As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # AWS KMS chaves de condição para plataformas certificadas AWS KMS fornece chaves de condição para apoiar o atestado criptográfico para [AWS Nitro Enclaves e NitroTPM](https://docs.aws.amazon.com/enclaves/latest/user/). AWS O Nitro Enclaves é um recurso do Amazon EC2 que permite criar ambientes computacionais isolados chamados [enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-enclave) para proteger e processar dados altamente confidenciais. O NitroTPM estende uma funcionalidade de atestação semelhante às instâncias do EC2. Quando você chama as operações [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html),, [DeriveSharedSecret[GenerateDataKey[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret), ou [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)API com um documento de atestado assinado, elas APIs criptografam o texto sem formatação na resposta sob a chave pública do documento de atestado e retornam texto cifrado em vez de texto sem formatação. Esse texto cifrado pode ser descriptografado apenas usando a chave privada no enclave. Para obter mais informações, consulte [Suporte de atestado criptográfico em AWS KMS](cryptographic-attestation.md). **nota** Se você não fornecer uma política de chaves ao criar uma AWS KMS chave, AWS crie uma para você. Essa [política de chaves padrão](key-policy-default.md) concede às Contas da AWS proprietárias da chave do KMS acesso total à chave e permite que a conta use políticas do IAM para permitir acesso à chave. Essa política permite todas as ações, como [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). A AWS recomenda aplicar a entidade principal do [Permissões de privilégio mínimo](least-privilege.md) às suas políticas de chave do KMS. Você também pode restringir o acesso [modificando a ação da política de chave do KMS](key-policy-modifying.md) de `kms:*` para `[NotAction:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)kms:Decrypt`. As seguintes chaves de condição permitem limitar as permissões para essas operações com base no conteúdo do documento de atestado assinado. Antes de permitir uma operação, AWS KMS compara o documento de atestado com os valores nessas AWS KMS chaves de condição.