증명을 위해 AWS KMS 준비 - Amazon Elastic Compute Cloud

증명을 위해 AWS KMS 준비

참고

서드 파티 서비스를 증명하는 경우 증명 문서를 수신, 구문 분석 및 검증하기 위한 자체 사용자 지정 메커니즘을 빌드해야 합니다. 자세한 내용은 NitroTPM 증명 문서 검증 섹션을 참조하세요.

증명 가능한 AMI를 생성한 후에는 Amazon EC2 인스턴스의 요청을 검증하는 데 사용할 수 있는 참조 측정값이 있어야 합니다. AWS KMS에서는 NitroTPM을 사용한 증명에 대한 기본 지원을 제공합니다.

보안 암호 데이터를 암호화하는 데 사용한 AWS KMS 키의 경우 증명 가능한 AMI 생성 프로세스 중에 생성한 참조 측정값과 일치하는 PCR4 또는 PCR7 측정값이 포함된 증명 문서가 API 요청에 포함된 경우에만 키 액세스를 허용하는 키 정책을 추가합니다. 이를 통해 증명 가능한 AMI를 사용하여 시작된 인스턴스의 요청만 AWS KMS 키를 사용하여 암호화 작업을 수행할 수 있습니다.

AWS KMS에서는 KMS 키 정책에 대한 증명 기반 조건을 생성할 수 있도록 하는 kms:RecipientAttestation:PCR4kms:RecipientAttestation:PCR7 조건 키를 제공합니다. 자세한 내용은 AWS KMS condition keys for AWS Nitro Enclaves and NitroTPM을 참조하세요.

예를 들어 다음 AWS KMS 키 정책은 요청이 MyEC2InstanceRole 인스턴스 프로파일이 연결된 인스턴스에서 시작되는 경우 그리고 특정 PCR 4 및 PCR 7 값을 포함하는 증명 문서가 요청에 포함된 경우에만 키 액세스를 허용합니다.

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow requests from instances with attested AMI only",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyEC2InstanceRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateRandom"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:RecipientAttestation:PCR4":"EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
          "kms:RecipientAttestation:PCR7":"EXAMPLE34a884328944cd806127c7784677ab60a154249fd21546a217299ccfa1ebfe4fa96a163bf41d3bcfaeEXAMPLE"
        }
      }
    }
  ]
}

자세한 내용은 AWS KMS condition keys for NitroTPM을 참조하세요.