Preparati AWS KMS per l'attestazione - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Preparati AWS KMS per l'attestazione

Nota

Se stai attestando un servizio di terze parti, devi creare i tuoi meccanismi personalizzati per ricevere, analizzare e convalidare i documenti di attestazione. Per ulteriori informazioni, consulta Convalida un documento di attestazione NitroTPM.

Dopo aver creato l'AMI Attestable, dovresti disporre di misure di riferimento da utilizzare per convalidare le richieste da un'istanza Amazon EC2 . AWS KMS fornisce supporto integrato per l'attestazione con NitroTPM.

Per la AWS KMS chiave che hai usato per crittografare i tuoi dati segreti, aggiungi una policy chiave che consenta l'accesso alle chiavi solo se le richieste API includono un documento di attestazione con misurazioni che corrispondono alle misurazioni di riferimento generate durante il processo di creazione dell'AMI attestabile. Utilizzo PCR4 e PCR12 misurazioni per l'avvio standard o PCR7 misurazioni per Secure Boot. Ciò garantisce che solo le richieste provenienti da istanze avviate utilizzando l'AMI Attestable possano eseguire operazioni crittografiche utilizzando la chiave. AWS KMS

AWS KMS fornisce kms:RecipientAttestation:NitroTPMPCR4 e chiavi di kms:RecipientAttestation:NitroTPMPCR12 condizione che consentono di creare condizioni basate sull'attestazione per le politiche chiave di NitroTPM KMS. kms:RecipientAttestation:NitroTPMPCR7 Per ulteriori informazioni, consulta Condition keys for NitroTPM.

Ad esempio, la seguente politica AWS KMS chiave consente l'accesso alle chiavi solo se la richiesta proviene da un'istanza con il profilo dell'istanza allegato e se la MyEC2InstanceRole richiesta include un documento di attestazione con valori PCR 4 e PCR 12 specifici.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow requests from instances with attested AMI only",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyEC2InstanceRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateRandom"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:RecipientAttestation:NitroTPMPCR4":"EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
          "kms:RecipientAttestation:NitroTPMPCR12":"000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000"
        }
      }
    }
  ]
}