翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS KMS 認証済みプラットフォームの条件キー AWS KMS には、[AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/) と NitroTPM の暗号化認証をサポートする条件キーが用意されています。 AWS Nitro Enclaves は、[エンクレーブ](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-enclave)と呼ばれる分離されたコンピューティング環境を作成して、機密性の高いデータを保護および処理できる Amazon EC2 機能です。NitroTPM は同様のアテステーション機能を EC2 インスタンスに拡張します。 署名済みアテステーションドキュメントを使用して [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)、[DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret)、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)、[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) のいずれかの API オペレーションを呼び出す場合、これらの API は、アテステーションドキュメントからのパブリックキーのレスポンス内にあるプレーンテキストを暗号化し、プレーンテキストの代わりに暗号文を返します。この暗号文は、Enclave のプライベートキーを使用してのみ復号できます。詳細については、「[での暗号化認証のサポート AWS KMS](cryptographic-attestation.md)」を参照してください。 **注記** キーの作成時に AWS KMS キーポリシーを指定しない場合、 はキーポリシー AWS を作成します。この[デフォルトのキーポリシー](key-policy-default.md)は、KMS キーを所有する AWS アカウント にキーへのフルアクセスを付与し、アカウントが IAM ポリシーを使用してキーにアクセスすることを許可します。このポリシーでは、[Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) などのすべてのアクションが許可されます。 AWS は、KMS キーポリシーに [最小特権のアクセス許可](least-privilege.md) のプリンシパルを適用することをお勧めします。`kms:*` の [KMS キーポリシーアクションを変更](key-policy-modifying.md)して `[NotAction:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)kms:Decrypt` にすることでアクセスを制限することもできます。 次の条件キーを使用すると、署名付きアテステーションドキュメントの内容に基づいて、これらのオペレーションのアクセス許可を制限できます。オペレーションを許可する前に、 は認証ドキュメントをこれらの AWS KMS 条件キーの値 AWS KMS と比較します。