As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Chaves de condição para o NitroTPM
<a name="conditions-nitro-tpm"></a>

As seguintes chaves de condição são específicas da atestação do NitroTPM:

## kms:: NitroTPMPCR RecipientAttestation <PCR\_ID>
<a name="conditions-kms-recipient-nitro-tpm-pcrs"></a>


| AWS KMS Chaves de condição | Tipo de condição | Tipo de valor | Operações de API | Tipo de política | 
| --- | --- | --- | --- | --- | 
| `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` | String | Valor único | `Decrypt`<br />`DeriveSharedSecret`<br />`GenerateDataKey`<br />`GenerateDataKeyPair`<br />`GenerateRandom` | Políticas de chaves e políticas do IAM | 

A chave de `kms:RecipientAttestation:NitroTPMPCR<PCR_ID>` condição controla o acesso a `Decrypt``DeriveSharedSecret`,`GenerateDataKey`,`GenerateDataKeyPair`, e `GenerateRandom` com uma chave KMS somente quando a configuração da plataforma registra (PCRs) do documento de atestação assinado na solicitação coincidir com a PCRs chave de condição. Essa chave de condição tem efeito somente quando o parâmetro `Recipient` da solicitação especifica um atestado assinado do NitroTPM.

Esse valor também está incluído em [CloudTraileventos](ct-nitro-tpm.md) que representam solicitações de NitroTPM. AWS KMS 

Para especificar um valor de PCR, use o seguinte formato. Concatene o ID do PCR com o nome da chave da condição. O valor so PCR deve ser uma string hexadecimal minúscula de até 96 bytes.

```
"kms:RecipientAttestation:NitroTPMPCR{{PCR_ID}}": "{{PCR_value}}"
```

Por exemplo, a chave de condição a seguir especifica um valor específico para PCR4:

```
kms:RecipientAttestation:NitroTPMPCR4: "abc1abcdef2abcdef3abcdef4abcdef5abcdef6abcdef7abcdef8abcdef9abcdef8abcdef7abcdef6abcdef5abcdef4abcdef3abcdef2abcdef1abcdef0abcde"
```

Por exemplo, a instrução de política de chave a seguir permite que a função `data-processing` use a chave do KMS para a operação [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html).

A chave de `kms:RecipientAttestation:NitroTPMPCR` condição nessa declaração permite a operação somente quando o PCR4 valor no documento de atestado assinado na solicitação corresponde ao `kms:RecipientAttestation:NitroTPMPCR4` valor na condição. Use a política a`StringEqualsIgnoreCase` para exigir uma comparação sem distinção entre maiúsculas e minúsculas dos valores de PCR.

Se a solicitação não incluir um documento de atestado, a permissão será negada porque essa condição não foi atendida.

```
{
  "Sid" : "Enable NitroTPM data processing",
  "Effect" : "Allow",
  "Principal" : {
    "AWS" : "arn:aws:iam::111122223333:role/data-processing"
  },
  "Action": "kms:Decrypt",
  "Resource" : "*",
  "Condition": {
    "StringEqualsIgnoreCase": {
      "kms:RecipientAttestation:NitroTPMPCR4": "abc1de4f2dcf774f6e3b679f62e5f120065b2e408dcea327bd1c9dddaea6664e7af7935581474844767453082c6f1586116376cede396a30a39a611b9aad7966c87"
    }
  }
}
```