Cómo llamar a las API de AWS KMS para un enclave de Nitro - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cómo llamar a las API de AWS KMS para un enclave de Nitro

Para llamar a las API de AWS KMS para un enclave de Nitro, use el parámetro Recipient de la solicitud para proporcionar el documento de certificación firmado del enclave y el algoritmo de cifrado que se utilizará con la clave pública del enclave. Cuando una solicitud incluye el parámetro Recipient con un documento de certificación firmado, la respuesta incluye un campo CiphertextForRecipient con el texto cifrado mediante la clave pública. El campo de texto sin formato es nulo o está vacío.

El parámetro Recipient debe especificar un documento de certificación firmado de un enclave de AWS Nitro. AWS KMS se basa en la firma digital del documento de certificación del enclave para demostrar que la clave pública en la solicitud procede de un enclave válido. No puede proporcionar su propio certificado para firmar digitalmente el documento de certificación.

Para especificar el parámetro Recipient, utilice el SDK de AWS Nitro Enclaves o cualquier otro SDK de AWS. El SDK de AWS Nitro Enclaves, que solo es compatible con un enclave de Nitro, agrega automáticamente el parámetro Recipient y sus valores a cada solicitud de AWS KMS. Si quiere realizar solicitudes para enclaves de Nitro en los SDK de AWS, debe especificar el parámetro Recipient y sus valores. La compatibilidad con la certificación criptográfica del enclave de Nitro en los SDK de AWS se introdujo en marzo de 2023.

AWS KMS también admite claves de condición de política que puede utilizar para permitir operaciones de enclave en una clave de AWS KMS sólo cuando el documento de certificación tiene el contenido especificado. También puede supervisar las solicitudes a AWS KMS de su enclave de Nitro en sus registros de AWS CloudTrail.

Para obtener información detallada sobre el parámetro Recipient y el campo de respuesta CiphertextForRecipient e AWS, consulte los temas Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair y GenerateRandom en la Referencia de la API de AWS Key Management Service, el SDK de AWS Nitro Enclaves o cualquier SDK de AWS. Para obtener información sobre cómo configurar los datos y las claves de datos para el cifrado, consulte Usar la certificación criptográfica con AWS KMS.