As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Compatibilidade com atestação criptográfica no AWS KMS
O AWS KMS é compatível com atestação criptográfica para o AWS Nitro Enclaves e o AWS NitroTPM. As aplicações compatíveis com esses métodos de atestação chamam as seguintes operações criptográficas do AWS KMS com um atestado assinado. O AWS KMS verifica se o atestado veio de uma fonte válida (um enclave do Nitro ou do NitroTPM). Depois, em vez de retornar dados em texto sem formatação na resposta, essas APIs criptografam o texto sem formatação com a chave pública do atestado e retornam texto cifrado que somente pode ser descriptografado pela chave privada correspondente no enclave ou na instância do EC2.
A tabela a seguir mostra como a resposta a solicitações atestadas diferem da resposta padrão para cada operação de API.
| AWS KMSOperação do | Resposta padrão | Resposta para solicitações atestadas |
|---|---|---|
Decrypt |
Retorna dados de texto simples | Retorna dados de texto simples criptografados pela chave pública do documento de atestado |
DeriveSharedSecret |
Retornar segredo compartilhado bruto | Retorna o segredo compartilhado bruto criptografado pela chave pública do documento de atestado |
GenerateDataKey |
Retorna uma cópia em texto simples da chave de dados (Também retorna uma cópia da chave de dados criptografada por uma chave do KMS) |
Retorna uma cópia da chave de dados criptografada pela chave pública do documento de atestado (Também retorna uma cópia da chave de dados criptografada por uma chave do KMS) |
GenerateDataKeyPair |
Retorna uma cópia em texto simples da chave privada (Também retorna a chave pública e uma cópia da chave privada criptografada por uma chave do KMS) |
Retorna uma cópia da chave privada criptografada pela chave pública do documento de atestado (Também retorna a chave pública e uma cópia da chave privada criptografada por uma chave do KMS) |
GenerateRandom |
Retorna uma string de bytes aleatória | Retorna a string de bytes aleatória criptografada pela chave pública do documento de atestado |
O AWS KMS é compatível com chaves de condição de política que você pode usar para permitir ou negar operações de enclave em uma chave do AWS KMS com base no conteúdo do atestado. Você também pode monitorar as solicitações atestadas aoAWS KMS em seus logs do AWS CloudTrail.
Saiba mais
