本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon KMS 经过验证的平台的条件密钥
<a name="conditions-attestation"></a>

Amazon KMS 提供条件密钥以支持 Nitro Enclaves 和 [Amazon Nitro](https://docs.amazonaws.cn/enclaves/latest/user/) TPM 的加密认证。 Amazon Nitro Enclaves 是 Amazon EC2 的一项功能，它允许您创建称为[飞](https://docs.amazonaws.cn/enclaves/latest/user/nitro-enclave-concepts.html#term-enclave)地的隔离计算环境，以保护和处理高度敏感的数据。NitroTPM 将类似的认证功能扩展到 EC2 实例。

当您使用已签名的证明文档调用 [Decrypt [DeriveSharedSecret[GenerateDataKey[GenerateDataKeyPair](https://docs.amazonaws.cn/kms/latest/APIReference/API_GenerateDataKeyPair.html)](https://docs.amazonaws.cn/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.amazonaws.cn/kms/latest/APIReference/API_DeriveSharedSecret)](https://docs.amazonaws.cn/kms/latest/APIReference/API_Decrypt.html)、、、或 [GenerateRandom](https://docs.amazonaws.cn/kms/latest/APIReference/API_GenerateRandom.html)API 操作时，这些操作会使用认证文档中的公钥对响应中的明文 APIs 进行加密，并返回密文而不是纯文本。此加密文字只能使用 Enclave 中的私有密钥进行解密。有关更多信息，请参阅 [中的加密认证支持 Amazon KMS](cryptographic-attestation.md)。

**注意**  
如果您在创建密钥时未提供密钥策略，请为您 Amazon 创建一个 Amazon KMS 密钥策略。此[默认密钥策略](key-policy-default.md)将为拥有 KMS 密钥的 Amazon Web Services 账户 授予对该密钥的完全访问权限，并允许该账户使用 IAM 策略来允许访问该密钥。该策略将允许所有操作，例如 [Decrypt](https://docs.amazonaws.cn/kms/latest/APIReference/API_Decrypt.html)。 Amazon 建议将 [最低权限许可](least-privilege.md) 的主体应用于您的 KMS 密钥策略。您也可以通过[将 KMS 密钥策略](key-policy-modifying.md)操作 `kms:*` 修改为 `[NotAction:](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_notaction.html)kms:Decrypt`，从而限制访问权限。

通过以下条件键，您可以根据签名证明文档的内容限制这些操作的权限。在允许操作之前，请将证明文档与这些 Amazon KMS 条件键中的值进行 Amazon KMS 比较。