Nitro 엔클레이브에 대한 AWS KMS API를 호출하는 방법

Nitro 엔클레이브에 대한 AWS KMS API를 호출하려면 요청의 Recipient 파라미터를 사용하여 엔클레이브에 대해 서명된 증명 문서와 엔클레이브의 퍼블릭 키와 함께 사용할 암호화 알고리즘을 제공합니다. 요청에 서명된 증명 문서가 있는 Recipient 파라미터가 포함된 경우, 응답에는 퍼블릭 키로 암호화된 사이퍼텍스트가 포함된 CiphertextForRecipient 필드가 포함됩니다. 일반 텍스트 필드가 null이거나 비어있습니다.

Recipient 파라미터는 AWS Nitro 엔클레이브의 서명된 증명 문서를 지정해야 합니다. AWS KMS는 요청의 퍼블릭 키가 유효한 엔클레이브에서 왔음을 증명하기 위해 엔클레이브 증명 문서의 디지털 서명을 사용합니다. 증명 문서에 디지털 서명하기 위한 자체 인증서를 제공할 수 없습니다.

Recipient 파라미터를 지정하려면 AWS Nitro Enclaves SDK 또는 기타 AWS SDK를 사용합니다. Nitro 엔클레이브 내에서만 지원되는 AWS Nitro Enclaves SDK는 모든 AWS KMS 요청에 Recipient 파라미터와 해당 값을 자동으로 추가합니다. AWS SDK에서 Nitro 엔클레이브를 요청하려면 Recipient 파라미터와 해당 값을 지정해야 합니다. AWS SDK의 Nitro 엔클레이브 암호화 증명에 대한 지원은 2023년 3월에 도입되었습니다.

AWS KMS는 증명 문서의 내용을 기반으로 AWS KMS 키를 통해 엔클레이브 작업을 허용하거나 거부하는 데 사용할 수 있는 정책 조건 키를 지원합니다. AWS CloudTrail 로그에서 Nitro 엔클레이브에 대한 AWS KMS 요청을 모니터링할 수도 있습니다.

Recipient파라미터 및 CiphertextForRecipient 응답 필드에 대한 자세한 내용은 AWS Key Management Service API 참조의 Decrypt, DeriveSharedSecret, GenerateDataKey, GenerateDataKeyPair 및 GenerateRandom 주제, AWS Nitro Enclaves SDK 또는 모든 AWS SDK를 참조하세요. 암호화를 위한 데이터 및 데이터 키를 설정하는 방법에 대한 자세한 내용은 AWS KMS에서 암호화 증명 사용 단원을 참조하십시오.