View a markdown version of this page

AWS Windows Server AMIs habilitadas para NitroTPM - AWS AMIs Windows
Localizar Windows Server AMIs configuradas com NitroTPM e UEFI Secure BootAtualizar certificados de inicialização segura em Windows instâncias

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS Windows Server AMIs habilitadas para NitroTPM

A Amazon cria um conjunto de AMIs pré-configuradas com os requisitos de NitroTPM e UEFI Secure Boot, da seguinte forma:

  • O driver do TPM 2.0 Command Response Buffer (CRB) está instalado

  • O NitroTPM está ativado

  • O modo UEFI Secure Boot está ativado com as teclas da Microsoft

Para obter informações mais detalhadas sobre o NitroTPM, consulte NitroTPM para instâncias do Amazon EC2 no Guia do usuário do Amazon EC2.

Localizar Windows Server AMIs configuradas com NitroTPM e UEFI Secure Boot

AWS As AMIs gerenciadas sempre incluem a data de criação da AMI como parte do nome. A melhor maneira de garantir que sua pesquisa retorne as AMIs que você está procurando é adicionar filtragem de data para o nome. Use uma das seguintes opções de linha de comando para encontrar uma AMI.

AWS CLI
Encontre as AMIs de inicialização segura NitroTPM e UEFI mais recentes

O exemplo a seguir recupera uma lista das Windows Server AMIs mais recentes configuradas para NitroTPM e UEFI Secure Boot.

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
Encontre uma AMI específica

O exemplo a seguir recupera Windows Server AMIs configuradas para NitroTPM e UEFI Secure Boot filtrando o nome da AMI, o proprietário, a plataforma e a data de criação (ano e mês). A saída é formatada como uma tabela com colunas para o nome da AMI e o ID da imagem.

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
Encontre as AMIs de inicialização segura NitroTPM e UEFI mais recentes

O exemplo a seguir recupera uma lista das Windows Server AMIs mais recentes configuradas para NitroTPM e UEFI Secure Boot.

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
nota

Se esse comando não for executado em seu ambiente, talvez esteja faltando um PowerShell módulo. Para obter mais informações sobre esse comando, consulte Get-SSMLatestEC2Image Cmdlet.

Como alternativa, você pode usar o CloudShell console e executar pwsh para abrir um PowerShell prompt que já tenha todas as AWS ferramentas instaladas. Para obter mais informações, consulte o Guia do usuário do AWS CloudShell.

Encontre uma AMI específica

O exemplo a seguir recupera Windows Server AMIs configuradas para NitroTPM e UEFI Secure Boot filtrando o nome da AMI, o proprietário, a plataforma e a data de criação (ano e mês). A saída é formatada como uma tabela com colunas para o nome da AMI e o ID da imagem.

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

Atualizar certificados de inicialização segura em Windows instâncias

A Microsoft está atualizando os certificados de inicialização segura emitidos originalmente em 2011 para garantir que Windows os dispositivos continuem verificando o software de inicialização confiável. Esses certificados mais antigos começam a expirar em junho de 2026. Os dispositivos que não receberam os certificados mais recentes de 2023 continuarão iniciando e operando normalmente, e Windows as atualizações padrão continuarão sendo instaladas. No entanto, esses dispositivos não poderão mais receber novas proteções de segurança para o processo de inicialização antecipada, incluindo atualizações no Gerenciador de Windows Inicialização, bancos de dados de inicialização segura, listas de revogação ou mitigações para vulnerabilidades recém-descobertas no nível de inicialização. Para obter mais informações, consulte a documentação de inicialização segura da Microsoft.

Importante

As instâncias lançadas a partir de Windows AMIs habilitadas para NitroTPM, com data de 2026.01.14 ou anterior, devem seguir as etapas para atualizar os certificados de inicialização segura nas instâncias. Windows Para Windows AMIs lançadas em 2026.02.11 ou posterior, nenhuma ação adicional é necessária.

Para atualizar para os certificados de inicialização segura mais recentes (Microsoft Corporation KEK 2K CA 2023 e Windows UEFI CA 2023), você pode migrar para novas instâncias lançadas a partir das Windows AMIs mais recentes ou seguir as etapas abaixo para atualizar as instâncias existentes.

  1. Execute Windows Update e reinicie a instância, se solicitado.

  2. Faça o download do PowerShell script a seguir para a instância: Update-EC2SecureBootCertificate.ps1.

  3. Abra um prompt de PowerShell comando como administrador e execute o PowerShell script baixado.

    .\Update-EC2SecureBootCertificate.ps1

  4. Reinicie sua instância se solicitado.

Se você encontrar erros durante a atualização do certificado, entre em contato com o AWS Support.