View a markdown version of this page

Amazon EC2 執行個體的 AMD SEV-SNP - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon EC2 執行個體的 AMD SEV-SNP

AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP) 是一項 CPU 功能,可提供下列屬性:

  • 認證 – AMD SEV-SNP 可讓您擷取已簽署的認證報告,其中包含可用於驗證執行個體狀態和身分的密碼編譯措施,並且其正在真正的 AMD 硬體上執行。如需詳細資訊,請參閱使用 AMD SEV-SNP 來認證 Amazon EC2 執行個體

  • 記憶體加密 – 從 AMD EPYC (米蘭)、 AWS Graviton2 和 Intel Xeon 可擴充 (Ice Lake) 處理器開始,執行個體記憶體一律會加密。

您可以搭配專用主機或共用租用使用 AMD SEV-SNP。

概念和術語

在開始使用 AMD SEV-SNP 之前,請確保您已熟悉下列概念和術語。

AMD SEV-SNP 認證報告

AMD SEV-SNP 認證報告是執行個體可向 CPU 請求的文件。AMD SEV-SNP 認證報告可用於驗證執行個體的狀態和身分,以及確認執行個體是否在准許的 AMD 環境中執行。該報告包含啟動測量,這是執行個體初始啟動狀態的密碼編譯雜湊,包含其初始執行個體記憶體內容和 vCPU 的初始狀態。AMD SEV-SNP 認證報告會使用 VCEK 簽章 (在專用主機上) 或 VLEK 簽章 (在共用租用上) 簽署,該簽章會鏈結回信任的 AMD 根目錄。

VCEK

版本化晶片背書金鑰 (VCEK) 是每個晶片簽署金鑰,經過 AMD 認證,並由 AMD CPU 用來簽署專用主機的 AMD SEV-SNP 認證報告。VCEK 簽章可以使用 AMD 提供的憑證進行驗證。

VLEK

Versioned Loaded Endorsement Key (VLEK) 是一種版本控制的簽署金鑰,經過 AMD 認證,並由 AMD CPU 用來簽署共用租用的 AMD SEV-SNP 認證報告。可以使用 AMD 提供的憑證來驗證 VLEK 簽章。

OVMF 二進位

Open Virtual Machine Firmware (OVMF) 是用來為執行個體提供 UEFI 環境的早期開機程式碼。早期開機程式碼在 AMI 中的程式碼啟動之前執行。OVMF 也會尋找並執行 AMI 中提供的開機載入器。更多詳細資訊,請參閱 OVMF 儲存庫

要求

AMD SEV-SNP 的需求取決於您使用的是專用主機或共用租用。

專用主機的需求

若要搭配專用主機使用 AMD SEV-SNP,您必須符合下列要求:

  • 使用下列其中一個支援的執行個體類型:

    • 一般用途m6a.large | m6a.xlarge | m6a.2xlarge | m6a.4xlarge | m6a.8xlarge

    • 運算優化c6a.large | c6a.xlarge | c6a.2xlarge | c6a.4xlarge | c6a.8xlarge | c6a.12xlarge | c6a.16xlarge

    • 記憶體優化r6a.large | r6a.xlarge | r6a.2xlarge | r6a.4xlarge

  • 配置已啟用 AMD SEV-SNP 的專用主機。如需詳細資訊,請參閱使用 AMD SEV-SNP 配置專用主機

  • 在任何商業環境中啟動您的執行個體 AWS 區域。

  • 使用具有 uefiuefi-preferred 開機模式的 AMI,以及支援 AMD SEV-SNP 的作業系統。針對 AWS,在 AL2023、RHEL 9.3、SLES 15 SP4 和 Ubuntu 23.04 與更新版本上支援 AMD SEV-SNP。

共用租用的需求

若要搭配共用租用使用 AMD SEV-SNP,您必須符合下列要求:

  • 使用下列其中一個支援的執行個體類型:

    • 一般用途m6a.large | m6a.xlarge | m6a.2xlarge | m6a.4xlarge | m6a.8xlarge

    • 運算優化c6a.large | c6a.xlarge | c6a.2xlarge | c6a.4xlarge | c6a.8xlarge | c6a.12xlarge | c6a.16xlarge

    • 記憶體優化r6a.large | r6a.xlarge | r6a.2xlarge | r6a.4xlarge

  • 在支援的 中啟動執行個體 AWS 區域:美國東部 (俄亥俄) 或歐洲 (愛爾蘭)。

  • 使用具有 uefiuefi-preferred 開機模式的 AMI,以及支援 AMD SEV-SNP 的作業系統。針對 AWS,在 AL2023、RHEL 9.3、SLES 15 SP4 和 Ubuntu 23.04 與更新版本上支援 AMD SEV-SNP。

考量事項

您僅可在啟動執行個體時啟用 AMD SEV-SNP。在為執行個體啟動啟用 AMD SEV-SNP 時,將適用以下規則。

  • 啟用後,便無法停用 AMD SEV-SNP。其在整個執行個體生命週期中皆會保持啟用狀態。

  • 您僅可變更執行個體類型為其他支援 AMD SEV-SNP 的執行個體類型。

  • 不支援 Hibernation 和 Nitro Enclaves。

專用主機的其他考量事項

當您搭配專用主機使用 AMD SEV-SNP 時,適用下列額外考量:

  • 當您配置主機時,會套用韌體更新。若要取得最新的韌體,請釋出現有的主機並配置新的主機。如需詳細資訊,請參閱更新 AMD SEV-SNP 專用主機上的韌體

  • 您可以在支援 AMD SEV-SNP 的專用主機上啟動啟用或停用 AMD SEV-SNP 的執行個體。

  • 支援主機資源群組和專用主機預留。

共用租用的其他考量事項

當您搭配共用租用使用 AMD SEV-SNP 時,適用下列其他考量事項:

  • 如果執行個體的基礎主機已排定進行維護,則您將在事件發生前 14天收到排定的事件通知。您必須手動停止或重新啟動執行個體,才能將其移至新主機。

定價

專用執行個體

在專用主機上使用 AMD SEV-SNP 無需額外費用。您只需支付標準專用主機定價。如需詳細資訊,請參閱專用主機定價

共用租用

當您在共用租用上啟用 AMD SEV-SNP 的情況下啟動 Amazon EC2 執行個體時,需支付額外的每小時使用費,相當於所選執行個體類型的隨需每小時費率的 10%。此 AMD SEV-SNP 用量費是針對 Amazon EC2 執行個體之用量而單獨收取的費用。預留執行個體、Savings Plans 和作業系統用量不會影響此費用。

如果您將 Spot 執行個體設定為在共用租用上啟用 AMD SEV-SNP 時啟動,則需支付額外的每小時使用費,相當於所選執行個體類型隨需每小時費率的 10%。如果配置策略使用價格作為輸入,則 Spot 機群不包含此額外費用;僅使用 Spot 價格。