翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
NitroTPM の条件キー
以下の条件キーは NitroTPM 認証に固有です。
kms:RecipientAttestation:NitroTPMPCR<PCR_ID>
| AWS KMS 条件キー | 条件の種類 | 値の型 | API オペレーション | ポリシータイプ |
|---|---|---|---|---|
|
|
文字列 |
単一値 |
|
キーポリシーと IAM ポリシー |
kms:RecipientAttestation:NitroTPMPCR<PCR_ID> 条件キーは、リクエスト内の署名付きアテステーションドキュメントからのプラットフォーム設定登録 (PCR) が条件キー内の PCR と一致する場合にのみ、KMS キーを使用して Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair、GenerateRandom へのアクセスを制御します。この条件キーは、リクエストの Recipientパラメータが NitroTPM の署名付き認証ドキュメントを指定している場合にのみ有効です。
この値は、NitroTPM の へのリクエストを表す CloudTrail イベントにも含まれます。 AWS KMS
PCR 値を指定するには、次の形式を使用します。PCR ID を条件キー名に連結します。PCR 値は、最大 96 バイトの小文字の 16 進文字列である必要があります。
"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"
たとえば、次の条件キーは PCR4 の特定の値を指定します。
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
次のキーポリシーステートメントの例では、data-processing ロールに Decrypt オペレーションでの KMS キーの使用を許可します。
このステートメントkms:RecipientAttestation:NitroTPMPCRの条件キーは、リクエストの署名付きアテステーションドキュメントの PCR4 値が条件kms:RecipientAttestation:NitroTPMPCR4の値と一致する場合にのみ、 オペレーションを許可します。StringEqualsIgnoreCase ポリシー演算子を使用して、PCR 値の大文字と小文字を区別しない比較を要求します。
リクエストにアテステーションドキュメントが含まれない場合は、この条件が満たされないため、アクセス許可は拒否されます。
{ "Sid" : "Enable NitroTPM data processing", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:role/data-processing" }, "Action": "kms:Decrypt", "Resource" : "*", "Condition": { "StringEqualsIgnoreCase": { "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87" } } }
