Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Attestazione EC2 dell'istanza Amazon

L'attestazione è un processo che consente di dimostrare crittograficamente a qualsiasi parte che su un'istanza Amazon sono in esecuzione solo software, driver e processi di avvio affidabili. EC2 L'attestazione delle EC2 istanze Amazon si basa su Nitro Trusted Platform Module (NitroTPM) e Attestable. AMIs

Il primo passaggio per l'attestazione consiste nella creazione di un AMI attestabile e nella determinazione delle misure di riferimento di tale AMI. Un'AMI attestabile è un'AMI creata da zero per l'attestazione. Le misurazioni di riferimento sono misurazioni di tutto il software e le configurazioni che hai incluso nella tua AMI. Per ulteriori informazioni su come ottenere le misurazioni di riferimento, vedereCrea la descrizione dell'immagine di esempio.

Il passaggio successivo consiste nell'avviare un' EC2 istanza abilitata per Nitro-TPM con l'AMI Attestable. Dopo aver avviato l'istanza, puoi utilizzare gli strumenti NitroTPM per generare il documento di attestazione. Quindi puoi confrontare le misurazioni effettive della tua EC2 istanza tratte dal Documento di attestazione con le misurazioni di riferimento per verificare se l'istanza dispone del software e delle configurazioni di cui ti fidi.

Confrontando le misurazioni di riferimento generate durante il processo di creazione dell'AMI Attestable con le misurazioni incluse nel documento di attestazione di un'istanza, puoi verificare che sull'istanza siano in esecuzione solo software e codice di cui ti fidi.

Integrazione con AWS KMS

Per semplificare il processo di confronto delle misurazioni, puoi utilizzare AWS Key Management Service (AWS KMS) come verificatore per i documenti di attestazione. Con AWS KMS, puoi creare politiche chiave KMS basate sugli attestati che consentono operazioni specifiche con la chiave KMS solo se fornisci un documento di attestazione con misurazioni che corrispondono alle misure di riferimento. A tale scopo, aggiungi chiavi di condizione specifiche alle politiche chiave KMS che utilizzano le misurazioni di riferimento come valori della chiave di condizione, quindi specifica quali operazioni KMS sono consentite se la chiave di condizione è soddisfatta.

Quando esegui operazioni KMS utilizzando la chiave KMS, devi allegare un documento di attestazione alla richiesta KMS. AWS KMS quindi convalida le misurazioni del Documento di attestazione rispetto alle misurazioni di riferimento nella politica chiave KMS e consente l'accesso alle chiavi solo se le misurazioni corrispondono.

Inoltre, quando si genera il documento di attestazione per un'istanza, è necessario specificare una chiave pubblica per una coppia di chiavi di cui si è proprietari. La chiave pubblica specificata è inclusa nel documento di attestazione. Quando AWS KMS convalida il documento di attestazione e consente un'operazione di decrittografia, crittografa automaticamente la risposta con la chiave pubblica inclusa nel documento di attestazione prima che venga restituita. Ciò garantisce che la risposta possa essere decrittografata e utilizzata solo con la chiave privata corrispondente per la chiave pubblica inclusa nel documento di attestazione.

Ciò garantisce che solo le istanze che eseguono software e codice affidabili possano eseguire operazioni crittografiche utilizzando una chiave KMS.

Attestazione di ambienti di elaborazione isolati

In generale, puoi creare e configurare un' EC2 istanza in modo che diventi un ambiente di calcolo isolato, che non fornisce alcun accesso interattivo né alcun meccanismo per gli amministratori e gli utenti di accedere ai dati che vengono elaborati nell'istanza. EC2 Con l'attestazione dell' EC2 istanza puoi dimostrare a una terza parte o a un servizio che l'istanza funziona come un ambiente di calcolo isolato. Per ulteriori informazioni, consulta Isola i dati dai tuoi operatori.

Per un esempio, consulta la descrizione dell'immagine di esempio di Amazon Linux 2023 che crea un ambiente di calcolo isolato. Puoi utilizzare questa descrizione dell'immagine di esempio come punto di partenza e personalizzarla per soddisfare le tue esigenze.

AWS modello di responsabilità condivisa

NitroTPM e Attestable AMIs sono elementi costitutivi che possono aiutarti a impostare e configurare l'attestazione sulle tue istanze. EC2 L'utente è responsabile della configurazione dell'AMI per soddisfare il rispettivo caso d'uso. Per ulteriori informazioni, consulta AWS Modello di responsabilità condivisa.