Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Cómo realizar llamadas certificadas a AWS KMS
Para realizar una llamada certificada a AWS KMS, use el parámetro Recipient de la solicitud para proporcionar el documento de certificación firmado y el algoritmo de cifrado que se utilizará con la clave pública del documento de certificación. Cuando una solicitud incluye el parámetro Recipient con un documento de certificación firmado, la respuesta incluye un campo CiphertextForRecipient con el texto cifrado mediante la clave pública. El campo de texto sin formato es nulo o está vacío.
El parámetro Recipient debe especificar un documento de certificación firmado de un AWS Nitro Enclave o AWS NitroTPM. AWS KMS se basa en la firma digital del documento de certificación para demostrar que la clave pública en la solicitud procede de una fuente válida. No puede proporcionar su propio certificado para firmar digitalmente el documento de certificación.
El SDK de AWS Nitro Enclaves, que solo es compatible con un enclave de Nitro, agrega automáticamente el parámetro Recipient y sus valores a cada solicitud de AWS KMS.
Si quiere realizar solicitudes en los SDK de AWS, debe especificar el parámetro Recipient y sus valores. El documento de certificación se puede recuperar del NitroTPM mediante la utilidad nitro-tpm-attest o del Nitro Secure Module (NSM) mediante la API de NSM
AWS KMS también admite claves de condición de política que puede utilizar para permitir operaciones certificadas en una clave de AWS KMS solo cuando el documento de certificación tiene el contenido especificado. También puede monitorear las solicitudes certificadas de AWS KMS en los registros AWS CloudTrail.
Para obtener información detallada sobre el parámetro Recipient y el campo de respuesta AWS CiphertextForRecipient, consulte los temas Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair y GenerateRandom en la Referencia de la API de AWS Key Management Service, el SDK de AWS Nitro Enclaves o cualquier SDK de AWS. Para obtener información sobre cómo configurar los datos y las claves de datos para el cifrado, consulte Usar la certificación criptográfica con AWS KMS.
