本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS KMS 已驗證平台的條件索引鍵
<a name="conditions-attestation"></a>

AWS KMS 提供條件金鑰以支援 [AWS Nitro Enclaves](https://docs.aws.amazon.com/enclaves/latest/user/) 和 NitroTPM 的密碼編譯認證。 AWS Nitro Enclaves 是一種 Amazon EC2 功能，可讓您建立名為 [enclaves](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-enclave) 的隔離運算環境，以保護和處理高度敏感的資料。NitroTPM 將類似的認證功能擴展到 EC2 執行個體。

當您使用已簽署的證明文件呼叫 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)、[DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret)、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 或 [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) API 操作時，這些 APIs 會在證明文件的公有金鑰下加密回應中的純文字，並傳回加密文字而非純文字。僅當使用 enclave 的私有金鑰時才能解密此密文。如需詳細資訊，請參閱[中的密碼編譯認證支援 AWS KMS](cryptographic-attestation.md)。

**注意**  
如果您在建立金鑰時未提供 AWS KMS 金鑰政策， 會為您 AWS 建立一個金鑰政策。此[預設金鑰政策](key-policy-default.md)會授予 AWS 帳戶 擁有 KMS 金鑰完整存取金鑰的 ，並允許帳戶使用 IAM 政策來允許存取金鑰。此政策允許 [Decrypt ](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)等所有動作。 AWS 建議[最低權限許可](least-privilege.md)將 的主體套用至您的 KMS 金鑰政策。您也可以[將 的 KMS 金鑰政策動作修改](key-policy-modifying.md)`kms:*`為 ，以限制存取`[NotAction:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)kms:Decrypt`。

下列條件鍵可讓您根據已簽署的證明文件內容，限制這些操作的許可。允許 操作之前， 會將證明文件與這些 AWS KMS 條件索引鍵中的值 AWS KMS 進行比較。