更新时间:2025-08-11 GMT+08:00
结合KMS服务
KMS服务内置了对QingTian Enclave证明的支持。通过使用QingTian Enclave SDK中包含的KMS API,您可以在QingTian Enclave实例中基于QingTian Enclave证明来执行KMS操作,比如解密、生成随机数和加密等操作。KMS服务提取来自QingTian Enclave的证明文档并根据预设的IAM授权策略对其进行访问权限控制。
比如,如下是一个IAM授权策略的举例。该授权策略允许调用KMS的解密数据或解密数据密钥功能API,但限制条件是要求请求者必须在QingTian Enclave环境中运行,且Enclave的度量值PCR0和PCR8都必须和指定的PCR值相同。
设置IAM授权策略成功导出的json信息如下:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "kms:cmk:decrypt", "kms:dek:decrypt" ], "Resource": "*", "Condition": { "StringEqualsIgnoreCase": { "kms:RecipientAttestation/PCR0": [ "c5158cb6ee9dbb0ead648c3dc80e472c85e0d67f19fb53fbd3fb94c3371aec63cdb93b80d727a7084248873b1d8e8b41" ], "kms:RecipientAttestation/PCR8": [ "705afb1012d27f4e07a25e674e6a17dec57305e29cd412184b7bcb78d9e67f16a0cc26d8706a4fab418a5da5788bc949" ] } } } ] }
json信息说明:
- Action:对应身份策略内容的操作。
- Resource:该身份策略可以获取的资源。
- *:表示所有资源均可获取。
- Condition:请求条件。使用QingTian Enclave时支持使用PCR0、PCR3、PCR4、PCR8的任意组合作为请求条件,示例中使用的是PCR0和PCR8。
创建用户组的操作指导,请参见:创建用户组并授权
创建自定义策略的操作指导,请参见:创建自定义策略