NitroTPM

Nitro Trusted Platform Module (NitroTPM) は、AWS Nitro System によって提供され TPM 2.0 仕様に準拠した仮想デバイスです。インスタンスの認証に使用されるアーティファクト (パスワード、証明書、暗号化キーなど) を安全に保存します。NitroTPM は、キーを生成し、暗号化機能 (ハッシング、署名、暗号化、復号化など) に使用できます。

NitroTPM は、測定されたブートを提供します。これは、ブートローダーとオペレーティングシステムがすべてのブートバイナリの暗号化ハッシュを作成し、それらを NitroTPM 内部プラットフォーム構成レジスタ (PCR) の以前の値と組み合わせるプロセスです。測定されたブートを使用することで、NitroTPM から署名された PCR 値を取得し、それらを使用してインスタンスのブートソフトウェアの整合性をリモートエンティティに証明することができます。これは、リモート認証と呼ばれます。

NitroTPM を使用することで、キーおよびシークレットに特定の PCR 値をタグ付けできるため、PCR の値、つまりインスタンスの整合性が変更された場合にそれらにアクセスすることはできません。この特別な形式の条件付きアクセスは、封印および開封と呼ばれます。BitLocker などのオペレーティングシステムのテクノロジーは、NitroTPM を使用してドライブの復号化キーを封印し、オペレーティングシステムが正しく起動し、正常な状態である場合にのみドライブを復号化できます。

NitroTPM を使用するには、NitroTPM サポート用に設定された Amazon マシンイメージ (AMI) を選択してから、AMI を使用して AWS Nitro System 上に構築されたインスタンスを起動する必要があります。Amazon のビルド済みの AMI を選択するか、自分で作成することができます。

コスト

NitroTPM を使用しても追加コストはかかりません。お客様は、使用した基本リソースに対してのみ、料金を支払います。