本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
如何呼叫 AWS KMS APIs Nitro enclave
若要呼叫 AWS KMS APIs Nitro enclave,請在 請求中使用 Recipient
參數,為 enclave 提供已簽署的身分驗證文件,以及與 enclave 公有金鑰搭配使用的加密演算法。當請求包含已簽署證明文件的 Recipient
參數時,回應會包含 CiphertextForRecipient
欄位,以及由公有金鑰加密的密文。純文字欄位為空值或空白。
Recipient
參數必須指定來自 AWS Nitro enclave. AWS KMS relies on the digital signature for the enclave 的已簽章證明文件,以證明請求中的公有金鑰來自有效的 enclave。您無法提供自己的憑證來數位簽署證明文件。
若要指定 Recipient
參數,請使用 AWS Nitro Enclaves SDK 或任何 AWS SDK。 AWS Nitro Enclaves 僅在 Nitro enclave 內SDK支援, 會自動將 Recipient
參數及其值新增至每個 AWS KMS 請求。若要在 中對 Nitro enclaves 提出請求 AWS SDKs,您必須指定 Recipient
參數及其值。在 AWS SDKs中對 Nitro enclave 密碼編譯驗證的支援於 2023 年 3 月推出。
AWS KMS 支援政策條件金鑰,您可以根據證明文件的內容,使用 AWS KMS 金鑰來允許或拒絕 enclave 操作。您也可以監控 AWS CloudTrail 日誌中 Nitro enclave AWS KMS 的 請求。
如需 Recipient
參數和AWSCiphertextForRecipient
回應欄位的詳細資訊,請參閱參考 、Nitro Enclaves DeriveSharedSecret GenerateDataKey或任何 中的解密 、、、 GenerateDataKeyPair和 GenerateRandom主題 AWS SDK。 AWS Key Management Service API AWS SDK如需設定資料和資料金鑰以進行加密的相關資訊,請參閱搭配 使用密碼編譯驗證 AWS KMS。