AWS KMS 经过验证的平台的条件密钥 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS KMS 经过验证的平台的条件密钥

AWS KMS 提供条件密钥以支持 Nitro Enclaves 和 AWS Nitro TPM 的加密认证。 AWS Nitro Enclaves 是 Amazon 的一项 EC2 功能,它允许您创建称为地的隔离计算环境,以保护和处理高度敏感的数据。NitroTPM 将类似的认证功能扩展到实例。 EC2

当您使用已签名的证明文档调用 Decrypt DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair、、、或 GenerateRandomAPI 操作时,这些操作会使用认证文档中的公钥对响应中的明文 APIs 进行加密,并返回密文而不是纯文本。此加密文字只能使用 Enclave 中的私有密钥进行解密。有关更多信息,请参阅 中的加密认证支持 AWS KMS

注意

如果您在创建密钥时未提供密钥策略,请为您 AWS 创建一个 AWS KMS 密钥策略。此默认密钥策略授予拥有 KMS 密钥的人对密钥的完全访问权限,并允许账户使用 IAM 策略来允许访问密钥。 AWS 账户 此政策允许所有操作,例如解密。 AWS 建议将的委托人应用最低权限许可于您的 KMS 密钥策略。您也可以通过修改的 KMS 密钥策略操作kms:*来限制访问权限NotAction:kms:Decrypt

通过以下条件键,您可以根据签名证明文档的内容限制这些操作的权限。在允许操作之前,请将证明文档与这些 AWS KMS 条件键中的值进行 AWS KMS 比较。