복호화(enclave로부터) - AWS Key Management Service

복호화(enclave로부터)

다음 예제는 Nitro Enclaves SDKkms-decrypt 작업에 대한 AWS CloudTrail 로그 항목을 보여 줍니다. kms-decrypt API는 엔클레이브의 서명된 증명 서류를 포함하는 파라미터를 사용하여 AWS KMS Decrypt 작업을 호출합니다.

AWS Nitro Enclaves는 Amazon EC2 기능으로, 엔클레이브라는 격리된 컴퓨팅 환경을 생성해 매우 민감한 데이터를 보호하고 처리할 수 있습니다. AWS Nitro Enclaves 및 AWS KMS와 통합에 대한 자세한 내용은 Linux 인스턴스용 Amazon EC2 사용 설명서의 Nitro Enclaves를 참조하십시오.

호출이 엔클레이브에서 시작되면 CloudTrail 로그에는 엔클레이브의 측정값을 나타내는 수신자 데이터가 포함됩니다.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2020-07-27T22:58:24Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "additionalEventData": { "recipient": { "attestationDocumentModuleId": "i-123456789abcde123-enc123456789abcde12", "attestationDocumentEnclaveImageDigest": "ee0d451a2ff9aaaa9bccd07700b9cab123a0ac2386ef7e88ad5ea6c72ebabea840957328e2ec890b408c9b06cb8ebe6a", } }, "requestID": "b4a65126-30d5-4b28-98b9-9153da559963", "eventID": "e5a2f202-ba1a-467c-b4ba-f729d45ae521", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }