本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMDSEV-SNP 適用於 Amazon EC2 實例
AMD安全加密虛擬化-安全巢狀分頁 (AMDSEV-SNP) 是提供下列屬性的CPU功能:
-
驗證 — AMD SEV-可SNP讓您擷取已簽署的驗證報告,其中包含可用來驗證執行個體狀態和識別的密碼編譯測量,以及執行個體是否在正版硬體上執行。AMD如需詳細資訊,請參閱 用 AMD SEV-證明一個 Amazon EC2 實例-SNP。
-
記憶體加密 — 從 AMD EPYC (米蘭)、 AWS 引力通 2 和 Intel Xeon 可擴充 (冰湖) 處理器開始,執行個體記憶體一律會加密。啟用的執行個體 AMD SEV-SNP 使用執行個體特定金鑰進行記憶體加密。
概念和術語
在開始使用 AMD SEV-之前SNP,請確定您已熟悉下列概念和術語。
AMDSEV-SNP 驗證報告
AMDSEV-SNP 驗證報告是執行個體可從中要求的文件。CPUAMDSEV-驗SNP證報告可用來驗證執行個體的狀態和識別,以及確認AMD執行個體是否在已驗證的環境中執行。報告包含啟動測量值,這是執行個體初始啟動狀態的密碼編譯雜湊,包括其初始執行個體記憶體內容和. vCPUs AMDSEV-SNP 驗證報告會使用可鏈結回信任AMD根的簽VLEK章來簽署。
VLEK
版本化的已載入背書金鑰 (VLEK) 是版本化的簽署金鑰,由認證AMD並由用於簽署 AMD SEV-SNP 驗證報告。AMD CPUVLEK簽名可以使用提供的證書進行驗證AMD。
OVMF二進制
開啟虛擬機器韌體 (OVMF) 是用來提供執行個體UEFI環境的早期開機程式碼。早期開機程式碼會在啟動程式碼之前執行。AMIOVMF也會尋找並執行中提供的開機載入程式AMI。如需詳細資訊,請參閱存OVMF放庫
要求
要使用 AMD SEV-SNP,您必須執行以下操作:
-
使用下列其中一個支援的執行個體類型:
-
一般用途:
m6a.large|m6a.xlarge|m6a.2xlarge|m6a.4xlarge|m6a.8xlarge -
運算優化:
c6a.large|c6a.xlarge|c6a.2xlarge|c6a.4xlarge|c6a.8xlarge|c6a.12xlarge|c6a.16xlarge -
記憶體優化:
r6a.large|r6a.xlarge|r6a.2xlarge|r6a.4xlarge
-
-
在支援的情況下啟動執行個體 AWS 區域。目前僅支援美國東部 (俄亥俄) 和歐洲 (愛爾蘭)。
-
使用AMI帶
uefi或uefi-preferred啟動模式以及支持 AMD SEV-的操作系統SNP。如需有關AMDSEV作業系統SNP支援的詳細資訊,請參閱個別作業系統的說明文件。對於 AWS,AMDSEV-SNP 在 AL2 023、RHEL 9.3 SP4、SLES 15 和更新版本上支援。
考量事項
您只能在啟動執行個體SNP時啟用 AMD SEV-。啟用執行個體啟動時 AMDSEV,會套用下列規則。SNP
-
一旦啟用,AMDSEV-不SNP能被禁用。它在整個例證生命週期中保持啟用狀態
-
您只能將例證類型變更為支援 AMD SEV-的其他例證類型SNP。
-
不支援休眠和硝基飛地。
-
不支援專用主機。
-
如果執行個體的基礎主機已排程進行維護,您將在事件發生前 14 天收到排定的事件通知。您必須手動停止或重新啟動執行個體,才能將其移至新主機。
定價
當您SNP啟用 AMD SEV-的 Amazon EC2 執行個體時,系統會向您收取額外的小時使用費,相當於所選執行個體類型隨需小時費率
這 AMD SEV-SNP 使用費是對您的 Amazon EC2 執行個體使用量另外收取費用。預留執行個體、Savings Plans 和作業系統用量不會影響此費用。
如果您將競價型執行個體設定為SNP啟用 AMDSEV- 啟用,則需要支付額外的小時使用費,相當於所選執行個體類型隨需小時費率
