Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Holen Sie sich das NitroTPM-Bescheinigungsdokument
Das Bescheinigungsdokument ist ein wichtiger Bestandteil des NitroTPM-Bescheinigungsprozesses. Es enthält eine Reihe von kryptografischen Messungen, anhand derer die Identität der Instanz überprüft und nachgewiesen werden kann, dass auf ihr nur vertrauenswürdige Software ausgeführt wird. Sie können das Bescheinigungsdokument mit verwenden AWS KMS, das integrierte Unterstützung für die NitroTPM-Bescheinigung bietet, oder um Ihre eigenen kryptografischen Bescheinigungsmechanismen zu erstellen.
Das nitro-tpm-attest Tool ermöglicht es Ihnen, während der Laufzeit ein signiertes NitroTPM-Bestätigungsdokument für eine EC2 Amazon-Instance abzurufen.
Die Beispiel-Imagebeschreibung für Amazon Linux 2023 installiert das Hilfsprogramm automatisch im erstellten Image im /usr/bin/ Verzeichnis. Dadurch wird sichergestellt, dass das Utility auf Instances vorinstalliert ist, die mit dem AMI gestartet wurden. Sie müssen das Utility nicht manuell installieren. Weitere Informationen finden Sie unter Erstellen Sie die Beispielbildbeschreibung für Amazon Linux 2023.
Themen
Installieren Sie das nitro-tpm-attest Hilfsprogramm
Wenn Sie Amazon Linux 2023 verwenden, können Sie das nitro-tpm-attest Hilfsprogramm wie folgt aus dem Amazon Linux-Repository installieren.
sudo yum install aws-nitro-tpm-tools
Verwenden Sie das nitro-tpm-attest Hilfsprogramm
Das Hilfsprogramm stellt einen einzigen Befehl zum Abrufen des Bescheinigungsdokuments bereit. nitro-tpm-attest Der Befehl gibt das Bescheinigungsdokument zurück, das in Concise Binary Object Representation (CBOR) codiert und mit CBOR Object Signing and Encryption (COSE) signiert wurde.
Wenn Sie den Befehl ausführen, können Sie die folgenden optionalen Parameter angeben:
-
public-key— Ein öffentlicher Schlüssel, der von AWS KMS oder einem externen Dienst verwendet werden kann, um Antwortdaten zu verschlüsseln, bevor sie zurückgegeben werden. Dadurch wird sichergestellt, dass nur der vorgesehene Empfänger, der im Besitz des privaten Schlüssels ist, die Daten entschlüsseln kann. Wenn Sie beispielsweise mit bestätigen, verschlüsselt der Dienst die Klartextdaten mit AWS KMS dem öffentlichen Schlüssel im Bestätigungsdokument und gibt den resultierenden Chiffretext in dem Feld in der Antwort zurück.CiphertextForRecipientEs werden nur RSA-Schlüssel unterstützt. -
user-data— Die Benutzerdaten können verwendet werden, um zusätzliche signierte Daten an einen externen Dienst zu übermitteln. Diese Benutzerdaten können verwendet werden, um ein zwischen der anfragenden Instanz und dem externen Dienst vereinbartes Protokoll abzuschließen. Wird nicht für die Bescheinigung mit verwendet. AWS KMS -
nonce— Die Nonce kann verwendet werden, um eine Challenge-Response-Authentifizierung zwischen der Instanz und dem externen Dienst einzurichten, um Angriffe mit Identitätsmissbrauch zu verhindern. Mithilfe einer Nonce kann der externe Dienst überprüfen, ob er mit einer Live-Instanz interagiert und nicht mit einem Imitator, der ein altes Attestierungsdokument wiederverwendet. Wird nicht für die Bescheinigung mit verwendet. AWS KMS
Um das Bescheinigungsdokument abzurufen
Verwenden Sie den folgenden Befehl und optionale Parameter:
/usr/bin/nitro-tpm-attest \ --public-keyrsa_public_key\ --user-datauser_data\ --noncenonce
