Nitro Enclave AWS KMS APIs を呼び出す方法

Nitro Enclave AWS KMS APIs を呼び出すには、リクエストで Recipientパラメータを使用して、エンクレーブの署名付きアテステーションドキュメントと、エンクレーブのパブリックキーで使用する暗号化アルゴリズムを指定します。リクエストに Recipient パラメーターと署名付きアテステーションドキュメントが含まれている場合、レスポンスには CiphertextForRecipient フィールドとパブリックキーによって暗号化された暗号文が含まれます。プレーンテキストフィールドは null または空です。

Recipient パラメータは、 AWS Nitro enclave. AWS KMS relies からエンクレーブのアテステーションドキュメントの署名付きアテステーションドキュメントを指定して、リクエストのパブリックキーが有効なエンクレーブから送信されたことを証明する必要があります。アテステーションドキュメントにデジタル署名をして独自の証明書を提供することはできません。

Recipient パラメーターを指定するには、AWS Nitro Enclaves SDK または任意の AWS SDK を使用します。 AWS Nitro Enclave 内でのみサポートされている Nitro Enclaves SDK は、すべての AWS KMS リクエストに Recipientパラメータとその値を自動的に追加します。 AWS SDKs で Nitro エンクレーブをリクエストするには、 Recipientパラメータとその値を指定する必要があります。 AWS SDKs での Nitro Enclave 暗号化認証のサポートは、2023 年 3 月に導入されました。

AWS KMS は、アテステーションドキュメントの内容に基づいて キーでエンクレーブオペレーションを許可または拒否するために使用できるポリシー条件 AWS KMS キーをサポートします。Nitro Enclave AWS KMS の へのリクエストをログでモニタリングすることもできます。 AWS CloudTrail

Recipient パラメータと AWS CiphertextForRecipientレスポンスフィールドの詳細については、 AWS Key Management Service API リファレンスの Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair、GenerateRandom トピック、 AWS Nitro Enclaves SDK、または任意の AWS SDK を参照してください。暗号化用のデータとデータキーの設定については、「 での暗号化アテステーションの使用 AWS KMS」を参照してください。