Como fazer chamadas atestadas para o AWS KMS

Para fazer uma chamada atestada para o AWS KMS, use o parâmetro Recipient na solicitação para fornecer o atestado assinado e o algoritmo de criptografia a ser usado com a chave pública no atestado. Quando uma solicitação inclui o parâmetro Recipient com um documento de atestado assinado, a resposta inclui um campo CiphertextForRecipient com o texto cifrado criptografado pela chave pública. O campo de texto simples é nulo ou vazio.

O parâmetro Recipient deve especificar um atestado assinado de um AWS Nitro Enclaves ou AWS NitroTPM. O AWS KMS depende da assinatura digital do atestado para provar que a chave pública na solicitação veio de uma fonte válida. Não é possível fornecer seu próprio certificado para assinar digitalmente o documento de atestado.

O SDK de Nitro Enclaves da AWS, que é compatível somente em enclaves Nitro, adiciona automaticamente o parâmetro Recipient e seus valores a cada solicitação do AWS KMS.

Para fazer solicitações atestadas nos SDKs da AWS, você precisa especificar o parâmetro Recipient e seus valores. O atestado pode ser recuperado do NitroTPM usando o utilitário nitro-tpm-attest ou do Nitro Secure Module (NSM) usando a API do NSM.

O AWS KMS é compatível com chaves de condição de política que você pode usar para permitir ou negar operações de enclave em uma chave do AWS KMS com base no conteúdo do atestado. Você também pode monitorar as solicitações atestadas aoAWS KMS em seus logs do AWS CloudTrail.

Para obter informações detalhadas sobre o parâmetro Recipient e o campo de resposta CiphertextForRecipient da AWS, consulte os tópicos Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair e GenerateRandom na AWS Key Management Service API Reference, o AWS SDK do Nitro Enclaves ou qualquer SDK da AWS. Para obter informações sobre como configurar seus dados e chaves de dados para criptografia, consulteUsar atestado criptográfico com o AWS KMS.