Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Claves de condición de NitroTPM
<a name="conditions-nitro-tpm"></a>

Las siguientes claves de condición son específicas de la certificación de NitroTPM:

## kms ::NitrotPMPCR RecipientAttestation <PCR\_ID>
<a name="conditions-kms-recipient-nitro-tpm-pcrs"></a>


| AWS KMS Claves de condición | Tipo de condición | Tipo de valor | Operaciones de API | Tipo de política | 
| --- | --- | --- | --- | --- | 
| `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` | Cadena | Valor único | `Decrypt`<br />`DeriveSharedSecret`<br />`GenerateDataKey`<br />`GenerateDataKeyPair`<br />`GenerateRandom` | Políticas de claves y políticas de IAM | 

La clave de `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` condición controla el acceso a `Decrypt``DeriveSharedSecret`, `GenerateDataKey``GenerateDataKeyPair`, y `GenerateRandom` con una clave KMS solo cuando los registros de configuración de la plataforma (PCRs) del documento de certificación firmado de la solicitud coinciden con los de la PCRs clave de condición. Esta clave de condición solo entra en vigor cuando el parámetro `Recipient` de la solicitud especifica un documento de certificación firmado de NitroTPM.

Este valor también se incluye en [CloudTraillos eventos](ct-nitro-tpm.md) que representan las solicitudes dirigidas a AWS KMS NitroTPM.

Para especificar un valor de PCR, utilice el siguiente formato. Concatene el ID de PCR con el nombre de la clave de condición. El valor de PCR debe ser una cadena hexadecimal en minúsculas de hasta 96 bytes.

```
"kms:RecipientAttestation:NitroTPMPCR{{PCR_ID}}": "{{PCR_value}}"
```

Por ejemplo, la siguiente clave de condición especifica un valor concreto para: PCR4

```
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
```

Por ejemplo, la siguiente declaración de política de claves permite al rol `data-processing` utilizar la clave de KMS para la operación [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

La clave de `kms:RecipientAttestation:NitroTPMPCR` condición de esta declaración permite la operación solo cuando el PCR4 valor del documento de certificación firmado de la solicitud coincide con el `kms:RecipientAttestation:NitroTPMPCR4` valor de la condición. Use el operador de política `StringEqualsIgnoreCase` para requerir una comparación entre mayúsculas y minúsculas de los valores de PCR.

Si la solicitud no incluye un documento de certificación, se deniega el permiso porque esta condición no se cumple.

```
{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}
```