Comment passer des appels attestés à AWS KMS - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment passer des appels attestés à AWS KMS

Pour effectuer un appel attesté AWS KMS, utilisez le Recipient paramètre de la demande pour fournir le document d'attestation signé et l'algorithme de chiffrement à utiliser avec la clé publique du document d'attestation. Lorsqu'une demande inclut le paramètre Recipient avec un document d'attestation signé, la réponse inclut un champ CiphertextForRecipient contenant le texte chiffré par la clé publique. Le champ de texte brut est nul ou vide.

Le Recipient paramètre doit spécifier un document d'attestation signé provenant d'un AWS Nitro Enclaves ou AWS d'un NitroTPM. AWS KMS s'appuie sur la signature numérique du document d'attestation pour prouver que la clé publique contenue dans la demande provient d'une source valide. Vous ne pouvez pas fournir votre propre certificat pour signer numériquement le document d'attestation.

Le SDK AWS Nitro Enclaves, qui n'est pris en charge que dans une enclave Nitro, ajoute automatiquement le Recipient paramètre et ses valeurs à chaque demande. AWS KMS

Pour effectuer des demandes attestées dans le AWS SDKs, vous devez spécifier le Recipient paramètre et ses valeurs. Le document d'attestation peut être récupéré depuis le NitroTPM à l'aide de l'nitro-tpm-attest utilitaire ou depuis le Nitro Secure Module (NSM) à l'aide de l'API NSM.

AWS KMS prend en charge les clés de conditions de politique que vous pouvez utiliser pour autoriser ou refuser des opérations attestées à l'aide d'une AWS KMS clé basée sur le contenu du document d'attestation. Vous pouvez également surveiller les demandes attestées AWS KMS dans vos AWS CloudTrail journaux.

Pour obtenir des informations détaillées sur le Recipient paramètre et le champ de CiphertextForRecipient réponse AWS, consultez les GenerateRandomrubriques Déchiffrer, DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, et dans la référence des AWS Key Management Service API, le SDK AWS Nitro Enclaves ou tout autre SDK. AWS Pour plus d'informations sur la configuration de vos données et de vos clés de données pour le chiffrement, consultez la section Utilisation d'une attestation cryptographique avec AWS KMS.