Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS Windows Server AMI abilitate per NitroTPM
<a name="ami-windows-tpm"></a>

Amazon crea un set di AMI preconfigurate con i requisiti di avvio sicuro NitroTPM e UEFI, come segue:
+ Il driver TPM 2.0 Command Response Buffer (CRB) è installato
+ NitroTPM è abilitato
+ La modalità UEFI Secure Boot è abilitata con le chiavi Microsoft

*Per informazioni più dettagliate su NitroTPM, consulta [NitroTPM per istanze Amazon EC2 nella Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nitrotpm.html) User Guide.*

## Trova Windows Server AMI configurate con NitroTPM e UEFI Secure Boot
<a name="ami-windows-tpm-find"></a>

AWS le AMI gestite includono sempre la data di creazione dell'AMI come parte del nome. Il modo migliore per garantire che la ricerca restituisca le AMI che stai cercando è aggiungere un filtro per data per il nome. Utilizza una delle seguenti opzioni della riga di comando per trovare un AMI.

------
#### [ AWS CLI ]

**Trova le AMI NitroTPM e UEFI Secure Boot più recenti**  
L'esempio seguente recupera un elenco delle Windows Server AMI più recenti configurate per NitroTPM e UEFI Secure Boot.

```
aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
```

**Trova un AMI specifico**  
L'esempio seguente recupera le Windows Server AMI configurate per NitroTPM e UEFI Secure Boot filtrando in base al nome dell'AMI, al proprietario, alla piattaforma e alla data di creazione (anno e mese). L'output è formattato come tabella con colonne per il nome AMI e l'ID dell'immagine.

```
aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values={{2025-05}}*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
```

------
#### [ PowerShell (recommended) ]

**Trova le AMI NitroTPM e UEFI Secure Boot più recenti**  
L'esempio seguente recupera un elenco delle Windows Server AMI più recenti configurate per NitroTPM e UEFI Secure Boot.

```
Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
```

**Nota**  
Se questo comando non viene eseguito nel tuo ambiente, potrebbe mancare un modulo. PowerShell Per ulteriori informazioni su questo comando, vedere [Get-SSMLatestEC2Image Cmdlet](https://docs.aws.amazon.com/powershell/v4/reference/items/Get-SSMLatestEC2Image.html).  
In alternativa, è possibile utilizzare la [CloudShell console](https://console.aws.amazon.com/cloudshell/home) ed eseguirla `pwsh` per visualizzare un PowerShell prompt in cui sono già installati tutti gli AWS strumenti. Per ulteriori informazioni, consulta la [Guida per l'utente AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html).

**Trova un AMI specifico**  


L'esempio seguente recupera le Windows Server AMI configurate per NitroTPM e UEFI Secure Boot filtrando in base al nome dell'AMI, al proprietario, alla piattaforma e alla data di creazione (anno e mese). L'output è formattato come tabella con colonne per il nome AMI e l'ID dell'immagine.

```
Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("{{2026}}*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize
```

------

## Aggiorna i certificati Secure Boot su Windows Istanze
<a name="ami-windows-tpm-update-secure-boot-certs"></a>

Microsoft sta aggiornando i certificati Secure Boot originariamente emessi nel 2011 per garantire che Windows i dispositivi continuino a verificare il software di avvio affidabile. Questi vecchi certificati iniziano a scadere a giugno 2026. I dispositivi che non hanno ricevuto i nuovi certificati 2023 continueranno ad avviarsi e funzionare normalmente e Windows gli aggiornamenti standard continueranno a essere installati. Tuttavia, questi dispositivi non saranno più in grado di ricevere nuove protezioni di sicurezza per il processo di avvio anticipato, inclusi aggiornamenti a Boot Manager, database Secure Windows Boot, elenchi di revoca o mitigazioni per le vulnerabilità a livello di avvio scoperte di recente. Per ulteriori informazioni, consulta la documentazione [Microsoft Secure Boot](https://aka.ms/GetSecureBoot).

**Importante**  
Le istanze avviate da Windows AMI compatibili con NitroTPM, versione datata 2026.01.14 o precedente, devono seguire i passaggi per aggiornare i certificati Secure Boot sulle istanze. Windows Per le Windows AMI rilasciate con data 2026.02.11 o successiva, non sono necessarie ulteriori azioni.

Per eseguire l'aggiornamento ai certificati Secure Boot più recenti (Microsoft Corporation KEK 2K CA 2023 e Windows UEFI CA 2023), puoi migrare a nuove istanze lanciate dalle Windows AMI più recenti o seguire i passaggi seguenti per aggiornare le istanze esistenti.

1. Esegui Windows Update e riavvia l'istanza se richiesto.

1. Scarica il seguente PowerShell script sull'istanza:. [Update-EC2SecureBootCertificate.ps1](https://s3.amazonaws.com/ec2-downloads-windows/Scripts/Update-EC2SecureBootCertificate.ps1)

1. Apri un PowerShell prompt dei comandi come amministratore ed esegui lo PowerShell script scaricato.

   ```
   .\Update-EC2SecureBootCertificate.ps1
   ```

1. Se richiesto, riavvia l'istanza.

Se riscontri errori durante l'aggiornamento del certificato, contatta l'[AWS assistenza](https://aws.amazon.com/premiumsupport/).