本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Amazon EC2 執行個體認證

認證是一種程序，可讓您以密碼編譯方式向任何人證明只有受信任的軟體、驅動程式和開機程序正在 Amazon EC2 執行個體上執行。Amazon EC2 執行個體認證採用 Nitro 信任平台模組 (NitroTPM) 和可認證 AMIs。

證明的第一步是建置可證明 AMI 並判斷該 AMI 的參考測量。可證明的 AMI 是從頭開始建置以供證明的 AMI。參考測量是您包含在 AMI 中所有軟體和組態的測量。如需如何取得參考測量的詳細資訊，請參閱 建置範例映像描述。

下一個步驟是使用可認證 AMI 啟動已啟用 Nitro-TPM 的 EC2 執行個體。啟動執行個體之後，您可以使用 NitroTPM 工具來產生證明文件。然後，您可以將證明文件中 EC2 執行個體的實際測量結果與參考測量結果進行比較，以檢查執行個體是否有您信任的軟體和組態。

透過將可證明 AMI 建立程序期間產生的參考測量與執行個體的證明文件中包含的測量進行比較，您可以驗證只有您信任的軟體和程式碼才會在執行個體上執行。

與 整合 AWS KMS

若要更輕鬆地比較測量結果，您可以使用 AWS Key Management Service (AWS KMS) 做為證明文件的驗證者。使用 時 AWS KMS，您可以建立以認證為基礎的 KMS 金鑰政策，只有在您提供具有符合參考測量之測量的證明文件時，才允許使用 KMS 金鑰進行特定操作。若要這樣做，請將特定條件金鑰新增至使用參考測量做為條件金鑰值的 KMS 金鑰政策，然後指定滿足條件金鑰時允許哪些 KMS 操作。

當您使用 KMS 金鑰執行 KMS 操作時，您必須將證明文件連接至 KMS 請求。 AWS KMS 然後， 會根據 KMS 金鑰政策中的參考測量驗證證明文件中的測量，並只在測量相符時允許金鑰存取。

此外，當您為執行個體產生證明文件時，您必須為您擁有的金鑰對指定公有金鑰。指定的公有金鑰包含在證明文件中。當 AWS KMS 驗證證明文件並允許解密操作時，它會先使用證明文件中包含的公有金鑰自動加密回應，然後再傳回。這可確保回應可以解密，並且只能與證明文件中包含之公有金鑰的相符私有金鑰搭配使用。

這可確保只有執行受信任軟體和程式碼的執行個體可以使用 KMS 金鑰執行密碼編譯操作。

證明隔離的運算環境

一般而言，您可以建置並設定 EC2 執行個體做為隔離的運算環境，該環境不提供互動式存取，也無機制讓您的管理員和使用者存取 EC2 執行個體中處理的資料。透過 EC2 執行個體證明，您可以向第三方或服務證明您的執行個體是以隔離的運算環境執行。如需詳細資訊，請參閱隔離資料與您自己的運算子。

如需範例，請參閱建立隔離運算環境的範例 Amazon Linux 2023 映像說明。您可以使用此範例影像描述做為起點，並加以自訂以符合您的需求。

AWS 共同責任模型

NitroTPM 和可證明的 AMIs是可協助您在 EC2 執行個體上設定和設定證明的建置區塊。您有責任設定 AMI 以符合各自的使用案例。如需詳細資訊，請參閱AWS 共同責任模型。