Support des attestations cryptographiques dans AWS KMS

AWS KMS prend en charge l'attestation cryptographique pour AWS Nitro Enclaves et NitroTPM.AWS Les applications qui prennent en charge ces méthodes d'attestation appellent les opérations AWS KMS cryptographiques suivantes avec un document d'attestation signé. AWS KMS vérifie que le document d'attestation provient d'une source valide (une enclave Nitro ou NitroTPM). Ensuite, au lieu de renvoyer des données en clair dans la réponse, ceux-ci APIs chiffrent le texte en clair avec la clé publique du document d'attestation et renvoient un texte chiffré qui ne peut être déchiffré que par la clé privée correspondante dans l'enclave ou l'instance. EC2

Le tableau suivant montre en quoi la réponse aux demandes attestées diffère de la réponse standard pour chaque opération d'API.

AWS KMS opération	Réponse normale	Réponse aux demandes attestées
`Decrypt`	Renvoie des données en texte brut	Renvoie les données en texte brut par la clé publique à partir du document d'attestation
`DeriveSharedSecret`	Renvoie le secret partagé brut	Renvoie le secret partagé brut chiffré par la clé publique à partir du document d'attestation
`GenerateDataKey`	Renvoie une copie en texte brut de la clé de données (Renvoie également une copie de la clé de données avec une clé KMS)	Renvoie une copie de la clé de données chiffrées par la clé publique à partir du document d'attestation (Renvoie également une copie de la clé de données avec une clé KMS)
`GenerateDataKeyPair`	Renvoie une copie en texte brut de la clé privée (Renvoie également la clé publique et une copie de la clé privée chiffrée avec une clé KMS)	Renvoie une copie de la clé privée chiffrée par la clé publique à partir du document d'attestation (Renvoie également la clé publique et une copie de la clé privée chiffrée avec une clé KMS)
`GenerateRandom`	Renvoie une chaîne d'octets aléatoire	Renvoie les chaîne d’octets aléatoire chiffrée par la clé publique à partir du document d'attestation

AWS KMS prend en charge les clés de conditions de politique que vous pouvez utiliser pour autoriser ou refuser des opérations attestées à l'aide d'une AWS KMS clé basée sur le contenu du document d'attestation. Vous pouvez également surveiller les demandes attestées AWS KMS dans vos AWS CloudTrail journaux.

En savoir plus

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Travaillez avec le chiffrement des tables

Comment passer des appels attestés à AWS KMS