Atestação de instância do Amazon EC2 - Amazon Elastic Compute Cloud
Integração com AWS KMSAtestação de ambientes de computação isoladosModelo de Responsabilidade Compartilhada da AWS

Atestação de instância do Amazon EC2

A atestação é um processo que permite que você prove criptograficamente para qualquer parte que somente software, drivers e processos de inicialização confiáveis estão sendo executados em uma instância do Amazon EC2. A atestação de instâncias do Amazon EC2 é habilitada pelo Nitro Trusted Platform Module (NitroTPM) e por AMIs atestáveis.

A primeira etapa da atestação é compilar uma AMI atestável e determinar as medidas de referência dessa AMI. Uma AMI atestável é uma AMI compilada do zero para atestação. As medidas de referência são medidas de todo o software e de todas as configurações que você incluiu na AMI. Para obter mais informações sobre como você pode obter as medidas de referência, consulte Criar o exemplo de descrição da imagem.

Gerar medidas de referência com AMIs atestáveis.

A próxima etapa é iniciar uma instância do EC2 habilitada para Nitro-TPM com a AMI atestável. Depois de iniciar a instância, você pode usar as ferramentas do NitroTPM para gerar o atestado. Depois, você pode comparar as medidas reais da instância do EC2 que se encontram no atestado com as medidas de referência para verificar se a instância tem o software e as configurações em que você confia.

Comparando as medidas de referência geradas durante o processo de criação da AMI atestável com as medidas incluídas no atestado de uma instância, é possível validar que somente software e código confiáveis estão sendo executados na instância.

Gerar um atestado.

Integração com AWS KMS

Para facilitar o processo de comparação de medidas, é possível usar o AWS Key Management Service (AWS KMS) como um verificador de atestados. Com o AWS KMS, você pode criar políticas de chave do KMS baseadas em atestação que permitem operações específicas com a chave KMS somente se você fornecer um atestado com medidas que correspondam às medidas de referência. Para isso, você adiciona chaves de condições específicas às suas políticas de chaves do KMS que usam as medidas de referência como os valores das chaves de condições e depois especifica quais operações do KMS serão permitidas se a chave de condição for satisfeita.

Ao realizar operações do KMS usando a chave KMS, você deve anexar um atestado à solicitação do KMS. O AWS KMS valida as medidas do atestado em relação às medidas de referência da política de chave do KMS e permite acesso à chave somente se as medidas corresponderem.

Além disso, ao gerar o atestado para uma instância, você deve especificar uma chave pública para um par de chaves que possui. A chave pública especificada é incluída no atestado. Quando o AWS KMS valida o atestado e permite uma operação de descriptografia, ele criptografa automaticamente a resposta com a chave pública incluída no atestado antes de devolvê-la. Isso garante que a resposta possa ser descriptografada e usada somente com a chave privada correspondente à chave pública incluída no atestado.

Isso garante que somente instâncias que executam software e código confiáveis possam realizar operações criptográficas usando uma chave do KMS.

Atestação de ambientes de computação isolados

Em geral, você pode criar e configurar uma instância do EC2 para ser um ambiente computacional isolado, que não fornece acesso interativo nem um mecanismo para que os administradores e usuários acessem os dados que estão sendo processados na instância do EC2. Com a atestação de instâncias do EC2, você pode provar para um terceiro ou outro serviço que a instância está sendo executada como um ambiente computacional isolado. Para obter mais informações, consulte Isolar dados de seus próprios operadores.

Para ter um exemplo, veja o exemplo de descrição de imagem do Amazon Linux 2023 que cria um ambiente computacional isolado. Você pode usar esse exemplo de descrição de imagem como ponto de partida e personalizá-lo para atender aos seus requisitos.

Modelo de Responsabilidade Compartilhada da AWS

O NitroTPM e as AMIS atestáveis são os elementos que podem ajudar você a instalar e configurar atestação nas instâncias do EC2. Você é responsável por configurar a AMI para atendar ao seu respectivo caso de uso. Para obter mais informações, consulte Modelo de responsabilidade compartilhada da AWS.

Tópicos