aws nitro enclave
実装
Nitro system上のec2インスタンスで実行するcli
EIF imageへのビルドとその実行など
1. (parent側) CLIコマンドでコミュニケーションするためのEnclave用オーファンプロセスの生成
2. Enclaveプロセスでコマンドを受け取るためのevent loopを回す
3. socketにrunコマンドを送信
4. nitroデバイスファイルへVM生成コマンド送信
5. メモリの割り当てとEIFをメモリに書き込み
6. CPUの割り当て
7. nitroデバイスファイルを介しenclaveをスタート
8. enclaveからのレスポンスを処理し表示
nitro enclaveがACMを利用する際のPKCS#11プロバイダ
Attestationのためのライブラリ
vsockベースでenclaveとparente instanceがそれぞれclient/serverとして動作するサンプル
Videos
https://gyazo.com/7d2ea4e9a444c3e2c82aabd2d1a264ac
linux
references
vsock:
parent instanceとenclaveはvsock通信でやりとり
Virtio
hypervisor
ioctl