建立 Linux AMI 以支援 UEFI 安全開機 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

建立 Linux AMI 以支援 UEFI 安全開機

下列程序說明如何建立自己的 UEFI 變數存放區,以便使用自訂私有金鑰進行安全開機。Amazon Linux 從 AL2023 2023.1 版起開始支援 UEFI 安全開機。如需詳細資訊,請參閱《AL2023 使用者指南》中的 UEFI 安全開機

重要

下列建立 AMI 以支援 UEFI 安全開機的程序僅供進階使用者使用。您必須具備充分的 SSL 和 Linux 發行版本開機流程的知識才能使用這些程序。

必要條件

沒有 UEFI 安全開機金鑰的新建立執行個體是在 SetupMode 中建立,允許您註冊自己的金鑰。某些 AMI 預先設定為具有 UEFI 安全開機功能,您無法變更現有金鑰。如果您想要變更金鑰,您必須根據原始 AMI 建立新 AMI。

您有兩種在變數存放區傳播金鑰的方法,這些方法在接下來的選項 A 和選項 B 中說明。選項 A 說明如何在執行個體中執行此操作,並模仿真實硬體的流程。選項 B 說明如何建立二進位檔案 Blob,其隨後會在建立 AMI 時作為 base64 編碼的檔案傳遞。對於這兩個選項,您必須先建立用於信任鏈的三對金鑰對。

若要建立支援 UEFI 安全開機的 Linux AMI,請先建立三個金鑰對,然後完成選項 A 或選項 B:
注意

這些指示只能用於建立 Linux AMI。如果您需要 Windows AMI,請使用其中一個支援的 Windows AMI。如需詳細資訊,請參閱 啟動具有 UEFI 安全開機支援的執行個體