Bescheinigung von EC2 Amazon-Instanzen - Amazon Elastic Compute Cloud
Integration mit AWS KMSBescheinigung isolierter ComputerumgebungenAWS Modell der geteilten Verantwortung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bescheinigung von EC2 Amazon-Instanzen

Die Bescheinigung ist ein Prozess, mit dem Sie jeder Partei kryptografisch nachweisen können, dass nur vertrauenswürdige Software, Treiber und Startprozesse auf einer Amazon-Instance ausgeführt werden. EC2 Die EC2 Amazon-Instance-Bescheinigung wird durch das Nitro Trusted Platform Module (NitroTPM) und Attestable unterstützt. AMIs

Der erste Schritt zur Bescheinigung besteht darin, ein attestierbares AMI zu erstellen und die Referenzmessungen dieses AMI zu bestimmen. Ein attestierbares AMI ist ein AMI, das von Grund auf für die Bescheinigung erstellt wurde. Bei den Referenzmessungen handelt es sich um Messungen Ihrer gesamten Software und Konfigurationen, die Sie in Ihr AMI aufgenommen haben. Weitere Informationen darüber, wie Sie die Referenzmessungen erhalten können, finden Sie unterErstellen Sie die Beschreibung für das Beispielbild.

Generieren von Referenzmessungen mit Attestable AMIs.

Der nächste Schritt besteht darin, eine Nitro-TPM-fähige EC2 Instance mit dem Attestable AMI zu starten. Nachdem Sie die Instance gestartet haben, können Sie die NitroTPM-Tools verwenden, um das Attestation Document zu generieren. Anschließend können Sie die tatsächlichen Messungen Ihrer EC2 Instanz aus dem Bestätigungsdokument mit den Referenzmessungen vergleichen, um zu überprüfen, ob die Instanz über die Software und Konfigurationen verfügt, denen Sie vertrauen.

Indem Sie die während der Erstellung des ATTESTABLE AMI generierten Referenzmessungen mit den Messungen vergleichen, die im Attestierungsdokument einer Instanz enthalten sind, können Sie überprüfen, ob nur Software und Code, denen Sie vertrauen, auf der Instance ausgeführt werden.

Generierung eines Bescheinigungsdokuments.

Integration mit AWS KMS

Um den Vergleich von Messungen zu vereinfachen, können Sie AWS Key Management Service (AWS KMS) als Prüfer für Bescheinigungsdokumente verwenden. Mit AWS KMS können Sie auf Bescheinigungen basierende KMS-Schlüsselrichtlinien erstellen, die bestimmte Operationen mit dem KMS-Schlüssel nur zulassen, wenn Sie ein Bestätigungsdokument mit Messwerten bereitstellen, die den Referenzmessungen entsprechen. Dazu fügen Sie Ihren KMS-Schlüsselrichtlinien, die die Referenzmessungen als Bedingungsschlüsselwerte verwenden, spezifische Bedingungsschlüssel hinzu und geben dann an, welche KMS-Operationen zulässig sind, wenn der Bedingungsschlüssel erfüllt ist.

Wenn Sie KMS-Operationen mit dem KMS-Schlüssel ausführen, müssen Sie der KMS-Anfrage ein Bestätigungsdokument beifügen. AWS KMS validiert dann die Messungen aus dem Bescheinigungsdokument anhand der Referenzmessungen in der KMS-Schlüsselrichtlinie und ermöglicht den Schlüsselzugriff nur, wenn die Messungen übereinstimmen.

Wenn Sie das Bescheinigungsdokument für eine Instanz generieren, müssen Sie außerdem einen öffentlichen Schlüssel für ein key pair angeben, das Sie besitzen. Der angegebene öffentliche Schlüssel ist im Bestätigungsdokument enthalten. Wenn das Beglaubigungsdokument AWS KMS validiert und eine Entschlüsselung zugelassen wird, verschlüsselt es die Antwort automatisch mit dem öffentlichen Schlüssel, der im Bestätigungsdokument enthalten ist, bevor sie zurückgegeben wird. Dadurch wird sichergestellt, dass die Antwort nur mit dem entsprechenden privaten Schlüssel für den öffentlichen Schlüssel, der in der Bescheinigung enthalten ist, entschlüsselt und verwendet werden kann.

Dadurch wird sichergestellt, dass nur Instanzen, auf denen vertrauenswürdige Software und vertrauenswürdiger Code ausgeführt werden, kryptografische Operationen mit einem KMS-Schlüssel ausführen können.

Bescheinigung isolierter Computerumgebungen

Im Allgemeinen können Sie eine EC2 Instanz als isolierte Rechenumgebung erstellen und konfigurieren, die keinen interaktiven Zugriff und keinen Mechanismus für Ihre Administratoren und Benutzer bietet, um auf die Daten zuzugreifen, die in der EC2 Instanz verarbeitet werden. Mit der EC2 Instanzbescheinigung können Sie einem Drittanbieter oder Dienst nachweisen, dass Ihre Instanz als isolierte Computerumgebung ausgeführt wird. Weitere Informationen finden Sie unter Isolieren Sie Daten von Ihren eigenen Operatoren.

Ein Beispiel finden Sie in der Beschreibung eines Amazon Linux 2023-Beispielimages, das eine isolierte Datenverarbeitungsumgebung erstellt. Sie können diese Beispiel-Image-Beschreibung als Ausgangspunkt verwenden und sie an Ihre Anforderungen anpassen.

AWS Modell der geteilten Verantwortung

NitroTPM und Attestable AMIs sind Bausteine, die Ihnen helfen können, die Bescheinigung für Ihre Instanzen einzurichten und zu konfigurieren. EC2 Sie sind dafür verantwortlich, das AMI so zu konfigurieren, dass es Ihrem jeweiligen Anwendungsfall entspricht. Weitere Informationen finden Sie unter AWS Modell der gemeinsamen Verantwortung.

Themen