本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS Windows Server 啟用 NitroTPM AMIs
<a name="ami-windows-tpm"></a>

Amazon 會建立一組預先設定 NitroTPM 和 UEFI 安全開機要求的 AMIs，如下所示：
+ 已安裝 TPM 2.0 命令回應緩衝區 (CRB) 驅動程式
+ NitroTPM 已啟用
+ UEFI 安全開機模式已啟用 Microsoft 金鑰

如需 NitroTPM 的詳細資訊，請參閱《[Amazon EC2 使用者指南》中的適用於 Amazon EC2 執行個體的 NitroTPM](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nitrotpm.html)。 *Amazon EC2 *

## 尋找使用 NitroTPM 和 UEFI 安全開機設定的 Windows Server AMIs
<a name="ami-windows-tpm-find"></a>

AWS 受管 AMIs 一律包含 AMI 建立日期做為名稱的一部分。確保搜尋傳回您要尋找AMIs 的最佳方法是新增名稱的日期篩選。使用下列其中一個命令列選項來尋找 AMI。

------
#### [ AWS CLI ]

**尋找最新的 NitroTPM 和 UEFI 安全開機 AMIs**  
下列範例會擷取針對 NitroTPM 和 UEFI 安全開機設定的最新 Windows Server AMIs 清單。

```
aws ssm get-parameters-by-path \
    --path "/aws/service/ami-windows-latest" \
    --recursive \
    --query 'Parameters[*].{Name:Name,Value:Value}' \
    --output text | grep "TPM-Windows_Server" | sort
```

**尋找特定的 AMI**  
下列範例會篩選 Windows Server AMIs 名稱、擁有者、平台和建立日期 （年和月），以擷取針對 NitroTPM 和 UEFI 安全開機設定的 AMI。輸出格式為資料表，其中包含 AMI 名稱和影像 ID 的資料欄。

```
aws ec2 describe-images \
    --owners amazon \
    --filters \
        "Name=name,Values=TPM-Windows_Server-*" \
        "Name=platform,Values=windows" \
        "Name=creation-date,Values={{2025-05}}*" \
    --query 'Images[].[Name,ImageId]' \
    --output text | sort
```

------
#### [ PowerShell (recommended) ]

**尋找最新的 NitroTPM 和 UEFI 安全開機 AMIs**  
下列範例會擷取針對 NitroTPM 和 UEFI 安全開機設定的最新 Windows Server AMIs 清單。

```
Get-SSMLatestEC2Image `
    -Path ami-windows-latest `
    -ImageName TPM-Windows* |
Sort-Object Name
```

**注意**  
如果此命令未在您的環境中執行，您可能會遺失 PowerShell 模組。如需此命令的詳細資訊，請參閱 [Get-SSMLatestEC2Image Cmdlet](https://docs.aws.amazon.com/powershell/v4/reference/items/Get-SSMLatestEC2Image.html)。  
或者，您可以使用 [CloudShell 主控台](https://console.aws.amazon.com/cloudshell/home)並執行 `pwsh` ，以顯示已安裝所有 AWS 工具的 PowerShell 提示。如需詳細資訊，請參閱[「AWS CloudShell 使用者指南」](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html)。

**尋找特定的 AMI**  


下列範例會篩選 Windows Server AMIs 名稱、擁有者、平台和建立日期 （年和月），以擷取針對 NitroTPM 和 UEFI 安全開機設定的 AMI。輸出格式為資料表，其中包含 AMI 名稱和影像 ID 的資料欄。

```
Get-EC2Image `
    -Owner amazon `
    -Filter @(
        @{Name = "name"; Values = @("TPM-Windows*")}
        @{Name = "platform"; Values = @("windows")}
        @{Name = "creation-date"; Values = @("{{2026}}*")}
    ) |
Sort-Object Name |
Format-Table Name, ImageID -AutoSize
```

------

## 更新Windows執行個體上的安全開機憑證
<a name="ami-windows-tpm-update-secure-boot-certs"></a>

Microsoft 正在更新最初在 2011 年發行的安全開機憑證，以確保Windows裝置持續驗證信任的開機軟體。這些較舊的憑證將於 2026 年 6 月過期。未收到較新 2023 憑證的裝置將繼續正常啟動和操作，標準Windows更新將繼續安裝。不過，這些裝置將無法再收到早期開機程序的新安全保護，包括對Windows開機管理員、安全開機資料庫、撤銷清單或新發現開機層級漏洞的緩解措施的更新。如需詳細資訊，請參閱 [Microsoft 的安全開機文件](https://aka.ms/GetSecureBoot)。

**重要**  
從已啟用 NitroTPM 且日期為 2026.01.14 或更早的 Windows AMIs版本啟動的執行個體，應依照步驟更新Windows執行個體上的安全開機憑證。對於日期為 2026.02.11 或更新版本的 Windows AMI 版本，不需要進一步的動作。 AMIs 

若要更新至最新的安全開機憑證 (Microsoft Corporation KEK 2K CA 2023 和 Windows UEFI CA 2023)，您可以遷移至從最新 Windows AMIs 啟動的新執行個體，或依照下列步驟更新現有的執行個體。

1. 執行Windows更新，並在出現提示時重新啟動執行個體。

1. 將下列 PowerShell 指令碼下載至執行個體：[Update-EC2SecureBootCertificate.ps1](https://s3.amazonaws.com/ec2-downloads-windows/Scripts/Update-EC2SecureBootCertificate.ps1)。

1. 以管理員身分開啟 PowerShell 命令提示，然後執行下載的 PowerShell 指令碼。

   ```
   .\Update-EC2SecureBootCertificate.ps1
   ```

1. 如果出現提示，請重新啟動您的執行個體。

如果您在憑證更新期間遇到錯誤，請聯絡 [AWS Support](https://aws.amazon.com/premiumsupport/)。