Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créer une AMI Linux pour prendre en charge UEFI Secure Boot
Les procédures suivantes décrivent comment créer votre propre magasin de variables UEFI pour un démarrage sécurisé avec des clés privées personnalisées. Amazon Linux prend en charge UEFI Secure Boot avec AL2023 à partir de la version 2023.1. Pour plus d’informations, consultez UEFI Secure Boot (français non garanti) dans le Guide de l’utilisateur AL2023.
Important
Les procédures suivantes pour créer une AMI prenant en charge UEFI Secure Boot sont destinées uniquement aux utilisateurs avancés. Vous devez posséder une connaissance suffisante de SSL et du flux de démarrage de distribution Linux pour utiliser ces procédures.
Prérequis
-
Les outils suivants seront utilisés :
-
OpenSSL : https://www.openssl.org/
-
efivar : https://github.com/rhboot/efivar
-
efitools : https://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git/
-
get-instance-uefi-data AWS CLI commande
-
-
Votre instance Linux doit avoir été lancée avec une AMI Linux qui prend en charge le mode de démarrage UEFI et contient des données non volatiles.
Les instances nouvellement créées sans clés UEFI Secure Boot sont créées dans SetupMode, ce qui vous permet d’inscrire vos propres clés. Certaines AMI sont préconfigurées avec UEFI Secure Boot et vous ne pouvez pas modifier les clés existantes. Si vous souhaitez modifier les clés, vous devez créer une nouvelle AMI basée sur l’AMI d’origine.
Vous pouvez propager les clés dans le magasin de variables de deux manières, décrites dans les options A et B suivantes. L’option A décrit comment le faire depuis l’instance, en imitant le flux de matériel réel. L’option B décrit comment créer un blob binaire, qui est ensuite transmis en tant que fichier codé en base64 lorsque vous créez l’AMI. Pour les deux options, vous devez d’abord créer les trois paires de clés utilisées pour la chaîne de confiance.
Pour créer une AMI Linux prenant en charge UEFI Secure Boot, créez d’abord les trois paires de clés, puis complétez l’option A ou l’option B :
Note
Ces instructions ne peuvent être utilisées que pour créer une AMI Linux. Si vous avez besoin d’une AMI Windows, utilisez l’une des AMI Windows prises en charge. Pour plus d’informations, veuillez consulter la rubrique Lancez une instance avec la prise en charge de UEFI Secure Boot dans le Guide de l’utilisateur Amazon EC2 pour les instances Windows.
