View a markdown version of this page

AWS Windows Server NitroTPM 対応 AMIs - AWS Windows AMIs
NitroTPM Windows Server と UEFI Secure Boot で設定された AMIs を検索するWindows インスタンスで Secure Boot 証明書を更新する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Windows Server NitroTPM 対応 AMIs

Amazon は、次のように NitroTPM と UEFI Secure Boot の要件で事前設定された一連の AMIs を作成します。

  • TPM 2.0 コマンドレスポンスバッファ (CRB) ドライバーがインストールされている

  • NitroTPM が有効になっている

  • Microsoft キーで UEFI セキュアブートモードが有効になっている

NitroTPM の詳細については、Amazon EC2 ユーザーガイド」の「Amazon EC2 インスタンスの NitroTPM」を参照してください。 Amazon EC2

NitroTPM Windows Server と UEFI Secure Boot で設定された AMIs を検索する

AWS マネージド AMIs、常に名前の一部として AMI 作成日が含まれます。検索で探している AMIs を確実に返す最善の方法は、名前に日付フィルタリングを追加することです。AMI を検索するには、次のいずれかのコマンドラインオプションを使用します。

AWS CLI
最新の NitroTPM および UEFI Secure Boot AMIs

次の の例では、NitroTPM Windows Server および UEFI Secure Boot 用に設定された最新の AMIs のリストを取得します。

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
特定の AMI を検索する

次の の例ではAMIs Windows Server 名、所有者、プラットフォーム、作成日 (年と月) をフィルタリングして、NitroTPM および UEFI Secure Boot 用に設定された AMI を取得します。出力は、AMI 名とイメージ ID の列を含むテーブルとしてフォーマットされます。

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
最新の NitroTPM および UEFI Secure Boot AMIs

次の の例では、NitroTPM Windows Server および UEFI Secure Boot 用に設定された最新の AMIs のリストを取得します。

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
注記

このコマンドが環境で実行されない場合は、PowerShell モジュールがない可能性があります。このコマンドの詳細については、Get-SSMLatestEC2Image コマンドレット」を参照してください。

または、CloudShell コンソールを使用して を実行しpwsh、すべての AWS ツールが既にインストールされている PowerShell プロンプトを表示することもできます。詳細については、「AWS CloudShell ユーザーガイド」を参照してください。

特定の AMI を検索する

次の の例ではAMIs Windows Server 名、所有者、プラットフォーム、作成日 (年と月) をフィルタリングして、NitroTPM および UEFI Secure Boot 用に設定された AMI を取得します。出力は、AMI 名とイメージ ID の列を含むテーブルとしてフォーマットされます。

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

Windows インスタンスで Secure Boot 証明書を更新する

Microsoft は、Windowsデバイスが信頼できるブートソフトウェアを引き続き検証できるように、2011 年に最初に発行された Secure Boot 証明書を更新しています。これらの古い証明書は 2026 年 6 月に期限切れになります。新しい 2023 証明書を受け取っていないデバイスは、引き続き正常に起動および動作し、標準Windows更新は引き続きインストールされます。ただし、これらのデバイスは、Windowsブートマネージャー、セキュアブートデータベース、失効リストの更新、新しく検出されたブートレベルの脆弱性の軽減など、早期起動プロセスのための新しいセキュリティ保護を受け取れなくなります。詳細については、Microsoft の Secure Boot ドキュメントを参照してください。

重要

NitroTPM 対応 AMIs Windows リリース 2026.01.14 以前から起動されたインスタンスは、Windowsインスタンスで Secure Boot 証明書を更新するステップに従う必要があります。2026.02.11 以降の Windows AMIs リリースの場合、それ以上のアクションは必要ありません。

最新の Secure Boot 証明書 (Microsoft Corporation KEK 2K CA 2023 および Windows UEFI CA 2023) に更新するには、最新の Windows AMIs から起動された新しいインスタンスに移行するか、以下の手順に従って既存のインスタンスを更新します。

  1. Windows 「Update」を実行し、プロンプトが表示されたらインスタンスを再起動します。

  2. インスタンスに次の PowerShell スクリプトをダウンロードします: Update-EC2SecureBootCertificate.ps1

  3. PowerShell コマンドプロンプトを管理者として開き、ダウンロードした PowerShell スクリプトを実行します。

    .\Update-EC2SecureBootCertificate.ps1

  4. プロンプトが表示されたら、インスタンスを再起動します。

証明書の更新中にエラーが発生した場合は、 AWS サポートにお問い合わせください。