翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS KMS での暗号化認証のサポート
AWS KMS は、AWS Nitro Enclaves と AWS NitroTPM の暗号化アテステーションをサポートします。これらのアテステーション方法をサポートするアプリケーションは、署名付きアテステーションドキュメントを使用して以下の AWS KMS 暗号化オペレーションを呼び出します。 AWS KMS は、アテステーションドキュメントが有効なソース (Nitro Enclave または NitroTPM のいずれか) から送信されたことを検証します。次に、これらの API は、レスポンスでプレーンテキストデータを返す代わりに、アテステーションドキュメントのパブリックキーでプレーンテキストを暗号化し、エンクレーブまたは EC2 インスタンス内の対応するプライベートキーによってのみ復号できる暗号文を返します。
次の表は、認証済みリクエストへのレスポンスが各 API オペレーションの標準的なレスポンスとどのように異なるかを示しています。
| AWS KMS オペレーション | 標準的なレスポンス | 認証済みリクエストのレスポンス |
|---|---|---|
Decrypt |
プレーンテキストデータを返します | アテステーションドキュメントのパブリックキーによって暗号化されたプレーンテキストデータを返します |
DeriveSharedSecret |
未加工の共有シークレットを返す | アテステーションドキュメントのパブリックキーによって暗号化された未加工の共有シークレットを返す |
GenerateDataKey |
データキーのプレーンテキストのコピーを返します (KMS キーによって暗号化されたデータキーのコピーも返します) |
アテステーションドキュメントのパブリックキーによって暗号化されたデータキーのコピーを返します (KMS キーによって暗号化されたデータキーのコピーも返します) |
GenerateDataKeyPair |
プライベートキーのプレーンテキストのコピーを返します (パブリックキーおよび KMS キーによって暗号化されたプライベートキーのコピーも返します) |
アテステーションドキュメントのパブリックキーによって暗号化されたプライベートキーのコピーを返します (パブリックキーおよび KMS キーによって暗号化されたプライベートキーのコピーも返します) |
GenerateRandom |
乱数バイト文字列を返します | アテステーションドキュメントのパブリックキーによって暗号化された乱数バイト文字列を返します |
AWS KMS は、アテステーションドキュメントの内容に基づいて AWS KMS キーで認証済みオペレーションを許可または拒否するために使用できるポリシー条件キーをサポートします。AWS CloudTrail ログで AWS KMS への認証済みリクエストをモニタリングすることもできます。
詳細
