AWS KMS 準備證明 - Amazon Elastic Compute Cloud

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS KMS 準備證明

注意

如果您要向第三方服務進行證明,您必須建置自己的自訂機制來接收、剖析和驗證證明文件。如需詳細資訊,請參閱驗證 NitroTPM 證明文件

建立可認證 AMI 之後,您應該有參考測量,可用來驗證來自 Amazon EC2 執行個體的請求。 AWS KMS 提供內建的 NitroTPM 認證支援。

對於您用來加密秘密資料的 AWS KMS 金鑰,請新增金鑰政策,只有在 API 請求包含具有 PCR4 或 PCR7 測量的證明文件,符合您在可認證 AMI 建立程序期間產生的參考測量時,才允許金鑰存取。這可確保只有來自使用可認證 AMI 啟動之執行個體的請求可以使用 AWS KMS 金鑰執行密碼編譯操作。

AWS KMS 提供 kms:RecipientAttestation:PCR4kms:RecipientAttestation:PCR7條件金鑰,可讓您為 KMS 金鑰政策建立以認證為基礎的條件。如需詳細資訊,請參閱 AWS KMSAWS Nitro Enclaves 和 NitroTPM 的條件索引鍵

例如,以下 AWS KMS 金鑰政策只有在請求來自連接執行個體描述檔的MyEC2InstanceRole執行個體,以及請求包含具有特定 PCR 4 和 PCR 7 值的證明文件時,才允許金鑰存取。

{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "Allow requests from instances with attested AMI only",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/MyEC2InstanceRole"
      },
      "Action": [
        "kms:Decrypt",
        "kms:GenerateDataKey",
        "kms:GenerateRandom"
      ],
      "Resource": "*",
      "Condition": {
        "StringEqualsIgnoreCase": {
          "kms:RecipientAttestation:PCR4":"EXAMPLE6b9b3d89a53b13f5dfd14a1049ec0b80a9ae4b159adde479e9f7f512f33e835a0b9023ca51ada02160EXAMPLE",
          "kms:RecipientAttestation:PCR7":"EXAMPLE34a884328944cd806127c7784677ab60a154249fd21546a217299ccfa1ebfe4fa96a163bf41d3bcfaeEXAMPLE"
        }
      }
    }
  ]
}

如需詳細資訊,請參閱 AWS KMS NitroTPM 的條件金鑰