Contenu du document d'attestation NitroTPM - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Contenu du document d'attestation NitroTPM

Un document d'attestation est généré par le NitroTPM et il est signé par l'Hyperviseur Nitro. Il inclut une série de valeurs de registres de configuration de plate-forme (PCR) associées à une EC2 instance Amazon. Les éléments suivants PCRs sont inclus dans le document d'attestation :

Important

PCR0 et PCR1 sont généralement utilisés pour mesurer le code de démarrage initial, qui est contrôlé par. AWS Pour permettre des mises à jour sûres des premiers codes de démarrage, ceux-ci PCRs contiendront toujours des valeurs constantes.

  • PCR0— Code exécutable du microprogramme du système central

  • PCR1— Données du microprogramme du système central

  • PCR2— Code exécutable étendu ou enfichable

  • PCR3— Données du microprogramme étendues ou enfichables

  • PCR4— Code du gestionnaire de démarrage

  • PCR5— Configuration du code et données du gestionnaire de démarrage et table de partition GPT

  • PCR6— Spécificités du fabricant de la plate-forme hôte

  • PCR7— Politique de démarrage sécurisé

  • PCR8 - 15— Défini pour être utilisé par le système d'exploitation statique

  • PCR16— Déboguer

  • PCR23— Support des applications

PCR4et sont PCR7spécifiquement utilisés pour valider qu'une instance a été lancée à l'aide d'une AMI attestable. PCR4 peut être utilisé pour valider avec un démarrage standard, et PCR7 peut être utilisé pour valider avec Secure Boot.

  • PCR4 (Code du gestionnaire de démarrage) — Lorsqu'une instance démarre, le NitroTPM crée des hachages cryptographiques de tous les fichiers binaires exécutés par son environnement UEFI. Avec Attestable AMIs, ces fichiers binaires de démarrage intègrent des hachages qui empêchent le chargement futur de fichiers binaires dont les hachages ne correspondent pas. De cette façon, le hachage binaire à démarrage unique peut décrire exactement le code qu'une instance exécutera.

  • PCR7 (Politique de démarrage sécurisé) — Les fichiers binaires de démarrage UEFI peuvent être signés à l'aide d'une clé de signature UEFI Secure Boot. Lorsque le démarrage sécurisé UEFI est activé, l'UEFI empêche l'exécution des fichiers binaires de démarrage UEFI qui ne correspondent pas à la politique configurée. PCR7 contient un hachage de la politique de démarrage sécurisé UEFI de l'instance.

    Si vous devez maintenir une politique KMS unique qui persiste lors des mises à jour d'instance, vous pouvez créer une politique qui valide par rapport PCR7 à un certificat de démarrage sécurisé UEFI. Lors de la création d'une AMI attestable, vous pouvez ensuite signer le binaire de démarrage avec votre certificat et l'installer en tant que seul certificat autorisé dans les données UEFI de l'AMI. N'oubliez pas que ce modèle nécessite que vous continuiez à générer un nouveau certificat, à l'installer dans votre politique et à le mettre à jour AMIs si vous souhaitez empêcher les instances lancées depuis un ancien certificat (non fiables) AMIs de respecter votre politique KMS.