本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 與 整合 AWS KMS 您的執行個體應該有一個應用程式,可以使用從 NitroTPM 擷取的證明文件提出 AWS KMS API 請求。當您使用證明文件提出請求時, AWS KMS 會根據 KMS 金鑰政策中的參考測量,驗證所提供證明文件中的測量。僅當驗證文件中的衡量項與 KMS 金鑰政策中的參考衡量項相符時,方可允許這些請求。 若透過驗證文件呼叫 [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html)、[DeriveSharedSecret](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeriveSharedSecret.html)、[GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)、[GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html) 或 [GenerateRandom](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateRandom.html) API 作業,這些 API 會加密來自驗證文件公開金鑰回應的純文字,並傳回密文而非純文字。僅當使用執行個體生成的私有金鑰時,才能解密此密文。 若要了解詳細資訊,請參閱 *AWS Key Management Service 開發人員指南*中的 [NitroTPM 密碼編譯驗證](https://docs.aws.amazon.com/kms/latest/developerguide/services-nitro-enclaves.html)。 **注意** 若要對第三方服務進行驗證,必須建置您自己的自訂機制,以便接收、剖析及確認驗證文件。如需詳細資訊,請參閱[確認 NitroTPM 驗證文件](nitrotpm-attestation-document-validate.md)。