Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # Decrypt Ein Aufruf AWS KMS zur Entschlüsselung eines Chiffretext-Werts akzeptiert einen verschlüsselten Wert, Chiffretext und einen Verschlüsselungskontext. AWS KMS authentifiziert den Anruf mithilfe von [signierten Anfragen der AWS Signaturversion 4](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) und extrahiert die HBKID für den Wrapping-Schlüssel aus dem Chiffretext. Die HBKID wird verwendet, um den *EKT* zu erhalten, der zum Entschlüsseln des Verschlüsselungstexts, der Schlüssel-ID und der Richtlinie für die Schlüssel-ID erforderlich ist. Die Anforderung wird basierend auf der Schlüsselrichtlinie, möglicherweise vorhandenen Berechtigungen und allen zugehörigen IAM-Richtlinien, die auf die Schlüssel-ID verweisen, autorisiert. Die `Decrypt`-Funktion ist analog zur Verschlüsselungsfunktion. Das Folgende ist die `Decrypt`-Anforderungssyntax. ``` { "CiphertextBlob": "blob", "EncryptionContext": { "string" : "string" } "GrantTokens": ["string"] } ``` Im Folgenden sind die Anforderungsparameter aufgeführt. **CiphertextBlob** Verschlüsselter Text einschließlich Metadaten. ** EncryptionContext** (Optional) Der Verschlüsselungskontext. Wenn dies in der `Encrypt`-Funktion angegeben wurde, muss es hier angegeben werden, sonst schlägt die Entschlüsselung fehl. Weitere Informationen finden Sie unter [Verschlüsselungskontext](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt-context.html) im *AWS Key Management Service -Entwicklerhandbuch*. **GrantTokens** (Optional) Eine Liste von Erteilungstoken, die Erteilungen darstellen, die Berechtigungen zum Durchführen der Entschlüsselung bereitstellen. Der *Verschlüsselungstext* und das *EKT* werden zusammen mit dem Verschlüsselungskontext über eine authentifizierte Sitzung an ein HSM zur Entschlüsselung gesendet. Das HSM führt Folgendes aus: 1. Entschlüsselt den *EKT*, um *HBK = Decrypt(DKi, EKT) * zu erhalten. 1. Extrahiert die Nummer *N* aus der *Verschlüsselungstextstruktur*. 1. Regeneriert einen 256-Bit-AES-GCM-abgeleiteten Verschlüsselungsschlüssel *K* aus *HBK* und *N*. 1. Entschlüsselt den *Verschlüsselungstext*, um *plaintext = Decrypt(K, context, ciphertext) * zu erhalten. Die resultierende Schlüssel-ID und der Klartext werden über die sichere Sitzung an den AWS KMS Host und dann über eine TLS-Verbindung zurück an die aufrufende Kundenanwendung zurückgegeben. Das Folgende ist die Antwortsyntax. ``` { "KeyId": "string", "Plaintext": blob } ``` Wenn die aufrufende Anwendung die Authentizität des Klartexts sicherstellen möchte, muss sie überprüfen, ob die zurückgegebene Schlüssel-ID der erwarteten entspricht.