本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS KMS 支援 AWS Nitro Enclaves 的密碼編譯認證。支援 AWS Nitro Enclaves 的應用程式會呼叫下列 AWS KMS 密碼編譯操作,其中包含 enclave 的已簽署證明文件。這些 AWS KMS APIs會驗證證明文件來自 Nitro enclave。然後,在回應時,這些 API 不會傳回純文字資料,而是利用證明文件的公有金鑰來加密純文字,並傳回僅能透過 enclave 的相應私有金鑰進行解密的密文。
下表顯示對 Nitro enclave 請求的回應與每個 API 操作的標準回應有何不同。
| AWS KMS 操作 | 標準回應 | AWS Nitro Enclaves 的回應 |
|---|---|---|
Decrypt |
傳回純文字資料 | 傳回純文字資料 (經來自證明文件的公有金鑰加密) |
DeriveSharedSecret |
傳回原始共用秘密 | 傳回驗證文件中由公有金鑰加密的原始共用秘密 |
GenerateDataKey |
傳回資料金鑰的純文字複本 (也會傳回 KMS 金鑰加密的資料金鑰複本) |
傳回資料金鑰複本 (經來自證明文件的公有金鑰加密) (也會傳回 KMS 金鑰加密的資料金鑰複本) |
GenerateDataKeyPair |
傳回私有金鑰的純文字副本 (也會傳回公有金鑰以及由 KMS 金鑰加密的私有金鑰副本) |
傳回私有金鑰複本 (經來自證明文件的公有金鑰加密) (也會傳回公有金鑰以及由 KMS 金鑰加密的私有金鑰副本) |
GenerateRandom |
傳回隨機位元組字串 | 傳回隨機位元組字串 (經來自證明文件的公有金鑰加密) |
AWS KMS 支援政策條件金鑰,您可以根據證明文件的內容,使用 AWS KMS 金鑰來允許或拒絕 enclave 操作。您也可以監控日誌中 Nitro enclave AWS KMS 的 請求。 AWS CloudTrail
進一步了解
