Decrypt (de um enclave) - AWS Key Management Service

Decrypt (de um enclave)

O exemplo a seguir mostra uma entrada de log do AWS CloudTrail para uma operação kms-decrypt no SDK do Nitro Enclaves. A API kms-decryptchama a operação AWS KMS Decrypt com um parâmetro que inclui umdocumento de atestado assinado do enclave.

O AWS Nitro Enclaves é um recurso do Amazon EC2 que permite criar ambientes computacionais isolados, chamados de enclaves, para proteger e processar dados altamente sigilosos. Para obter mais informações sobre o AWS Nitro Enclaves e sua integração com oAWS KMS, consulteNitro Enclaves no Manual do usuário do Amazon EC2 para instâncias Linux.

Quando a chamada é originada em um enclave, o log do CloudTrail inclui dados de destinatários que representam as medidas desse enclave.

{ "eventVersion": "1.05", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2020-07-27T22:58:24Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "encryptionAlgorithm": "SYMMETRIC_DEFAULT", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "responseElements": null, "additionalEventData": { "recipient": { "attestationDocumentModuleId": "i-123456789abcde123-enc123456789abcde12", "attestationDocumentEnclaveImageDigest": "ee0d451a2ff9aaaa9bccd07700b9cab123a0ac2386ef7e88ad5ea6c72ebabea840957328e2ec890b408c9b06cb8ebe6a", } }, "requestID": "b4a65126-30d5-4b28-98b9-9153da559963", "eventID": "e5a2f202-ba1a-467c-b4ba-f729d45ae521", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }