如何拨打经证实的电话 AWS KMS

要对进行证明调用 AWS KMS，请使用请求中的Recipient参数提供已签名的证明文档和加密算法，以便与认证文档中的公钥一起使用。当请求中包含带有已签名证明文档的 Recipient 参数时，响应将包含一个具有由公有密钥加密的加密文字的 CiphertextForRecipient 字段。明文字段为空。

该Recipient参数必须指定来自 Nitro Enclaves AWS 或 NitroTPM 的签名认证文档。 AWS AWS KMS 依靠认证文档的数字签名来证明请求中的公钥来自有效来源。您不能提供自己的证书来对证明文档进行数字签名。

AWS Nitro Enclaves SDK 仅在 Nitro 安全区内受支持，它会自动将Recipient参数及其值添加到每个请求中。 AWS KMS

要在中发出经证明的请求 AWS SDKs，您必须指定Recipient参数及其值。认证文档可以使用该nitro-tpm-attest 实用程序从 NitroTPM 中检索，也可以使用 NSM API 从 Nitro 安全模块 (NSM) 中检索。

AWS KMS 支持策略条件密钥，您可以根据认证文档的内容使用 AWS KMS 密钥来允许或拒绝经证明的操作。您还可以在 AWS CloudTrail 日志中监控已证实 AWS KMS的请求。

有关Recipient参数和 AWS CiphertextForRecipient 响应字段的详细信息，请参阅 AWS Key Management Service API 参考、AWS Nitro Enclaves 软件开发工具包或任何软件开发工具包中的解密、、、和GenerateRandom主题。DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair AWS 有关设置数据和数据密钥以进行加密的信息，请参阅使用加密认证。 AWS KMS