Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS KMS clés de condition pour AWS Nitro Enclaves

AWS Nitro Enclaves est une EC2 fonctionnalité d'Amazon qui vous permet de créer des environnements informatiques isolés appelés enclaves pour protéger et traiter des données hautement sensibles. AWS KMS fournit des clés de condition pour prendre en charge AWS Nitro Enclaves. Ces clés de conditions ne sont efficaces que pour les demandes adressées à AWS KMS une Nitro Enclave.

Lorsque vous appelez les opérations Decrypt, DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, ou GenerateRandomAPI avec le document d'attestation signé depuis une enclave, celles-ci APIs chiffrent le texte en clair de la réponse sous la clé publique du document d'attestation et renvoient du texte chiffré au lieu du texte en clair. Ce texte chiffré peut être déchiffré uniquement à l'aide de la clé privée dans l'enclave. Pour de plus amples informations, veuillez consulter Attestation cryptographique pour AWS Nitro Enclaves.

Les clés de condition suivantes vous permettent de limiter les autorisations pour ces opérations en fonction du contenu du document d'attestation signé. Avant d'autoriser une opération, AWS KMS compare le document d'attestation de l'enclave aux valeurs de ces clés de AWS KMS condition.

km RecipientAttestation : ImageSha 384

La clé de kms:RecipientAttestation:ImageSha384 condition contrôle l'accès à DecryptDeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, et GenerateRandom avec une clé KMS lorsque le résumé d'image du document d'attestation signé dans la demande correspond à la valeur de la clé de condition. La valeur ImageSha384 correspond au PCR0 du document d'attestation. Cette clé de condition n'est effective que lorsque le Recipient paramètre de la demande spécifie un document d'attestation signé pour une enclave AWS Nitro.

Cette valeur est également incluse dans les CloudTrailévénements relatifs aux demandes adressées AWS KMS aux enclaves Nitro.

Par exemple, la déclaration de politique clé suivante autorise le data-processing rôle à utiliser la clé KMS pour les GenerateRandomopérations de déchiffrement DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair, et. La clé de condition kms:RecipientAttestation:ImageSha384 permet les opérations uniquement lorsque la valeur de hachage de l'image (PCR0) du document d'attestation de la demande correspond à la valeur de hachage de l'image de la condition. Cette clé de condition n'est effective que lorsque le Recipient paramètre de la demande spécifie un document d'attestation signé pour une enclave AWS Nitro.

Si la demande n'inclut pas de document d'attestation valide provenant d'une enclave AWS Nitro, l'autorisation est refusée car cette condition n'est pas remplie.

{
  "Sid" : "Enable enclave data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": [
    "kms:Decrypt",
    "kms:DeriveSharedSecret",
    "kms:GenerateDataKey",
    "kms:GenerateDataKeyPair",
    "kms:GenerateRandom"
  ],
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:ImageSha384": "9fedcba8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef1abcdef0abcdef1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef99"
    }
  }
}

km : : PCR RecipientAttestation <PCR_ID>

La clé de kms:RecipientAttestation:PCR<PCR_ID> condition contrôle l'accès àDecrypt,DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, et GenerateRandom avec une clé KMS uniquement lorsque les enregistrements de configuration de la plate-forme (PCRs) à partir du document d'attestation signé dans la demande correspondent PCRs à ceux de la clé de condition. Cette clé de condition n'est effective que lorsque le Recipient paramètre de la demande spécifie un document d'attestation signé provenant d'une enclave AWS Nitro.

Cette valeur est également incluse dans les CloudTrailévénements qui représentent des demandes adressées à AWS KMS des enclaves Nitro.

Pour spécifier une valeur PCR, utilisez le format suivant. Concaténez l'ID de PCR au nom de clé de condition. Vous pouvez spécifier un identifiant PCR identifiant l'une des six mesures de l'enclave ou un identifiant PCR personnalisé que vous avez défini pour un cas d'utilisation spécifique. La valeur PCR doit être une chaîne hexadécimale en minuscules de 96 octets maximum.

"kms:RecipientAttestation:PCRPCR_ID": "PCR_value"

Par exemple, la clé de condition suivante spécifie une valeur particulière pour PCR1, qui correspond au hachage du noyau utilisé pour l'enclave et le processus d'amorçage.

kms:RecipientAttestation:PCR1: "0x1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

Par exemple, l'instruction de stratégie de clé suivante autorise le rôle data-processing à utiliser la clé KMS pour l'opération Decrypt.

La clé de kms:RecipientAttestation:PCR condition contenue dans cette instruction autorise l'opération uniquement lorsque la PCR1 valeur du document d'attestation signé dans la demande correspond à la kms:RecipientAttestation:PCR1 valeur de la condition. Utilisez l'opérateur de politique StringEqualsIgnoreCase pour exiger une comparaison insensible à la casse des valeurs PCR.

Si la demande n'inclut pas de document d'attestation, l'autorisation est refusée car cette condition n'est pas remplie.

{
  "Sid" : "Enable enclave data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:PCR1": "0x1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}