Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Chiavi di condizione per NitroTPM
<a name="conditions-nitro-tpm"></a>

Le seguenti chiavi di condizione sono specifiche dell'attestazione NitroTPM:

## kmsRecipientAttestation:: NitroTPMPCR <PCR\_ID>
<a name="conditions-kms-recipient-nitro-tpm-pcrs"></a>


| AWS KMS Chiavi di condizione | Tipo di condizioni | Value type (Tipo di valore) | Operazioni API | Tipo di policy | 
| --- | --- | --- | --- | --- | 
| `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` | Stringa | A valore singolo | `Decrypt`<br />`DeriveSharedSecret`<br />`GenerateDataKey`<br />`GenerateDataKeyPair`<br />`GenerateRandom` | Policy delle chiavi e policy IAM | 

La chiave `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` condizionale controlla l'accesso a `Decrypt` `DeriveSharedSecret``GenerateDataKey`,`GenerateDataKeyPair`, e `GenerateRandom` con una chiave KMS solo quando la configurazione della piattaforma registra (PCRs) dal documento di attestazione firmato nella richiesta corrisponde alla PCRs chiave di condizione. Questa chiave condizionale è efficace solo quando il `Recipient` parametro nella richiesta specifica un documento di attestazione firmato da NitroTPM.

Questo valore è incluso anche negli [CloudTraileventi](ct-nitro-tpm.md) che rappresentano le richieste di NitroTPM. AWS KMS 

Per specificare un valore PCR, utilizzare il formato seguente. Concatena l'ID PCR al nome della chiave di condizione. Il valore PCR deve essere una stringa esadecimale minuscola di un massimo di 96 byte.

```
"kms:RecipientAttestation:NitroTPMPCR{{PCR_ID}}": "{{PCR_value}}"
```

Ad esempio, la seguente chiave condizionale specifica un valore particolare per: PCR4

```
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
```

Il seguente esempio di istruzione della policy della chiave consente al ruolo `data-processing` di utilizzare la chiave KMS per l'operazione [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

La chiave di `kms:RecipientAttestation:NitroTPMPCR` condizione in questa istruzione consente l'operazione solo quando il PCR4 valore nel documento di attestazione firmato nella richiesta corrisponde al `kms:RecipientAttestation:NitroTPMPCR4` valore nella condizione. Usa l'operatore di policy `StringEqualsIgnoreCase` per richiedere un confronto senza distinzione tra maiuscole e minuscole dei valori PCR.

Se la richiesta non include un documento di attestazione, l'autorizzazione viene negata perché questa condizione non è soddisfatta.

```
{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}
```