AWS KMS Bedingungsschlüssel für zertifizierte Plattformen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS Bedingungsschlüssel für zertifizierte Plattformen

AWS KMS bietet Zustandsschlüssel zur Unterstützung der kryptografischen Bescheinigung für AWS Nitro Enclaves und NitroTPM. AWS Nitro Enclaves ist eine EC2 Amazon-Funktion, mit der Sie isolierte Computerumgebungen, sogenannte Enklaven, erstellen können, um hochsensible Daten zu schützen und zu verarbeiten. NitroTPM erweitert ähnliche Bestätigungsfunktionen auf Instanzen. EC2

Wenn Sie die Decrypt -,, DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair, oder GenerateRandomAPI-Operationen mit einem signierten Beglaubigungsdokument aufrufen, APIs verschlüsseln diese den Klartext in der Antwort unter dem öffentlichen Schlüssel aus dem Beglaubigungsdokument und geben Chiffretext statt Klartext zurück. Dieser Geheimtext kann nur mit dem privaten Schlüssel in der Enklave entschlüsselt werden. Weitere Informationen finden Sie unter Unterstützung für kryptografische Bescheinigungen in AWS KMS.

Anmerkung

Wenn Sie bei der Erstellung eines Schlüssels keine Schlüsselrichtlinie angeben, wird eine für Sie erstellt. AWS KMS AWS Diese Standard-Schlüsselrichtlinie gewährt denjenigen AWS-Konten , denen der KMS-Schlüssel gehört, vollen Zugriff auf den Schlüssel und ermöglicht es dem Konto, IAM-Richtlinien zu verwenden, um den Zugriff auf den Schlüssel zu ermöglichen. Diese Richtlinie ermöglicht alle Aktionen wie Decrypt. AWS empfiehlt, Principal of Berechtigungen mit den geringsten Rechten auf Ihre KMS-Schlüsselrichtlinien anzuwenden. Sie können den Zugriff auch einschränken, indem Sie die Aktion der KMS-Schlüsselrichtlinie für kms:* to ändernNotAction:kms:Decrypt.

Mit den folgenden Bedingungsschlüsseln können Sie die Berechtigungen für diese Operationen anhand des Inhalts des signierten Bescheinigungsdokuments einschränken. Bevor Sie einen Vorgang zulassen, wird das Bestätigungsdokument mit den Werten in diesen AWS KMS Bedingungsschlüsseln AWS KMS verglichen.