Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Rustで実装された AWS Nitro Enclaves CLIを読む

Avatar for Osuke Osuke
December 07, 2020
Programming
0
370

Rustで実装された AWS Nitro Enclaves CLIを読む

Avatar for Osuke

Osuke

December 07, 2020
Tweet

More Decks by Osuke

See All by Osuke
特許データを使ったマルチモーダルAIの検証事例@LLMProd#4
Avatar for Osuke osuke
0
250
dbtを中心に据えた データ分析とプロダクト開発
Avatar for Osuke osuke
1
1.1k
LayerX Privacy Tech事業部紹介 Tech編
Avatar for Osuke osuke
0
200
(SCIS2021) Anonify: プライバシーを保護した 検証可能な状態遷移モジュール
Avatar for Osuke osuke
1
370
Rustのパフォーマンスに関するTips
Avatar for Osuke osuke
3
3.4k
ARM TrustZone入門 / ARM TrustZone intro
Avatar for Osuke osuke
3
8.7k
Anonify
Avatar for Osuke osuke
3
1.1k
Rustのasync/awaitとスケジューラの話 / rust-async-await
Avatar for Osuke osuke
9
4k
Privacy on Blockchain
Avatar for Osuke osuke
1
1.2k

Other Decks in Programming

See All in Programming
Quand Symfony, ApiPlatform, OpenAI et LangChain s'allient pour exploiter vos PDF : de la théorie à la production…
Avatar for Ahmed EBEN HASSINE ahmedbhs123
0
210
Startups on Rails in Past, Present and Future–Irina Nazarova, RailsConf 2025
Avatar for Irina Nazarova irinanazarova
0
150
新メンバーも今日から大活躍!SREが支えるスケールし続ける組織のオンボーディング
Avatar for HonMarkHunt honmarkhunt
5
8k
システム成長を止めない!本番無停止テーブル移行の全貌
Avatar for さかうぇ sakawe_ee
1
220
The Niche of CDK Grant オブジェクトって何者?/the-niche-of-cdk-what-isgrant-object
Avatar for hassaku63 hassaku63
1
410
ふつうの技術スタックでアート作品を作ってみる
Avatar for Akira Yagi akira888
1
1.1k
GPUを計算資源として使おう!
Avatar for prime number primenumber
1
190
Hack Claude Code with Claude Code
Avatar for Akihiro Okuno choplin
5
2.4k
Deep Dive into ~/.claude/projects
Avatar for Yuya Hirayama hiragram
14
7.5k
Composerが「依存解決」のためにどんな工夫をしているか #phpcon
Avatar for hideki kinjyo o0h
PRO
1
320
オンコール⼊⾨〜ページャーが鳴る前に、あなたが備えられること〜 / Before The Pager Rings
Avatar for Yuuki Takahashi yktakaha4
1
560
AIと”コードの評価関数”を共有する / Share the "code evaluation function" with AI
Avatar for Shintani Teppei euglena1215
1
170

Featured

See All Featured
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
VelocityConf: Rendering Performance Case Studies
Avatar for Addy Osmani addyosmani
332
24k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
15
1.6k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
1.9k
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
346
40k
Why Our Code Smells
Avatar for Brandon Keepers bkeepers
PRO
336
57k
How STYLIGHT went responsive
Avatar for nonsquared nonsquared
100
5.6k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
72
4.9k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.7k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
30
2.1k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
34
3.1k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
Avatar for Tammy Everts tammyeverts
53
2.9k

Transcript

  1. 1 Rustで実装された AWS Nitro Enclaves CLIを読む Osuke Sudo 2020/12/7 @Rust

    LT Online #2

  2. 2 @zoom_zoomzo Osuke ソフトウェアエンジニア@LayerX • 暗号技術・TEEを用いたデータのプライバシー保護・改ざん 耐性手法の研究開発(Confidential Computing) • Anonifyの開発

    ◦ https://github.com/LayerXcom/anonify

  3. 3 アジェンダ • AWS Nitro Enclacvesとは • Enclave起動までの処理の流れ • EIFイメージ展開とメモリ割り当て

  4. 4 • 高度にセキュアな情報を扱うことを想定し、AWS Nitro Systemにより提供される隔離保護された実行環境 ◦ 軽量なkvmベースのハイパーバイザ + ネットワーク・ストレージのオフロード +

    セキュリティチッ プなど • それぞれのEnclaveには、EC2のメモリやCPUリソースを割り当てることができ、独立したカーネルOS上 で動作 • Enclaveは親EC2とのvsockのみでやりとり可能(外部のネットワークやストレージに接続することはでき ず、admin IAM権限でもユーザーアクセスはできない) AWS Nitro Enclavesとは https://aws.amazon.com/jp/blogs/aws/aws-nitro-enclaves-isolated-ec2-environments-to-process-confidential-data/

  5. 5 Nitro Enclacve CLI • Nitro-cliでdocker imageからEIF(Enclave Image File)をビルド可能 •

    EIFと割り当てるメモリ、vCPUを指定しenclaveを起動

  6. 6 enclave起動までの処理 1. 親プロセス:CLIコマンドでコミュニケーションするためのEnclave用デーモンの生成 2. デーモン:コマンドを受け取るためのevent loopを回す 3. 親プロセス:socketにrun-enclaveコマンドを送信 4.

    デーモン:nitroデバイスファイルへVM生成コマンド送信 5. デーモン:メモリの割り当てとEIFをメモリに書き込み 6. デーモン:vCPUの割り当て 7. デーモン:nitroデバイスファイルを介しenclaveをスタート 8. 親プロセス:enclaveからのレスポンスを処理し表示 参考: Rustで実装されたAWS Nitro Enclaves CLIの実装を読む https://qiita.com/Osuke/items/81d928bd2a46fab46cbc

  7. 7 init_memory(): メモリ領域の確保 • Run-enclaveコマンドの引数として渡したメ モリサイズ分だけメモリ領域を確保 • それぞれのregionがhuge-pageに対応し、 libc::mmap()により割り当て

  8. 8 init_memory(): EIFイメージの展開 • NE_GET_IMAGE_LOAD_INFOコマンドでioctlを呼 び、EIFイメージを展開するメモリのオフセットを Nitro Systemから取得 • 確保したメモリ領域とイメージ展開オフセットから

    実際にEIFを書き込む • ページごとにNE_SET_USER_MEMORY_REGIONコ マンドでioctlを呼び、デバイスドライバにセット ◦ (KVMでいうところの KVM_SET_USER_MEMORY_REGIONで実行 バイナリをVMにセットしているイメージ)

  9. 9 • Rustで実装されたAWS Nitro Enclaves CLIの実装を読む ◦ https://qiita.com/Osuke/items/81d928bd2a46fab46cbc • Nitro

    Enclaves Command Line Interface (Nitro CLI) ◦ https://github.com/aws/aws-nitro-enclaves-cli • Deep Dive Into AWS Nitro Enclaves - AWS Online Tech Talks ◦ https://youtu.be/K5PRNHaEdOw • AWS re:Invent 2019: Powering next-gen Amazon EC2: Deep dive into the Nitro system (CMP303-R2) ◦ https://youtu.be/rUY-00yFlE4 References