Amazon EC2 实例的 NitroTPM - Amazon Elastic Compute Cloud

Amazon EC2 实例的 NitroTPM

Nitro 可信平台模块 (NitroTPM) 是一种虚拟设备,由 AWS Nitro 系统提供,并且符合 TPM 2.0 规范。它可以安全地存储用于对实例进行身份验证的构件(例如密码、证书或加密密钥)。NitroTPM 可以生成密钥,并将它们用于加密功能(例如哈希、签名、加密和解密)。

NitroTPM 提供测量引导,在此过程中,引导加载程序和操作系统将为每个引导二进制文件创建加密哈希,并将它们与 NitroTPM 内部平台配置寄存器 (PCR) 中之前的值结合起来。借助测量引导,您可以从 NitroTPM 获取签名 PCR 值,然后使用它们向远程实体证明实例的引导软件的完整性。这称为远程证明

借助 NitroTPM,可以使用特定 PCR 值标记密钥和秘密,这样,如果 PCR 的值进而实例完整性发生变化,就永远无法访问它们。这种特殊形式的有条件访问称为密封和解封。操作系统技术,如 BitLocker,可以使用 NitroTPM 来密封驱动器解密密钥,以便仅在操作系统正确引导并处于已知良好状态时才能解密驱动器。

要使用 NitroTPM,您必须选择一个配置了 NitroTPM 支持的亚马逊机器映像(AMI),然后使用该 AMI 启动基于 Nitro 的实例。您可以选择亚马逊预构建的 AMI,也可以自己创建 AMI。

定价

使用 NitroTPM 不会产生额外成本。您仅需为实际使用的底层资源付费。