View a markdown version of this page

AWS Windows Server 启用 nitroTPM 的 AMI - AWS Windows AMI
Find(查找) Windows Server 配置了 NitroTPM 和 UEFI 安全启动的 AMI更新安全启动证书 Windows 实例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS Windows Server 启用 nitroTPM 的 AMI

亚马逊创建了一组预先配置了 NitrotPM 和 UEFI 安全启动要求的 AMI,如下所示:

  • TPM 2.0 命令响应缓冲区 (CRB) 驱动程序已安装

  • nitroTPM 已启用

  • 使用微软密钥启用 UEFI 安全启动模式

有关 NitrotPM 的更多详细信息,请参阅亚马逊 EC2 用户指南中的适用于亚马逊 EC2 实例的 Nitro tPM。

Find(查找) Windows Server 配置了 NitroTPM 和 UEFI 安全启动的 AMI

AWS 托管 AMI 的名称中始终包含 AMI 的创建日期。确保您的搜索返回您要查找的 AMI 的最佳方法是为该名称添加日期筛选。使用以下命令行选项之一查找 AMI。

AWS CLI
查找最新的 NitroTPM 和 UEFI 安全启动 AMI

以下示例检索为 NitrotPM 和 U Windows Server EFI 安全启动配置的最新 AMI 列表。

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
查找特定的 AMI

以下示例通过筛选 Windows Server AMI 名称、所有者、平台和创建日期(年和月)来检索为 NitrotPM 和 UEFI 安全启动配置的 AMI。输出格式化为表格,其中包含 AMI 名称和映像 ID 的列。

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
查找最新的 NitroTPM 和 UEFI 安全启动 AMI

以下示例检索为 NitrotPM 和 U Windows Server EFI 安全启动配置的最新 AMI 列表。

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
注意

如果此命令未在您的环境中运行,则可能缺少 PowerShell 模块。有关此命令的更多信息,请参阅 Get-SSMLatestEC2Image Cmdlet

或者,您可以使用CloudShell 控制台并运行pwsh以 PowerShell 显示已安装所有 AWS 工具的提示。有关更多信息,请参阅 AWS CloudShell 《用户指南》

查找特定的 AMI

以下示例通过筛选 Windows Server AMI 名称、所有者、平台和创建日期(年和月)来检索为 NitrotPM 和 UEFI 安全启动配置的 AMI。输出格式化为表格,其中包含 AMI 名称和映像 ID 的列。

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

更新安全启动证书 Windows 实例

Microsoft 正在更新最初于 2011 年颁发的安全启动证书,以确保Windows设备能够继续验证可信启动软件。这些较旧的证书将于 2026 年 6 月开始到期。未获得 2023 年更新的证书的设备将继续正常启动和运行,标准Windows更新将继续安装。但是,这些设备将无法再在早期启动过程中获得新的安全保护,包括启动管理器、安全Windows启动数据库、吊销列表的更新,或者针对新发现的启动级别漏洞的缓解措施。有关更多信息,请参阅 Microsoft 的安全启动文档

重要

从 2026.01.14 或更早版本启用 NitrotPM Windows 的 AMI 版本启动的实例应按照步骤更新实例上的安全启动证书。Windows对于日期Windows为 2026.02.11 或更高版本的 AMI,无需采取进一步行动。

要更新到最新的安全启动证书(微软公司 KEK 2K CA 2023 和 Windows UEFI CA 2023),您可以迁移到从最新 Windows AMI 启动的新实例,也可以按照以下步骤更新现有实例。

  1. 如果出现提示,Windows请运行 Update 并重启实例。

  2. 将以下 PowerShell 脚本下载到实例:Update-EC2SecureBootCertificate.ps1.

  3. 以管理员身份打开 PowerShell 命令提示符,然后运行下载的PowerShell 脚本。

    .\Update-EC2SecureBootCertificate.ps1

  4. 如果出现提示,请重启您的实例。

如果您在证书更新过程中遇到错误,请联系 Su AWS pport