Attestazione dell’istanza Amazon EC2

L’attestazione è un processo che permette di dimostrare crittograficamente a qualsiasi parte che su un’istanza Amazon EC2 sono in esecuzione solo software, driver e processi di avvio affidabili. L’attestazione dell’istanza Amazon EC2 è alimentata da Nitro Trusted Platform Module (NitroTPM) e dalle AMI attestabili.

Il primo passo per l’attestazione consiste nella creazione di un’AMI attestabile e nella determinazione delle misure di riferimento di tale AMI. Un’AMI attestabile è un’AMI creata da zero per l’attestazione. Le misurazioni di riferimento sono misurazioni di tutti i software e le configurazioni che hai incluso nella tua AMI. Per ulteriori informazioni su come ottenere le misurazioni di riferimento, consulta Crea la descrizione dell’immagine di esempio.

Il passaggio successivo consiste nell’avviare un’istanza EC2 abilitata per Nitro-TPM con l’AMI attestabile. Dopo aver avviato l’istanza, puoi utilizzare gli strumenti NitroTPM per generare il documento di attestazione. Quindi puoi confrontare le misure effettive della tua istanza EC2 tratte dal Documento di attestazione con le misurazioni di riferimento per verificare se l’istanza dispone del software e delle configurazioni di cui ti fidi.

Confrontando le misurazioni di riferimento generate durante il processo di creazione dell’AMI attestabile con le misurazioni incluse nel documento di attestazione di un’istanza, puoi verificare che sull’istanza siano in esecuzione solo software e codice di cui ti fidi.

Integrazione con AWS KMS

Per semplificare il processo di confronto delle misurazioni, puoi utilizzare AWS Key Management Service (AWS KMS) come verificatore per i documenti di attestazione. Con AWS KMS, puoi creare policy della chiave KMS basate sugli attestati che consentono operazioni specifiche con la chiave KMS solo se fornisci un documento di attestazione con misurazioni che corrispondono alle misure di riferimento. A tale scopo, aggiungi chiavi di condizione specifiche alle policy della chiave KMS che utilizzano le misurazioni di riferimento come valori della chiave di condizione, quindi specifica quali operazioni KMS sono consentite se la chiave di condizione è soddisfatta.

Quando esegui operazioni KMS utilizzando la chiave KMS, devi allegare un documento di attestazione alla richiesta KMS. AWS KMS quindi convalida le misurazioni del Documento di attestazione rispetto alle misurazioni di riferimento nella policy della chiave KMS e consente l’accesso alle chiavi solo se le misurazioni corrispondono.

Inoltre, quando generi il documento di attestazione per un’istanza, è necessario specificare una chiave pubblica per una coppia di chiavi che ti appartengono. La chiave pubblica specificata è compresa nel documento di attestazione. Quando AWS KMS convalida il documento di attestazione e consente un’operazione di decodifica, crittografa automaticamente la risposta con la chiave pubblica compresa nel documento di attestazione prima che venga restituita. Ciò garantisce che la risposta possa essere decrittografata e utilizzata solo con la chiave privata corrispondente per la chiave pubblica compresa nel documento di attestazione.

Questo garantisce che solo le istanze che eseguono software e codici affidabili possano eseguire operazioni di crittografia utilizzando una chiave KMS.

Attestazione di ambienti di elaborazione isolati

In generale, puoi creare e configurare un’istanza EC2 in modo che diventi un ambiente di calcolo isolato, che non fornisce alcun accesso interattivo né alcun meccanismo che consenta agli amministratori e agli utenti di accedere ai dati elaborati nell’istanza EC2. Con l’attestazione dell’istanza EC2 puoi dimostrare a terzi o a un servizio che la tua istanza funziona come un ambiente di calcolo isolato. Per ulteriori informazioni, consulta Isola i dati dai tuoi operatori.

Per un esempio, consulta la descrizione dell’immagine di esempio di Amazon Linux 2023, che crea un ambiente di calcolo isolato. Puoi utilizzare questa descrizione dell’immagine di esempio come punto di partenza e personalizzarla per soddisfare le tue esigenze.

AWSModello di responsabilità condivisa di

Le AMI attestabile e NitroTPM sono elementi costitutivi che possono aiutarti a configurare e impostare l’attestazione sulle tue istanze EC2. L’utente è responsabile della configurazione dell’AMI per soddisfare il proprio caso d’uso. Per ulteriori informazioni, consulta AWS Shared Responsibility Model.