Installez l'nitro-tpm-attestutilitaire Utiliser l'nitro-tpm-attestutilitaire

Obtenez le document d'attestation NitroTPM

Le document d'attestation est un élément clé du processus d'attestation NitroTPM. Il contient une série de mesures cryptographiques qui peuvent être utilisées pour vérifier l'identité de l'instance et pour prouver qu'elle n'exécute que des logiciels fiables. Vous pouvez utiliser le document d'attestation AWS KMS, qui fournit un support intégré pour l'attestation NitroTPM, ou pour créer vos propres mécanismes d'attestation cryptographique.

L'nitro-tpm-attestutilitaire vous permet de récupérer un document d'attestation NitroTPM signé pour une EC2 instance Amazon pendant l'exécution.

L'exemple de description de l'image Amazon Linux 2023 installe automatiquement l'utilitaire dans l'image créée dans le /usr/bin/ répertoire. Cela garantit que l'utilitaire est préinstallé sur les instances lancées à l'aide de l'AMI. Il n'est pas nécessaire d'installer manuellement l'utilitaire. Pour de plus amples informations, veuillez consulter Créez l'exemple de description de l'image Amazon Linux 2023.

Rubriques

Installez l'`nitro-tpm-attest`utilitaire

Si vous utilisez Amazon Linux 2023, vous pouvez installer l'nitro-tpm-attestutilitaire depuis le référentiel Amazon Linux comme suit.


sudo yum install aws-nitro-tpm-tools

Utiliser l'`nitro-tpm-attest`utilitaire

L'utilitaire fournit une commande unique pour récupérer le document d'attestation. nitro-tpm-attest La commande renvoie le document d'attestation codé en représentation binaire concise d'objets (CBOR) et signé à l'aide du protocole COSE (CBOR Object Signing and Encryption).

Lorsque vous exécutez la commande, vous pouvez spécifier les paramètres facultatifs suivants :

public-key— Une clé publique qui peut être utilisée par un service externe AWS KMS ou par un service externe pour chiffrer les données de réponse avant qu'elles ne soient renvoyées. Cela garantit que seul le destinataire, en possession de la clé privée, peut déchiffrer les données. Par exemple, si vous attestez avec AWS KMS, le service chiffre les données en texte brut avec la clé publique dans le document d'attestation et renvoie le texte chiffré obtenu dans le champ de la CiphertextForRecipient réponse. Seules les clés RSA sont prises en charge.
user-data— Les données utilisateur peuvent être utilisées pour fournir des données signées supplémentaires à un service externe. Ces données utilisateur peuvent être utilisées pour compléter un protocole convenu entre l'instance demandeuse et le service externe. Non utilisé pour l'attestation avec AWS KMS.
nonce— Le nonce peut être utilisé pour configurer une authentification par défi et réponse entre l'instance et le service externe afin de prévenir les attaques par usurpation d'identité. L'utilisation d'un nonce permet au service externe de vérifier qu'il interagit avec une instance active et non avec un imitateur qui réutilise un ancien document d'attestation. Non utilisé pour l'attestation avec AWS KMS.

Pour récupérer le document d'attestation

Utilisez la commande et les paramètres facultatifs suivants :


/usr/bin/nitro-tpm-attest \
--public-key rsa_public_key \
--user-data user_data \
--nonce nonce

Pour un exemple complet montrant comment générer une paire de clés RSA et comment demander une attestation avec la clé publique, consultez le nitro-tpm-attest GitHub dépôt.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Préparer AWS KMS l'attestation

Document d'attestation NitroTPM