Como fazer chamadas atestadas para AWS KMS

Para fazer uma chamada atestada para AWS KMS, use o Recipient parâmetro na solicitação para fornecer o documento de atestado assinado e o algoritmo de criptografia a ser usado com a chave pública no documento de atestado. Quando uma solicitação inclui o parâmetro Recipient com um documento de atestado assinado, a resposta inclui um campo CiphertextForRecipient com o texto cifrado criptografado pela chave pública. O campo de texto simples é nulo ou vazio.

O Recipient parâmetro deve especificar um documento de atestação assinado de um AWS Nitro Enclaves ou NitroTPM. AWS AWS KMS depende da assinatura digital do documento de atestado para provar que a chave pública na solicitação veio de uma fonte válida. Não é possível fornecer seu próprio certificado para assinar digitalmente o documento de atestado.

O SDK do AWS Nitro Enclaves, que é suportado somente em um enclave Nitro, adiciona automaticamente o Recipient parâmetro e seus valores a cada solicitação. AWS KMS

Para fazer solicitações atestadas no AWS SDKs, você precisa especificar o Recipient parâmetro e seus valores. O documento de certificação pode ser recuperado do NitroTPM usando o nitro-tpm-attest utilitário ou do Nitro Secure Module (NSM) usando a API do NSM.

AWS KMS oferece suporte a chaves de condição de política que você pode usar para permitir ou negar operações atestadas com uma AWS KMS chave com base no conteúdo do documento de atestado. Você também pode monitorar solicitações atestadas AWS KMS em seus AWS CloudTrail registros.

Para obter informações detalhadas sobre o Recipient parâmetro e o campo de CiphertextForRecipient resposta da AWS, consulte os GenerateRandomtópicos Decrypt,,, DeriveSharedSecretGenerateDataKey, e na Referência da AWS Key Management Service API GenerateDataKeyPair, no SDK do AWS Nitro Enclaves ou em qualquer SDK. AWS Para obter informações sobre como configurar seus dados e chaves de dados para criptografia, consulte Usando o atestado criptográfico com. AWS KMS