建立 Linux AMI 以支援 UEFI 安全開機

下列程序說明如何建立自己的 UEFI 變數存放區，以便使用自訂私有金鑰進行安全開機。Amazon Linux 從 2023.1 版 Amazon Linux 2023 起開始支援 UEFI 安全開機。如需詳細資訊，請參閱《Amazon Linux 2023 使用者指南》中的 UEFI 安全開機。

重要

下列建立 AMI 以支援 UEFI 安全開機的程序僅供進階使用者使用。您必須具備充分的 SSL 和 Linux 發行版本開機流程的知識才能使用這些程序。

先決條件

• 將會使用下列工具：

  • OpenSSL - https://www.openssl.org/

  • efivar - https://github.com/rhboot/efivar

  • efitools - https://git.kernel.org/pub/scm/linux/kernel/git/jejb/efitools.git/

  • get-instance-uefi-data AWS CLI 命令

• 您的 Linux 執行個體必須使用支援 UEFI 開機模式的 Linux AMI 啟動，並且有非揮發性資料存在。

沒有 UEFI 安全開機金鑰的新建立執行個體是在 SetupMode 中建立，允許您註冊自己的金鑰。某些 AMI 預先設定為具有 UEFI 安全開機功能，您無法變更現有金鑰。如果您想要變更金鑰，您必須根據原始 AMI 建立新 AMI。

您有兩種在變數存放區傳播金鑰的方法，這些方法在接下來的選項 A 和選項 B 中說明。選項 A 說明如何在執行個體中執行此操作，並模仿真實硬體的流程。選項 B 說明如何建立二進位檔案 Blob，其隨後會在建立 AMI 時作為 base64 編碼的檔案傳遞。對於這兩個選項，您必須先建立用於信任鏈的三對金鑰對。

若要建立支援 UEFI 安全開機的 Linux AMI，請先建立三個金鑰對，然後完成選項 A 或選項 B：

• 建立三個金鑰對
• 選項 A：從執行個體中將金鑰新增至變數存放區
• 選項 B：建立一個包含預先填寫的變數存放區的二進位 blob

注意

這些指示只能用於建立 Linux AMI。如果您需要 Windows AMI，請使用其中一個支援的 Windows AMI。如需詳細資訊，請參閱《Amazon EC2 Windows 執行個體使用者指南》中的啟動具有 UEFI 安全開機支援的執行個體。