Amazon KMS 经过验证的平台的条件密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon KMS 经过验证的平台的条件密钥

Amazon KMS 提供条件密钥以支持 Nitro Enclaves 和 Amazon Nitro TPM 的加密认证。 Amazon Nitro Enclaves 是 Amazon 的一项 EC2 功能,它允许您创建称为地的隔离计算环境,以保护和处理高度敏感的数据。NitroTPM 将类似的认证功能扩展到实例。 EC2

当您使用已签名的证明文档调用 Decrypt DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair、、、或 GenerateRandomAPI 操作时,这些操作会使用认证文档中的公钥对响应中的明文 APIs 进行加密,并返回密文而不是纯文本。此加密文字只能使用 Enclave 中的私有密钥进行解密。有关更多信息,请参阅 中的加密认证支持 Amazon KMS

注意

如果您在创建密钥时未提供密钥策略,请为您 Amazon 创建一个 Amazon KMS 密钥策略。此默认密钥策略授予拥有 KMS 密钥的人对密钥的完全访问权限,并允许账户使用 IAM 策略来允许访问密钥。 Amazon Web Services 账户 此政策允许所有操作,例如解密。 Amazon 建议将的委托人应用最低权限许可于您的 KMS 密钥策略。您也可以通过修改的 KMS 密钥策略操作kms:*来限制访问权限NotAction:kms:Decrypt

通过以下条件键,您可以根据签名证明文档的内容限制这些操作的权限。在允许操作之前,请将证明文档与这些 Amazon KMS 条件键中的值进行 Amazon KMS 比较。