kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

Claves de condición de NitroTPM

Las siguientes claves de condición son específicas de la certificación de NitroTPM:

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

AWS KMSClaves de condición de Tipo de condición Tipo de valor Operaciones de API Tipo de política

AWS KMSClaves de condición de	Tipo de condición	Tipo de valor	Operaciones de API	Tipo de política
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	Cadena	Valor único	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	Políticas de claves y políticas de IAM

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

Cadena

Valor único

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Políticas de claves y políticas de IAM

La clave de condición kms:RecipientAttestation:NitroTPMPCR<PCR_ID> controla el acceso a Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair y GenerateRandom con una clave KMS solo cuando los registros de configuración de la plataforma (PCR) del documento de certificación firmado en la solicitud coincidan con los PCR de la clave de condición. Esta clave de condición solo entra en vigor cuando el parámetro Recipient de la solicitud especifica un documento de certificación firmado de NitroTPM.

Este valor también se incluye en los eventos de CloudTrail que representan solicitudes a AWS KMS para enclaves de NitroTPM.

Para especificar un valor de PCR, utilice el siguiente formato. Concatene el ID de PCR con el nombre de la clave de condición. El valor de PCR debe ser una cadena hexadecimal en minúsculas de hasta 96 bytes.


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

Por ejemplo, la siguiente clave de condición especifica un valor particular para PCR4:


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Por ejemplo, la siguiente declaración de política de claves permite al rol data-processing utilizar la clave de KMS para la operación Decrypt.

La clave de condición kms:RecipientAttestation:NitroTPMPCR en esta declaración permite la operación solo cuando el valor PCR4 del documento de conformidad firmado en la solicitud coincide con el valor kms:RecipientAttestation:NitroTPMPCR4 de la condición. Use el operador de política StringEqualsIgnoreCase para requerir una comparación entre mayúsculas y minúsculas de los valores de PCR.

Si la solicitud no incluye un documento de certificación, se deniega el permiso porque esta condición no se cumple.


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves de condición para Nitro Enclaves

Aplicar permisos de privilegios mínimos