AWS KMS 已驗證平台的條件索引鍵 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS KMS 已驗證平台的條件索引鍵

AWS KMS 提供條件金鑰以支援 AWS Nitro Enclaves 和 NitroTPM 的密碼編譯認證。 AWS Nitro Enclaves 是一種 Amazon EC2 功能,可讓您建立名為 enclaves 的隔離運算環境,以保護和處理高度敏感的資料。NitroTPM 將類似的認證功能擴展到 EC2 執行個體。

當您使用已簽署的證明文件呼叫 DecryptDeriveSharedSecretGenerateDataKeyGenerateDataKeyPairGenerateRandom API 操作時,這些 APIs 會在證明文件的公有金鑰下加密回應中的純文字,並傳回加密文字而非純文字。僅當使用 enclave 的私有金鑰時才能解密此密文。如需詳細資訊,請參閱中的密碼編譯認證支援 AWS KMS

注意

如果您在建立金鑰時未提供 AWS KMS 金鑰政策, 會為您 AWS 建立一個金鑰政策。此預設金鑰政策會授予 AWS 帳戶 擁有 KMS 金鑰完整存取金鑰的 ,並允許帳戶使用 IAM 政策來允許存取金鑰。此政策允許 Decrypt 等所有動作。 AWS 建議最低權限許可將 的主體套用至您的 KMS 金鑰政策。您也可以將 的 KMS 金鑰政策動作修改kms:*為 ,以限制存取NotAction:kms:Decrypt

下列條件鍵可讓您根據已簽署的證明文件內容,限制這些操作的許可。允許 操作之前, 會將證明文件與這些 AWS KMS 條件索引鍵中的值 AWS KMS 進行比較。