기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다. # AWS KMS 증명된 플랫폼의 조건 키 AWS KMS 는 [AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/) 및 NitroTPM에 대한 암호화 증명을 지원하는 조건 키를 제공합니다. AWS Nitro Enclaves는 [엔클레](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-enclave)이브라는 격리된 컴퓨팅 환경을 생성하여 매우 민감한 데이터를 보호하고 처리할 수 있는 Amazon EC2 기능입니다. NitroTPM은 EC2 인스턴스로 유사한 증명 기능을 확장합니다. 서명된 증명 문서와 함께 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret), [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 또는 [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) API 작업을 직접적으로 호출하는 경우 이러한 API는 증명 문서의 퍼블릭 키로 응답의 평문을 암호화하고 평문 대신 사이퍼텍스트를 반환합니다.직접적으로 호출하다 이 사이퍼텍스트는 엔클레이브의 프라이빗 키를 사용해야만 해독할 수 있습니다. 자세한 내용은 [에서 암호화 증명 지원 AWS KMS](cryptographic-attestation.md) 단원을 참조하십시오. **참고** 키를 생성할 때 키 정책을 제공하지 않으면가 AWS KMS 키를 AWS 생성합니다. 이 [기본 키 정책](key-policy-default.md)은 KMS 키를 소유한 AWS 계정 에 키에 대한 전체 액세스 권한을 부여하며 계정이 IAM 정책을 사용해 키에 대한 액세스를 허용할 수 있도록 합니다. 이 정책은 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)와 같은 모든 작업을 허용합니다. AWS 에서는 KMS 키 정책에 [최소 권한](least-privilege.md) 원칙을 적용하는 것이 좋습니다. 또한 `kms:*`의 [KMS 키 정책](key-policy-modifying.md) 작업을 `[NotAction:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)kms:Decrypt`로 수정해 액세스를 제한할 수 있습니다. 다음 조건 키를 사용하면 서명된 증명 문서의 내용에 따라 이러한 작업에 대한 사용 권한을 제한할 수 있습니다. 작업을 허용하기 전에는 증명 문서를 이러한 AWS KMS 조건 키의 값과 AWS KMS 비교합니다.