View a markdown version of this page

AWS Windows Server AMI compatibles con NitroTPM - AWS AMI de Windows
Buscar Windows Server Las AMI están configuradas con NitroTPM y UEFI Secure BootActualice los certificados de Secure Boot en Windows instances

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS Windows Server AMI compatibles con NitroTPM

Amazon crea un conjunto de AMI preconfiguradas con los requisitos de arranque seguro de NitroTPM y UEFI, de la siguiente manera:

  • Está instalado el controlador del búfer de respuesta a comandos (CRB) TPM 2.0

  • NitroTPM está activado

  • El modo UEFI Secure Boot está habilitado con las claves de Microsoft

Para obtener información más detallada sobre NitroTPM, consulte NitroTPM para instancias de Amazon EC2 en la Guía del usuario de Amazon EC2.

Buscar Windows Server Las AMI están configuradas con NitroTPM y UEFI Secure Boot

AWS Las AMI administradas siempre incluyen la fecha de creación de la AMI como parte del nombre. La mejor forma de garantizar que la búsqueda devuelva las AMI que busca es añadir un filtro de fecha para el nombre. Utilice una de las siguientes opciones de línea de comandos para buscar una AMI.

AWS CLI
Busque las AMI de arranque seguro más recientes de NitroTPM y UEFI

En el siguiente ejemplo, se recupera una lista de las últimas Windows Server AMI configuradas para NitrotPM y UEFI Secure Boot.

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
Encuentre una AMI específica

El siguiente ejemplo recupera las Windows Server AMI configuradas para NitroTPM y UEFI Secure Boot filtrando por el nombre de la AMI, el propietario, la plataforma y la fecha de creación (año y mes). El resultado tiene el formato de una tabla con columnas para el nombre de la AMI y el ID de la imagen.

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
Busque las AMI de arranque seguro más recientes de NitroTPM y UEFI

En el siguiente ejemplo, se recupera una lista de las últimas Windows Server AMI configuradas para NitrotPM y UEFI Secure Boot.

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
nota

Si este comando no se ejecuta en su entorno, es posible que le falte un módulo. PowerShell Para obtener más información acerca de este comando, consulte Get-SSMLatestEC2Image Cmdlet.

Como alternativa, puede usar la CloudShell consola y ejecutarla pwsh para que aparezca un PowerShell mensaje que ya tenga todas las AWS herramientas instaladas. Para obtener más información, consulte la Guía del usuario de AWS CloudShell.

Encuentre una AMI específica

El siguiente ejemplo recupera las Windows Server AMI configuradas para NitroTPM y UEFI Secure Boot filtrando por el nombre de la AMI, el propietario, la plataforma y la fecha de creación (año y mes). El resultado tiene el formato de una tabla con columnas para el nombre de la AMI y el ID de la imagen.

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

Actualice los certificados de Secure Boot en Windows instances

Microsoft está actualizando los certificados de arranque seguro emitidos originalmente en 2011 para garantizar que Windows los dispositivos continúen verificando el software de arranque confiable. Estos certificados más antiguos comenzarán a caducar en junio de 2026. Los dispositivos que no hayan recibido los certificados más recientes de 2023 seguirán arrancando y funcionando con normalidad, y Windows las actualizaciones estándar seguirán instalándose. Sin embargo, estos dispositivos ya no podrán recibir nuevas protecciones de seguridad para las primeras etapas del proceso de arranque, incluidas las actualizaciones de Boot Manager, las bases de datos de Secure Boot, las listas de revocación o las medidas de mitigación para las vulnerabilidades de arranque recién descubiertas. Windows Para obtener más información, consulte la documentación de arranque seguro de Microsoft.

importante

Las instancias lanzadas desde una Windows AMI habilitada para NitroTPM con fecha de 26.01.14 o anterior deben seguir los pasos para actualizar los certificados de arranque seguro de las instancias. Windows En el caso de las Windows AMI publicadas con fecha de 26.02.11 o posterior, no es necesario realizar ninguna otra acción.

Para actualizar a los certificados de arranque seguro más recientes (Microsoft Corporation KEK 2K CA 2023 y Windows UEFI CA 2023), puede migrar a nuevas instancias lanzadas desde las Windows AMI más recientes o seguir los pasos que se indican a continuación para actualizar las instancias existentes.

  1. Ejecute Windows Update y reinicie la instancia si se le solicita.

  2. Descarga el siguiente PowerShell script a la instancia: Update-EC2SecureBootCertificate.ps1.

  3. Abra una PowerShell línea de comandos como administrador y ejecute el PowerShell script descargado.

    .\Update-EC2SecureBootCertificate.ps1

  4. Reinicie la instancia si se le solicita.

Si encuentra errores durante la actualización del certificado, póngase en contacto con AWS Support.