Amazon KMS 中的密码认证支持
Amazon KMS 支持将密码认证用于 Amazon Nitro Enclaves 和 Amazon NitroTPM。支持这些认证方法的应用程序使用已签名的认证文档调用以下 Amazon KMS 密码操作。Amazon KMS 会验证认证文档是否来自有效来源(某个 Nitro 飞地或 NitroTPM)。然后,这些 API 不会在响应中返回明文数据,而是使用认证文档中的公有密钥对明文进行加密,并返回只能通过该飞地或 EC2 实例中的对应私有密钥解密的加密文字。
下表展示了 API 操作对认证请求的响应与其标准响应的差异。
| Amazon KMS 操作 | 标准响应 | 对认证请求的响应 |
|---|---|---|
Decrypt |
返回明文数据 | 返回证明文档中由公有密钥加密的明文数据 |
DeriveSharedSecret |
返回原始共享密钥 | 返回证明文档中由公有密钥加密的原始共享密钥 |
GenerateDataKey |
返回数据密钥的明文副本 (还会返回由 KMS 密钥加密的数据密钥副本) |
返回证明文档中由公有密钥加密的数据密钥副本 (还会返回由 KMS 密钥加密的数据密钥副本) |
GenerateDataKeyPair |
返回私有密钥的明文副本 (还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) |
返回证明文档中由公有密钥加密的私有密钥副本 (还会返回公有密钥和由 KMS 密钥加密的私有密钥副本) |
GenerateRandom |
返回一个随机字节字符串 | 返回证明文档中由公有密钥加密的随机字节字符串 |
Amazon KMS 支持策略条件键,您可以使用这些条件键根据认证文件的内容允许或拒绝对 Amazon KMS 密钥的认证操作。您还可以通过 Amazon CloudTrail 日志监控对 Amazon KMS 的认证请求。
了解更多