Amazon EC2 实例的 NitroTPM
Nitro 可信平台模块 (NitroTPM) 是一种虚拟设备,由 AWS Nitro 系统
NitroTPM 提供测量引导,在此过程中,引导加载程序和操作系统将为每个引导二进制文件创建加密哈希,并将它们与 NitroTPM 内部平台配置寄存器 (PCR) 中之前的值结合起来。借助测量引导,您可以从 NitroTPM 获取签名 PCR 值,然后使用它们向远程实体证明实例的引导软件的完整性。这称为远程证明。
借助 NitroTPM,可以使用特定 PCR 值标记密钥和秘密,这样,如果 PCR 的值进而实例完整性发生变化,就永远无法访问它们。这种特殊形式的有条件访问称为密封和解封。操作系统技术,如 BitLocker
要使用 NitroTPM,您必须选择一个配置了 NitroTPM 支持的亚马逊机器映像(AMI),然后使用该 AMI 启动基于 Nitro 的实例。您可以选择亚马逊预构建的 AMI,也可以自己创建 AMI。
定价
使用 NitroTPM 不会产生额外成本。您仅需为实际使用的底层资源付费。