RecipientAttestation:NitroTPMPCR<km: PCR_ID >

Bedingungsschlüssel für NitroTPM

Die folgenden Zustandsschlüssel sind spezifisch für die NitroTPM-Bescheinigung:

RecipientAttestation:NitroTPMPCR<km: PCR_ID >

AWS KMS Zustandstasten Bedingungstyp Werttyp API-Operationen Richtlinientyp

AWS KMS Zustandstasten	Bedingungstyp	Werttyp	API-Operationen	Richtlinientyp
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	Zeichenfolge	Single-valued	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	Schlüsselrichtlinien und IAM-Richtlinien

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

Zeichenfolge

Single-valued

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Schlüsselrichtlinien und IAM-Richtlinien

Der kms:RecipientAttestation:NitroTPMPCR<PCR_ID> Bedingungsschlüssel steuert den Zugriff aufDecrypt,DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, und GenerateRandom mit einem KMS-Schlüssel nur, wenn die Plattformkonfigurationsregister (PCRs) aus dem signierten Bestätigungsdokument in der Anfrage mit den PCRs im Bedingungsschlüssel übereinstimmen. Dieser Bedingungsschlüssel ist nur wirksam, wenn der Recipient Parameter in der Anfrage ein signiertes Bestätigungsdokument von NitroTPM angibt.

Dieser Wert ist auch in CloudTrailEreignissen enthalten, die Anfragen an NitroTPM darstellen. AWS KMS

Verwenden Sie das folgende Format, um einen PCR-Wert anzugeben. Verketten Sie die PCR-ID mit dem Bedingungsschlüssel-Namen. Der PCR-Wert muss eine Hexadezimalzeichenfolge in Kleinbuchstaben von bis zu 96 Bytes sein.


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

Der folgende Bedingungsschlüssel gibt beispielsweise einen bestimmten Wert für PCR4 an:


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Die folgende Beispiel-Schlüsselrichtlinienanweisung erlaubt es derdata-processing -Rolle, den KMS-Schlüssel für die Operation Decrypt zu verwenden.

Der kms:RecipientAttestation:NitroTPMPCR Bedingungsschlüssel in dieser Anweisung lässt den Vorgang nur zu, wenn der PCR4-Wert im signierten Bestätigungsdokument in der Anforderung mit dem Wert in der Bedingung übereinstimmt. kms:RecipientAttestation:NitroTPMPCR4 Verwenden des StringEqualsIgnoreCase-Richtlinienoperators, um einen Vergleich der PCR-Werte ohne Berücksichtigung der Groß-/Kleinschreibung zu erfordern.

Wenn die Anforderung kein Bescheinigungsdokument enthält, wird die Berechtigung verweigert, da diese Bedingung nicht erfüllt ist.


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Bedingungsschlüssel für Nitro Enclaves

Berechtigungen mit den geringsten Rechten