Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS KMS Bedingungsschlüssel für AWS Nitro Enclaves

AWS Nitro Enclaves ist eine EC2 Amazon-Funktion, mit der Sie isolierte Computerumgebungen, sogenannte Enklaven, erstellen können, um hochsensible Daten zu schützen und zu verarbeiten. AWS KMS bietet Bedingungsschlüssel zur Unterstützung von Nitro Enclaves. AWS Diese Bedingungsschlüssel gelten nur für Anfragen nach einer AWS KMS Nitro-Enklave.

Wenn Sie die GenerateRandomAPIOperationen Decrypt,, DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair, oder mit dem signierten Beglaubigungsdokument aus einer Enklave aufrufen, APIs verschlüsseln diese den Klartext in der Antwort unter dem öffentlichen Schlüssel aus dem Beglaubigungsdokument und geben Chiffretext statt Klartext zurück. Dieser Geheimtext kann nur mit dem privaten Schlüssel in der Enklave entschlüsselt werden. Weitere Informationen finden Sie unter So verwendet AWS Nitro Enclaves AWS KMS.

Mit den folgenden Bedingungsschlüsseln können Sie die Berechtigungen für diese Operationen anhand des Inhalts des signierten Bescheinigungsdokuments einschränken. Bevor Sie einen Vorgang zulassen, AWS KMS vergleichen Sie das Bescheinigungsdokument aus der Enklave mit den Werten in diesen Bedingungsschlüsseln. AWS KMS

km: 384 RecipientAttestation ImageSha

Der kms:RecipientAttestation:ImageSha384 Bedingungsschlüssel steuert den Zugriff auf DecryptDeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, und GenerateRandom mit einem KMS Schlüssel, wenn der Bildauszug aus dem signierten Bestätigungsdokument in der Anforderung mit dem Wert im Bedingungsschlüssel übereinstimmt. Der ImageSha384 Wert entspricht PCR 0 im Beglaubigungsdokument. Dieser Bedingungsschlüssel ist nur wirksam, wenn der Recipient Parameter in der Anforderung ein signiertes Bestätigungsdokument für eine Nitro-Enklave angibt. AWS

Dieser Wert ist auch in CloudTrailEreignissen für Anfragen an Nitro-Enklaven enthalten. AWS KMS

Die folgende wichtige Richtlinienanweisung ermöglicht es der data-processing Rolle beispielsweise, den KMS Schlüssel für Decrypt -,, DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair,- und GenerateRandom-Operationen zu verwenden. Der kms:RecipientAttestation:ImageSha384 Bedingungsschlüssel erlaubt die Operationen nur, wenn der Bild-Digest-Wert (PCR0) des Bescheinigungsdokuments in der Anforderung mit dem Bild-Digest-Wert in der Bedingung übereinstimmt. Dieser Bedingungsschlüssel ist nur wirksam, wenn der Recipient Parameter in der Anforderung ein signiertes Bestätigungsdokument für eine Nitro-Enklave angibt. AWS

Wenn die Anfrage kein gültiges Bescheinigungsdokument aus einer AWS Nitro-Enklave enthält, wird die Genehmigung verweigert, da diese Bedingung nicht erfüllt ist.

{
  "Sid" : "Enable enclave data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DeriveSharedSecret",
    "kms:GenerateDataKey",
    "kms:GenerateDataKeyPair",
    "kms:GenerateRandom"
  ],
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:ImageSha384": "9fedcba8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef1abcdef0abcdef1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef99"
    }
  }
}

km: < _ID> RecipientAttestation PCR PCR

Der kms:RecipientAttestation:PCR<PCR_ID> Bedingungsschlüssel steuert den Zugriff auf DecryptDeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, und GenerateRandom mit einem KMS Schlüssel nur dann, wenn die Registrierung (PCRs) der Plattformkonfiguration aus dem signierten Bestätigungsdokument in der Anfrage mit denen PCRs im Bedingungsschlüssel übereinstimmt. Dieser Bedingungsschlüssel ist nur wirksam, wenn der Recipient Parameter in der Anfrage ein signiertes Bestätigungsdokument aus einer Nitro-Enklave angibt. AWS

Dieser Wert ist auch in CloudTrailEreignissen enthalten, die Anfragen an Nitro-Enklaven darstellen. AWS KMS

Verwenden Sie das folgende Format, um einen PCR Wert anzugeben. Verketten Sie die PCR ID mit dem Namen des Bedingungsschlüssels. Der PCR Wert muss eine hexadezimale Kleinbuchstaben-Zeichenfolge mit bis zu 96 Byte sein.

"kms:RecipientAttestation:PCRPCR_ID": "PCR_value"

Der folgende Bedingungsschlüssel gibt beispielsweise einen bestimmten Wert für an, der dem Hash des Kernels entsprichtPCR1, der für die Enklave und den Bootstrap-Prozess verwendet wird.

kms:RecipientAttestation:PCR1: "0x1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Das folgende Beispiel für eine Schlüsselrichtlinienanweisung ermöglicht es der data-processing Rolle, den KMS Schlüssel für den Decrypt-Vorgang zu verwenden.

Der kms:RecipientAttestation:PCR Bedingungsschlüssel in dieser Anweisung lässt den Vorgang nur zu, wenn der PCR1 Wert im signierten Bestätigungsdokument in der Anforderung mit dem kms:RecipientAttestation:PCR1 Wert in der Bedingung übereinstimmt. Verwenden Sie den StringEqualsIgnoreCase Richtlinienoperator, um einen Vergleich der Werte ohne Berücksichtigung der Groß- und Kleinschreibung zu verlangen. PCR

Wenn die Anforderung kein Bescheinigungsdokument enthält, wird die Berechtigung verweigert, da diese Bedingung nicht erfüllt ist.

{
  "Sid" : "Enable enclave data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:PCR1": "0x1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}