翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# NitroTPM の条件キー
次の条件キーは NitroTPM のアテステーションに固有です。
## kms:RecipientAttestation:NitroTPMPCR
| AWS KMS 条件キー | 条件の種類 | 値の型 | API オペレーション | ポリシータイプ |
| --- | --- | --- | --- | --- |
| `kms:RecipientAttestation:NitroTPMPCR` | String | 単一値 | `Decrypt`
`DeriveSharedSecret`
`GenerateDataKey`
`GenerateDataKeyPair`
`GenerateRandom` | キーポリシーと IAM ポリシー |
`kms:RecipientAttestation:NitroTPMPCR` 条件キーは、リクエスト内の署名付きアテステーションドキュメントからのプラットフォーム設定登録 (PCR) が条件キー内の PCR と一致する場合にのみ、KMS キーを使用して `Decrypt`、`DeriveSharedSecret`、`GenerateDataKey`、`GenerateDataKeyPair`、`GenerateRandom` へのアクセスを制御します。この条件キーは、リクエストの `Recipient` パラメータが NitroTPM からの署名付きアテステーションドキュメントを指定している場合にのみ有効です。
この値は、NitroTPM [の へのリクエストを表す CloudTrail イベント](ct-nitro-tpm.md)にも含まれます。 AWS KMS
PCR 値を指定するには、次の形式を使用します。PCR ID を条件キー名に連結します。PCR 値は、最大 96 バイトの小文字の 16 進文字列である必要があります。
```
"kms:RecipientAttestation:NitroTPMPCR{{PCR_ID}}": "{{PCR_value}}"
```
例えば、次の条件キーは PCR4 の特定の値を指定します。
```
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
```
次のキーポリシーステートメントの例では、`data-processing` ロールに [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) オペレーションでの KMS キーの使用を許可します。
このステートメント`kms:RecipientAttestation:NitroTPMPCR`の条件キーは、リクエストの署名付きアテステーションドキュメントの PCR4 値が条件`kms:RecipientAttestation:NitroTPMPCR4`の値と一致する場合にのみ、 オペレーションを許可します。`StringEqualsIgnoreCase` ポリシー演算子を使用して、PCR 値の大文字と小文字を区別しない比較を要求します。
リクエストにアテステーションドキュメントが含まれない場合は、この条件が満たされないため、アクセス許可は拒否されます。
```
{
"Sid" : "Enable NitroTPM data processing",
"Effect" : "Allow",
"Principal" : {
"AWS" : "arn:aws:iam::111122223333:role/data-processing"
},
"Action": "kms:Decrypt",
"Resource" : "*",
"Condition": {
"StringEqualsIgnoreCase": {
"kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
}
}
}
```