AWS KMS Mempersiapkan pengesahan - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS KMS Mempersiapkan pengesahan

catatan

Jika Anda membuktikan layanan pihak ketiga, Anda harus membangun mekanisme kustom Anda sendiri untuk menerima, mengurai, dan memvalidasi Dokumen Pengesahan. Untuk informasi selengkapnya, lihat Validasi Dokumen Pengesahan NitroTPM.

Setelah membuat AMI Attestable, Anda harus memiliki pengukuran referensi yang dapat Anda gunakan untuk memvalidasi permintaan dari instans Amazon. EC2 AWS KMS menyediakan dukungan bawaan untuk pengesahan dengan NitroTPM.

Untuk AWS KMS kunci yang Anda gunakan untuk mengenkripsi data rahasia, tambahkan kebijakan kunci yang mengizinkan akses kunci hanya jika permintaan API menyertakan Dokumen Pengesahan dengan PCR4 atau PCR7 pengukuran yang cocok dengan pengukuran referensi yang Anda buat selama proses pembuatan AMI yang Dapat Dibuktikan. Ini memastikan bahwa hanya permintaan dari instans yang diluncurkan menggunakan AMI Attestable yang dapat melakukan operasi kriptografi menggunakan kunci. AWS KMS

AWS KMS menyediakan kms:RecipientAttestation:PCR4 dan kms:RecipientAttestation:PCR7 mengkondisikan kunci yang memungkinkan Anda membuat kondisi berbasis pengesahan untuk kebijakan kunci KMS. Untuk informasi lebih lanjut, lihat tombol AWS KMS kondisi untuk AWS Nitro Enclaves dan NitroTPM.

Misalnya, kebijakan AWS KMS kunci berikut mengizinkan akses kunci hanya jika permintaan berasal dari instance dengan profil MyEC2InstanceRole instance terlampir, dan jika permintaan tersebut menyertakan Dokumen Pengesahan dengan nilai PCR 4 dan PCR 7 tertentu.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow requests from instances with attested AMI only",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyEC2InstanceRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateRandom"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:RecipientAttestation:PCR4":"EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
          "kms:RecipientAttestation:PCR7":"EXAMPLE34a884328944cd806127c7784677ab60a154249fd21546a217299ccfa1ebfe4fa96a163bf41d3bcfaeEXAMPLE"
        }
      }
    }
  ]
}

Untuk informasi selengkapnya, lihat tombol AWS KMS kondisi untuk NitroTPM.