本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon EC2 執行個體的 AMD SEV-SNP
AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP) 是一項 CPU 功能,可提供下列屬性:
-
認證 – AMD SEV-SNP 可讓您擷取已簽署的認證報告,其中包含可用於驗證執行個體狀態和身分的密碼編譯措施,並且其正在真正的 AMD 硬體上執行。如需詳細資訊,請參閱使用 AMD SEV-SNP 來認證 Amazon EC2 執行個體。
-
記憶體加密 – 從 AMD EPYC (米蘭)、 AWS Graviton2 和 Intel Xeon 可擴充 (Ice Lake) 處理器開始,執行個體記憶體一律會加密。
您可以搭配專用主機或共用租用使用 AMD SEV-SNP。
概念和術語
在開始使用 AMD SEV-SNP 之前,請確保您已熟悉下列概念和術語。
AMD SEV-SNP 認證報告
AMD SEV-SNP 認證報告是執行個體可向 CPU 請求的文件。AMD SEV-SNP 認證報告可用於驗證執行個體的狀態和身分,以及確認執行個體是否在准許的 AMD 環境中執行。該報告包含啟動測量,這是執行個體初始啟動狀態的密碼編譯雜湊,包含其初始執行個體記憶體內容和 vCPU 的初始狀態。AMD SEV-SNP 認證報告會使用 VCEK 簽章 (在專用主機上) 或 VLEK 簽章 (在共用租用上) 簽署,該簽章會鏈結回信任的 AMD 根目錄。
VCEK
版本化晶片背書金鑰 (VCEK) 是每個晶片簽署金鑰,經過 AMD 認證,並由 AMD CPU 用來簽署專用主機的 AMD SEV-SNP 認證報告。VCEK 簽章可以使用 AMD 提供的憑證進行驗證。
VLEK
Versioned Loaded Endorsement Key (VLEK) 是一種版本控制的簽署金鑰,經過 AMD 認證,並由 AMD CPU 用來簽署共用租用的 AMD SEV-SNP 認證報告。可以使用 AMD 提供的憑證來驗證 VLEK 簽章。
OVMF 二進位
Open Virtual Machine Firmware (OVMF) 是用來為執行個體提供 UEFI 環境的早期開機程式碼。早期開機程式碼在 AMI 中的程式碼啟動之前執行。OVMF 也會尋找並執行 AMI 中提供的開機載入器。更多詳細資訊,請參閱 OVMF 儲存庫
要求
AMD SEV-SNP 的需求取決於您使用的是專用主機或共用租用。
專用主機的需求
若要搭配專用主機使用 AMD SEV-SNP,您必須符合下列要求:
-
使用下列其中一個支援的執行個體類型:
-
一般用途:
m6a.large|m6a.xlarge|m6a.2xlarge|m6a.4xlarge|m6a.8xlarge -
運算優化:
c6a.large|c6a.xlarge|c6a.2xlarge|c6a.4xlarge|c6a.8xlarge|c6a.12xlarge|c6a.16xlarge -
記憶體優化:
r6a.large|r6a.xlarge|r6a.2xlarge|r6a.4xlarge
-
-
配置已啟用 AMD SEV-SNP 的專用主機。如需詳細資訊,請參閱使用 AMD SEV-SNP 配置專用主機。
-
在任何商業環境中啟動您的執行個體 AWS 區域。
-
使用具有
uefi或uefi-preferred開機模式的 AMI,以及支援 AMD SEV-SNP 的作業系統。針對 AWS,在 AL2023、RHEL 9.3、SLES 15 SP4 和 Ubuntu 23.04 與更新版本上支援 AMD SEV-SNP。
共用租用的需求
若要搭配共用租用使用 AMD SEV-SNP,您必須符合下列要求:
-
使用下列其中一個支援的執行個體類型:
-
一般用途:
m6a.large|m6a.xlarge|m6a.2xlarge|m6a.4xlarge|m6a.8xlarge -
運算優化:
c6a.large|c6a.xlarge|c6a.2xlarge|c6a.4xlarge|c6a.8xlarge|c6a.12xlarge|c6a.16xlarge -
記憶體優化:
r6a.large|r6a.xlarge|r6a.2xlarge|r6a.4xlarge
-
-
在支援的 中啟動執行個體 AWS 區域:美國東部 (俄亥俄) 或歐洲 (愛爾蘭)。
-
使用具有
uefi或uefi-preferred開機模式的 AMI,以及支援 AMD SEV-SNP 的作業系統。針對 AWS,在 AL2023、RHEL 9.3、SLES 15 SP4 和 Ubuntu 23.04 與更新版本上支援 AMD SEV-SNP。
考量事項
您僅可在啟動執行個體時啟用 AMD SEV-SNP。在為執行個體啟動啟用 AMD SEV-SNP 時,將適用以下規則。
-
啟用後,便無法停用 AMD SEV-SNP。其在整個執行個體生命週期中皆會保持啟用狀態。
-
您僅可變更執行個體類型為其他支援 AMD SEV-SNP 的執行個體類型。
-
不支援 Hibernation 和 Nitro Enclaves。
專用主機的其他考量事項
當您搭配專用主機使用 AMD SEV-SNP 時,適用下列額外考量:
-
當您配置主機時,會套用韌體更新。若要取得最新的韌體,請釋出現有的主機並配置新的主機。如需詳細資訊,請參閱更新 AMD SEV-SNP 專用主機上的韌體。
-
您可以在支援 AMD SEV-SNP 的專用主機上啟動啟用或停用 AMD SEV-SNP 的執行個體。
-
支援主機資源群組和專用主機預留。
共用租用的其他考量事項
當您搭配共用租用使用 AMD SEV-SNP 時,適用下列其他考量事項:
-
如果執行個體的基礎主機已排定進行維護,則您將在事件發生前 14天收到排定的事件通知。您必須手動停止或重新啟動執行個體,才能將其移至新主機。
定價
專用執行個體
在專用主機上使用 AMD SEV-SNP 無需額外費用。您只需支付標準專用主機定價。如需詳細資訊,請參閱專用主機定價
共用租用
當您在共用租用上啟用 AMD SEV-SNP 的情況下啟動 Amazon EC2 執行個體時,需支付額外的每小時使用費,相當於所選執行個體類型的隨需每小時費率
如果您將 Spot 執行個體設定為在共用租用上啟用 AMD SEV-SNP 時啟動,則需支付額外的每小時使用費,相當於所選執行個體類型隨需每小時費率