本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 如何拨打经证实的电话 AWS KMS 要对进行证明调用 AWS KMS,请使用请求中的`Recipient`参数提供已签名的证明文档和加密算法,以便与认证文档中的公钥一起使用。当请求中包含带有已签名证明文档的 `Recipient` 参数时,响应将包含一个具有由公有密钥加密的加密文字的 `CiphertextForRecipient` 字段。明文字段为空。 该`Recipient`参数必须指定来自 Nitro Enclaves AWS 或 NitroTPM 的签名认证文档。 AWS AWS KMS 依靠认证文档的数字签名来证明请求中的公钥来自有效来源。您不能提供自己的证书来对证明文档进行数字签名。 AWS Nitro Enclaves SDK 仅在 Nitro 安全区内受支持,它会自动将`Recipient`参数及其值添加到每个请求中。 AWS KMS 要在中发出经证明的请求 AWS SDKs,您必须指定`Recipient`参数及其值。[认证文档可以使用该[nitro-tpm-attest 实用程序](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/attestation-get-doc.html)从 NitroTPM 中检索,也可以使用 NSM API 从 Nitro 安全模块 (NSM) 中检索。](https://github.com/aws/aws-nitro-enclaves-nsm-api) AWS KMS 支持[策略条件密钥](conditions-attestation.md),您可以根据认证文档的内容使用 AWS KMS 密钥来允许或拒绝经证明的操作。您还可以在 AWS CloudTrail 日志中[监控已证实 AWS KMS的请求](ct-attestation.md)。 有关`Recipient`参数和 AWS `CiphertextForRecipient` 响应字段的详细信息,请参阅 *AWS Key Management Service API 参考*、[AWS Nitro Enclaves 软件开发工具包或任何软件开发工具包](https://docs.aws.amazon.com/enclaves/latest/user/developing-applications.html#sdk)中的[解密](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt)、、、和[GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom)主题。[DeriveSharedSecret[GenerateDataKey[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret) AWS 有关设置数据和数据密钥以进行加密的信息,请参阅[使用加密认证](https://docs.aws.amazon.com/enclaves/latest/user/kms.html)。 AWS KMS