kmsRecipientAttestation:: NitrotPMPCR <PCR_ID>

Claves de condición para NitroTPM

Las siguientes claves de condición son específicas de la certificación de NitrotPM:

kmsRecipientAttestation:: NitrotPMPCR <PCR_ID>

AWS KMS Claves de condición Tipo de condición Tipo de valor Operaciones de API Tipo de política

AWS KMS Claves de condición	Tipo de condición	Tipo de valor	Operaciones de API	Tipo de política
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	Cadena	Valor único	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	Políticas de claves y políticas de IAM

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

Cadena

Valor único

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Políticas de claves y políticas de IAM

La clave de kms:RecipientAttestation:NitroTPMPCR<PCR_ID> condición controla el acceso a DecryptDeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, y GenerateRandom con una clave KMS solo cuando los registros de configuración de la plataforma (PCRs) del documento de certificación firmado de la solicitud coinciden con los de la PCRs clave de condición. Esta clave de condición solo entra en vigor cuando el Recipient parámetro de la solicitud especifica un documento de certificación firmado por NitrotPM.

Este valor también se incluye en los CloudTraileventos que representan solicitudes a NitrotPM. AWS KMS

Para especificar un valor de PCR, utilice el siguiente formato. Concatene el ID de PCR con el nombre de la clave de condición. El valor de PCR debe ser una cadena hexadecimal en minúsculas de hasta 96 bytes.


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

Por ejemplo, la siguiente clave de condición especifica un valor concreto para: PCR4


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Por ejemplo, la siguiente declaración de política de claves permite al rol data-processing utilizar la clave de KMS para la operación Decrypt.

La clave de kms:RecipientAttestation:NitroTPMPCR condición de esta declaración permite la operación solo cuando el PCR4 valor del documento de certificación firmado de la solicitud coincide con el kms:RecipientAttestation:NitroTPMPCR4 valor de la condición. Use el operador de política StringEqualsIgnoreCase para requerir una comparación entre mayúsculas y minúsculas de los valores de PCR.

Si la solicitud no incluye un documento de certificación, se deniega el permiso porque esta condición no se cumple.


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Claves de estado de Nitro Enclaves

Aplicar permisos de privilegios mínimos