View a markdown version of this page

AWS Windows Server AMI compatibles avec NitroTPM - AWS AMI Windows
Rechercher Windows Server AMI configurées avec NitroTPM et UEFI Secure BootMettez à jour les certificats Secure Boot sur Windows Instances

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Windows Server AMI compatibles avec NitroTPM

Amazon crée un ensemble d'AMI préconfigurées conformément aux exigences de NitroTPM et UEFI Secure Boot, comme suit :

  • Le pilote CRB (Command Response Buffer) TPM 2.0 est installé

  • NitroTPM est activé

  • Le mode UEFI Secure Boot est activé avec des clés Microsoft

Pour des informations plus détaillées sur NitroTPM, consultez NitroTPM pour les instances Amazon EC2 dans le guide de l'utilisateur Amazon EC2.

Rechercher Windows Server AMI configurées avec NitroTPM et UEFI Secure Boot

AWS les AMI gérées incluent toujours la date de création de l'AMI dans le nom. Le meilleur moyen de vous assurer que votre recherche renvoie les AMI que vous recherchez est d'ajouter un filtrage par date pour le nom. Utilisez l'une des options de ligne de commande suivantes pour rechercher une AMI.

AWS CLI
Trouvez les dernières AMI NitroTPM et UEFI Secure Boot

L'exemple suivant extrait une liste des dernières Windows Server AMI configurées pour NitroTPM et UEFI Secure Boot.

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
Trouver une AMI spécifique

L'exemple suivant récupère les Windows Server AMI configurées pour NitroTPM et UEFI Secure Boot en filtrant sur le nom de l'AMI, le propriétaire, la plate-forme et la date de création (année et mois). La sortie est formatée sous forme de tableau avec des colonnes pour le nom de l'AMI et l'ID de l'image.

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
Trouvez les dernières AMI NitroTPM et UEFI Secure Boot

L'exemple suivant extrait une liste des dernières Windows Server AMI configurées pour NitroTPM et UEFI Secure Boot.

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
Note

Si cette commande ne s'exécute pas dans votre environnement, il se peut qu'il vous manque un PowerShell module. Pour plus d'informations sur cette commande, consultez la section Get-SSMLatestEC2Image Cmdlet.

Vous pouvez également utiliser la CloudShell console et exécuter pwsh pour afficher une PowerShell invite sur laquelle tous les AWS outils sont déjà installés. Pour plus d’informations, consultez le Guide de l’utilisateur AWS CloudShell.

Trouver une AMI spécifique

L'exemple suivant récupère les Windows Server AMI configurées pour NitroTPM et UEFI Secure Boot en filtrant sur le nom de l'AMI, le propriétaire, la plate-forme et la date de création (année et mois). La sortie est formatée sous forme de tableau avec des colonnes pour le nom de l'AMI et l'ID de l'image.

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

Mettez à jour les certificats Secure Boot sur Windows Instances

Microsoft met à jour les certificats Secure Boot initialement émis en 2011 afin de garantir que Windows les appareils continuent de vérifier les logiciels de démarrage fiables. Ces anciens certificats commencent à expirer en juin 2026. Les appareils qui n'ont pas reçu les nouveaux certificats 2023 continueront à démarrer et à fonctionner normalement, et les Windows mises à jour standard continueront à être installées. Toutefois, ces appareils ne pourront plus bénéficier de nouvelles protections de sécurité pour le processus de démarrage anticipé, notamment des mises à jour du gestionnaire de Windows démarrage, des bases de données de démarrage sécurisé, des listes de révocation ou des mesures d'atténuation pour les vulnérabilités récemment découvertes au niveau du démarrage. Pour plus d'informations, consultez la documentation Secure Boot de Microsoft.

Important

Les instances lancées à partir d'WindowsAMI compatibles NitroTPM publiées le 14/01/2020 ou une version antérieure doivent suivre les étapes de mise à jour des certificats Secure Boot sur les instances. Windows Pour les Windows AMI publiées le 11 février 2020 ou une version ultérieure, aucune autre action n'est nécessaire.

Pour effectuer la mise à jour vers les derniers certificats Secure Boot (Microsoft Corporation KEK 2K CA 2023 et Windows UEFI CA 2023), vous pouvez soit migrer vers de nouvelles instances lancées à partir des dernières Windows AMI, soit suivre les étapes ci-dessous pour mettre à jour les instances existantes.

  1. Exécutez Windows Update et redémarrez l'instance si vous y êtes invité.

  2. Téléchargez le PowerShell script suivant sur l'instance : Update-EC2SecureBootCertificate.ps1

  3. Ouvrez une invite de PowerShell commande en tant qu'administrateur et exécutez le PowerShell script téléchargé.

    .\Update-EC2SecureBootCertificate.ps1

  4. Redémarrez votre instance si vous y êtes invité.

Si vous rencontrez des erreurs lors de la mise à jour du certificat, contactez AWS le Support.