QingTian Enclave PCR3能力开启
【摘要】 准备环境参考: https://bbs.huaweicloud.com/blogs/451408准备ECS机器和下载相关依赖 绑定委托打开控制台弹性云服务界面,点击实例详情:新建委托:以弹性云服务为例(其他服务大家按需选择)绑定:
准备环境
参考: https://bbs.huaweicloud.com/blogs/451408
准备ECS机器和下载相关依赖
IAM 新建委托,并更新身份策略权限配置
在console页面上选择IAM服务:
然后在IAM服务上选择新版本入口:
选择委托,并创建委托:
以下创建了test-kms的委托
立即进行授权:
将委托和自定义策略绑定:
在委托的授权记录里可以看到绑定的策略:
在委托的基本信息里面获取URN:
计算PCR3
按照文档https://support.huaweicloud.com/usermanual-ecs/ecs_03_1410.html,在linux系统里,替换IAM_AGENCY的值后,计算得到PCR3值
IAM_AGENCY="iam::6c031a4leefc480bb60f20c003891fcd:agency:cddd"; \
python -c"import hashlib, sys; \
h=hashlib.sha384(); h.update(b'\0'*48); \
h.update(\"$IAM_AGENCY\".encode('utf-8')); \
print(h.hexdigest())"
计算后,更新enclave-kms-test身份策略:
{
"Version": "5.0",
"Statement": [
{
"Effect": "Allow",
"Action": [
"kms::generateRandom",
"kms:cmk:createDataKey",
"kms:cmk:decryptData",
"kms:cmk:decryptDataKey"
],
"Condition": {
"StringEqualsIgnoreCase": {
"kms:RecipientAttestation/PCR0": [
"f8c6c43d52e145f0f6e86d3949feb1de47b0040c72e031414affb802ae9455fff9d942a70bb2f9c67dbd610feb55e460"
],
"kms:RecipientAttestation/PCR8": [
"9fba279cd0c6b133ccc966d0e7129ead504d504b2844eeae7ec65a70e799e04f851e27531dec4123b7dd219161825086"
],
"kms:RecipientAttestation/PCR3": [
"eb73b02daa7172254f41049d787ee096aec899324d079f0e764142e36302ba301f2ff59f1e7b5cca081e7a1989dbe8cb"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"kms:cmk:encryptData",
"kms:cmk:encryptDataKey"
]
}
]
}
绑定委托到ECS虚拟机
通过console页面进入ECS页面:
选择ECS实例
在管理信息这里,点击委托修改
选择刚创建的委托
生效
在控制台对实例进行关机-> 开机,使其生效。
简单报错定位
接口调用出错
kms返回信息:
可能的原因:
- 说明PCR3可能配置有问题;配置完成后需要1min全网同步
- 委托绑定有问题
- 委托绑定后,未在console页面进行手动关机、开机操作
【声明】本内容来自华为云开发者社区博主,不代表华为云及华为云开发者社区的观点和立场。转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)