Cómo integrar con AWS KMS Atestación de entornos de computación aislados Modelo de responsabilidad compartida de AWS

Atestación de instancias de Amazon EC2

La atestación es un proceso que le permite demostrar criptográficamente a cualquier parte que solo se ejecutan software, controladores y procesos de arranque de confianza en una instancia de Amazon EC2. La atestación de instancias de Amazon EC2 se basa en el Módulo de plataforma segura Nitro (NitroTPM) y en las AMI certificables.

El primer paso para la atestación consiste en crear una AMI certificable y determinar las mediciones de referencia de esa AMI. Una AMI certificable es una AMI diseñada desde cero para la atestación. Las mediciones de referencia son mediciones de todo el software y las configuraciones que ha incluido en la AMI. Para obtener más información sobre cómo puede generar las mediciones de referencia, consulte Compilación de la descripción de imagen de muestra.

Generación de mediciones de referencia con AMI certificables.

El siguiente paso consiste en lanzar una instancia de EC2 con Nitro-TPM habilitado y la AMI certificable. Después de lanzar la instancia, puede usar las herramientas NitroTPM para generar el documento de atestación. Luego puede comparar las mediciones reales de la instancia de EC2 del documento de atestación con las mediciones de referencia, para comprobar si la instancia tiene el software y las configuraciones en las que confía.

Al comparar las mediciones de referencia generadas durante el proceso de creación de la AMI certificable con las mediciones incluidas en el documento de atestación de una instancia, puede validar que solo se ejecuten en la instancia el software y el código en los que confía.

Generación de un documento de atestación.

Cómo integrar con AWS KMS

Para simplificar el proceso de comparación de mediciones, puede usar AWS Key Management Service (AWS KMS) como verificador de documentos de atestación. Con AWS KMS, puede crear políticas de claves de KMS basadas en atestación que permiten realizar operaciones específicas con la clave de KMS solo si se proporciona un documento de atestación con mediciones que coincidan con las mediciones de referencia. Para hacerlo, agregue claves de condición específicas a las políticas de claves de KMS, que usen las mediciones de referencia como valores de clave de condición y, a continuación, especifique qué operaciones de KMS se permiten si se cumple la clave de condición.

Cuando realice operaciones de KMS con la clave de KMS, debe asociar un documento de atestación a la solicitud de KMS. AWS KMS valida las mediciones del documento de atestación frente a las mediciones de referencia definidas en la política de clave de KMS y permite el acceso a la clave solo si las mediciones coinciden.

Además, al generar el documento de atestación para una instancia, debe especificar una clave pública correspondiente a un par de claves que le pertenezca. La clave pública especificada se incluye en el documento de atestación. Cuando AWS KMS valida el documento de atestación y permite una operación de descifrado, cifra automáticamente la respuesta con la clave pública incluida en el documento de atestación antes de devolverla. Esto garantiza que la respuesta se pueda descifrar y utilizar únicamente con la clave privada correspondiente a la clave pública incluida en el documento de atestación.

Esto garantiza que solo las instancias que ejecutan software y código de confianza puedan realizar operaciones criptográficas con una clave de KMS.

Atestación de entornos de computación aislados

En general, puede crear y configurar una instancia de EC2 para que funcione como un entorno de computación aislado, el cual no ofrece acceso interactivo ni mecanismos para que los administradores o usuarios accedan a los datos que se procesan en la instancia de EC2. Con la atestación de instancias de EC2, puede demostrar a un tercero o a un servicio que la instancia se ejecuta como un entorno de computación aislado. Para obtener más información, consulte Cómo aislar los datos de operadores propios.

Como ejemplo, consulte la descripción de imagen de Amazon Linux 2023 que crea un entorno de computación aislado. Puede usar esta descripción de imagen de muestra como punto de partida y personalizarla para adaptarla a sus requisitos.

Modelo de responsabilidad compartida de AWS

NitroTPM y las AMI certificables son componentes fundamentales que pueden ayudar a configurar la atestación en las instancias de EC2. Es su responsabilidad configurar la AMI de modo que se ajuste al caso de uso correspondiente. Para obtener más información, consulte Modelo de responsabilidad compartida de AWS.

Temas

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Recupere la clave de aprobación pública

AMI certificables