Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS KMS kunci kondisi untuk AWS Nitro Enclave
AWS Nitro Enclave adalah EC2 kemampuan Amazon yang memungkinkan Anda membuat lingkungan komputasi terisolasi yang disebut enclaves untuk melindungi dan memproses data yang sangat sensitif. AWS KMS menyediakan kunci kondisi untuk mendukung Enklaf AWS Nitro. Kunci kondisi ini hanya efektif untuk permintaan ke AWS KMS Enklave Nitro.
Saat Anda memanggil Dekripsi,,, DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair, atau GenerateRandomAPIoperasi dengan dokumen pengesahan yang ditandatangani dari enklave, ini APIs mengenkripsi plaintext dalam respons di bawah kunci publik dari dokumen pengesahan, dan mengembalikan ciphertext alih-alih plaintext. Ciphertext ini dapat didekripsi hanya dengan menggunakan kunci pribadi di enklave. Untuk informasi selengkapnya, lihat Pengesahan kriptografi untuk Nitro Enclave AWS.
Kunci syarat berikut memungkinkan Anda membatasi izin untuk operasi ini berdasarkan konten dokumen pengesahan yang ditandatangani. Sebelum mengizinkan operasi, AWS KMS bandingkan dokumen pengesahan dari enclave dengan nilai dalam kunci kondisi ini. AWS KMS
km:RecipientAttestation: 384 ImageSha
| AWS KMS Kunci Kondisi | Jenis Syarat | Jenis nilai | APIOperasi | Jenis Kebijakan |
|---|---|---|---|---|
|
|
String |
Bernilai tunggal |
|
Kebijakan dan IAM kebijakan utama |
Kunci kms:RecipientAttestation:ImageSha384 kondisi mengontrol akses keDecrypt,DeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, dan GenerateRandom dengan KMS kunci saat gambar digest dari dokumen pengesahan yang ditandatangani dalam permintaan cocok dengan nilai dalam kunci kondisi. ImageSha384Nilai sesuai dengan PCR 0 dalam dokumen pengesahan. Kunci kondisi ini hanya efektif jika Recipient parameter dalam permintaan menentukan dokumen pengesahan yang ditandatangani untuk enclave Nitro. AWS
Nilai ini juga termasuk dalam CloudTrailacara untuk permintaan ke AWS KMS kantong Nitro.
Misalnya, pernyataan kebijakan kunci berikut memungkinkan data-processing peran menggunakan KMS kunci untuk Dekripsi,,, DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair, dan GenerateRandomoperasi. Kunci kms:RecipientAttestation:ImageSha384 kondisi memungkinkan operasi hanya jika nilai intisari gambar (PCR0) dari dokumen pengesahan dalam permintaan cocok dengan nilai intisari gambar dalam kondisi tersebut. Kunci kondisi ini hanya efektif jika Recipient parameter dalam permintaan menentukan dokumen pengesahan yang ditandatangani untuk enclave Nitro. AWS
Jika permintaan tidak menyertakan dokumen pengesahan yang valid dari kantong AWS Nitro, izin ditolak karena kondisi ini tidak terpenuhi.
{ "Sid" : "Enable enclave data processing", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:role/data-processing" }, "Action": [ "kms:Decrypt", "kms:DeriveSharedSecret", "kms:GenerateDataKey", "kms:GenerateDataKeyPair", "kms:GenerateRandom" ], "Resource" : "*", "Condition": { "StringEqualsIgnoreCase": { "kms:RecipientAttestation:ImageSha384": "9fedcba8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef1abcdef0abcdef1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef99" } } }
kms:RecipientAttestation: PCR < _ID> PCR
| AWS KMS Kunci Kondisi | Jenis Syarat | Jenis nilai | APIOperasi | Jenis Kebijakan |
|---|---|---|---|---|
|
|
String |
Bernilai tunggal |
|
Kebijakan dan IAM kebijakan utama |
Kunci kms:RecipientAttestation:PCR<PCR_ID> kondisi mengontrol akses keDecrypt,DeriveSharedSecret, GenerateDataKeyGenerateDataKeyPair,, dan GenerateRandom dengan KMS kunci hanya jika konfigurasi platform register (PCRs) dari dokumen pengesahan yang ditandatangani dalam permintaan cocok dengan kunci kondisi. PCRs Kunci kondisi ini hanya efektif jika Recipient parameter dalam permintaan menentukan dokumen pengesahan yang ditandatangani dari enklave Nitro. AWS
Nilai ini juga termasuk dalam CloudTrailperistiwa yang mewakili permintaan AWS KMS untuk kantong Nitro.
Untuk menentukan PCR nilai, gunakan format berikut. Gandungkan PCR ID ke nama kunci kondisi. PCRNilai harus berupa string heksadesimal huruf kecil hingga 96 byte.
"kms:RecipientAttestation:PCRPCR_ID": "PCR_value"
Misalnya, kunci kondisi berikut menentukan nilai tertentu untukPCR1, yang sesuai dengan hash kernel yang digunakan untuk enclave dan proses bootstrap.
kms:RecipientAttestation:PCR1: "0x1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
Contoh pernyataan kebijakan kunci berikut memungkinkan data-processing peran untuk menggunakan KMS kunci untuk operasi Dekripsi.
Kunci kms:RecipientAttestation:PCR kondisi dalam pernyataan ini memungkinkan operasi hanya jika PCR1 nilai dalam dokumen pengesahan yang ditandatangani dalam permintaan cocok dengan kms:RecipientAttestation:PCR1 nilai dalam kondisi. Gunakan operator StringEqualsIgnoreCase kebijakan untuk meminta perbandingan nilai yang tidak peka huruf besar/kecil. PCR
Jika permintaan tidak menyertakan dokumen pengesahan, izin ditolak karena kondisi ini tidak terpenuhi.
{ "Sid" : "Enable enclave data processing", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:role/data-processing" }, "Action": "kms:Decrypt", "Resource" : "*", "Condition": { "StringEqualsIgnoreCase": { "kms:RecipientAttestation:PCR1": "0x1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87" } } }
