本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 中的加密认证支持 AWS KMS AWS KMS [支持 Nitro Enc *laves 和 [AWS Nitro](https://docs.aws.amazon.com/enclaves/latest/user/) TPM 的加密*认证。AWS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nitrotpm-attestation.html)支持这些认证方法的应用程序使用签名的认证文档调用以下 AWS KMS 加密操作。 AWS KMS 验证证明文件是否来自有效来源(Nitro 飞地或 NitroTPM)。然后,这些 API 不会在响应中返回明文数据,而是使用认证文档中的公有密钥对明文进行加密,并返回只能通过该飞地或 EC2 实例中的对应私有密钥解密的加密文字。 + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt) + [DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey) + [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair) + [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom) 下表展示了 API 操作对认证请求的响应与其标准响应的差异。 | AWS KMS 操作 | 标准响应 | 对认证请求的响应 | | --- | --- | --- | | Decrypt | 返回明文数据 | 返回证明文档中由公有密钥加密的明文数据 | | DeriveSharedSecret | 返回原始共享密钥 | 返回证明文档中由公有密钥加密的原始共享密钥 | | GenerateDataKey | 返回数据密钥的明文副本(还会返回由 KMS 密钥加密的数据密钥副本) | 返回证明文档中由公有密钥加密的数据密钥副本(还会返回由 KMS 密钥加密的数据密钥副本) | | GenerateDataKeyPair | 返回私有密钥的明文副本(还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) | 返回证明文档中由公有密钥加密的私有密钥副本(还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) | | GenerateRandom | 返回一个随机字节字符串 | 返回证明文档中由公有密钥加密的随机字节字符串 | AWS KMS 支持[策略条件密钥](conditions-attestation.md),您可以根据认证文档的内容使用 AWS KMS 密钥来允许或拒绝经证明的操作。您还可以在 AWS CloudTrail 日志中[监控已证实 AWS KMS的请求](ct-attestation.md)。 **了解详情** + [加密证明](https://docs.aws.amazon.com/enclaves/latest/user/set-up-attestation.html) + [AWS KMS 经过验证的平台的条件密钥](conditions-attestation.md) + [如何拨打经证实的电话 AWS KMS](attested-calls.md) + [监控认证请求](ct-attestation.md)