如何對 進行經驗證的呼叫 AWS KMS

若要對 進行經驗證的呼叫 AWS KMS，請在 請求中使用 Recipient 參數來提供已簽署的證明文件，以及與證明文件中的公有金鑰搭配使用的加密演算法。當請求包含已簽署證明文件的 Recipient 參數時，回應會包含 CiphertextForRecipient 欄位，以及由公有金鑰加密的密文。純文字欄位為空值或空白。

Recipient 參數必須指定來自 AWS Nitro Enclaves 或 AWS NitroTPM 的已簽署證明文件。 AWS KMS 依賴證明文件的數位簽章，以證明請求中的公有金鑰來自有效的來源。您無法提供自己的憑證來數位簽署證明文件。

AWS Nitro Enclaves SDK 僅支援 Nitro enclave，會自動將 Recipient 參數及其值新增至每個 AWS KMS 請求。

若要在 AWS SDKs 中提出經證明的請求，您必須指定 Recipient 參數及其值。您可以使用 nitro-tpm-attest 公用程式從 NitroTPM 擷取證明文件，或使用 NSM API 從 Nitro 安全模組 (NSM) 擷取證明文件。

AWS KMS 支援政策條件金鑰，您可以根據證明文件的內容，使用 AWS KMS 金鑰來允許或拒絕已驗證的操作。您也可以在 AWS CloudTrail 日誌中監控對 的已驗證請求 AWS KMS。

如需 Recipient 參數和 AWS CiphertextForRecipient回應欄位的詳細資訊，請參閱 AWS Key Management Service API 參考中的 Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair 和 GenerateRandom 主題、AWS Nitro Enclaves SDK 或任何 AWS SDK。如需設定資料和資料金鑰以進行加密的相關資訊，請參閱搭配 使用密碼編譯認證 AWS KMS。