kms: PCR_ID RecipientAttestation:NitroTPMPCR < >

Claves de condición de NitroTPM

Las siguientes claves de condición son específicas de la certificación de NitroTPM:

kms: PCR_ID RecipientAttestation:NitroTPMPCR < >

AWS KMS Claves de condición Tipo de condición Tipo de valor Operaciones de API Tipo de política

AWS KMS Claves de condición	Tipo de condición	Tipo de valor	Operaciones de API	Tipo de política
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	Cadena	Single-valued	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	Políticas de claves y políticas de IAM

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

Cadena

Single-valued

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Políticas de claves y políticas de IAM

La clave de condición kms:RecipientAttestation:NitroTPMPCR<PCR_ID> controla el acceso a Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair y GenerateRandom con una clave KMS solo cuando los registros de configuración de la plataforma (PCR) del documento de certificación firmado en la solicitud coincidan con los PCR de la clave de condición. Esta clave de condición solo entra en vigor cuando el parámetro Recipient de la solicitud especifica un documento de certificación firmado de NitroTPM.

Este valor también se incluye en CloudTraillos eventos que representan AWS KMS solicitudes a NitroTPM.

Para especificar un valor de PCR, utilice el siguiente formato. Concatene el ID de PCR con el nombre de la clave de condición. El valor de PCR debe ser una cadena hexadecimal en minúsculas de hasta 96 bytes.


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

Por ejemplo, la siguiente clave de condición especifica un valor particular para PCR4:


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Por ejemplo, la siguiente declaración de política de claves permite al rol data-processing utilizar la clave de KMS para la operación Decrypt.

La clave de kms:RecipientAttestation:NitroTPMPCR condición de esta declaración permite la operación solo cuando el valor de PCR4 del documento de certificación firmado de la solicitud coincide con el valor de la condición. kms:RecipientAttestation:NitroTPMPCR4 Use el operador de política StringEqualsIgnoreCase para requerir una comparación entre mayúsculas y minúsculas de los valores de PCR.

Si la solicitud no incluye un documento de certificación, se deniega el permiso porque esta condición no se cumple.


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves de condición para Nitro Enclaves

Aplicar permisos de privilegios mínimos