に認証済みの呼び出しを行う方法 AWS KMS

認証された呼び出しを行うには AWS KMS、リクエストで Recipientパラメータを使用して、署名付き認証ドキュメントと、認証ドキュメントのパブリックキーで使用する暗号化アルゴリズムを指定します。リクエストに Recipient パラメーターと署名付きアテステーションドキュメントが含まれている場合、レスポンスには CiphertextForRecipient フィールドとパブリックキーによって暗号化された暗号文が含まれます。プレーンテキストフィールドは null または空です。

Recipient パラメータは、リクエストのパブリックキーが有効なソースから送信されたことを証明するために、 AWS Nitro Enclaves または AWS NitroTPM. AWS KMS relies から認証ドキュメントのデジタル署名に署名された認証ドキュメントを指定する必要があります。アテステーションドキュメントにデジタル署名をして独自の証明書を提供することはできません。

AWS Nitro Enclaves SDK は Nitro エンクレーブ内でのみサポートされており、すべての AWS KMS リクエストに Recipientパラメータとその値を自動的に追加します。

AWS SDKs で認証されたリクエストを行うには、 Recipientパラメータとその値を指定する必要があります。認証ドキュメントは、nitro-tpm-attest ユーティリティを使用して NitroTPM から、または NSM API を使用して Nitro Secure Module (NSM) から取得できます。

AWS KMS は、アテステーションドキュメントの内容に基づいて キーでアテステーションされたオペレーションを許可または拒否するために使用できるポリシー条件 AWS KMS キーをサポートします。 AWS CloudTrail ログで への認証済みリクエストをモニタリング AWS KMSすることもできます。

Recipient パラメーターおよび AWS CiphertextForRecipient レスポンスフィールドの詳細については、「AWS Key Management Service API リファレンス」、「AWS Nitro Enclaves SDK」または任意の AWS SDK の、「Decrypt」、「DeriveSharedSecret」、「GenerateDataKey」、「GenerateDataKeyPair」、および「GenerateRandom」のトピックを参照してください。暗号化用にデータとデータキーを設定する方法については、「 での暗号化認証の使用 AWS KMS」を参照してください。