如何呼叫 Amazon KMS APIs Nitro 飞地 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何呼叫 Amazon KMS APIs Nitro 飞地

要调 Amazon KMS APIs 用 Nitro 安全区,请使用请求中的Recipient参数为安全区提供已签名的认证文档以及用于安全区公钥的加密算法。当请求中包含带有已签名证明文档的 Recipient 参数时,响应将包含一个具有由公有密钥加密的加密文字的 CiphertextForRecipient 字段。明文字段为空。

Recipient参数必须指定来自 Amazon Nitro 飞地的签名认证文档。 Amazon KMS 依靠飞地认证文件的数字签名来证明请求中的公钥来自有效的飞地。您不能提供自己的证书来对证明文档进行数字签名。

要指定 Recipient 参数,请使用 Amazon Nitro Enclaves 开发工具包 或任何 Amazon 开发工具包。 Amazon Nitro Enclaves SDK 仅在 Nitro 安全区内受支持,它会自动将Recipient参数及其值添加到每个请求中。 Amazon KMS 要在中请求 Nitro 安全区 Amazon SDKs,必须指定Recipient参数及其值。中对 Nitro enclave 加密认证的 Support 于 2023 年 3 月推出。 Amazon SDKs

Amazon KMS 支持策略条件密钥,您可以根据认证文档的内容使用 Amazon KMS 密钥来允许或拒绝安全区操作。您还可以在日志中监视 Amazon KMS 对您的 Nitro 飞地的请求。 Amazon CloudTrail

有关Recipient参数和 AWS CiphertextForRecipient 响应字段的详细信息,请参阅 Amazon Key Management Service API 参考Amazon Nitro Enclaves 软件开发工具包或任何软件开发工具包中的解密、、、和GenerateRandom主题。DeriveSharedSecretGenerateDataKeyGenerateDataKeyPair Amazon 有关设置数据和数据密钥以进行加密的信息,请参阅使用加密认证。 Amazon KMS