如何對 進行經驗證的呼叫 AWS KMS

若要進行經證明的呼叫 AWS KMS，請在 請求中使用 Recipient 參數來提供已簽署的證明文件，以及與證明文件中的公有金鑰搭配使用的加密演算法。當請求包含已簽署證明文件的 Recipient 參數時，回應會包含 CiphertextForRecipient 欄位，以及由公有金鑰加密的密文。純文字欄位為空值或空白。

Recipient 參數必須指定來自 AWS Nitro Enclaves 或 AWS NitroTPM 的已簽署證明文件。 AWS KMS 依賴證明文件的數位簽章，以證明請求中的公有金鑰來自有效的來源。您無法提供自己的憑證來數位簽署證明文件。

AWS Nitro Enclaves SDK 僅支援 Nitro enclave，會自動將 Recipient 參數及其值新增至每個 AWS KMS 請求。

若要在 AWS SDKs 中提出經證明的請求，您必須指定 Recipient 參數及其值。您可以使用 nitro-tpm-attest 公用程式從 NitroTPM 擷取證明文件，或使用 NSM API 從 Nitro 安全模組 (NSM) 擷取證明文件。

AWS KMS 支援政策條件金鑰，您可以根據證明文件的內容，使用 AWS KMS 金鑰來允許或拒絕已驗證的操作。您也可以在 AWS CloudTrail 日誌中監控對 的已驗證請求 AWS KMS。

如需 Recipient 參數和 AWS CiphertextForRecipient回應欄位的詳細資訊，請參閱 AWS Key Management Service API 參考、AWS Nitro Enclaves SDK 或任何 AWS SDK 中的 Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair 和 GenerateRandom 主題。如需設定資料和資料金鑰以進行加密的資訊，請參閱搭配 使用密碼編譯認證 AWS KMS。