本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的密碼編譯認證支援 AWS KMS
AWS KMS 支援 AWS Nitro Enclaves 和 AWS NitroTPM 的密碼編譯認證。支援這些認證方法的應用程式會使用已簽署的認證文件呼叫下列 AWS KMS 密碼編譯操作。 會 AWS KMS 驗證認證文件來自有效的來源 (Nitro enclave 或 NitroTPM)。然後,這些 APIs 不會在回應中傳回純文字資料,而是使用證明文件中的公有金鑰加密純文字,並傳回只能由 enclave 或 EC2 執行個體中對應的私有金鑰解密的加密文字。
下表顯示對已證明請求的回應與每個 API 操作的標準回應有何不同。
| AWS KMS 操作 | 標準回應 | 對已證明請求的回應 |
|---|---|---|
Decrypt |
傳回純文字資料 | 傳回純文字資料 (經來自證明文件的公有金鑰加密) |
DeriveSharedSecret |
傳回原始共用秘密 | 從證明文件傳回由公有金鑰加密的原始共用秘密 |
GenerateDataKey |
傳回資料金鑰的純文字複本 (也會傳回 KMS 金鑰加密的資料金鑰複本) |
傳回資料金鑰複本 (經來自證明文件的公有金鑰加密) (也會傳回 KMS 金鑰加密的資料金鑰複本) |
GenerateDataKeyPair |
傳回私有金鑰的純文字副本 (也會傳回公有金鑰以及由 KMS 金鑰加密的私有金鑰副本) |
傳回私有金鑰複本 (經來自證明文件的公有金鑰加密) (也會傳回公有金鑰以及由 KMS 金鑰加密的私有金鑰副本) |
GenerateRandom |
傳回隨機位元組字串 | 傳回隨機位元組字串 (經來自證明文件的公有金鑰加密) |
AWS KMS 支援政策條件金鑰,您可以根據證明文件的內容,使用 AWS KMS 金鑰來允許或拒絕已驗證的操作。您也可以在 AWS CloudTrail 日誌中監控對 的已驗證請求 AWS KMS。
進一步了解
