本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 中的密碼編譯認證支援 AWS KMS AWS KMS 支援 [AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/) 和 [AWS NitroTPM](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/nitrotpm-attestation.html) *的密碼編譯認證*。支援這些認證方法的應用程式會使用已簽署的認證文件呼叫下列 AWS KMS 密碼編譯操作。 會 AWS KMS 驗證認證文件來自有效的來源 (Nitro enclave 或 NitroTPM)。然後,這些 APIs 不會在回應中傳回純文字資料,而是使用證明文件中的公有金鑰加密純文字,並傳回只能由 enclave 或 EC2 執行個體中對應的私有金鑰解密的加密文字。 + [解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt) + [DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey) + [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair) + [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom) 下表顯示對已證明請求的回應與每個 API 操作的標準回應有何不同。 | AWS KMS 操作 | 標準回應 | 對已證明請求的回應 | | --- | --- | --- | | Decrypt | 傳回純文字資料 | 傳回純文字資料 (經來自證明文件的公有金鑰加密) | | DeriveSharedSecret | 傳回原始共用秘密 | 從證明文件傳回由公有金鑰加密的原始共用秘密 | | GenerateDataKey | 傳回資料金鑰的純文字複本(也會傳回 KMS 金鑰加密的資料金鑰複本) | 傳回資料金鑰複本 (經來自證明文件的公有金鑰加密)(也會傳回 KMS 金鑰加密的資料金鑰複本) | | GenerateDataKeyPair | 傳回私有金鑰的純文字副本(也會傳回公有金鑰以及由 KMS 金鑰加密的私有金鑰副本) | 傳回私有金鑰複本 (經來自證明文件的公有金鑰加密)(也會傳回公有金鑰以及由 KMS 金鑰加密的私有金鑰副本) | | GenerateRandom | 傳回隨機位元組字串 | 傳回隨機位元組字串 (經來自證明文件的公有金鑰加密) | AWS KMS 支援[政策條件金鑰](conditions-attestation.md),您可以根據證明文件的內容,使用 AWS KMS 金鑰來允許或拒絕已驗證的操作。您也可以在 AWS CloudTrail 日誌中[監控對 的已驗證請求 AWS KMS](ct-attestation.md)。 **進一步了解** + [密碼編譯認證](https://docs.aws.amazon.com/enclaves/latest/user/set-up-attestation.html) + [AWS KMS 已驗證平台的條件索引鍵](conditions-attestation.md) + [如何對 進行經驗證的呼叫 AWS KMS](attested-calls.md) + [監控已驗證的請求](ct-attestation.md)