本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# Amazon EC2 執行個體的 AMD SEV-SNP
<a name="sev-snp"></a>

AMD Secure Encrypted Virtualization-Secure Nested Paging (AMD SEV-SNP) 是一項 CPU 功能，可提供下列屬性：
+ **認證** – AMD SEV-SNP 可讓您擷取已簽署的認證報告，其中包含可用來驗證執行個體的狀態和身分的加密措施，以及是否在正版 AMD 硬體上執行。如需詳細資訊，請參閱[使用 AMD SEV-SNP 來認證 Amazon EC2 執行個體](snp-attestation.md)。
+ **記憶體加密** – 從 AMD EPYC （米蘭）、 AWS Graviton2 和 Intel Xeon 可擴充 (Ice Lake) 處理器開始，執行個體記憶體一律會加密。為 AMD SEV-SNP 啟用的執行個體會使用執行個體特定金鑰進行記憶體加密。

**Topics**
+ [概念和術語](#snp-concepts)
+ [要求](#snp-requirements)
+ [考量事項](#snp-considerations)
+ [定價](#snp-pricing)
+ [尋找支援的執行個體類型](snp-find-instance-types.md)
+ [啟用 AMD SEV-SNP](snp-work-launch.md)
+ [使用 AMD SEV-SNP 進行認證](snp-attestation.md)

## 概念和術語
<a name="snp-concepts"></a>

在開始使用 AMD SEV-SNP 之前，請確保您已熟悉下列概念和術語。

**AMD SEV-SNP 認證報告**  
AMD SEV-SNP 認證報告是執行個體可向 CPU 請求的文件。AMD SEV-SNP 認證報告可用於驗證執行個體的狀態和身分，以及確認執行個體是否在准許的 AMD 環境中執行。該報告包含啟動測量，這是執行個體初始啟動狀態的密碼編譯雜湊，包含其初始執行個體記憶體內容和 vCPU 的初始狀態。AMD SEV-SNP 認證報告採用 VLEK 簽章進行簽署，可以鏈接回 AMD 信任根源。

**VLEK**  
Versioned Loaded Endorsement Key (VLEK) 是由 AMD 認證的版本化簽署金鑰，並由 AMD CPU 用來簽署 AMD SEV-SNP 認證報告。可以使用 AMD 提供的憑證來驗證 VLEK 簽章。

**OVMF 二進位**  
Open Virtual Machine Firmware (OVMF) 是用來為執行個體提供 UEFI 環境的早期開機程式碼。早期開機程式碼在 AMI 中的程式碼啟動之前執行。OVMF 也會尋找並執行 AMI 中提供的開機載入器。更多詳細資訊，請參閱 [OVMF 儲存庫](https://github.com/tianocore/tianocore.github.io/wiki/OVMF)。

## 要求
<a name="snp-requirements"></a>

若要使用 AMD SEV-SNP，必須執行下列動作：
+ 使用下列其中一個支援的執行個體類型：
  + **一般用途**：`m6a.large` \$1 `m6a.xlarge` \$1 `m6a.2xlarge` \$1 `m6a.4xlarge` \$1 `m6a.8xlarge`
  + **運算優化**：`c6a.large` \$1 `c6a.xlarge` \$1 `c6a.2xlarge` \$1 `c6a.4xlarge` \$1 `c6a.8xlarge` \$1 `c6a.12xlarge` \$1 `c6a.16xlarge`
  + **記憶體優化**：`r6a.large` \$1 `r6a.xlarge` \$1 `r6a.2xlarge` \$1 `r6a.4xlarge`
+ 在支援的 中啟動執行個體 AWS 區域。目前僅支援美國東部 (俄亥俄) 和歐洲 (愛爾蘭)。
+ 使用具有 `uefi` 或 `uefi-preferred` 開機模式的 AMI，以及支援 AMD SEV-SNP 的作業系統。如需有關作業系統上 AMD SEV-SNP 支援的詳細資訊，請參閱各自的作業系統文件。針對 AWS，在 AL2023、RHEL 9.3、SLES 15 SP4 和 Ubuntu 23.04 與更新版本上支援 AMD SEV-SNP。

## 考量事項
<a name="snp-considerations"></a>

您僅可在啟動執行個體時啟用 AMD SEV-SNP。在為執行個體啟動啟用 AMD SEV-SNP 時，將適用以下規則。
+ 啟用後，便無法停用 AMD SEV-SNP。其在整個執行個體生命週期中皆會保持啟用狀態。
+ 您僅可[變更執行個體類型](ec2-instance-resize.md)為其他支援 AMD SEV-SNP 的執行個體類型。
+ 不支援 Hibernation 和 Nitro Enclaves。
+ 不支援專用主機。
+ 如果執行個體的基礎主機已排定進行維護，則您將在事件發生前 14天收到排定的事件通知。您必須手動停止或重新啟動執行個體，才能將其移至新主機。

## 定價
<a name="snp-pricing"></a>

在開啟 AMD SEV-SNP 的情形下啟用 Amazon EC2 執行個體時，需支付額外的小時用量費，相當於所選執行個體類型[隨需小時費率](https://aws.amazon.com/ec2/pricing/on-demand/)的 10%。

此 AMD SEV-SNP 用量費是針對 Amazon EC2 執行個體之用量而單獨收取的費用。預留執行個體、Savings Plans 和作業系統用量不會影響此費用。

如果將 Spot 執行個體設定為在啟用 [AMD SEV-SNP](#sev-snp) 的情形下啟動，則需要支付額外的小時用量費，相當於所選執行個體類型[隨需小時費率](https://aws.amazon.com/ec2/pricing/on-demand/)的 10%。如果配置策略使用價格作為輸入，則 Spot 機群不包含此額外費用；僅使用 Spot 價格。