Amazon EC2 での AMD SEV-SNP - Amazon Elastic Compute Cloud
概念と用語要件考慮事項料金

Amazon EC2 での AMD SEV-SNP

AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP) は、以下の特性を持つ CPU 機能です。

  • 認証 — AMD SEV-SNP を使用すると、インスタンスの状態と ID の検証に使用できる暗号化手段を含む署名済みの認証レポートを取得できます。また、正規の AMD ハードウェアで実行されていることも確認できます。詳細については、「AMD SEV-SNP による認証」を参照してください。

  • メモリの暗号化 — AMD EPYC (Milan)、AWS Graviton2、Intel Xeon Scalable (Ice Lake) プロセッサ以降の CPU では、インスタンスメモリは常に暗号化されます。AMD SEV-SNP が有効になっているインスタンスは、メモリ暗号化にインスタンス固有のキーを使用します。

概念と用語

AMD SEV-SNP の使用を開始する前に、次の概念と用語を理解しておきます。

AMD SEV-SNP 認証レポート

AMD SEV-SNP 認証レポートは、インスタンスが CPU に要求できる文書です。AMD SEV-SNP 認証レポートを使用して、インスタンスの状態と ID を検証し、認可された AMD 環境で実行されていることを確認できます。レポートには起動測定値が含まれます。起動測定とは、インスタンスの初期起動状態の暗号化ハッシュであり、初期インスタンスのメモリ内容と vCPU の初期状態が含まれます。AMD SEV-SNP 認証レポートには、AMD のルートオブトラストに紐づく VLEK 署名が署名されています。

VLEK

バージョニングロードエンドースメントキー (VLEK) は、AMD が認定したバージョン付きの署名キーで、AMD CPU が AMD SEV-SNP 認証レポートに署名する際に使用します。VLEK 署名は、AMD が提供する証明書を使用して検証できます。

OVMF バイナリ

オープン仮想マシンファームウェア (OVMF) は、インスタンスに UEFI 環境を提供するために使用されるアーリーブートコードです。アーリーブートコードは、AMI のコードが起動する前に実行されます。また、OVMF は AMI で提供されるブートローダーを見つけて実行します。詳細については、「OVMF リポジトリ」を参照してください。

要件

AMD SEV-SNP を使用するには、以下の操作を行う必要があります。

  • 以下のサポートされているインスタンスタイプのいずれかを使用します。

    • 汎用:: m6a.large | m6a.xlarge | m6a.2xlarge | m6a.4xlarge | m6a.8xlarge

    • コンピューティングの最適化:: c6a.large | c6a.xlarge | c6a.2xlarge | c6a.4xlarge | c6a.8xlarge | c6a.12xlarge | c6a.16xlarge

    • メモリの最適化:: r6a.large | r6a.xlarge | r6a.2xlarge | r6a.4xlarge

  • サポートされている AWS リージョン でインスタンスを起動します。現在、米国東部 (オハイオ) と欧州 (アイルランド) のみがサポートされています。

  • AMI は、uefi または uefi-preferred ブートモードおよび。AMD SEV-SNP をサポートするオペレーティングシステムで使用してください。ご使用のオペレーティングシステムでの AMD SEV-SNP サポートの詳細については、それぞれのオペレーティングシステムのマニュアルを参照してください。AWS については、AMD SEV-SNP は AL2023、RHEL 9.3、SLES 15 SP4、および Ubuntu 23.04 以降でサポートされています。

考慮事項

AMD SEV-SNP は、インスタンスの起動時にのみ有効にできます。インスタンスの起動時に AMD SEV-SNP がオンになっている場合は、次のルールが適用されます。

  • AMD SEV-SNP をオフにすることはできません。インスタンスのライフサイクル全体を通してオンのままになります。

  • インスタンスタイプの変更は、AMD SEV-SNP をサポートする別のインスタンスタイプへのみ可能です。

  • 休止と Nitro Enclaves はサポートされていません。

  • 専有ホストはサポートされていません。

  • インスタンスの基盤となるホストがメンテナンスの予定になっている場合は、イベントの 14 日前に予定されているイベント通知が届きます。インスタンスを新しいホストに移動するには、インスタンスを手動で停止または再起動する必要があります。

料金

AMD SEV-SNP を有効にして Amazon EC2 インスタンスを起動すると、選択したインスタンスタイプのオンデマンド時間料金の 10 パーセントに相当する追加の時間単位使用料が請求されます。

この AMD SEV-SNP 使用料は、Amazon EC2 インスタンスの使用料とは別に請求されます。リザーブドインスタンス、Savings Plans、およびオペレーティングシステムの使用量はこの料金に影響しません。

AMD SEV-SNP を有効にしてスポットインスタンスを起動するように設定すると、選択したインスタンスタイプのオンデマンド時間料金の 10% に相当する追加の時間単位使用料が請求されます。配分戦略で価格を入力として使用する場合、スポットフリートにはこの追加料金は含まれず、スポット料金のみが使用されます。