本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# NitroTPM 驗證文件內容
<a name="nitrotpm-attestation-document-content"></a>

驗證文件由 NitroTPM 生成，且由 Nitro Hypervisor 簽署。該文件包含一系列與 Amazon EC2 執行個體相關的平台組態暫存器 (PCR) 值。驗證文件包括下面的 PCR：

**重要**  
PCR0 與 PCR1 一般用於測量由 AWS控制的初始啟動碼。如需允許早期啟動程式碼進行安全更新，這些 PCR 始終會含常數值。
+ `PCR0` – 核心系統韌體可執行程式碼
+ `PCR1` – 核心系統韌體資料
+ `PCR2` – 延伸或插入式可執行程式碼
+ `PCR3` – 延伸或插入式韌體資料
+ `PCR4` – 啟動管理員程式碼
+ `PCR5` – 啟動管理員程式碼組態及資料與 GPT 分區資料表
+ `PCR6` – 主機平台製造商規格
+ `PCR7` – 安全啟動政策
+ `PCR8 - 15` – 定義用於靜態作業系統
+ `PCR16` – 偵錯
+ `PCR23` – 應用程式支援

**PCR4**、**PCR7** 和 **PCR12** 專門用於驗證執行個體是否使用可證明的 AMI 啟動。PCR4 和 PCR12 可用於使用標準開機進行驗證，而 PCR7 可用於使用安全開機進行驗證。
+ **PCR4 (啟動管理員程式碼)** – 若執行個體啟動，NitroTPM 可建立其 UEFI 環境執行的全部二進位檔的密碼編譯雜湊。藉助可驗證的 AMI，這些啟動二進位檔可嵌入雜湊，以阻止未來載入無相符雜湊的二進位檔。這樣一來，單一啟動二進位雜湊可準確描述執行個體會執行的程式碼。
+ **PCR7 (安全啟動政策)** – 您可透過 UEFI 安全啟動簽署金鑰，來簽署 UEFI 啟動二進位檔。若啟動 UEFI 安全啟動，UEFI 將會阻止執行與設定政策不相符的 UEFI 啟動二進位檔。PCR7 包含執行個體 UEFI 安全啟動政策的雜湊。

  若需要維護跨執行個體更新持續存在的單一 KMS 政策，您可建立一項針對 PCR7 進行驗證的政策，以便確認 UEFI 安全啟動憑證。建立可驗證的 AMI 期間，您隨後可透過憑證來簽署啟動二進位檔，然後做為 AMI 的 UEFI 資料中唯一允許的憑證進行安裝。請謹記，此模型仍要求生成新的憑證、在政策中安裝憑證，以及在您想要阻止透過舊的 (不可信) AMI 啟動的執行個體來傳遞 KMS 政策的情況下更新 AMI。
+ **PCR12** — 包含傳遞給 UEFI 開機二進位檔的命令列雜湊。與標準開機的 PCR4 搭配使用，以驗證命令列未修改。