翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS 認証済みプラットフォームの条件キー
AWS KMS には、AWS Nitro Enclaves と NitroTPM の暗号化認証をサポートする条件キーが用意されています。 AWS Nitro Enclaves は、エンクレーブと呼ばれる分離されたコンピューティング環境を作成して、機密性の高いデータを保護および処理できる Amazon EC2 機能です。NitroTPM は EC2 インスタンスと同様の認証機能を拡張します。
署名付きアテステーションドキュメントを使用して Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair、または GenerateRandom API オペレーションを呼び出すと、これらの APIsアテステーションドキュメントのパブリックキーのレスポンス内のプレーンテキストを暗号化し、プレーンテキストの代わりに暗号テキストを返します。この暗号文は、Enclave のプライベートキーを使用してのみ復号できます。詳細については、「での暗号化認証のサポート AWS KMS」を参照してください。
注記
キーの作成時に AWS KMS キーポリシーを指定しない場合、 はキーポリシー AWS を作成します。このデフォルトのキーポリシーは、KMS キーを所有 AWS アカウント する にキーへのフルアクセスを付与し、アカウントが IAM ポリシーを使用してキーへのアクセスを許可できるようにします。このポリシーでは、Decrypt などのすべてのアクションが許可されます。 AWS では、KMS キーポリシー最小特権のアクセス許可に のプリンシパルを適用することをお勧めします。の KMS キーポリシーアクションを に変更することで、アクセスを制限することもできますNotAction:kms:Decrypt。 kms:*
次の条件キーを使用すると、署名付きアテステーションドキュメントの内容に基づいて、これらのオペレーションのアクセス許可を制限できます。オペレーションを許可する前に、 は認証ドキュメントをこれらの AWS KMS 条件キーの値 AWS KMS と比較します。
