亚马逊云科技公司推出 EC2 实例认证

亚马逊云科技公司推出了EC2实例认证，这是一种新的安全功能，使客户能够以加密安全的方式验证他们的虚拟机是否运行着经过批准的软件配置。这项功能由 Nitro 可信平台模块（NitroTPM）和可认证的 AMI 提供支持。

通过EC2实例认证，客户可以加密验证 EC2 实例是否运行着可信的配置和软件，解决了具有严格安全性和合规性要求的组织的关键问题。以前，可以从 EC2 的管理员和用户中移除操作员访问权限，但没有办法验证是否已经这样做了。AWS 的首席安全架构师J.D. Bean解释道：

有了这项能力，客户将能够充分利用基于 Nitro 的 EC2 实例的全部潜力，包括高性能网络和 AI 加速硬件，同时提高可信计算范式（如多方计算）的标准。

与以前仅在Nitro Enclaves中可用的功能类似，新功能将这些保护扩展到了标准 EC2 实例。Bean 补充说：

这次发布为客户提供了工具和接口，用于构建硬化和受限的亚马逊机器镜像（AMI），这些 AMI 旨在实现零操作员访问和高保证。这些可认证的 AMI 可以向外部系统提供系统内容的证明，从而为认证和授权决策提供依据。

一个可认证的AMI是一个具有相应的表示其所有内容的加密哈希的 AMI。根据文档，这个哈希是在 AMI 创建过程中生成的，并且是基于 AMI 的完整内容计算的，包括应用程序、代码和启动过程。

有了这个新功能，密钥和其他机密只能由运行经过批准的 AMI 的 EC2 实例使用 AWS 密钥管理服务（KMS）解密。此外，组织可以构建一个证书颁发机构（CA），仅向经过验证运行经过批准的 AMI 的实例颁发证书。在一个流行的Hacker News帖子上，一些用户质疑这个功能是否会被广泛采用。用户 jiggawatts 评论说：

这是给谁的？我不知道有哪个客户如此偏执，但又信任公共云。

The Duckbill Group 的首席云经济学家 Corey Quinn评论说：

这对于那些信任他们的云提供商，但又在非常特定的组合中不信任他们的云提供商的人很有用。

opinion:

AWS 英雄和无服务器专家 Yan Cui 有不同的看法：

新的 EC2 实例认证对于企业 SaaS 和合规等用例来说是一个游戏规则改变者（…）许多企业更愿意在内部运行 SaaS 软件，以确保他们的敏感数据不会离开他们的网络。但 SaaS 提供商就没有办法保护他们的软件知识产权。有了可认证的 AMI，SaaS 提供商可以发布一个包含他们软件（比如说，一个 AI 模型）的 AMI。客户可以通过镜像启动 EC2 实例并运行软件，但不能访问其内容。

亚马逊云科技公司并不是唯一一个使客户能够验证虚拟机是否运行可信配置和软件的云提供商：谷歌云和Azure都提供了类似的认证能力。

EC2 实例认证在所有 AWS 区域均可用，该功能本身不收取额外费用。标准存储费用适用于 AMI，如果使用该服务，AWS KMS 定价适用于密钥操作。

有一个用户指南可用于使用KIWI Next Generation构建 Amazon Linux 2023 Attested AMI，这是一个用于创建预配置的基于 Linux 的镜像的开源工具。

原文链接：

https://www.infoq.com/news/2025/10/ec2-instance-attestation/