Comment appeler AWS KMS APIs une enclave Nitro - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment appeler AWS KMS APIs une enclave Nitro

AWS KMS APIsPour demander une enclave Nitro, utilisez le Recipient paramètre de la demande pour fournir le document d'attestation signé pour l'enclave et l'algorithme de chiffrement à utiliser avec la clé publique de l'enclave. Lorsqu'une demande inclut le paramètre Recipient avec un document d'attestation signé, la réponse inclut un champ CiphertextForRecipient contenant le texte chiffré par la clé publique. Le champ de texte brut est nul ou vide.

Le Recipient paramètre doit spécifier un document d'attestation signé provenant d'une enclave AWS Nitro. AWS KMS s'appuie sur la signature numérique du document d'attestation de l'enclave pour prouver que la clé publique contenue dans la demande provient d'une enclave valide. Vous ne pouvez pas fournir votre propre certificat pour signer numériquement le document d'attestation.

Pour spécifier le Recipient paramètre, utilisez les enclaves AWS Nitro ou n'importe lesquelles SDK. AWS SDK Les enclaves AWS NitroSDK, prises en charge uniquement au sein d'une enclave Nitro, ajoutent automatiquement le Recipient paramètre et ses valeurs à chaque demande. AWS KMS Pour demander des enclaves Nitro dans le AWS SDKs, vous devez spécifier le Recipient paramètre et ses valeurs. Support pour l'attestation cryptographique de l'enclave Nitro dans le AWS SDKs a été introduit en mars 2023.

AWS KMS prend en charge les clés de conditions de politique que vous pouvez utiliser pour autoriser ou refuser les opérations d'enclave à l'aide d'une AWS KMS clé basée sur le contenu du document d'attestation. Vous pouvez également suivre les demandes AWS KMS relatives à votre enclave Nitro dans vos AWS CloudTrail journaux.

Pour des informations détaillées sur le Recipient paramètre et le champ de AWS CiphertextForRecipient réponse, consultez les GenerateRandomrubriques Déchiffrer, DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair, et de la AWS Key Management Service APIRéférence, des enclaves AWS SDK Nitro ou d'autres rubriques. AWS SDK Pour plus d'informations sur la configuration de vos données et de vos clés de données pour le chiffrement, consultez la section Utilisation d'une attestation cryptographique avec AWS KMS.