如何呼叫 AWS KMS APIs Nitro enclave

若要呼叫 AWS KMS APIs Nitro enclave，請在 請求中使用 Recipient 參數，為 enclave 提供已簽署的身分驗證文件，以及與 enclave 公有金鑰搭配使用的加密演算法。當請求包含已簽署證明文件的 Recipient 參數時，回應會包含 CiphertextForRecipient 欄位，以及由公有金鑰加密的密文。純文字欄位為空值或空白。

Recipient 參數必須指定來自 AWS Nitro enclave. AWS KMS relies on the digital signature for the enclave 的已簽章證明文件，以證明請求中的公有金鑰來自有效的 enclave。您無法提供自己的憑證來數位簽署證明文件。

若要指定 Recipient 參數，請使用 AWS Nitro Enclaves SDK 或任何 AWS SDK。 AWS Nitro Enclaves 僅在 Nitro enclave 內SDK支援， 會自動將 Recipient 參數及其值新增至每個 AWS KMS 請求。若要在 中對 Nitro enclaves 提出請求 AWS SDKs，您必須指定 Recipient 參數及其值。在 AWS SDKs中對 Nitro enclave 密碼編譯驗證的支援於 2023 年 3 月推出。

AWS KMS 支援政策條件金鑰，您可以根據證明文件的內容，使用 AWS KMS 金鑰來允許或拒絕 enclave 操作。您也可以監控 AWS CloudTrail 日誌中 Nitro enclave AWS KMS 的 請求。

如需 Recipient 參數和AWSCiphertextForRecipient回應欄位的詳細資訊，請參閱參考 、Nitro Enclaves DeriveSharedSecret GenerateDataKey或任何 中的解密 、、、 GenerateDataKeyPair和 GenerateRandom主題 AWS SDK。 AWS Key Management Service API AWS SDK如需設定資料和資料金鑰以進行加密的相關資訊，請參閱搭配 使用密碼編譯驗證 AWS KMS。