에 대해 증명된 호출을 수행하는 방법 AWS KMS - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

에 대해 증명된 호출을 수행하는 방법 AWS KMS

에 대해 증명된 호출을 수행하려면 요청의 Recipient 파라미터를 AWS KMS사용하여 서명된 증명 문서와 증명 문서의 퍼블릭 키와 함께 사용할 암호화 알고리즘을 제공합니다. 요청에 서명된 증명 문서가 있는 Recipient 파라미터가 포함된 경우, 응답에는 퍼블릭 키로 암호화된 사이퍼텍스트가 포함된 CiphertextForRecipient 필드가 포함됩니다. 일반 텍스트 필드가 null이거나 비어있습니다.

Recipient 파라미터는 AWS Nitro Enclaves 또는 AWS NitroTPM.의 서명된 증명 문서를 지정해야 합니다. AWS KMS 는 증명 문서의 디지털 서명을 사용하여 요청의 퍼블릭 키가 유효한 소스에서 왔음을 증명합니다. 증명 문서에 디지털 서명하기 위한 자체 인증서를 제공할 수 없습니다.

AWS Nitro 엔클레이브 내에서만 지원되는 Nitro Enclaves SDK는 모든 AWS KMS 요청에 Recipient 파라미터와 해당 값을 자동으로 추가합니다.

AWS SDKs에서 증명된 요청을 수행하려면 Recipient 파라미터와 해당 값을 지정해야 합니다. 증명 문서는 nitro-tpm-attest 유틸리티를 사용하여 NitroTPM에서 검색하거나 NSM API를 사용하여 Nitro 보안 모듈(NSM)에서 검색할 수 있습니다.

AWS KMS 는 증명 문서의 내용을 기반으로 키로 증명된 작업을 허용하거나 거부하는 데 사용할 수 있는 정책 조건 AWS KMS 키를 지원합니다. AWS CloudTrail 로그에서 에 대해 증명된 요청을 모니터링할 AWS KMS 수도 있습니다.

Recipient파라미터 및 CiphertextForRecipient 응답 필드에 대한 자세한 내용은 AWS Key Management Service API 참조Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPairGenerateRandom 주제, AWS Nitro Enclaves SDK 또는 모든 AWS SDK를 참조하세요. 암호화를 위한 데이터 및 데이터 키 설정에 대한 자세한 내용은 에서 암호화 증명 사용을 AWS KMS 참조하세요.