As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
AWS KMS chaves de condição para plataformas certificadas
AWS KMS fornece chaves de condição para apoiar o atestado criptográfico para AWS Nitro Enclaves e NitroTPM. AWS O Nitro Enclaves é um EC2 recurso da Amazon que permite criar ambientes computacionais isolados chamados enclaves para proteger e processar dados altamente confidenciais. O NitroTPM estende a funcionalidade de atestado semelhante às instâncias. EC2
Quando você chama as operações Decrypt,, DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair, ou GenerateRandomAPI com um documento de atestado assinado, elas APIs criptografam o texto sem formatação na resposta sob a chave pública do documento de atestado e retornam texto cifrado em vez de texto sem formatação. Esse texto cifrado pode ser descriptografado apenas usando a chave privada no enclave. Para obter mais informações, consulte Suporte de atestado criptográfico em AWS KMS.
nota
Se você não fornecer uma política de chaves ao criar uma AWS KMS chave, AWS crie uma para você. Essa política de chaves padrão concede aos proprietários da chave KMS acesso total à chave e permite que a conta use políticas do IAM para permitir o acesso à chave. Contas da AWS Essa política permite todas as ações, como Decrypt. AWS
recomenda aplicar o principal de Permissões de privilégio mínimo às suas políticas de chaves do KMS. Você também pode restringir o acesso modificando a ação da política de chaves do KMS parakms:*. NotAction:kms:Decrypt
As seguintes chaves de condição permitem limitar as permissões para essas operações com base no conteúdo do documento de atestado assinado. Antes de permitir uma operação, AWS KMS compara o documento de atestado com os valores nessas AWS KMS chaves de condição.
