Contenuto del documento di attestazione NitroTPM - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Contenuto del documento di attestazione NitroTPM

Un documento di attestazione viene generato dal NitroTPM ed è firmato dall'Hypervisor Nitro. Include una serie di valori dei registri di configurazione della piattaforma (PCR) relativi a un'istanza Amazon EC2 . Quanto segue PCRs è incluso nel documento di attestazione:

Importante

PCR0 e PCR1 sono generalmente utilizzati per misurare il codice di avvio iniziale, controllato da. AWS Per consentire aggiornamenti sicuri del codice di avvio iniziale, questi PCRs conterranno sempre valori costanti.

  • PCR0— Codice eseguibile del firmware del sistema principale

  • PCR1— Dati del firmware del sistema principale

  • PCR2— Codice eseguibile esteso o collegabile

  • PCR3— Dati firmware estesi o collegabili

  • PCR4— Codice di Boot Manager

  • PCR5— Configurazione del codice di Boot Manager e tabella dei dati e delle partizioni GPT

  • PCR6— Specifiche del produttore della piattaforma host

  • PCR7— Politica di avvio sicuro

  • PCR8 - 15— Definito per l'uso da parte del sistema operativo statico

  • PCR16— Debug

  • PCR23— Supporto per le applicazioni

PCR4e PCR7in particolare vengono utilizzati per verificare che un'istanza sia stata lanciata utilizzando un'AMI attestabile. PCR4 possono essere utilizzati per convalidare con avvio standard e PCR7 possono essere utilizzati per convalidare con Secure Boot.

  • PCR4 (Boot Manager Code) — All'avvio di un'istanza, NitroTPM crea hash crittografici di tutti i file binari eseguiti dal suo ambiente UEFI. Con Attestable AMIs, questi file binari di avvio incorporano hash che impediscono il caricamento futuro di file binari che non hanno hash corrispondenti. In questo modo, l'hash binario ad avvio singolo può descrivere esattamente quale codice verrà eseguita da un'istanza.

  • PCR7 (Secure Boot Policy): i file binari di avvio UEFI possono essere firmati con una chiave di firma UEFI Secure Boot. Quando UEFI Secure Boot è abilitato, UEFI impedirà l'esecuzione di file binari di avvio UEFI che non corrispondono alla politica configurata. PCR7 contiene un hash della politica UEFI Secure Boot dell'istanza.

    Se hai bisogno di mantenere un'unica policy KMS che persista tra gli aggiornamenti delle istanze, puoi creare una policy che convalidi in base alla quale PCR7 convalidare un certificato UEFI Secure Boot. Durante la creazione di un'AMI attestabile, puoi quindi firmare il file binario di avvio con il tuo certificato e installarlo come unico certificato consentito nei dati UEFI dell'AMI. Tieni presente che questo modello richiede di generare comunque un nuovo certificato, installarlo nella tua policy e aggiornarlo AMIs se vuoi evitare che le istanze lanciate da vecchie istanze (non attendibili) superino la tua policy KMS. AMIs