Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS Nitro Enclave adalah EC2 kemampuan Amazon yang memungkinkan Anda membuat lingkungan komputasi terisolasi yang disebut enclaves untuk melindungi dan memproses data yang sangat sensitif. AWS KMS menyediakan kunci kondisi untuk mendukung Enklaf AWS Nitro. Kunci kondisi ini hanya efektif untuk permintaan ke AWS KMS Enklave Nitro.
Saat Anda memanggil operasi Dekripsi,, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair, atau GenerateRandomAPI dengan dokumen pengesahan yang ditandatangani dari enklave, ini APIs mengenkripsi plaintext dalam respons di bawah kunci publik dari dokumen pengesahan, dan mengembalikan ciphertext alih-alih plaintext. Ciphertext ini dapat didekripsi hanya dengan menggunakan kunci pribadi di enklave. Untuk informasi selengkapnya, lihat Pengesahan kriptografi untuk Nitro Enclave AWS.
Kunci syarat berikut memungkinkan Anda membatasi izin untuk operasi ini berdasarkan konten dokumen pengesahan yang ditandatangani. Sebelum mengizinkan operasi, AWS KMS bandingkan dokumen pengesahan dari enclave dengan nilai dalam kunci kondisi ini. AWS KMS
km:RecipientAttestation: 384 ImageSha
| AWS KMS Kunci Kondisi | Jenis Syarat | Jenis nilai | Operasi API | Jenis Kebijakan |
|---|---|---|---|---|
|
|
String |
Bernilai tunggal |
|
Kebijakan kunci dan kebijakan IAM |
Kunci kms:RecipientAttestation:ImageSha384 kondisi mengontrol akses keDecrypt,DeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, dan GenerateRandom dengan kunci KMS saat gambar digest dari dokumen pengesahan yang ditandatangani dalam permintaan cocok dengan nilai dalam kunci kondisi. ImageSha384Nilai sesuai dengan PCR0 dalam dokumen pengesahan. Kunci kondisi ini hanya efektif jika Recipient parameter dalam permintaan menentukan dokumen pengesahan yang ditandatangani untuk enclave Nitro. AWS
Nilai ini juga termasuk dalam CloudTrailacara untuk permintaan ke AWS KMS kantong Nitro.
Misalnya, pernyataan kebijakan kunci berikut memungkinkan data-processing peran menggunakan kunci KMS untuk Dekripsi,,, DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair, dan operasi. GenerateRandom Kunci kms:RecipientAttestation:ImageSha384 kondisi memungkinkan operasi hanya jika nilai intisari gambar (PCR0) dari dokumen pengesahan dalam permintaan cocok dengan nilai intisari gambar dalam kondisi. Kunci kondisi ini hanya efektif jika Recipient parameter dalam permintaan menentukan dokumen pengesahan yang ditandatangani untuk enclave Nitro. AWS
Jika permintaan tidak menyertakan dokumen pengesahan yang valid dari kantong AWS Nitro, izin ditolak karena kondisi ini tidak terpenuhi.
{
"Sid" : "Enable enclave data processing",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:role/data-processing"
},
"Action": [
"kms:Decrypt",
"kms:DeriveSharedSecret",
"kms:GenerateDataKey",
"kms:GenerateDataKeyPair",
"kms:GenerateRandom"
],
"Resource" : "*",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:RecipientAttestation:ImageSha384": "9fedcba8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef1abcdef0abcdef1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef99"
}
}
}km ::PCR RecipientAttestation <PCR_ID>
| AWS KMS Kunci Kondisi | Jenis Syarat | Jenis nilai | Operasi API | Jenis Kebijakan |
|---|---|---|---|---|
|
|
String |
Bernilai tunggal |
|
Kebijakan kunci dan kebijakan IAM |
Kunci kms:RecipientAttestation:PCR<PCR_ID> kondisi mengontrol akses keDecrypt,DeriveSharedSecret,GenerateDataKey,GenerateDataKeyPair, dan GenerateRandom dengan kunci KMS hanya jika konfigurasi platform register (PCRs) dari dokumen pengesahan yang ditandatangani dalam permintaan cocok dengan kunci kondisi. PCRs Kunci kondisi ini hanya efektif jika Recipient parameter dalam permintaan menentukan dokumen pengesahan yang ditandatangani dari enclave Nitro. AWS
Nilai ini juga termasuk dalam CloudTrailperistiwa yang mewakili permintaan AWS KMS untuk kantong Nitro.
Untuk menentukan nilai PCR, gunakan format berikut. Gabungkan ID PCR ke nama kunci syarat. Anda dapat menentukan ID PCR yang mengidentifikasi salah satu dari enam pengukuran enclave atau ID PCR khusus yang Anda tentukan untuk kasus penggunaan tertentu. Nilai PCR harus berupa string heksadesimal huruf kecil hingga 96 byte.
"kms:RecipientAttestation:PCRPCR_ID": "PCR_value"Misalnya, kunci kondisi berikut menentukan nilai tertentu untuk PCR1, yang sesuai dengan hash kernel yang digunakan untuk enclave dan proses bootstrap.
kms:RecipientAttestation:PCR1: "0x1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"Contoh pernyataan kebijakan kunci berikut memungkinkan data-processing peran untuk menggunakan kunci KMS untuk operasi Dekripsi.
Kunci kms:RecipientAttestation:PCR kondisi dalam pernyataan ini memungkinkan operasi hanya jika PCR1 nilai dalam dokumen pengesahan yang ditandatangani dalam permintaan cocok dengan kms:RecipientAttestation:PCR1 nilai dalam kondisi. Gunakan operator kebijakan StringEqualsIgnoreCase untuk mewajibkan perbandingan nilai PCR yang tidak peka huruf besar/kecil.
Jika permintaan tidak menyertakan dokumen pengesahan, izin ditolak karena kondisi ini tidak terpenuhi.
{
"Sid" : "Enable enclave data processing",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:role/data-processing"
},
"Action": "kms:Decrypt",
"Resource" : "*",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:RecipientAttestation:PCR1": "0x1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
}
}
}