Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Decrypt Una chiamata per AWS KMS decrittografare un valore di testo cifrato accetta un testo cifrato con valori crittografati e un contesto di crittografia. AWS KMS autentica la chiamata utilizzando [richieste firmate in versione 4 di AWS firma](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html) ed estrae l'HBKID per la chiave di wrapping dal testo cifrato. L'HBKID viene utilizzato per ottenere l'*EKT*necessario per decrittare il testo cifrato, l'ID chiave e la policy per l'ID chiave. La richiesta è autorizzata in base alla policy di chiave, alle concessioni che possono essere presenti e a eventuali policy IAM associate che fanno riferimento all'ID chiave. La funzione `Decrypt` è analoga alla funzione di crittografia. Di seguito è riportata la sintassi di una richiesta `Decrypt`. ``` { "CiphertextBlob": "blob", "EncryptionContext": { "string" : "string" } "GrantTokens": ["string"] } ``` Di seguito sono riportati i parametri della richiesta. **CiphertextBlob** Testo cifrato che include i metadati. ** EncryptionContext** (Facoltativo) Il contesto di crittografia. Se è stato specificato nella funzione `Encrypt`, deve essere specificato anche qui o l'operazione di decrittografia non avrà esito positivo. Per ulteriori informazioni, consultare [Contesto della crittografia](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt-context.html) nella *Guida per gli sviluppatori di AWS Key Management Service *. **GrantTokens** (Facoltativo) Un elenco dei token di concessione che rappresentano le concessioni che forniscono autorizzazioni per eseguire la decrittografia. Il *testo cifrato* e l'*EKT* vengono inviati, insieme al contesto di crittografia, su una sessione autenticata a un HSM per la decrittografia. L'HSM completa le seguenti operazioni: 1. Decritta l'*EKT* per ottenere *HBK = Decrypt(DKi, EKT)*. 1. Estrae il nonce *N* dalla struttura del *testo cifrato*. 1. Rigenera una chiave di crittografia derivata AES-GCM a 256 bit *K* da *HBK* e *N*. 1. Decritta il *testo cifrato* per ottenere *plaintext = Decrypt(K, context, ciphertext)*. L'ID della chiave e il testo in chiaro risultanti vengono restituiti all' AWS KMS host tramite la sessione sicura e quindi nuovamente all'applicazione del cliente chiamante tramite una connessione TLS. Di seguito è riportata la sintassi della risposta. ``` { "KeyId": "string", "Plaintext": blob } ``` Se l'applicazione chiamante vuole garantire che l'autenticità del testo in chiaro, deve verificare che l'ID chiave restituito sia quello previsto.