Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Bedingungsschlüssel für NitroTPM
<a name="conditions-nitro-tpm"></a>

Die folgenden Zustandsschlüssel sind spezifisch für die NitroTPM-Bescheinigung:

## kmsRecipientAttestation:: NitroTPMPCR <PCR\_ID>
<a name="conditions-kms-recipient-nitro-tpm-pcrs"></a>


| AWS KMS Zustandstasten | Bedingungstyp | Werttyp | API-Operationen | Richtlinientyp | 
| --- | --- | --- | --- | --- | 
| `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` | Zeichenfolge | Einzelwertig | `Decrypt`<br />`DeriveSharedSecret`<br />`GenerateDataKey`<br />`GenerateDataKeyPair`<br />`GenerateRandom` | Schlüsselrichtlinien und IAM-Richtlinien | 

Der `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` Bedingungsschlüssel steuert den Zugriff auf `Decrypt``DeriveSharedSecret`,`GenerateDataKey`,`GenerateDataKeyPair`, und `GenerateRandom` mit einem KMS-Schlüssel nur, wenn die Registrierung (PCRs) der Plattformkonfiguration aus dem signierten Bestätigungsdokument in der Anfrage mit denen PCRs im Bedingungsschlüssel übereinstimmt. Dieser Bedingungsschlüssel ist nur wirksam, wenn der `Recipient` Parameter in der Anfrage ein signiertes Bestätigungsdokument von NitroTPM spezifiziert.

Dieser Wert ist auch in [CloudTrailEreignissen](ct-nitro-tpm.md) enthalten, die Anfragen an NitroTPM darstellen. AWS KMS 

Verwenden Sie das folgende Format, um einen PCR-Wert anzugeben. Verketten Sie die PCR-ID mit dem Bedingungsschlüssel-Namen. Der PCR-Wert muss eine Hexadezimalzeichenfolge in Kleinbuchstaben von bis zu 96 Bytes sein.

```
"kms:RecipientAttestation:NitroTPMPCR{{PCR_ID}}": "{{PCR_value}}"
```

Der folgende Bedingungsschlüssel gibt beispielsweise einen bestimmten Wert für an: PCR4

```
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
```

Die folgende Beispiel-Schlüsselrichtlinienanweisung erlaubt es der`data-processing` -Rolle, den KMS-Schlüssel für die Operation [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) zu verwenden.

Der `kms:RecipientAttestation:NitroTPMPCR` Bedingungsschlüssel in dieser Anweisung lässt den Vorgang nur zu, wenn der PCR4 Wert im signierten Bestätigungsdokument in der Anforderung mit dem `kms:RecipientAttestation:NitroTPMPCR4` Wert in der Bedingung übereinstimmt. Verwenden des `StringEqualsIgnoreCase`-Richtlinienoperators, um einen Vergleich der PCR-Werte ohne Berücksichtigung der Groß-/Kleinschreibung zu erfordern.

Wenn die Anforderung kein Bescheinigungsdokument enthält, wird die Berechtigung verweigert, da diese Bedingung nicht erfüllt ist.

```
{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}
```