本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
如何拨打经证实的电话 Amazon KMS
要对进行证明调用 Amazon KMS,请使用请求中的Recipient参数提供已签名的证明文档和加密算法,以便与认证文档中的公钥一起使用。当请求中包含带有已签名证明文档的 Recipient 参数时,响应将包含一个具有由公有密钥加密的加密文字的 CiphertextForRecipient 字段。明文字段为空。
该Recipient参数必须指定来自 Nitro Enclaves Amazon 或 NitroTPM 的签名认证文档。 Amazon Amazon KMS 依靠认证文档的数字签名来证明请求中的公钥来自有效来源。您不能提供自己的证书来对证明文档进行数字签名。
Amazon Nitro Enclaves SDK 仅在 Nitro 安全区内受支持,它会自动将Recipient参数及其值添加到每个请求中。 Amazon KMS
要在中发出经证明的请求 Amazon SDKs,您必须指定Recipient参数及其值。认证文档可以使用该nitro-tpm-attest 实用程序从 NitroTPM 中检索,也可以使用 NSM API 从 Nitro 安全模块 (NSM) 中检索。
Amazon KMS 支持策略条件密钥,您可以根据认证文档的内容使用 Amazon KMS 密钥来允许或拒绝经证明的操作。您还可以在 Amazon CloudTrail 日志中监控已证实 Amazon KMS的请求。
有关Recipient参数和 AWS CiphertextForRecipient 响应字段的详细信息,请参阅 Amazon Key Management Service API 参考、Amazon Nitro Enclaves 软件开发工具包或任何软件开发工具包中的解密、、、和GenerateRandom主题。DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair Amazon
有关设置数据和数据密钥以进行加密的信息,请参阅使用加密认证。 Amazon KMS