# Amazon EC2 インスタンス構成証明
<a name="nitrotpm-attestation"></a>

アテステーションは、信頼できるソフトウェア、ドライバー、ブートプロセスのみが Amazon EC2 インスタンスで実行されていることを任意の当事者に暗号的に証明できるプロセスです。Amazon EC2 インスタンス構成証明は、Nitro Trusted Platform Module (NitroTPM) と *構成証明可能 AMI* によって実現されます。

アテステーションの最初のステップは、**構成証明可能 AMI を構築し**、その AMI の*リファレンス測定値*を決定することです。構成証明可能 AMI は、アテステーションのためにゼロから構築された AMI です。リファレンス測定値は、AMI に含めたすべてのソフトウェアと設定の測定値です。リファレンス測定値を取得する方法の詳細については、「[サンプルイメージの説明を作成する](build-sample-ami.md)」を参照してください。

![\[構成証明可能 AMI を使用したリファレンス測定値の生成。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/attestable-ami.PNG)


次のステップでは、構成証明可能 AMI を使用して [Nitro-TPM 対応 EC2 インスタンス](enable-nitrotpm-prerequisites.md#nitrotpm-instancetypes)を起動します。インスタンスを起動したら、[NitroTPM ツール](attestation-get-doc.md)を使用して*アテステーションドキュメント*を生成できます。次に、アテステーションドキュメントからの EC2 インスタンスの実際の測定値とリファレンス測定値を比較して、インスタンスに信頼できるソフトウェアと設定があるかどうかをチェックできます。

構成証明可能 AMI の作成プロセス中に生成されたリファレンス測定値をインスタンスの構成証明ドキュメントに含まれる測定値と比較することで、信頼できるソフトウェアとコードのみがインスタンスで実行されていることを検証できます。

![\[アテステーションドキュメントの生成。\]](http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/images/attestation-document.PNG)


## AWS KMS との統合
<a name="attestation-kms"></a>

測定値の比較プロセスを容易にするために、アテステーションドキュメントの検証ツールとして AWS Key Management Service (AWS KMS) を使用できます。AWS KMS では、リファレンス測定値に一致する測定値をアテステーションドキュメントに提供する場合にのみ、KMS キーを使用した特定のオペレーションを許可するアテステーションベースの KMS キーポリシーを作成できます。これを行うには、リファレンス測定値を条件キー値として使用する特定の条件キーを KMS キーポリシーに追加し、条件キーが満たされた場合に許可される KMS オペレーションを指定します。

KMS キーを使用して KMS オペレーションを実行する場合、アテステーションドキュメントを KMS リクエストにアタッチする必要があります。そうすると、AWS KMS は、アテステーションドキュメントからの測定値を KMS キーポリシーのリファレンス測定値と照合し、測定値が一致する場合にのみキーアクセスを許可します。

さらに、インスタンスのアテステーションドキュメントを生成するときは、所有するキーペアのパブリックキーを指定する必要があります。指定されたパブリックキーは、アテステーションドキュメントに含まれています。AWS KMS がアテステーションドキュメントを検証し、復号オペレーションを許可すると、返される前にアテステーションドキュメントに含まれるパブリックキーを使用してレスポンスが自動的に暗号化されます。これにより、レスポンスは、アテステーションドキュメントに含まれるパブリックキーに一致するプライベートキーでのみ復号し使用できます。

これにより、信頼できるソフトウェアとコードを実行しているインスタンスのみが KMS キーを使用して暗号オペレーションを実行できます。

## 分離されたコンピューティング環境のアテステーション
<a name="attestation-isolated-compute-environments"></a>

一般に、EC2 インスタンスを**分離されたコンピューティング環境**として構築および設定できます。これにより、管理者やユーザーが EC2 インスタンスで処理されているデータにアクセスするためのインタラクティブなアクセスやメカニズムが提供されることはありません。EC2 インスタンスアテステーションを使用すると、インスタンスが分離されたコンピューティング環境として実行されていることをサードパーティーまたはサービスに証明できます。詳細については、「[自社のオペレーターからデータを分離する](isolate-data-operators.md)」を参照してください。

例については、分離されたコンピューティング環境を作成する [Amazon Linux 2023 のサンプルイメージの説明](build-sample-ami.md)を参照してください。このサンプルイメージの説明を出発点にして、要件を満たすようにカスタマイズできます。

## AWS 責任共有モデル
<a name="attestation-shared-responsibility"></a>

NitroTPM と構成証明可能 AMI は、EC2 インスタンスでアテステーションを設定および構成するのに役立つ構成要素です。お客様は、それぞれのユースケースに合わせて AMI を設定する責任があります。詳細については、「[AWS 責任共有モデル](https://aws.amazon.com/compliance/shared-responsibility-model/)」を参照してください。

**Topics**
+ [AWS KMS との統合](#attestation-kms)
+ [分離されたコンピューティング環境のアテステーション](#attestation-isolated-compute-environments)
+ [AWS 責任共有モデル](#attestation-shared-responsibility)
+ [構成証明可能 AMI](attestable-ami.md)
+ [アテステーション用に AWS KMS を準備する](prepare-attestation-service.md)
+ [NitroTPM アテステーションドキュメントを取得する](attestation-get-doc.md)
+ [AWS KMS との統合](attestation-attest.md)
+ [自社のオペレーターからデータを分離する](isolate-data-operators.md)