Cara membuat panggilan yang dibuktikan ke AWS KMS

Untuk membuat panggilan yang dibuktikan AWS KMS, gunakan Recipient parameter dalam permintaan untuk menyediakan dokumen pengesahan yang ditandatangani dan algoritma enkripsi untuk digunakan dengan kunci publik dalam dokumen pengesahan. Ketika permintaan menyertakan Recipient parameter dengan dokumen pengesahan yang ditandatangani, respons menyertakan CiphertextForRecipient bidang dengan ciphertext yang dienkripsi oleh kunci publik. Bidang plaintext adalah nol atau kosong.

RecipientParameter harus menentukan dokumen pengesahan yang ditandatangani dari AWS Nitro Enclave atau NitroTPM. AWS AWS KMS bergantung pada tanda tangan digital untuk dokumen pengesahan untuk membuktikan bahwa kunci publik dalam permintaan berasal dari sumber yang valid. Anda tidak dapat menyediakan sertifikat Anda sendiri untuk menandatangani dokumen pengesahan secara digital.

AWS Nitro Enclave SDK, yang didukung hanya dalam enklave Nitro, secara otomatis menambahkan Recipient parameter dan nilainya ke setiap permintaan. AWS KMS

Untuk membuat permintaan yang dibuktikan di AWS SDKs, Anda harus menentukan Recipient parameter dan nilainya. Dokumen pengesahan dapat diambil dari NITROTPM menggunakan nitro-tpm-attest utilitas atau dari Nitro Secure Module (NSM) menggunakan NSM API.

AWS KMS mendukung kunci kondisi kebijakan yang dapat Anda gunakan untuk mengizinkan atau menolak operasi yang dibuktikan dengan AWS KMS kunci berdasarkan konten dokumen pengesahan. Anda juga dapat memantau permintaan yang dibuktikan ke AWS KMS dalam AWS CloudTrail log Anda.

Untuk informasi terperinci tentang Recipient parameter dan bidang CiphertextForRecipient respons AWS, lihat Dekripsi,,, DeriveSharedSecret, dan GenerateRandomtopik di Referensi AWS Key Management Service API GenerateDataKeyGenerateDataKeyPair, AWS Nitro Enclave SDK, atau SDK apa pun. AWS Untuk informasi tentang pengaturan data dan kunci data Anda untuk enkripsi, lihat Menggunakan pengesahan kriptografi dengan. AWS KMS