翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Nitro Enclave AWS KMS APIs を呼び出す方法
Nitro Enclave AWS KMS APIs を呼び出すには、リクエストで Recipient
パラメータを使用して、エンクレーブの署名付きアテステーションドキュメントと、エンクレーブのパブリックキーで使用する暗号化アルゴリズムを指定します。リクエストに Recipient
パラメーターと署名付きアテステーションドキュメントが含まれている場合、レスポンスには CiphertextForRecipient
フィールドとパブリックキーによって暗号化された暗号文が含まれます。プレーンテキストフィールドは null または空です。
Recipient
パラメータは、 AWS Nitro enclave. AWS KMS relies からエンクレーブのアテステーションドキュメントの署名付きアテステーションドキュメントを指定して、リクエストのパブリックキーが有効なエンクレーブから送信されたことを証明する必要があります。アテステーションドキュメントにデジタル署名をして独自の証明書を提供することはできません。
Recipient
パラメーターを指定するには、AWS Nitro Enclaves SDK または任意の AWS
SDK を使用します。 AWS Nitro Enclave 内でのみサポートされている Nitro Enclaves SDK は、すべての AWS KMS リクエストに Recipient
パラメータとその値を自動的に追加します。 AWS SDKs で Nitro エンクレーブをリクエストするには、 Recipient
パラメータとその値を指定する必要があります。 AWS SDKs での Nitro Enclave 暗号化認証のサポートは、2023 年 3 月に導入されました。
AWS KMS は、アテステーションドキュメントの内容に基づいて キーでエンクレーブオペレーションを許可または拒否するために使用できるポリシー条件 AWS KMS キーをサポートします。Nitro Enclave AWS KMS の へのリクエストをログでモニタリングすることもできます。 AWS CloudTrail
Recipient
パラメータと AWS CiphertextForRecipient
レスポンスフィールドの詳細については、 AWS Key Management Service API リファレンスの Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair、GenerateRandom トピック、 AWS Nitro Enclaves SDK、または任意の AWS SDK を参照してください。暗号化用のデータとデータキーの設定については、「 での暗号化アテステーションの使用 AWS KMS」を参照してください。