本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS Windows Server 启用 nitroTPM 的 AMI
<a name="ami-windows-tpm"></a>

亚马逊创建了一组预先配置了 NitrotPM 和 UEFI 安全启动要求的 AMI，如下所示：
+ TPM 2.0 命令响应缓冲区 (CRB) 驱动程序已安装
+ nitroTPM 已启用
+ 使用微软密钥启用 UEFI 安全启动模式

*有关 NitrotPM 的更多详细信息，请参阅亚马逊 EC2 用户指南中的适用于[亚马逊 EC2 实例的 Nitro](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nitrotpm.html) tPM。*

## Find（查找） Windows Server 配置了 NitroTPM 和 UEFI 安全启动的 AMI
<a name="ami-windows-tpm-find"></a>

AWS 托管 AMI 的名称中始终包含 AMI 的创建日期。确保您的搜索返回您要查找的 AMI 的最佳方法是为该名称添加日期筛选。使用以下命令行选项之一查找 AMI。

------
#### [ AWS CLI ]

**查找最新的 NitroTPM 和 UEFI 安全启动 AMI**  
以下示例检索为 NitrotPM 和 U Windows Server EFI 安全启动配置的最新 AMI 列表。

```
aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
```

**查找特定的 AMI**  
以下示例通过筛选 Windows Server AMI 名称、所有者、平台和创建日期（年和月）来检索为 NitrotPM 和 UEFI 安全启动配置的 AMI。输出格式化为表格，其中包含 AMI 名称和映像 ID 的列。

```
aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values={{2025-05}}*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
```

------
#### [ PowerShell (recommended) ]

**查找最新的 NitroTPM 和 UEFI 安全启动 AMI**  
以下示例检索为 NitrotPM 和 U Windows Server EFI 安全启动配置的最新 AMI 列表。

```
Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
```

**注意**  
如果此命令未在您的环境中运行，则可能缺少 PowerShell 模块。有关此命令的更多信息，请参阅 [Get-SSMLatestEC2Image Cmdlet](https://docs.aws.amazon.com/powershell/v4/reference/items/Get-SSMLatestEC2Image.html)。  
或者，您可以使用[CloudShell 控制台](https://console.aws.amazon.com/cloudshell/home)并运行`pwsh`以 PowerShell 显示已安装所有 AWS 工具的提示。有关更多信息，请参阅 [AWS CloudShell 《用户指南》](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)。

**查找特定的 AMI**  


以下示例通过筛选 Windows Server AMI 名称、所有者、平台和创建日期（年和月）来检索为 NitrotPM 和 UEFI 安全启动配置的 AMI。输出格式化为表格，其中包含 AMI 名称和映像 ID 的列。

```
Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("{{2026}}*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize
```

------

## 更新安全启动证书 Windows 实例
<a name="ami-windows-tpm-update-secure-boot-certs"></a>

Microsoft 正在更新最初于 2011 年颁发的安全启动证书，以确保Windows设备能够继续验证可信启动软件。这些较旧的证书将于 2026 年 6 月开始到期。未获得 2023 年更新的证书的设备将继续正常启动和运行，标准Windows更新将继续安装。但是，这些设备将无法再在早期启动过程中获得新的安全保护，包括启动管理器、安全Windows启动数据库、吊销列表的更新，或者针对新发现的启动级别漏洞的缓解措施。有关更多信息，请参阅 [Microsoft 的安全启动文档](https://aka.ms/GetSecureBoot)。

**重要**  
从 2026.01.14 或更早版本启用 NitrotPM Windows 的 AMI 版本启动的实例应按照步骤更新实例上的安全启动证书。Windows对于日期Windows为 2026.02.11 或更高版本的 AMI，无需采取进一步行动。

要更新到最新的安全启动证书（微软公司 KEK 2K CA 2023 和 Windows UEFI CA 2023），您可以迁移到从最新 Windows AMI 启动的新实例，也可以按照以下步骤更新现有实例。

1. 如果出现提示，Windows请运行 Update 并重启实例。

1. 将以下 PowerShell 脚本下载到实例:[Update-EC2SecureBootCertificate.ps1](https://s3.amazonaws.com/ec2-downloads-windows/Scripts/Update-EC2SecureBootCertificate.ps1).

1. 以管理员身份打开 PowerShell 命令提示符，然后运行下载的PowerShell 脚本。

   ```
   .\Update-EC2SecureBootCertificate.ps1
   ```

1. 如果出现提示，请重启您的实例。

如果您在证书更新过程中遇到错误，请联系 Su [AWS pport](https://aws.amazon.com/premiumsupport/)。