Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Clés de condition pour NitroTPM
<a name="conditions-nitro-tpm"></a>

Les clés de condition suivantes sont spécifiques à l'attestation NitroTPM :

## kms : : Nitro PMPCR RecipientAttestation <PCR\_ID>
<a name="conditions-kms-recipient-nitro-tpm-pcrs"></a>


| AWS KMS Clés de condition | Type de condition | Type de la valeur | Opérations d’API | Type de politique | 
| --- | --- | --- | --- | --- | 
| `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` | String | À valeur unique | `Decrypt`<br />`DeriveSharedSecret`<br />`GenerateDataKey`<br />`GenerateDataKeyPair`<br />`GenerateRandom` | Politiques de clé et politiques IAM | 

La clé de `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` condition contrôle l'accès à`Decrypt`,`DeriveSharedSecret`, `GenerateDataKey``GenerateDataKeyPair`, et `GenerateRandom` avec une clé KMS uniquement lorsque les enregistrements de configuration de la plate-forme (PCRs) à partir du document d'attestation signé dans la demande correspondent PCRs à ceux de la clé de condition. Cette clé de condition n'est effective que lorsque le `Recipient` paramètre de la demande spécifie un document d'attestation signé par NitroTPM.

Cette valeur est également incluse dans les [CloudTrailévénements](ct-nitro-tpm.md) qui représentent des demandes adressées à AWS KMS NitroTPM.

Pour spécifier une valeur PCR, utilisez le format suivant. Concaténez l'ID de PCR au nom de clé de condition. La valeur PCR doit être une chaîne hexadécimale en minuscules de 96 octets maximum.

```
"kms:RecipientAttestation:NitroTPMPCR{{PCR_ID}}": "{{PCR_value}}"
```

Par exemple, la clé de condition suivante spécifie une valeur particulière pour PCR4 :

```
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
```

Par exemple, l'instruction de stratégie de clé suivante autorise le rôle `data-processing` à utiliser la clé KMS pour l'opération [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

La clé de `kms:RecipientAttestation:NitroTPMPCR` condition contenue dans cette instruction autorise l'opération uniquement lorsque la PCR4 valeur du document d'attestation signé dans la demande correspond à la `kms:RecipientAttestation:NitroTPMPCR4` valeur de la condition. Utilisez l'opérateur de politique `StringEqualsIgnoreCase` pour exiger une comparaison insensible à la casse des valeurs PCR.

Si la demande n'inclut pas de document d'attestation, l'autorisation est refusée car cette condition n'est pas remplie.

```
{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}
```