翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS 認証済みプラットフォームの条件キー
AWS KMS には、AWS Nitro Enclaves と NitroTPM の暗号化認証をサポートする条件キーが用意されています。 AWS Nitro Enclaves は、エンクレーブと呼ばれる分離されたコンピューティング環境を作成して、機密性の高いデータを保護および処理できる Amazon EC2 機能です。NitroTPM は同様のアテステーション機能を EC2 インスタンスに拡張します。
署名済みアテステーションドキュメントを使用して Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair、GenerateRandom のいずれかの API オペレーションを呼び出す場合、これらの API は、アテステーションドキュメントからのパブリックキーのレスポンス内にあるプレーンテキストを暗号化し、プレーンテキストの代わりに暗号文を返します。この暗号文は、Enclave のプライベートキーを使用してのみ復号できます。詳細については、「AWS KMS での暗号化認証のサポート」を参照してください。
注記
キーの作成時にキーポリシーを指定しない場合、 によって AWS KMS キーポリシー AWS が作成されます。このデフォルトのキーポリシーは、KMS キーを所有する AWS アカウント にキーへのフルアクセスを付与し、アカウントが IAM ポリシーを使用してキーにアクセスすることを許可します。このポリシーでは、Decrypt などのすべてのアクションが許可されます。 AWS
は、KMS キーポリシーに 最小特権のアクセス許可 のプリンシパルを適用することをお勧めします。kms:* の KMS キーポリシーアクションを変更して NotAction:kms:Decrypt にすることでアクセスを制限することもできます。
次の条件キーを使用すると、署名付きアテステーションドキュメントの内容に基づいて、これらのオペレーションのアクセス許可を制限できます。オペレーションを許可する前に、 は認証ドキュメントをこれらの AWS KMS 条件キーの値 AWS KMS と比較します。
