View a markdown version of this page

AWS Windows Server 啟用 NitroTPM AMIs - AWS Windows AMIs
尋找使用 NitroTPM 和 UEFI 安全開機設定的 Windows Server AMIs更新Windows執行個體上的安全開機憑證

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Windows Server 啟用 NitroTPM AMIs

Amazon 會建立一組預先設定 NitroTPM 和 UEFI 安全開機要求的 AMIs,如下所示:

  • 已安裝 TPM 2.0 命令回應緩衝區 (CRB) 驅動程式

  • NitroTPM 已啟用

  • UEFI 安全開機模式已啟用 Microsoft 金鑰

如需 NitroTPM 的詳細資訊,請參閱《Amazon EC2 使用者指南》中的適用於 Amazon EC2 執行個體的 NitroTPMAmazon EC2

尋找使用 NitroTPM 和 UEFI 安全開機設定的 Windows Server AMIs

AWS 受管 AMIs 一律包含 AMI 建立日期做為名稱的一部分。確保搜尋傳回您要尋找AMIs 的最佳方法是新增名稱的日期篩選。使用下列其中一個命令列選項來尋找 AMI。

AWS CLI
尋找最新的 NitroTPM 和 UEFI 安全開機 AMIs

下列範例會擷取針對 NitroTPM 和 UEFI 安全開機設定的最新 Windows Server AMIs 清單。

aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
尋找特定的 AMI

下列範例會篩選 Windows Server AMIs 名稱、擁有者、平台和建立日期 (年和月),以擷取針對 NitroTPM 和 UEFI 安全開機設定的 AMI。輸出格式為資料表,其中包含 AMI 名稱和影像 ID 的資料欄。

aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values=2025-05*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
PowerShell (recommended)
尋找最新的 NitroTPM 和 UEFI 安全開機 AMIs

下列範例會擷取針對 NitroTPM 和 UEFI 安全開機設定的最新 Windows Server AMIs 清單。

Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
注意

如果此命令未在您的環境中執行,您可能會遺失 PowerShell 模組。如需此命令的詳細資訊,請參閱 Get-SSMLatestEC2Image Cmdlet

或者,您可以使用 CloudShell 主控台並執行 pwsh ,以顯示已安裝所有 AWS 工具的 PowerShell 提示。如需詳細資訊,請參閱「AWS CloudShell 使用者指南」

尋找特定的 AMI

下列範例會篩選 Windows Server AMIs 名稱、擁有者、平台和建立日期 (年和月),以擷取針對 NitroTPM 和 UEFI 安全開機設定的 AMI。輸出格式為資料表,其中包含 AMI 名稱和影像 ID 的資料欄。

Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("2026*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize

更新Windows執行個體上的安全開機憑證

Microsoft 正在更新最初在 2011 年發行的安全開機憑證,以確保Windows裝置持續驗證信任的開機軟體。這些較舊的憑證將於 2026 年 6 月過期。未收到較新 2023 憑證的裝置將繼續正常啟動和操作,標準Windows更新將繼續安裝。不過,這些裝置將無法再收到早期開機程序的新安全保護,包括對Windows開機管理員、安全開機資料庫、撤銷清單或新發現開機層級漏洞的緩解措施的更新。如需詳細資訊,請參閱 Microsoft 的安全開機文件

重要

從已啟用 NitroTPM 且日期為 2026.01.14 或更早的 Windows AMIs版本啟動的執行個體,應依照步驟更新Windows執行個體上的安全開機憑證。對於日期為 2026.02.11 或更新版本的 Windows AMI 版本,不需要進一步的動作。 AMIs

若要更新至最新的安全開機憑證 (Microsoft Corporation KEK 2K CA 2023 和 Windows UEFI CA 2023),您可以遷移至從最新 Windows AMIs 啟動的新執行個體,或依照下列步驟更新現有的執行個體。

  1. 執行Windows更新,並在出現提示時重新啟動執行個體。

  2. 將下列 PowerShell 指令碼下載至執行個體:Update-EC2SecureBootCertificate.ps1

  3. 以管理員身分開啟 PowerShell 命令提示,然後執行下載的 PowerShell 指令碼。

    .\Update-EC2SecureBootCertificate.ps1

  4. 如果出現提示,請重新啟動您的執行個體。

如果您在憑證更新期間遇到錯誤,請聯絡 AWS Support