Nitro エンクレーブ AWS KMS APIs を呼び出す方法

Nitro エンクレーブ AWS KMS APIs を呼び出すには、リクエストで Recipientパラメータを使用して、エンクレーブの署名付きアテステーションドキュメントと、エンクレーブのパブリックキーで使用する暗号化アルゴリズムを指定します。リクエストに Recipient パラメーターと署名付きアテステーションドキュメントが含まれている場合、レスポンスには CiphertextForRecipient フィールドとパブリックキーによって暗号化された暗号文が含まれます。プレーンテキストフィールドは null または空です。

Recipient パラメータは、 AWS Nitro enclave の署名付き認証ドキュメントを指定する必要があります。リクエストのパブリックキーが有効なエンクレーブから送信されたことを証明するには、エンクレーブの認証ドキュメントのデジタル署名 AWS KMS に依存します。アテステーションドキュメントにデジタル署名をして独自の証明書を提供することはできません。

Recipient パラメーターを指定するには、AWS Nitro Enclaves SDK または任意の AWS SDK を使用します。 AWS Nitro Enclaves SDK は Nitro エンクレーブ内でのみサポートされており、すべての AWS KMS リクエストに Recipientパラメータとその値を自動的に追加します。 AWS SDKs で Nitro エンクレーブをリクエストするには、 Recipientパラメータとその値を指定する必要があります。 AWS SDKs での Nitro エンクレーブ暗号化認証のサポートは、2023 年 3 月に導入されました。

AWS KMS は、アテステーションドキュメントの内容に基づいて キーを使用してエンクレーブオペレーションを許可または拒否するために使用できるポリシー条件 AWS KMS キーをサポートします。Nitro Enclave AWS KMS の へのリクエストをログでモニタリングすることもできます。 AWS CloudTrail

Recipient パラメータと AWS CiphertextForRecipientレスポンスフィールドの詳細については、 AWS Key Management Service API リファレンスの Decrypt、DeriveSharedSecret、GenerateDataKey、GenerateDataKeyPair、GenerateRandom トピック、AWS Nitro Enclaves SDK、または任意の AWS SDK を参照してください。暗号化用にデータとデータキーを設定する方法については、「 での暗号化認証の使用 AWS KMS」を参照してください。