是否可以创建一个加密的 ebs 启动卷适用于 Windows EC2 实例?
此 AWS 示例展示了如何复制未加密的启动卷,创建加密的启动卷: aws ec2 copy-image -r us-east-1 -s ami-60b6c60a --encrypted --kmsKeyID arn:aws:kms:us-east-1:012345678910:key/abcd1234-a123-456a-a12b-a123b4cd56ef
然而,当我尝试使用Microsoft Windows Server 2012 R2 基础版 - ami-c8a9baa2作为源使用aws ec2 copy-image --source-region us-east-1 --source-image-id ami-c8a9baa2 --name 'W12R2_Base_encrypted' --description 'Microsoft Windows Server 2012 R2 Base - ami-c8a9baa2 (encrypted)' --encrypted,我收到错误:“调用 CopyImage 操作时发生客户端错误 (InvalidRequest):无法将带有 EC2 BillingProduct 代码的图像复制到另一个 AWS 账户。“
答案1
现在可以这样做(截至 2019 年 5 月)。您无需复制 AMI。相反,您可以直接从未加密的市场 AMI 启动具有加密卷(boot/ephemeral/ebs)的实例。
我还没有尝试使用 CLI 或以编程方式执行此操作,但它可以使用最新的 Windows 服务器映像 (Windows_Server-2019-English-Full-Base-2019.08.16) 从 EC2 控制台运行
详细说明如何创建/复制您自己的私有 AMI 的“额外步骤”已从其最新文档中删除。除了这篇博文外,我找不到有关它的更多信息。
答案2
你第一的需要基于此 Marketplace AMI 创建您自己的私有 AMI。错误中的“BillingProduct”部分是主要线索。
更详细地:
- 使用此市场 AMI 启动实例。[可选,您可以登录并修改它。]
- 使用这个新启动的实例创建您自己的私有 AMI(创建映像)
- 复制此图像并选中“加密”框。使用 CLI,您将使用
copy-image带有--encrypted标志的模式。
更多信息:http://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/Creating_EBSbacked_WinAMI.html