AWS KMS clés de condition pour les plateformes certifiées - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS clés de condition pour les plateformes certifiées

AWS KMS fournit des clés de condition pour prendre en charge l'attestation cryptographique pour AWS Nitro Enclaves et NitroTPM. AWS Nitro Enclaves est une EC2 fonctionnalité d'Amazon qui vous permet de créer des environnements informatiques isolés appelés enclaves pour protéger et traiter des données hautement sensibles. NitroTPM étend des fonctionnalités d'attestation similaires aux instances. EC2

Lorsque vous appelez les opérations Decrypt, DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, ou GenerateRandomAPI avec un document d'attestation signé, celles-ci APIs chiffrent le texte en clair de la réponse sous la clé publique du document d'attestation et renvoient du texte chiffré au lieu du texte en clair. Ce texte chiffré peut être déchiffré uniquement à l'aide de la clé privée dans l'enclave. Pour de plus amples informations, veuillez consulter Support des attestations cryptographiques dans AWS KMS.

Note

Si vous ne fournissez pas de politique clé lorsque vous créez une AWS KMS clé, AWS créez-en une pour vous. Cette politique de clé par défaut accorde au Comptes AWS propriétaire de la clé KMS un accès complet à la clé et permet au compte d'utiliser les politiques IAM pour autoriser l'accès à la clé. Cette politique autorise toutes les actions telles que le déchiffrement. AWS recommande d'appliquer le principe de Autorisations relatives au moindre privilège à vos politiques clés KMS. Vous pouvez également restreindre l'accès en modifiant l'action de politique clé KMS pour kms:* toNotAction:kms:Decrypt.

Les clés de condition suivantes vous permettent de limiter les autorisations pour ces opérations en fonction du contenu du document d'attestation signé. Avant d'autoriser une opération, AWS KMS compare le document d'attestation aux valeurs de ces clés de AWS KMS condition.