kmsRecipientAttestation:: NitroTPMPCR <PCR_ID>

Bedingungsschlüssel für NitroTPM

Die folgenden Zustandsschlüssel sind spezifisch für die NitroTPM-Bescheinigung:

kmsRecipientAttestation:: NitroTPMPCR <PCR_ID>

AWS KMS Zustandstasten Bedingungstyp Werttyp API-Operationen Richtlinientyp

AWS KMS Zustandstasten	Bedingungstyp	Werttyp	API-Operationen	Richtlinientyp
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	String	Einzelwertig	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	Schlüsselrichtlinien und IAM-Richtlinien

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

String

Einzelwertig

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Schlüsselrichtlinien und IAM-Richtlinien

Der kms:RecipientAttestation:NitroTPMPCR<PCR_ID> Bedingungsschlüssel steuert den Zugriff auf DecryptDeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, und GenerateRandom mit einem KMS-Schlüssel nur, wenn die Registrierung (PCRs) der Plattformkonfiguration aus dem signierten Bestätigungsdokument in der Anfrage mit denen PCRs im Bedingungsschlüssel übereinstimmt. Dieser Bedingungsschlüssel ist nur wirksam, wenn der Recipient Parameter in der Anfrage ein signiertes Bestätigungsdokument von NitroTPM spezifiziert.

Dieser Wert ist auch in CloudTrailEreignissen enthalten, die Anfragen an NitroTPM darstellen. AWS KMS

Verwenden Sie das folgende Format, um einen PCR-Wert anzugeben. Verketten Sie die PCR-ID mit dem Bedingungsschlüssel-Namen. Der PCR-Wert muss eine Hexadezimalzeichenfolge in Kleinbuchstaben von bis zu 96 Bytes sein.


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

Der folgende Bedingungsschlüssel gibt beispielsweise einen bestimmten Wert für an: PCR4


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Die folgende Beispiel-Schlüsselrichtlinienanweisung erlaubt es derdata-processing -Rolle, den KMS-Schlüssel für die Operation Decrypt zu verwenden.

Der kms:RecipientAttestation:NitroTPMPCR Bedingungsschlüssel in dieser Anweisung lässt den Vorgang nur zu, wenn der PCR4 Wert im signierten Bestätigungsdokument in der Anforderung mit dem kms:RecipientAttestation:NitroTPMPCR4 Wert in der Bedingung übereinstimmt. Verwenden des StringEqualsIgnoreCase-Richtlinienoperators, um einen Vergleich der PCR-Werte ohne Berücksichtigung der Groß-/Kleinschreibung zu erfordern.

Wenn die Anforderung kein Bescheinigungsdokument enthält, wird die Berechtigung verweigert, da diese Bedingung nicht erfüllt ist.


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bedingungsschlüssel für Nitro Enclaves

Berechtigungen mit den geringsten Rechten