NitroTPM の条件キー
次の条件キーは NitroTPM のアテステーションに固有です。
kms:RecipientAttestation:NitroTPMPCR<PCR_ID>
| AWS KMS 条件キー | 条件の種類 | 値の型 | API オペレーション | ポリシータイプ |
|---|---|---|---|---|
|
|
文字列 |
単一値 |
|
キーポリシーと IAM ポリシー |
kms:RecipientAttestation:NitroTPMPCR<PCR_ID> 条件キーは、リクエスト内の署名付きアテステーションドキュメントからのプラットフォーム設定登録 (PCR) が条件キー内の PCR と一致する場合にのみ、KMS キーを使用して Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair、GenerateRandom へのアクセスを制御します。この条件キーは、リクエストの Recipient パラメータが NitroTPM からの署名付きアテステーションドキュメントを指定している場合にのみ有効です。
この値は、NitroTPM の AWS KMS へのリクエストを表す CloudTrail のイベントにも含まれています。
PCR 値を指定するには、次の形式を使用します。PCR ID を条件キー名に連結します。PCR 値は、最大 96 バイトの小文字の 16 進文字列である必要があります。
"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"
例えば、次の条件キーは PCR4 の特定の値を指定します。
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
次のキーポリシーステートメントの例では、data-processing ロールに Decrypt オペレーションでの KMS キーの使用を許可します。
このステートメントの kms:RecipientAttestation:NitroTPMPCR 条件キーでは、リクエスト内の署名付きアテステーションドキュメントの PCR4 値が条件の kms:RecipientAttestation:NitroTPMPCR4 値と一致した場合にのみ、オペレーションを許可します。StringEqualsIgnoreCase ポリシー演算子を使用して、PCR 値の大文字と小文字を区別しない比較を要求します。
リクエストにアテステーションドキュメントが含まれない場合は、この条件が満たされないため、アクセス許可は拒否されます。
{ "Sid" : "Enable NitroTPM data processing", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:role/data-processing" }, "Action": "kms:Decrypt", "Resource" : "*", "Condition": { "StringEqualsIgnoreCase": { "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87" } } }
