Amazon EC2 上的 AMD SEV-SNP
AMD 安全加密虚拟化–安全嵌套分页(AMD SEV-SNP)CPU 功能具有以下属性:
-
证明 – AMD SEV-SNP 使您能够检索已签名的证明报告,其中包含可用于验证实例状态和身份并证明实例在正版 AMD 硬件上运行的加密措施。有关更多信息,请参阅 使用 AMD SEV-SNP 证明。
-
内存加密 – 从 AMD EPYC(米兰)、AWS Graviton2 和英特尔至强可扩展(Ice Lake)处理器开始,实例内存始终是加密的。启用 AMD SEV-SNP 的实例使用实例特定的密钥进行内存加密。
概念和术语
在开始使用 AMD SEV-SNP 之前,请先熟悉以下概念和术语。
AMD SEV-SNP 证明报告
AMD SEV-SNP 证明报告是实例可以请求 CPU 提供的一种文档。AMD SEV-SNP 证明报告可用于验证实例的状态和身份,以及验证实例是否在认可的 AMD 环境中运行。证明报告包括一项启动指标,该指标是实例初始引导状态的加密哈希值,其中包括其初始实例内存内容和 vCPU 的初始状态。AMD SEV-SNP 证明报告采用 VLEK 签名签署,该签名可回链至 AMD 信任根。
VLEK
版本控制加载认可密钥(VLEK)是 AMD 认证的一种版本控制签名密钥,由 AMD CPU 用于签署 AMD SEV-SNP 证明报告。VLEK 签名可通过 AMD 提供的证书来进行验证。
OVMF 二进制文件
开放虚拟机固件(OVMF)是用于为实例提供 UEFI 环境的早期启动代码。早期启动代码将早于 AMI 中的代码启动运行。OVMF 还将查找并运行 AMI 中提供的引导加载程序。有关更多信息,请参阅 OVMF 存储库
要求
要使用 AMD SEV-SNP,您必须执行以下操作:
-
使用以下任何一种支持的实例类型:
-
通用型:
m6a.large|m6a.xlarge|m6a.2xlarge|m6a.4xlarge|m6a.8xlarge -
计算优化型:
c6a.large|c6a.xlarge|c6a.2xlarge|c6a.4xlarge|c6a.8xlarge|c6a.12xlarge|c6a.16xlarge -
内存优化型:
r6a.large|r6a.xlarge|r6a.2xlarge|r6a.4xlarge
-
-
在支持的 AWS 区域中启动实例。目前仅支持美国东部(俄亥俄州)和欧洲地区(爱尔兰)区域。
-
使用带有
uefi或uefi-preferred启动模式的 AMI 以及支持 AMD SEV-SNP 的操作系统。要详细了解操作系统对 AMD SEV-SNP 的支持,请参阅相应操作系统的文档。对于 AWS,AL2023、RHEL 9.3 SLES 15 SP4 以及 Ubuntu 23.04 和更高版本都支持 AMD SEV-SNP。
注意事项
您只能在启动实例时开启 AMD SEV-SNP。如果在实例启动时开启 AMD SEV-SNP,则以下规则适用。
-
无法关闭 AMD SEV-SNP。其在整个实例生命周期中保持开启状态。
-
您只能将实例类型更改为支持 AMD SEV-SNP 的其他实例类型。
-
不支持休眠和 Nitro Enclaves。
-
不支持专属主机。
-
如果实例的底层主机计划进行维护,您将在该事件发生前 14 天收到计划事件通知。您必须手动停止或重启实例,然后才能将其迁移到新主机。
定价
启动 Amazon EC2 实例并开启 AMD SEV-SNP 时,您需要按小时支付额外的使用费,费率为所选实例类型 按需小时费率
此 AMD SEV-SNP 使用费将按您的 Amazon EC2 实例使用量单独收取。预留实例、Savings Plans 和操作系统使用情况不会影响此费用。
如果将竞价型实例配置为启动并打开 AMD SEV-SNP,您需要按小时支付额外的使用费,费率为所选实例类型按需小时费率
