Chiavi condizionali per Nitro Enclaves - AWS Key Management Service
km: 384 RecipientAttestation ImageShakms: PCR RecipientAttestation <PCR_ID>

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Chiavi condizionali per Nitro Enclaves

Le seguenti chiavi di condizione sono specifiche dell'attestazione di Nitro Enclaves:

km: 384 RecipientAttestation ImageSha

AWS KMS Chiavi di condizione Tipo di condizioni Value type (Tipo di valore) Operazioni API Tipo di policy

kms:RecipientAttestation:ImageSha384

Stringa

 A valore singolo

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Policy delle chiavi e policy IAM

La chiave kms:RecipientAttestation:ImageSha384 condizionale controlla l'accesso a DecryptDeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, e GenerateRandom con una chiave KMS quando l'immagine digest del documento di attestazione firmato nella richiesta corrisponde al valore nella chiave di condizione. Il valore ImageSha384 corrisponde a PCR0 nel documento di attestazione. Questa chiave condizionale è efficace solo quando il Recipient parametro nella richiesta specifica un documento di attestazione firmato per un'enclave Nitro. AWS

Questo valore è incluso anche negli CloudTraileventi per le richieste alle enclavi Nitro. AWS KMS

Ad esempio, la seguente dichiarazione di policy chiave consente al data-processing ruolo di utilizzare la chiave KMS per Decrypt,,, DeriveSharedSecrete le operazioni. GenerateDataKeyGenerateDataKeyPairGenerateRandom La chiave di condizione kms:RecipientAttestation:ImageSha384 consente le operazioni solo quando il valore del digest immagine (PCR0) del documento di attestazione nella richiesta corrisponde al valore del digest nella condizione. Questa chiave condizionale è efficace solo quando il Recipient parametro nella richiesta specifica un documento di attestazione firmato per un'enclave Nitro. AWS

Se la richiesta non include un documento di attestazione valido proveniente da un'enclave AWS Nitro, l'autorizzazione viene negata perché questa condizione non è soddisfatta.

{
  "Sid" : "Enable enclave data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DeriveSharedSecret",
    "kms:GenerateDataKey",
    "kms:GenerateDataKeyPair",
    "kms:GenerateRandom"
  ],
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:ImageSha384": "9fedcba8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef1abcdef0abcdef1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef99"
    }
  }
}

kms: PCR RecipientAttestation <PCR_ID>

AWS KMS Chiavi di condizione Tipo di condizioni Value type (Tipo di valore) Operazioni API Tipo di policy

kms:RecipientAttestation:PCR<PCR_ID>

Stringa

 A valore singolo

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Policy delle chiavi e policy IAM

La chiave kms:RecipientAttestation:PCR<PCR_ID> condizionale controlla l'accesso a DecryptDeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, e GenerateRandom con una chiave KMS solo quando la configurazione della piattaforma registra (PCRs) dal documento di attestazione firmato nella richiesta corrisponde a quello nella chiave di condizione. PCRs Questa chiave condizionale è efficace solo quando il Recipient parametro nella richiesta specifica un documento di attestazione firmato da un'enclave Nitro. AWS

Questo valore è incluso anche negli CloudTraileventi che rappresentano le richieste per le enclavi Nitro. AWS KMS

Per specificare un valore PCR, utilizzare il formato seguente. Concatena l'ID PCR al nome della chiave di condizione. È possibile specificare un ID PCR che identifichi una delle sei misurazioni dell'enclave o un ID PCR personalizzato definito per un caso d'uso specifico. Il valore PCR deve essere una stringa esadecimale minuscola di un massimo di 96 byte.

"kms:RecipientAttestation:PCRPCR_ID": "PCR_value"

Ad esempio, la seguente chiave condizionale specifica un valore particolare per PCR1, che corrisponde all'hash del kernel utilizzato per l'enclave e il processo di bootstrap.

kms:RecipientAttestation:PCR1: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Il seguente esempio di istruzione della policy della chiave consente al ruolo data-processing di utilizzare la chiave KMS per l'operazione Decrypt.

La chiave di kms:RecipientAttestation:PCR condizione in questa istruzione consente l'operazione solo quando il PCR1 valore nel documento di attestazione firmato nella richiesta corrisponde al valore nella condizione. kms:RecipientAttestation:PCR1 Usa l'operatore di policy StringEqualsIgnoreCase per richiedere un confronto senza distinzione tra maiuscole e minuscole dei valori PCR.

Se la richiesta non include un documento di attestazione, l'autorizzazione viene negata perché questa condizione non è soddisfatta.

{
  "Sid" : "Enable enclave data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:PCR1": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}