Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # AWS KMS Bedingungsschlüssel für zertifizierte Plattformen AWS KMS bietet Zustandsschlüssel zur Unterstützung der kryptografischen Bescheinigung für [AWS Nitro Enclaves und NitroTPM](https://docs.aws.amazon.com/enclaves/latest/user/). AWS Nitro Enclaves ist eine Amazon EC2 EC2-Funktion, mit der Sie isolierte Computerumgebungen, sogenannte [Enklaven](https://docs.aws.amazon.com/enclaves/latest/user/nitro-enclave-concepts.html#term-enclave), erstellen können, um hochsensible Daten zu schützen und zu verarbeiten. NitroTPM erweitert ähnliche Bestätigungsfunktionen auf EC2-Instances. Wenn Sie die [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) -,, [DeriveSharedSecret[GenerateDataKey[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret), oder [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html)API-Operationen mit einem signierten Beglaubigungsdokument aufrufen, APIs verschlüsseln diese den Klartext in der Antwort unter dem öffentlichen Schlüssel aus dem Beglaubigungsdokument und geben Chiffretext statt Klartext zurück. Dieser Geheimtext kann nur mit dem privaten Schlüssel in der Enklave entschlüsselt werden. Weitere Informationen finden Sie unter [Unterstützung für kryptografische Bescheinigungen in AWS KMS](cryptographic-attestation.md). **Anmerkung** Wenn Sie bei der Erstellung eines Schlüssels keine Schlüsselrichtlinie angeben, wird eine für Sie erstellt. AWS KMS AWS Diese [Standard-Schlüsselrichtlinie](key-policy-default.md) gewährt denjenigen AWS-Konten , denen der KMS-Schlüssel gehört, vollen Zugriff auf den Schlüssel und ermöglicht es dem Konto, IAM-Richtlinien zu verwenden, um den Zugriff auf den Schlüssel zu ermöglichen. Diese Richtlinie ermöglicht alle Aktionen wie [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). AWS empfiehlt, Principal of [Berechtigungen mit den geringsten Rechten](least-privilege.md) auf Ihre KMS-Schlüsselrichtlinien anzuwenden. Sie können den Zugriff auch einschränken, indem Sie [die Aktion der KMS-Schlüsselrichtlinie für `kms:*` to ändern](key-policy-modifying.md)`[NotAction:](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html)kms:Decrypt`. Mit den folgenden Bedingungsschlüsseln können Sie die Berechtigungen für diese Operationen anhand des Inhalts des signierten Bescheinigungsdokuments einschränken. Bevor Sie einen Vorgang zulassen, wird das Bestätigungsdokument mit den Werten in diesen AWS KMS Bedingungsschlüsseln AWS KMS verglichen.