Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Les attributs suivants vous permettent de marquer une AWS CloudHSM clé comme étant fiable, de spécifier qu'une clé de données ne peut être encapsulée et déballée qu'avec une clé fiable, et de contrôler ce que peut faire une clé de données après son déballage :
-
CKA_TRUSTED: Appliquez cet attribut (en plus deCKA_UNWRAP_TEMPLATE) à la clé qui encapsulera les clés de données pour indiquer qu'un administrateur ou un responsable de chiffrement (CO) a fait preuve de la diligence nécessaire et qu'il fait confiance à cette clé. Seul un administrateur ou un CO peut définirCKA_TRUSTED. L'utilisateur de chiffrement (CU) possède la clé, mais seul un CO peut définir son attributCKA_TRUSTED. -
CKA_WRAP_WITH_TRUSTED: Appliquez cet attribut à une clé de données exportable pour indiquer que vous ne pouvez encapsuler cette clé qu'avec des clés marquées commeCKA_TRUSTED. Une foisCKA_WRAP_WITH_TRUSTEDdéfini sur true, l'attribut passe en lecture seule et vous ne pouvez ni le modifier ni le supprimer. -
CKA_UNWRAP_TEMPLATE: Appliquez cet attribut à la clé d'encapsulage (en plus deCKA_TRUSTED) pour spécifier les noms et valeurs d'attribut que le service doit automatiquement appliquer aux clés de données qu'il désencapsule. Lorsqu'une application soumet une clé pour désencapsulage, elle peut fournir également son propre modèle de désencapsulage. Si vous spécifiez un modèle de désencapsulage et que l'application fournit son propre modèle de désencapsulage, le HSM utilise les deux modèles pour appliquer des noms et des valeurs d'attribut à la clé. Toutefois, si une valeur dans leCKA_UNWRAP_TEMPLATEpour la clé d’encapsulage entre en conflit avec un attribut fourni par l'application lors de la demande de désencapsulage, cette dernière échoue.
Pour plus d'informations sur les attributs, veuillez consulter les rubriques suivantes :
