本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Nitro Enclaves 的加密证明
AWS KMS 支持 AWS Nitro Enclaves 的加密证明。支持 AWS Nitro Enclaves 的应用程序使用 Enclave 的已签名证明文档调用以下 AWS KMS 加密操作。这些 AWS KMS API 可验证证明文档是否来自 Nitro Enclave。然后,这些 API 不是在响应中返回明文数据,而是使用证明文档中的公有密钥对明文进行加密,并返回只能通过 Enclave 中相应的私有密钥解密的加密文字。
下表显示了对 Nitro Enclave 请求的响应与每个 API 操作的标准响应有何不同。
| AWS KMS 操作 | 标准响应 | 对 AWS Nitro Enclaves 的响应 |
|---|---|---|
Decrypt |
返回明文数据 | 返回证明文档中由公有密钥加密的明文数据 |
DeriveSharedSecret |
返回原始共享密钥 | 返回证明文档中由公有密钥加密的原始共享密钥 |
GenerateDataKey |
返回数据密钥的明文副本 (还会返回由 KMS 密钥加密的数据密钥副本) |
返回证明文档中由公有密钥加密的数据密钥副本 (还会返回由 KMS 密钥加密的数据密钥副本) |
GenerateDataKeyPair |
返回私有密钥的明文副本 (还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) |
返回证明文档中由公有密钥加密的私有密钥副本 (还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) |
GenerateRandom |
返回一个随机字节字符串 | 返回证明文档中由公有密钥加密的随机字节字符串 |
AWS KMS 支持策略条件键,您可以使用这些键根据证明文件的内容允许或拒绝对 AWS KMS 密钥执行 Enclave 操作。您还可以在 AWS CloudTrail 日志中监控对 AWS KMS Nitro Enclave 的请求。
了解更多
