AWS KMS Mempersiapkan pengesahan - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS KMS Mempersiapkan pengesahan

catatan

Jika Anda membuktikan layanan pihak ketiga, Anda harus membangun mekanisme kustom Anda sendiri untuk menerima, mengurai, dan memvalidasi Dokumen Pengesahan. Untuk informasi selengkapnya, lihat Validasi Dokumen Pengesahan NitroTPM.

Setelah membuat AMI Attestable, Anda harus memiliki pengukuran referensi yang dapat Anda gunakan untuk memvalidasi permintaan dari instans Amazon EC2. AWS KMS menyediakan dukungan bawaan untuk pengesahan dengan NitroTPM.

Untuk AWS KMS kunci yang Anda gunakan untuk mengenkripsi data rahasia, tambahkan kebijakan kunci yang mengizinkan akses kunci hanya jika permintaan API menyertakan Dokumen Pengesahan dengan pengukuran yang sesuai dengan pengukuran referensi yang Anda buat selama proses pembuatan AMI yang Dapat Dibuktikan. Penggunaan PCR4 dan PCR12 pengukuran untuk boot standar atau PCR7 pengukuran untuk Boot Aman. Ini memastikan bahwa hanya permintaan dari instance yang diluncurkan menggunakan AMI Attestable yang dapat melakukan operasi kriptografi menggunakan kunci. AWS KMS

AWS KMS menyediakankms:RecipientAttestation:NitroTPMPCR4,kms:RecipientAttestation:NitroTPMPCR7, dan kunci kms:RecipientAttestation:NitroTPMPCR12 kondisi yang memungkinkan Anda membuat kondisi berbasis pengesahan untuk kebijakan kunci NitroTPM KMS. Untuk informasi selengkapnya, lihat Kunci kondisi untuk NitroTPM.

Misalnya, kebijakan AWS KMS kunci berikut mengizinkan akses kunci hanya jika permintaan berasal dari instance dengan profil MyEC2InstanceRole instance terlampir, dan jika permintaan tersebut menyertakan Dokumen Pengesahan dengan nilai PCR 4 dan PCR 12 tertentu.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow requests from instances with attested AMI only",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyEC2InstanceRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateRandom"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:RecipientAttestation:NitroTPMPCR4":"EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
          "kms:RecipientAttestation:NitroTPMPCR12":"000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
        }
      }
    }
  ]
}