Bereiten Sie sich auf AWS KMS die Bescheinigung vor - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bereiten Sie sich auf AWS KMS die Bescheinigung vor

Anmerkung

Wenn Sie einen Service eines Drittanbieters attestieren, müssen Sie Ihre eigenen benutzerdefinierten Mechanismen für den Empfang, die Analyse und die Validierung von Attestierungsdokumenten entwickeln. Weitere Informationen finden Sie unter Ein NitroTPM-Attestierungsdokument validieren.

Nachdem Sie Ihr Attestable AMI erstellt haben, sollten Sie über Referenzmessungen verfügen, anhand derer Sie Anfragen von einer EC2 Amazon-Instance validieren können. AWS KMS bietet integrierte Unterstützung für die Bescheinigung mit NitroTPM.

Fügen Sie für den AWS KMS Schlüssel, den Sie zur Verschlüsselung Ihrer geheimen Daten verwendet haben, eine Schlüsselrichtlinie hinzu, die den Schlüsselzugriff nur erlaubt, wenn API-Anfragen ein Bestätigungsdokument mit Messungen enthalten, die den Referenzmessungen entsprechen, die Sie während der Erstellung des Attestable AMI generiert haben. Verwendung PCR4 und PCR12 Maße für Standardstart oder PCR7 Messungen für Secure Boot. Dadurch wird sichergestellt, dass nur Anfragen von Instances, die mit dem Attestable AMI gestartet wurden, kryptografische Operationen mit dem Schlüssel ausführen können. AWS KMS

AWS KMS stelltkms:RecipientAttestation:NitroTPMPCR4, und kms:RecipientAttestation:NitroTPMPCR12 Bedingungsschlüssel bereitkms:RecipientAttestation:NitroTPMPCR7, mit denen Sie auf Bescheinigungen basierende Bedingungen für NitroTPM KMS-Schlüsselrichtlinien erstellen können. Weitere Informationen finden Sie unter Bedingungsschlüssel für NitroTPM.

Zum Beispiel erlaubt die folgende AWS KMS Schlüsselrichtlinie den Schlüsselzugriff nur, wenn die Anfrage von einer Instanz mit angehängtem Instanzprofil stammt und wenn die MyEC2InstanceRole Anfrage ein Bestätigungsdokument mit spezifischen PCR 4- und PCR 12-Werten enthält.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow requests from instances with attested AMI only",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyEC2InstanceRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateRandom"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:RecipientAttestation:NitroTPMPCR4":"EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
          "kms:RecipientAttestation:NitroTPMPCR12":"000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
        }
      }
    }
  ]
}