Amazon EC2 인스턴스용 AMD SEV-SNP - Amazon Elastic Compute Cloud
개념 및 용어요구 사항고려 사항요금

Amazon EC2 인스턴스용 AMD SEV-SNP

AMD SEV-SNP(AMD Secure Encrypted Virtualization-Secure Nested Paging)는 CPU 기능으로, 다음과 같은 속성을 제공합니다.

  • 증명 - AMD SEV-SNP를 사용하면 인스턴스의 상태와 ID를 검증하는 데 사용할 수 있는 암호화 측정값이 포함된 서명된 증명 보고서를 검색하고, 정품 AMD 하드웨어에서 실행되고 있음을 확인할 수 있습니다. 자세한 내용은 AMD SEV-SNP로 Amazon EC2 인스턴스 증명 단원을 참조하십시오.

  • 메모리 암호화 - AMD EPYC(Milan), AWS Graviton2 및 인텔 제온 스케일러블(Ice Lake) 프로세서부터 인스턴스 메모리는 항상 암호화됩니다. AMD SEV-SNP에 대해 활성화된 인스턴스는 메모리 암호화에 인스턴스별 키를 사용합니다.

주제

개념 및 용어

AMD SEV-SNP를 사용하기 전에 다음 개념과 용어를 숙지해야 합니다.

AMD SEV-SNP 증명 보고서

AMD SEV-SNP 증명 보고서는 인스턴스가 CPU에 요청할 수 있는 문서입니다. AMD SEV-SNP 증명 보고서는 인스턴스의 상태와 ID를 검증하고 승인된 AMD 환경에서 실행 중인지 확인하는 데 사용할 수 있습니다. 보고서에는 초기 인스턴스 메모리 콘텐츠 및 vCPU의 초기 상태를 포함하여 인스턴스의 초기 부팅 상태에 대한 암호화 해시인 시작 측정값이 포함됩니다. AMD SEV-SNP 증명 보고서에는 AMD의 신뢰 루트에 다시 연결되는 VLEK 서명이 포함되어 있습니다.

VLEK

VLEK(Versioned Loaded Endorsement Key)는 AMD에서 인증하고 AMD CPU에서 AMD SEV-SNP 증명 보고서에 서명하는 데 사용하는 버전이 지정된 서명 키입니다. VLEK 서명은 AMD에서 제공하는 인증서를 사용하여 확인할 수 있습니다.

OVMF 이진수

OVMF(Open Virtual Machine Firmware)는 인스턴스에 대한 UEFI 환경을 제공하는 데 사용되는 초기 부팅 코드입니다. 초기 부팅 코드는 AMI의 코드가 부팅되기 전에 실행됩니다. 또한 OVMF는 AMI에 제공된 부트 로더를 찾아 실행합니다. 자세한 내용은 OVMF 리포지토리를 참조하세요.

요구 사항

AMD SEV-SNP를 사용하려면 다음을 수행해야 합니다.

  • 지원되는 인스턴스 유형 중 하나를 사용해야 합니다.

    • 범용: m6a.large | m6a.xlarge | m6a.2xlarge | m6a.4xlarge | m6a.8xlarge

    • 컴퓨팅 최적화: c6a.large | c6a.xlarge | c6a.2xlarge | c6a.4xlarge | c6a.8xlarge | c6a.12xlarge | c6a.16xlarge

    • 메모리 최적화: r6a.large | r6a.xlarge | r6a.2xlarge | r6a.4xlarge

  • 지원되는 AWS 리전에서 인스턴스를 시작합니다. 현재는 미국 동부(오하이오)와 유럽(아일랜드)만 지원됩니다.

  • uefi 또는 uefi-preferred 부팅 모드의 AMI와 AMD SEV-SNP를 지원하는 운영 체제를 사용하세요. 운영 체제의 AMD SEV-SNP 지원에 관한 자세한 내용은 해당 운영 체제의 설명서를 참조하세요. AWS의 경우 AMD SEV-SNP는 AL2023, RHEL 9.3, SLES 15 SP4 및 Ubuntu 23.04 이상에서 지원됩니다.

고려 사항

AMD SEV-SNP는 인스턴스를 시작할 때만 활성화할 수 있습니다. 인스턴스 시작에 대해 AMD SEV-SNP가 활성화되어 있으면 다음 규칙이 적용됩니다.

  • 활성화되면 AMD SEV-SNP를 비활성화할 수 없습니다. 인스턴스 수명 주기 동안 활성화됩니다.

  • AMD SEV-SNP를 지원하는 다른 인스턴스 유형으로만 인스턴스 유형을 변경할 수 있습니다.

  • 최대 절전 및 Nitro Enclaves는 지원되지 않습니다.

  • 전용 호스트는 지원되지 않습니다.

  • 인스턴스의 기본 호스트가 유지 관리 일정이 예정된 경우 이벤트 14일 전에 예약된 이벤트 알림을 받게 됩니다. 인스턴스를 새 호스트로 이동하려면 인스턴스를 수동으로 중지하거나 다시 시작해야 합니다.

요금

AMD SEV-SNP가 활성화된 상태에서 Amazon EC2 인스턴스를 시작하면 선택한 인스턴스 유형의 온디맨드 시간당 요금의 10% 에 해당하는 추가 시간당 사용 요금이 부과됩니다.

이 AMD SEV-SNP 사용 요금은 Amazon EC2 인스턴스 사용에 대한 별도의 요금입니다. 예약 인스턴스, 절감형 플랜 및 운영 체제 사용량은 이 요금에 영향을 미치지 않습니다.

AMD SEV-SNP가 활성화된 상태에서 스팟 인스턴스를 시작하도록 구성하면 선택한 인스턴스 유형의 온디맨드 시간당 요금의 10% 에 해당하는 시간당 사용 요금이 추가로 부과됩니다. 할당 전략에서 가격을 입력으로 사용하는 경우 스팟 플릿에는 이 추가 요금이 포함되지 않습니다. 스팟 가격만 사용됩니다.