本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如何呼叫 Nitro enclave AWS KMS APIs
若要呼叫 Nitro enclave AWS KMS APIs,請在請求中使用 Recipient
參數,為 enclave 提供已簽章的證明文件,以及與 enclave 公有金鑰搭配使用的加密演算法。當請求包含已簽署證明文件的 Recipient
參數時,回應會包含 CiphertextForRecipient
欄位,以及由公有金鑰加密的密文。純文字欄位為空值或空白。
Recipient
參數必須指定來自 AWS Nitro enclave. AWS KMS relies on the digital signature for the enclave 的認證文件,以證明請求中的公有金鑰來自有效的 enclave。您無法提供自己的憑證來數位簽署證明文件。
若要指定 Recipient
參數,請採用 AWS Nitro Enclaves SDK 或任何 AWS
SDK。 AWS Nitro Enclaves SDK 僅支援 Nitro enclave,會自動將 Recipient
參數及其值新增至每個 AWS KMS 請求。若要在 AWS SDKs 中對 Nitro enclaves 提出請求,您必須指定 Recipient
參數及其值。已於 2023 年 3 月推出對 AWS SDKs 中 Nitro enclave 密碼編譯證明的支援。
AWS KMS 支援政策條件金鑰,您可以根據證明文件的內容,使用 AWS KMS 金鑰來允許或拒絕 enclave 操作。您也可以監控日誌中 Nitro enclave AWS KMS 的 請求。 AWS CloudTrail
如需 Recipient
參數和 AWS CiphertextForRecipient
回應欄位的詳細資訊,請參閱 AWS Key Management Service API 參考、AWS Nitro Enclaves SDK 或任何 AWS SDK 中的 Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair 和 GenerateRandom 主題。如需設定資料和資料金鑰以進行加密的詳細資訊,請參閱搭配 使用密碼編譯驗證 AWS KMS。