本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP) 是一項 CPU 功能,可提供下列屬性:
-
認證 – AMD SEV-SNP 可讓您擷取已簽署的認證報告,其中包含可用來驗證執行個體的狀態和身分的加密措施,以及是否在正版 AMD 硬體上執行。如需詳細資訊,請參閱使用 AMD SEV-SNP 來認證 Amazon EC2 執行個體。
-
記憶體加密 – 從 AMD EPYC (米蘭)、 AWS Graviton2 和 Intel Xeon Scalable (Ice Lake) 處理器開始,執行個體記憶體一律會加密。為 AMD SEV-SNP 啟用的執行個體會使用執行個體特定金鑰進行記憶體加密。
概念和術語
在開始使用 AMD SEV-SNP 之前,請確保您已熟悉下列概念和術語。
AMD SEV-SNP 認證報告
AMD SEV-SNP 認證報告是執行個體可向 CPU 請求的文件。AMD SEV-SNP 認證報告可用於驗證執行個體的狀態和身分,以及確認執行個體是否在准許的 AMD 環境中執行。該報告包含啟動測量,這是執行個體初始啟動狀態的密碼編譯雜湊,包含其初始執行個體記憶體內容和 vCPU 的初始狀態。AMD SEV-SNP 認證報告採用 VLEK 簽章進行簽署,可以鏈接回 AMD 信任根源。
VLEK
Versioned Loaded Endorsement Key (VLEK) 是由 AMD 認證的版本化簽署金鑰,並由 AMD CPU 用來簽署 AMD SEV-SNP 認證報告。可以使用 AMD 提供的憑證來驗證 VLEK 簽章。
OVMF 二進位
Open Virtual Machine Firmware (OVMF) 是用來為執行個體提供 UEFI 環境的早期開機程式碼。早期開機程式碼在 AMI 中的程式碼啟動之前執行。OVMF 也會尋找並執行 AMI 中提供的開機載入器。更多詳細資訊,請參閱 OVMF 儲存庫
要求
若要使用 AMD SEV-SNP,必須執行下列動作:
-
使用下列其中一個支援的執行個體類型:
-
一般用途:
m6a.large|m6a.xlarge|m6a.2xlarge|m6a.4xlarge|m6a.8xlarge -
運算優化:
c6a.large|c6a.xlarge|c6a.2xlarge|c6a.4xlarge|c6a.8xlarge|c6a.12xlarge|c6a.16xlarge -
記憶體優化:
r6a.large|r6a.xlarge|r6a.2xlarge|r6a.4xlarge
-
-
在支援的 中啟動執行個體 AWS 區域。目前僅支援美國東部 (俄亥俄) 和歐洲 (愛爾蘭)。
-
使用具有
uefi或uefi-preferred開機模式的 AMI,以及支援 AMD SEV-SNP 的作業系統。如需有關作業系統上 AMD SEV-SNP 支援的詳細資訊,請參閱各自的作業系統文件。針對 AWS,在 AL2023、RHEL 9.3、SLES 15 SP4 和 Ubuntu 23.04 與更新版本上支援 AMD SEV-SNP。
考量事項
您僅可在啟動執行個體時啟用 AMD SEV-SNP。在為執行個體啟動啟用 AMD SEV-SNP 時,將適用以下規則。
-
啟用後,便無法停用 AMD SEV-SNP。其在整個執行個體生命週期中皆會保持啟用狀態。
-
您僅可變更執行個體類型為其他支援 AMD SEV-SNP 的執行個體類型。
-
不支援 Hibernation 和 Nitro Enclaves。
-
不支援專用主機。
-
如果執行個體的基礎主機已排定進行維護,則您將在事件發生前 14天收到排定的事件通知。您必須手動停止或重新啟動執行個體,才能將其移至新主機。
定價
在開啟 AMD SEV-SNP 的情形下啟用 Amazon EC2 執行個體時,需支付額外的小時用量費,相當於所選執行個體類型隨需小時費率
此 AMD SEV-SNP 用量費是針對 Amazon EC2 執行個體之用量而單獨收取的費用。預留執行個體、Savings Plans 和作業系統用量不會影響此費用。
如果將 Spot 執行個體設定為在啟用 AMD SEV-SNP 的情形下啟動,則需要支付額外的小時用量費,相當於所選執行個體類型隨需小時費率
