将 与 集成Amazon KMS - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将 与 集成Amazon KMS

您的实例应包含一个应用程序,其能够使用从 NitroTPM 检索的认证文档发出 Amazon KMS API 请求。当您使用认证文档发出请求时,Amazon KMS 会根据 KMS 密钥策略中的参考测量值来验证所提供认证文档中的测量值。仅当认证文档中的测量值与 KMS 密钥策略中的参考测量值匹配时,才会允许请求。

当您使用认证文档调用 DecryptDeriveSharedSecretGenerateDataKeyGenerateDataKeyPairGenerateRandom API 操作时,这些 API 会使用认证文档中的公有密钥对响应中的明文进行加密,并返回加密文字而不是明文。此加密文字只能使用实例中生成的匹配私有密钥进行解密。

有关更多信息,请参阅《Amazon Key Management Service Developer Guide》中的 Cryptographic attestation for NitroTPM

注意

如果您要认证第三方服务,则必须构建自己的自定义机制来接收、解析和验证认证文档。有关更多信息,请参阅 验证 NitroTPM 认证文档