Fase 1: avvio di un'istanza che supporti UEFI Secure Boot Fase 2: configurazione di un'istanza per supportare UEFI Secure Boot Fase 3: creazione di un'AMI dall'istanza

Opzione A: aggiunta delle chiavi all'archivio delle variabili dall'interno dell'istanza

Dopo avere creato le tre coppie di chiavi, puoi connetterti alla tua istanza e aggiungere le chiavi all'archivio delle variabili dall'interno dell'istanza completando le fasi seguenti.

Fasi dell'Opzione A:

Fase 1: avvio di un'istanza che supporti UEFI Secure Boot
Fase 2: configurazione di un'istanza per supportare UEFI Secure Boot
Fase 3: creazione di un'AMI dall'istanza

Fase 1: avvio di un'istanza che supporti UEFI Secure Boot

Quando avvii un'istanza con i seguenti prerequisiti, l'istanza sarà pronta per essere configurata per supportare UEFI Secure Boot. È possibile abilitare il supporto per UEFI Secure Boot su un'istanza solo al momento dell'avvio; non è possibile abilitarlo in un secondo momento.

Prerequisiti

AMI: l'AMI Linux deve supportare la modalità di avvio UEFI. Per verificare che l'AMI supporti la modalità di avvio UEFI, il parametro della modalità di avvio AMI deve essere uefi. Per ulteriori informazioni, consulta Determinare il parametro della modalità di avvio di un'AMI.

Nota che fornisce AWS solo AMI Linux configurate per supportare UEFI per tipi di istanze basate su Graviton. AWS attualmente non fornisce AMI Linux x86_64 che supportano la modalità di avvio UEFI. Puoi configurare un'AMI personalizzata che supporta la modalità di avvio UEFI per tutte le architetture. Per utilizzare un'AMI personalizzata che supporta la modalità di avvio UEFI, devi eseguire una serie di passaggi di configurazione sulla tua AMI. Per ulteriori informazioni, consulta Impostare la modalità di avvio di un'AMI.
Tipo di istanza: tutti i tipi di istanze virtualizzate che supportano UEFI supportano anche UEFI Secure Boot. I tipi di istanza bare metal non supportano UEFI Secure Boot. Per i tipi di istanza che supportano UEFI Secure Boot, consulta Considerazioni.
Avvia l'istanza dopo il rilascio di UEFI Secure Boot. Solo le istanze avviate dopo il 10 maggio 2022 (quando è stato rilasciato UEFI Secure Boot) possono supportare UEFI Secure Boot.

Dopo avere avviato l'istanza, puoi verificare che sia pronta per essere configurata per supportare UEFI Secure Boot (in altre parole, puoi procedere alla Fase 2) verificando se i dati UEFI sono presenti. La presenza di dati UEFI indica che i dati non volatili sono persistenti.

Per verificare se l'istanza è pronta per la fase 2

Utilizza il comando get-instance-uefi-data e specifica l'ID dell'istanza.


aws ec2 get-instance-uefi-data --instance-id i-0123456789example

L'istanza è pronta per la fase 2 se i dati UEFI sono presenti nell'output. Se l'output è vuoto, l'istanza non può essere configurata per supportare UEFI Secure Boot. Ciò può verificarsi se l'istanza è stata avviata prima che il supporto UEFI Secure Boot fosse disponibile. Avvia una nuova istanza e riprova.

Fase 2: configurazione di un'istanza per supportare UEFI Secure Boot

Registrazione delle coppie di chiavi nell'archivio delle variabili UEFI dell'utente sull'istanza

avvertimento

Le immagini di avvio devono essere firmate dopo avere registrato le chiavi, altrimenti non potrai avviare l'istanza.

Dopo avere creato gli elenchi di firme UEFI firmati (PK, KEK e db), gli elenchi devono essere iscritti al firmware UEFI.

La scrittura nella variabile PK è possibile solo se:

Nessuna PK è ancora iscritta, nel qual caso la variabile SetupMode ha il valore 1. Per verificarlo, utilizza il comando seguente. L'output è 1 o 0.
```
efivar -d -n 8be4df61-93ca-11d2-aa0d-00e098032b8c-SetupMode 
```
La nuova PK è firmata dalla chiave privata della PK esistente.

Per registrare le chiavi nell'archivio delle variabili UEFI dell'utente

I seguenti comandi devono essere eseguiti sull'istanza.

Se SetupMode è abilitato (il valore è1), le chiavi possono essere registrate eseguendo i seguenti comandi sull'istanza:


[ec2-user ~]$ efi-updatevar -f db.auth db


[ec2-user ~]$ efi-updatevar -f KEK.auth KEK


[ec2-user ~]$ efi-updatevar -f PK.auth PK

Per verificare che UEFI Secure Boot sia abilitato

Per verificare che UEFI Secure Boot sia abilitato, attieniti alla procedura descritta in Verifica dell'abilitazione di un'istanza per UEFI Secure Boot.

Ora puoi esportare l'archivio delle variabili UEFI con il comando CLI get-instance-uefi-data oppure procedere alla fase successiva e firmare le immagini di avvio per riavviare un'istanza abilitata per UEFI Secure Boot.

Fase 3: creazione di un'AMI dall'istanza

Per creare un'AMI dall'istanza, puoi utilizzare la console o l'API CreateImage, la CLI o gli SDK. Per le istruzioni sulla console, consulta Creare un'AMI Linux supportata da Amazon EBS. Per le istruzioni sull'API, consulta. CreateImage

Nota

L'API CreateImage copia automaticamente l'archivio delle variabili UEFI dell'istanza nell'AMI. La console utilizza l'API CreateImage. Dopo avere avviato le istanze utilizzando questa AMI, le istanze avranno lo stesso archivio delle variabili UEFI.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Creazione di tre coppie di chiavi

Opzione B: creazione di un blob binario contenente un archivio delle variabili preriempito