Dapatkan Dokumen Pengesahan NitroTPM - Amazon Elastic Compute Cloud
Instal nitro-tpm-attest utilitasGunakan nitro-tpm-attest utilitas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dapatkan Dokumen Pengesahan NitroTPM

Dokumen Pengesahan adalah komponen kunci dari proses pengesahan NitroTPM. Ini berisi serangkaian pengukuran kriptografi yang dapat digunakan untuk memverifikasi identitas instance dan untuk membuktikan bahwa itu hanya menjalankan perangkat lunak tepercaya. Anda dapat menggunakan Dokumen Pengesahan dengan AWS KMS, yang menyediakan dukungan bawaan untuk pengesahan NitroTPM, atau untuk membangun mekanisme pengesahan kriptografi Anda sendiri.

nitro-tpm-attestUtilitas ini memungkinkan Anda untuk mengambil Dokumen Pengesahan NitroTPM yang ditandatangani untuk instance Amazon selama runtime. EC2

Contoh deskripsi gambar Amazon Linux 2023 secara otomatis menginstal utilitas pada gambar bawaan di /usr/bin/ direktori. Ini memastikan bahwa utilitas sudah diinstal sebelumnya pada instance yang diluncurkan menggunakan AMI. Anda tidak perlu menginstal utilitas secara manual. Untuk informasi selengkapnya, lihat Buat contoh deskripsi gambar Amazon Linux 2023.

Topik

Instal nitro-tpm-attest utilitas

Jika Anda menggunakan Amazon Linux 2023, Anda dapat menginstal nitro-tpm-attest utilitas dari repositori Amazon Linux sebagai berikut.

sudo yum install aws-nitro-tpm-tools

Gunakan nitro-tpm-attest utilitas

Utilitas menyediakan satu perintah,nitro-tpm-attest, untuk mengambil Dokumen Pengesahan. Perintah mengembalikan Dokumen Pengesahan yang dikodekan dalam Representasi Objek Biner Ringkas (CBOR) dan ditandatangani menggunakan CBOR Object Signing and Encryption (COSE).

Saat Anda menjalankan perintah, Anda dapat menentukan parameter opsional berikut:

  • public-keyKunci publik yang dapat digunakan oleh AWS KMS atau layanan eksternal untuk mengenkripsi data respons sebelum dikembalikan. Ini memastikan bahwa hanya penerima yang dituju, yang memiliki kunci pribadi, yang dapat mendekripsi data. Misalnya, jika Anda membuktikan AWS KMS, layanan mengenkripsi data plaintext dengan kunci publik di Dokumen Pengesahan, dan mengembalikan ciphertext yang dihasilkan di bidang dalam respons. CiphertextForRecipient Hanya kunci RSA yang didukung.

  • user-dataData pengguna dapat digunakan untuk mengirimkan data tambahan yang ditandatangani ke layanan eksternal. Data pengguna ini dapat digunakan untuk melengkapi protokol yang disepakati antara instance yang meminta dan layanan eksternal. Tidak digunakan untuk pengesahan dengan. AWS KMS

  • nonceNonce dapat digunakan untuk mengatur otentikasi tantangan-respons antara instance dan layanan eksternal untuk membantu mencegah serangan peniruan identitas. Menggunakan nonce memungkinkan layanan eksternal untuk memverifikasi bahwa itu berinteraksi dengan instance langsung dan bukan peniru yang menggunakan kembali Dokumen Pengesahan lama. Tidak digunakan untuk pengesahan dengan. AWS KMS

Untuk mengambil Dokumen Pengesahan

Gunakan perintah berikut dan parameter opsional:

/usr/bin/nitro-tpm-attest \
--public-key rsa_public_key \
--user-data user_data \
--nonce nonce

Untuk contoh lengkap yang menunjukkan cara membuat key pair RSA, dan cara meminta pengesahan dengan kunci publik, lihat repo. nitro-tpm-attest GitHub