Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Attestation cryptographique pour AWS Nitro Enclaves
AWS KMS prend en charge l'attestation cryptographique pour AWS Nitro Enclaves. Les applications qui prennent en charge les enclaves AWS Nitro exécutent les opérations AWS KMS cryptographiques suivantes avec un document d'attestation signé pour l'enclave. Ils AWS KMS APIs vérifient que le document d'attestation provient d'une enclave Nitro. Ensuite, au lieu de renvoyer des données en clair dans la réponse, ceux-ci APIs chiffrent le texte en clair avec la clé publique du document d'attestation et renvoient un texte chiffré qui ne peut être déchiffré que par la clé privée correspondante dans l'enclave.
Le tableau suivant montre en quoi la réponse aux demandes d'enclave Nitro diffère de la réponse standard pour chaque API opération.
| AWS KMS opération | Réponse normale | Réponse pour AWS Nitro Enclaves |
|---|---|---|
Decrypt |
Renvoie des données en texte brut | Renvoie les données en texte brut par la clé publique à partir du document d'attestation |
DeriveSharedSecret |
Renvoie le secret partagé brut | Renvoie le secret partagé brut chiffré par la clé publique à partir du document d'attestation |
GenerateDataKey |
Renvoie une copie en texte brut de la clé de données (Renvoie également une copie de la clé de données chiffrée par une KMS clé) |
Renvoie une copie de la clé de données chiffrées par la clé publique à partir du document d'attestation (Renvoie également une copie de la clé de données chiffrée par une KMS clé) |
GenerateDataKeyPair |
Renvoie une copie en texte brut de la clé privée (Renvoie également la clé publique et une copie de la clé privée chiffrée par une KMS clé) |
Renvoie une copie de la clé privée chiffrée par la clé publique à partir du document d'attestation (Renvoie également la clé publique et une copie de la clé privée chiffrée par une KMS clé) |
GenerateRandom |
Renvoie une chaîne d'octets aléatoire | Renvoie les chaîne d’octets aléatoire chiffrée par la clé publique à partir du document d'attestation |
AWS KMS prend en charge les clés de conditions de politique que vous pouvez utiliser pour autoriser ou refuser les opérations d'enclave à l'aide d'une AWS KMS clé basée sur le contenu du document d'attestation. Vous pouvez également suivre les demandes AWS KMS relatives à votre enclave Nitro dans vos AWS CloudTrail journaux.
En savoir plus
