GenerateDataKey (de um enclave) - AWS Key Management Service

GenerateDataKey (de um enclave)

O exemplo a seguir mostra uma entrada de log do AWS CloudTrail para uma operação kms-generate-data-key no SDK do Nitro Enclaves. A API kms-generate-data-keychama a operação AWS KMS GenerateDataKey com um parâmetro que inclui um documento de atestado assinado do enclave.

O AWS Nitro Enclaves é um recurso do Amazon EC2 que permite criar ambientes computacionais isolados, chamados de enclaves, para proteger e processar dados altamente sigilosos. Para obter mais informações sobre o AWS Nitro Enclaves e sua integração com oAWS KMS, consulteNitro Enclaves no Manual do usuário do Amazon EC2 para instâncias Linux.

Quando a chamada é originada em um enclave, o log do CloudTrail inclui dados de destinatários que representam as medidas desse enclave.

{ "eventVersion": "1.02", "userIdentity": { "type": "IAMUser", "principalId": "EX_PRINCIPAL_ID", "arn": "arn:aws:iam::111122223333:user/Alice", "accountId": "111122223333", "accessKeyId": "EXAMPLE_KEY_ID", "userName": "Alice" }, "eventTime": "2014-11-04T00:52:40Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-east-1", "sourceIPAddress": "192.0.2.0", "userAgent": "AWS Internal", "requestParameters": { "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "numberOfBytes": 32 }, "responseElements": null, "additionalEventData": { "recipient": { "attestationDocumentModuleId": "i-123456789abcde123-enc123456789abcde12", "attestationDocumentEnclaveImageDigest": "ee0d451a2ff9aaaa9bccd07700b9cab123a0ac2386ef7e88ad5ea6c72ebabea840957328e2ec890b408c9b06cb8ebe6a" } }, "requestID": "e0eb83e3-63bc-11e4-bc2b-4198b6150d5c", "eventID": "a9dea4f9-8395-46c0-942c-f509c02c2b71", "readOnly": true, "resources": [{ "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "accountId": "111122223333" }], "eventType": "AwsApiCall", "recipientAccountId": "111122223333" }