Preparati AWS KMS per l'attestazione - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Preparati AWS KMS per l'attestazione

Nota

Se stai attestando di utilizzare un servizio di terze parti, devi creare meccanismi personalizzati per ricevere, analizzare e convalidare i documenti di attestazione. Per ulteriori informazioni, consulta Convalida un documento di attestazione NitroTPM.

Dopo aver creato l'AMI Attestable, dovresti disporre di misurazioni di riferimento da utilizzare per convalidare le richieste da un'istanza Amazon EC2 . AWS KMS fornisce supporto integrato per l'attestazione con NitroTPM.

Per la AWS KMS chiave che hai usato per crittografare i tuoi dati segreti, aggiungi una policy chiave che consenta l'accesso alle chiavi solo se le richieste API includono un documento di attestazione con PCR4 o PCR7 misurazioni che corrispondono alle misurazioni di riferimento che hai generato durante il processo di creazione dell'AMI attestabile. Ciò garantisce che solo le richieste provenienti da istanze avviate utilizzando l'AMI Attestable possano eseguire operazioni crittografiche utilizzando la chiave. AWS KMS

AWS KMS fornisce chiavi kms:RecipientAttestation:PCR4 e kms:RecipientAttestation:PCR7 condizioni che consentono di creare condizioni basate sull'attestazione per le politiche chiave del KMS. Per ulteriori informazioni, consulta le chiavi di AWS KMS condizione per AWS Nitro Enclaves e NitroTPM.

Ad esempio, la seguente politica AWS KMS chiave consente l'accesso alle chiavi solo se la richiesta proviene da un'istanza a cui è associato il profilo dell'MyEC2InstanceRoleistanza e se la richiesta include un documento di attestazione con valori PCR 4 e PCR 7 specifici.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow requests from instances with attested AMI only",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyEC2InstanceRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateRandom"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:RecipientAttestation:PCR4":"EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
          "kms:RecipientAttestation:PCR7":"EXAMPLE34a884328944cd806127c7784677ab60a154249fd21546a217299ccfa1ebfe4fa96a163bf41d3bcfaeEXAMPLE"
        }
      }
    }
  ]
}

Per ulteriori informazioni, consulta AWS KMS Condition keys for NitroTPM.