本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EC2 執行個體驗證
驗證是一個程序,讓您能夠以密碼編譯方式,向任何一方證明僅可信軟體、驅動程式及啟動程序在 Amazon EC2 執行個體上執行。Amazon EC2 執行個體驗證採用 Nitro 可信平台模組 (NitroTPM) 與*可驗證的 AMI* 技術。
驗證的第一步是**建置可驗證的 AMI**,以及確定該 AMI 的*參考衡量項*。可驗證的 AMI 是從頭開始建置以進行驗證的 AMI。參考衡量項是您納入 AMI 的所有軟體與組態的衡量項目。若要了解如何獲取參考衡量項的詳細資訊,請參閱 [建置範例映像說明](build-sample-ami.md)。
下一步是透過可驗證的 AMI,來啟動一個[支援 Nitro-TPM 的 EC2 執行個體](enable-nitrotpm-prerequisites.md#nitrotpm-instancetypes)。在您啟動該執行個體之後,可使用 [NitroTPM 工具](attestation-get-doc.md)來生成*驗證文件*。您隨後可將驗證文件中的 EC2 執行個體實際衡量項與參考衡量項做比較,以便查看執行個體是否使用您信任的軟體與組態。
藉由比較可驗證的 AMI 建立程序期間生成的參考衡量項與執行個體驗證文件中包括的衡量項,您可確認僅受信任的軟體與程式碼會在執行個體上執行。
## 與 整合 AWS KMS
若要更輕鬆地比較測量結果,您可以使用 AWS Key Management Service (AWS KMS) 做為證明文件的驗證者。使用 時 AWS KMS,您可以建立以認證為基礎的 KMS 金鑰政策,只有在您提供具有符合參考測量之測量的證明文件時,才允許使用 KMS 金鑰進行特定操作。如需執行此操作,可將特定條件索引鍵新增至將參考衡量項用做條件金鑰值的 KMS 金鑰政策,然後指定滿足條件索引鍵時允許哪些 KMS 作業。
當您使用 KMS 金鑰執行 KMS 操作時,您必須將證明文件連接至 KMS 請求。 AWS KMS 然後, 會根據 KMS 金鑰政策中的參考測量驗證證明文件中的測量,並只在測量相符時允許金鑰存取。
另外,若針對執行個體生成驗證文件,必須為您擁有的金鑰對指定公有金鑰。驗證文件內包括指定的公有金鑰。當 AWS KMS 驗證證明文件並允許解密操作時,它會先使用證明文件中包含的公有金鑰自動加密回應,然後再傳回。此操作可確保能夠對回應解密,並且僅可搭配驗證文件內包括的公有金鑰相符的私有金鑰使用。
這樣一來,確保僅在可信軟體與程式碼執行的執行個體,能夠使用 KMS 金鑰來執行密碼編譯作業。
## 驗證隔離的運算環境
一般來說,您可建置 EC2 執行個體,以及將其設定為**隔離的運算環境**,這不會提供互動式存取,亦不會設置機制讓管理員及使用者可存取 EC2 執行個體中正在處理的資料。藉助 EC2 執行個體驗證,您可向第三方或服務證明,執行個體以隔離式運算環境執行。如需詳細資訊,請參閱[將資料與您自己的運算子隔離](isolate-data-operators.md)。
若要了解範例,請參閱建立隔離式運算環境的[範例 Amazon Linux 2023 映像說明](build-sample-ami.md)。您可將此範例映像說明用做起點,然後自訂說明來滿足您的要求。
## AWS 共同責任模型
NitroTPM 與可驗證的 AMI 是建置區塊,能夠協助您在 EC2 執行個體上建立及設定驗證。您負責設定 AMI,以便滿足您各自使用案例的要求。若要了解詳細資訊,請參閱 [AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
**Topics**
+ [與 整合 AWS KMS](#attestation-kms)
+ [驗證隔離的運算環境](#attestation-isolated-compute-environments)
+ [AWS 共同責任模型](#attestation-shared-responsibility)
+ [可驗證的 AMI](attestable-ami.md)
+ [AWS KMS 準備證明](prepare-attestation-service.md)
+ [獲取 NitroTPM 驗證文件](attestation-get-doc.md)
+ [與 整合 AWS KMS](attestation-attest.md)
+ [將資料與您自己的運算子隔離](isolate-data-operators.md)