Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Opzione A: aggiunta delle chiavi all'archivio delle variabili dall'interno dell'istanza
Dopo avere creato le tre coppie di chiavi, puoi connetterti alla tua istanza e aggiungere le chiavi all'archivio delle variabili dall'interno dell'istanza completando le fasi seguenti.
Fasi dell'Opzione A:
Fase 1: avvio di un'istanza che supporti UEFI Secure Boot
Quando avvii un'istanza con i seguenti prerequisiti, l'istanza sarà pronta per essere configurata per supportare UEFI Secure Boot. È possibile abilitare il supporto per UEFI Secure Boot su un'istanza solo al momento dell'avvio; non è possibile abilitarlo in un secondo momento.
Prerequisiti
-
AMI: l'AMI Linux deve supportare la modalità di avvio UEFI. Per verificare che l'AMI supporti la modalità di avvio UEFI, il parametro della modalità di avvio AMI deve essere uefi. Per ulteriori informazioni, consulta Determinare il parametro della modalità di avvio di un'AMI.
Nota che fornisce AWS solo AMI Linux configurate per supportare UEFI per tipi di istanze basate su Graviton. AWS attualmente non fornisce AMI Linux x86_64 che supportano la modalità di avvio UEFI. Puoi configurare un'AMI personalizzata che supporta la modalità di avvio UEFI per tutte le architetture. Per utilizzare un'AMI personalizzata che supporta la modalità di avvio UEFI, devi eseguire una serie di passaggi di configurazione sulla tua AMI. Per ulteriori informazioni, consulta Impostare la modalità di avvio di un'AMI.
-
Tipo di istanza: tutti i tipi di istanze virtualizzate che supportano UEFI supportano anche UEFI Secure Boot. I tipi di istanza bare metal non supportano UEFI Secure Boot. Per i tipi di istanza che supportano UEFI Secure Boot, consulta Considerazioni.
-
Avvia l'istanza dopo il rilascio di UEFI Secure Boot. Solo le istanze avviate dopo il 10 maggio 2022 (quando è stato rilasciato UEFI Secure Boot) possono supportare UEFI Secure Boot.
Dopo avere avviato l'istanza, puoi verificare che sia pronta per essere configurata per supportare UEFI Secure Boot (in altre parole, puoi procedere alla Fase 2) verificando se i dati UEFI sono presenti. La presenza di dati UEFI indica che i dati non volatili sono persistenti.
Per verificare se l'istanza è pronta per la fase 2
Utilizza il comando get-instance-uefi-data e specifica l'ID dell'istanza.
aws ec2 get-instance-uefi-data --instance-id
i-0123456789example
L'istanza è pronta per la fase 2 se i dati UEFI sono presenti nell'output. Se l'output è vuoto, l'istanza non può essere configurata per supportare UEFI Secure Boot. Ciò può verificarsi se l'istanza è stata avviata prima che il supporto UEFI Secure Boot fosse disponibile. Avvia una nuova istanza e riprova.
Fase 2: configurazione di un'istanza per supportare UEFI Secure Boot
Registrazione delle coppie di chiavi nell'archivio delle variabili UEFI dell'utente sull'istanza
avvertimento
Le immagini di avvio devono essere firmate dopo avere registrato le chiavi, altrimenti non potrai avviare l'istanza.
Dopo avere creato gli elenchi di firme UEFI firmati (PK
, KEK
e db
), gli elenchi devono essere iscritti al firmware UEFI.
La scrittura nella variabile PK
è possibile solo se:
-
Nessuna PK è ancora iscritta, nel qual caso la variabile
SetupMode
ha il valore1
. Per verificarlo, utilizza il comando seguente. L'output è1
o0
.efivar -d -n 8be4df61-93ca-11d2-aa0d-00e098032b8c-SetupMode
-
La nuova PK è firmata dalla chiave privata della PK esistente.
Per registrare le chiavi nell'archivio delle variabili UEFI dell'utente
I seguenti comandi devono essere eseguiti sull'istanza.
Se SetupMode è abilitato (il valore è1
), le chiavi possono essere registrate eseguendo i seguenti comandi sull'istanza:
[ec2-user ~]$
efi-updatevar -f db.auth db
[ec2-user ~]$
efi-updatevar -f KEK.auth KEK
[ec2-user ~]$
efi-updatevar -f PK.auth PK
Per verificare che UEFI Secure Boot sia abilitato
Per verificare che UEFI Secure Boot sia abilitato, attieniti alla procedura descritta in Verifica dell'abilitazione di un'istanza per UEFI Secure Boot.
Ora puoi esportare l'archivio delle variabili UEFI con il comando CLI get-instance-uefi-data oppure procedere alla fase successiva e firmare le immagini di avvio per riavviare un'istanza abilitata per UEFI Secure Boot.
Fase 3: creazione di un'AMI dall'istanza
Per creare un'AMI dall'istanza, puoi utilizzare la console o l'API CreateImage
, la CLI o gli SDK. Per le istruzioni sulla console, consulta Creare un'AMI Linux supportata da Amazon EBS. Per le istruzioni sull'API, consulta. CreateImage
Nota
L'API CreateImage
copia automaticamente l'archivio delle variabili UEFI dell'istanza nell'AMI. La console utilizza l'API CreateImage
. Dopo avere avviato le istanze utilizzando questa AMI, le istanze avranno lo stesso archivio delle variabili UEFI.