集成 Amazon KMS - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

集成 Amazon KMS

您的实例应包含一个应用程序,其能够使用从 NitroTPM 检索的认证文档发出 Amazon KMS API 请求。当您使用认证文档发出请求时,Amazon KMS 会根据 KMS 密钥策略中的参考测量值来验证所提供认证文档中的测量值。仅当认证文档中的测量值与 KMS 密钥策略中的参考测量值匹配时,才会允许请求。

当您使用认证文档调用 DecryptDeriveSharedSecretGenerateDataKeyGenerateDataKeyPairGenerateRandom API 操作时,这些 API 会使用认证文档中的公有密钥对响应中的明文进行加密,并返回加密文字而不是明文。此加密文字只能使用实例中生成的匹配私有密钥进行解密。

有关更多信息,请参阅《Amazon Key Management Service Developer Guide》中的 Cryptographic attestation for NitroTPM

注意

如果您要认证第三方服务,则必须构建自己的自定义机制来接收、解析和验证认证文档。有关更多信息,请参阅 验证 NitroTPM 认证文档