kms : : Nitro PMPCR RecipientAttestation <PCR_ID>

Clés de condition pour NitroTPM

Les clés de condition suivantes sont spécifiques à l'attestation NitroTPM :

kms : : Nitro PMPCR RecipientAttestation <PCR_ID>

AWS KMS Clés de condition Type de condition Type de la valeur Opérations d'API Type de politique

AWS KMS Clés de condition	Type de condition	Type de la valeur	Opérations d'API	Type de politique
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	Chaîne	À valeur unique	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	Politiques de clé et politiques IAM

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

Chaîne

À valeur unique

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Politiques de clé et politiques IAM

La clé de kms:RecipientAttestation:NitroTPMPCR<PCR_ID> condition contrôle l'accès àDecrypt,DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, et GenerateRandom avec une clé KMS uniquement lorsque les enregistrements de configuration de la plate-forme (PCRs) à partir du document d'attestation signé dans la demande correspondent PCRs à ceux de la clé de condition. Cette clé de condition n'est effective que lorsque le Recipient paramètre de la demande spécifie un document d'attestation signé par NitroTPM.

Cette valeur est également incluse dans les CloudTrailévénements qui représentent des demandes adressées à AWS KMS NitroTPM.

Pour spécifier une valeur PCR, utilisez le format suivant. Concaténez l'ID de PCR au nom de clé de condition. La valeur PCR doit être une chaîne hexadécimale en minuscules de 96 octets maximum.


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

Par exemple, la clé de condition suivante spécifie une valeur particulière pour PCR4 :


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Par exemple, l'instruction de stratégie de clé suivante autorise le rôle data-processing à utiliser la clé KMS pour l'opération Decrypt.

La clé de kms:RecipientAttestation:NitroTPMPCR condition de cette instruction autorise l'opération uniquement lorsque la PCR4 valeur du document d'attestation signé dans la demande correspond à la kms:RecipientAttestation:NitroTPMPCR4 valeur de la condition. Utilisez l'opérateur de politique StringEqualsIgnoreCase pour exiger une comparaison insensible à la casse des valeurs PCR.

Si la demande n'inclut pas de document d'attestation, l'autorisation est refusée car cette condition n'est pas remplie.


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Clés de condition pour Nitro Enclaves

Autorisations relatives au moindre privilège