kms:: RecipientAttestation nitrotpmPCR <PCR_ID>

NitroTPM 的条件密钥

以下条件键特定于 NitroTPM 认证：

kms:: RecipientAttestation nitrotpmPCR <PCR_ID>

AWS KMS 条件密钥条件类型值类型 API 操作策略类型

AWS KMS 条件密钥	条件类型	值类型	API 操作	策略类型
`kms:RecipientAttestation:NitroTPMPCR<PCR_ID>`	字符串	单值	`Decrypt` `DeriveSharedSecret` `GenerateDataKey` `GenerateDataKeyPair` `GenerateRandom`	密钥策略和 IAM policy

kms:RecipientAttestation:NitroTPMPCR<PCR_ID>

字符串

单值

Decrypt

DeriveSharedSecret

GenerateDataKey

GenerateDataKeyPair

GenerateRandom

密钥策略和 IAM policy

只有当平台配置从请求中的已签名证明文档中注册的 (PCRs) GenerateRandom 与kms:RecipientAttestation:NitroTPMPCR<PCR_ID>条件密钥中的匹配时，条件密钥才使用KMS密钥控制对、、、和 PCRs 的访问。Decrypt DeriveSharedSecret GenerateDataKey GenerateDataKeyPair仅当请求中的Recipient参数指定来自 NitrotPM 的已签名证明文档时，此条件密钥才有效。

此值也包含在代表对 NitrotPM AWS KMS 的请求CloudTrail的事件中。

要指定 PCR 值，请使用以下格式。将 PCR ID 连接到条件键名称。PCR 值必须是最多 96 个字节的小写十六进制字符串。


"kms:RecipientAttestation:NitroTPMPCRPCR_ID": "PCR_value"

例如，以下条件键为指定了特定的值 PCR4：


kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"

以下示例密钥政策语句允许 data-processing 角色将 KMS 密钥用于 Decrypt 操作。

只有当请求中已签名的证明文档中的值与kms:RecipientAttestation:NitroTPMPCR条件中的 PCR4 kms:RecipientAttestation:NitroTPMPCR4值相匹配时，此语句中的条件键才允许该操作。使用 StringEqualsIgnoreCase 策略运算符来要求对 PCR 值进行不区分大小写的比较。

如果请求不包含证明文档，则权限将被拒绝，因为不满足此条件。


{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

Nitro Enclaves 的条件密钥

最低权限许可