate matches the attestation report.
Reported TCB SNP from certificate matches the attestation report.
Reported TCB Microcode from certificate matches the attestation report.
VEK signed the Attestation Report!
```