本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # Amazon EC2 執行個體的 NitroTPM Nitro Trusted Platform Module (NitroTPM) 是由 [AWS Nitro System](https://aws.amazon.com//ec2/nitro/) 提供的虛擬裝置,符合 [TPM 2.0 規格](https://trustedcomputinggroup.org/resource/trusted-platform-module-2-0-a-brief-introduction/)。它可安全存放用於對執行個體執行身分驗證的成品 (如密碼、憑證或加密金鑰)。NitroTPM 可產生金鑰,並將其用於密碼編譯功能 (例如雜湊、簽署、加密和解密)。 NitroTPM 會採用*測量開機*過程,在這個過程中,開機載入器和作業系統會建立各開機二進位的密碼編譯雜湊,並將其與 NitroTPM 內部平台組態註冊 (PCR) 中的過往值結合。透過測量開機,您可從 NitroTPM 獲得簽署的 PCR 值,然後使用這些值向遠端實體證明執行個體開機軟體的完整性。這稱為遠端*證明*。 透過 NitRotTPM,可以使用特定 PCR 值標記金鑰和秘密,這樣便可確保,如果 PCR 值和執行個體完整性發生變化,就再也無法存取這些金鑰和秘密。這種特殊形式的條件式存取被稱為*密封和開封*。[BitLocker](https://learn.microsoft.com/en-us/windows/security/operating-system-security/data-protection/bitlocker/) 等作業系統技術皆可使用 NitroTPM 來密封磁碟機解密金鑰,這樣便可確保,只有作業系統已正確開機且確定處於良好狀態時才能解密磁碟機。 若要使用 NitroTPM,必須選取已設定 NitroTPM 支援的 [Amazon Machine Image](AMIs.md) (AMI),然後使用 AMI 來啟動 [Nitro 型執行個體](instance-types.md#instance-hypervisor-type)。您可以選取一個 Amazon 預先建置的 AMI,或自行建立一個。 **定價** 使用 NitroTPM 無需額外付費。只需為您使用的基礎資源支付費用。 **Topics** + [要求](enable-nitrotpm-prerequisites.md) + [啟用 NitroTPM 的 Linux AMI](enable-nitrotpm-support-on-ami.md) + [驗證已為 NitroTPM 啟用 AMI](verify-nitrotpm-support-on-ami.md) + [使用 NitroTPM 來啟用或停止](nitrotpm-instance.md) + [驗證已為 NitroTPM 啟用執行個體](verify-nitrotpm-support-on-instance.md) + [擷取公有背書金鑰](retrieve-ekpub.md)