本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Nitro Enclaves 的加密证明
Amazon KMS 支持 Nitro Enclaves 的Amazon 加密认证。支持 Amazon Nitro Enclaves 的应用程序使用安全区的签名认证文件调用以下 Amazon KMS 加密操作。这些 Amazon KMS APIs 验证文件是否来自 Nitro 飞地。然后,它们不会在响应中返回纯文本数据,而是使用认证文档中的公钥对明文 APIs 进行加密,并返回只能通过安全区中相应的私钥解密的密文。
下表显示了对 Nitro Enclave 请求的响应与每个 API 操作的标准响应有何不同。
| Amazon KMS 操作 | 标准响应 | 对 Amazon Nitro 飞地的响应 |
|---|---|---|
Decrypt |
返回明文数据 | 返回证明文档中由公有密钥加密的明文数据 |
DeriveSharedSecret |
返回原始共享密钥 | 返回证明文档中由公有密钥加密的原始共享密钥 |
GenerateDataKey |
返回数据密钥的明文副本 (还会返回由 KMS 密钥加密的数据密钥副本) |
返回证明文档中由公有密钥加密的数据密钥副本 (还会返回由 KMS 密钥加密的数据密钥副本) |
GenerateDataKeyPair |
返回私有密钥的明文副本 (还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) |
返回证明文档中由公有密钥加密的私有密钥副本 (还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) |
GenerateRandom |
返回一个随机字节字符串 | 返回证明文档中由公有密钥加密的随机字节字符串 |
Amazon KMS 支持策略条件密钥,您可以根据认证文档的内容使用 Amazon KMS 密钥来允许或拒绝安全区操作。您还可以在日志中监视 Amazon KMS 对您的 Nitro 飞地的请求。 Amazon CloudTrail
了解更多