기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# NitroTPM용 조건 키
다음 조건 키는 NitroTPM 증명에만 사용됩니다.
## kms:RecipientAttestation:NitroTPMPCR
| AWS KMS 조건 키 | 조건 유형 | 값 유형 | API 작업 | 정책 유형 |
| --- | --- | --- | --- | --- |
| `kms:RecipientAttestation:NitroTPMPCR` | 문자열 | 단일 값 | `Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom` | 키 정책 및 IAM 정책 |
`kms:RecipientAttestation:NitroTPMPCR` 조건 키는 요청의 서명된 증명 문서의 플랫폼 구성 레지스터(PCR)가 조건 키의 PCR과 일치하는 경우에만 KMS 키를 통해 `Decrypt`, `DeriveSharedSecret`, `GenerateDataKey`, `GenerateDataKeyPair` 및 `GenerateRandom`에 대한 액세스를 제어합니다. 이 조건 키는 요청의 `Recipient` 파라미터가 NitroTPM의 서명된 증명 문서를 지정하는 경우에만 유효합니다.
이 값은 NitroTPM에 AWS KMS 대한 요청을 나타내는 [CloudTrail 이벤트에](ct-nitro-tpm.md)도 포함됩니다.
PCR 값을 지정하려면 다음 형식을 사용합니다. PCR ID를 조건 키 이름에 연결합니다. PCR 값은 최대 96바이트의 소문자 16진수 문자열이어야 합니다.
```
"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"
```
예를 들어 다음 조건 키는 PCR4에 대한 특정 값을 지정합니다.
```
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
```
다음 예제 키 정책문은 `data-processing` 역할이 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) 작업에 KMS 키를 사용하도록 허용합니다.
이 문의 `kms:RecipientAttestation:NitroTPMPCR` 조건 키는 요청의 서명된 증명 문서의 PCR4 값이 조건의 `kms:RecipientAttestation:NitroTPMPCR4` 값과 일치하는 경우에만 작업을 허용합니다. `StringEqualsIgnoreCase` 정책 연산자를 사용하여 PCR 값의 대소문자를 구분하지 않는 비교를 요구합니다.
요청에 증명 문서가 포함되어 있지 않으면 이 조건이 충족되지 않으므로 사용 권한이 거부됩니다.
```
{
"Sid" : "Enable NitroTPM data processing",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:role/data-processing"
},
"Action": "kms:Decrypt",
"Resource" : "*",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
}
}
}
```