NitroTPM 證明文件內容 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

NitroTPM 證明文件內容

證明文件是由 NitroTPM 產生,並由 Nitro Hypervisor 簽署。它包含一系列與 Amazon EC2 執行個體相關的平台組態註冊 (PCR) 值。下列 PCRs包含在證明文件中:

重要

PCR0 和 PCR1 通常用於測量由 控制的初始開機碼 AWS。為了允許安全更新早期開機程式碼,這些 PCRs 將一律包含常數值。

  • PCR0 — 核心系統韌體可執行程式碼

  • PCR1 — 核心系統韌體資料

  • PCR2 — 擴充或可插入的可執行程式碼

  • PCR3 — 擴充或可插入的韌體資料

  • PCR4 — 開機管理員程式碼

  • PCR5 — 開機管理員程式碼組態和資料和 GPT 分割區資料表

  • PCR6 — 主機平台製造商規格

  • PCR7 — 安全開機政策

  • PCR8 - 15 — 定義供靜態作業系統使用

  • PCR16 — 偵錯

  • PCR23 — 應用程式支援

PCR4PCR7 專門用於驗證執行個體是否使用可證明的 AMI 啟動。PCR4 可用於使用標準開機進行驗證,而 PCR7 可用於使用安全開機進行驗證。

  • PCR4 (開機管理員代碼) — 當執行個體啟動時,NitroTPM 會建立其 UEFI 環境所執行之所有二進位檔的密碼編譯雜湊。使用可證明AMIs,這些開機二進位檔會嵌入雜湊,以防止未來載入沒有相符雜湊的二進位檔。如此一來,單一開機二進位雜湊可以準確描述執行個體將執行的程式碼。

  • PCR7 (安全開機政策) — 您可以使用 UEFI 安全開機簽署金鑰簽署 UEFI 開機二進位檔。啟用 UEFI 安全開機時,UEFI 會防止執行不符合設定政策的 UEFI 開機二進位檔。PCR7 包含執行個體 UEFI 安全開機政策的雜湊。

    如果您需要維護跨執行個體更新持續存在的單一 KMS 政策,您可以建立針對 PCR7 驗證的政策,以驗證 UEFI 安全開機憑證。在建立可認證 AMI 期間,您可以使用憑證簽署開機二進位檔,並將其安裝為 AMI 的 UEFI 資料中唯一允許的憑證。請記住,此模型要求您仍然產生新的憑證、在政策中安裝它,並在您想要防止從舊 (不受信任) AMIs 啟動的執行個體傳遞 KMS 政策時更新 AMIs。