kms:: NitroTPMPCR RecipientAttestation <PCR_ID>

Chaves de condição para NitroTPM

As seguintes chaves de condição são específicas para o atestado NitroTPM:

kms:: NitroTPMPCR RecipientAttestation <PCR_ID>

AWS KMS Chaves de condição Tipo de condição Tipo de valor Operações de API Tipo de política

AWS KMS Chaves de condição	Tipo de condição	Tipo de valor	Operações de API	Tipo de política
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	String	Valor único	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	Políticas de chaves e políticas do IAM

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

String

Valor único

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

Políticas de chaves e políticas do IAM

A chave de kms:RecipientAttestation:NitroTPMPCR<PCR_ID> condição controla o acesso a DecryptDeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, e GenerateRandom com uma chave KMS somente quando a configuração da plataforma registra (PCRs) do documento de atestação assinado na solicitação coincidir com a PCRs chave de condição. Essa chave de condição só é efetiva quando o Recipient parâmetro na solicitação especifica um documento de atestado assinado pelo NitroTPM.

Esse valor também está incluído em CloudTraileventos que representam solicitações de NitroTPM. AWS KMS

Para especificar um valor de PCR, use o seguinte formato. Concatene o ID do PCR com o nome da chave da condição. O valor so PCR deve ser uma string hexadecimal minúscula de até 96 bytes.


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

Por exemplo, a chave de condição a seguir especifica um valor específico para PCR4:


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Por exemplo, a instrução de política de chave a seguir permite que a função data-processing use a chave do KMS para a operação Decrypt.

A chave de kms:RecipientAttestation:NitroTPMPCR condição nessa declaração permite a operação somente quando o PCR4 valor no documento de atestado assinado na solicitação corresponde ao kms:RecipientAttestation:NitroTPMPCR4 valor na condição. Use a política aStringEqualsIgnoreCase para exigir uma comparação sem distinção entre maiúsculas e minúsculas dos valores de PCR.

Se a solicitação não incluir um documento de atestado, a permissão será negada porque essa condição não foi atendida.


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Chaves de condição para Nitro Enclaves

Permissões de privilégio mínimo