Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Pour déballer une clé de données AWS CloudHSM, vous avez besoin d'une clé fiable CKA_UNWRAP définie sur true. Pour être une telle clé, elle doit également répondre aux critères suivants :
L'attribut
CKA_TRUSTEDde la clé doit être défini sur true.La clé doit utiliser des attributs
CKA_UNWRAP_TEMPLATEet associés pour spécifier les actions que les clés de données peuvent effectuer une fois qu'elles sont désencapsulées. Si, par exemple, vous souhaitez qu'une clé désencapsulée ne soit pas exportable, vous définissezCKA_EXPORTABLE = FALSEdans le cadre deCKA_UNWRAP_TEMPLATE.
Note
CKA_UNWRAP_TEMPLATE n'est disponible qu'avec PKCS #11.
Lorsqu'une application soumet une clé pour désencapsulage, elle peut fournir également son propre modèle de désencapsulage. Si vous spécifiez un modèle de désencapsulage et que l'application fournit son propre modèle de désencapsulage, le HSM utilise les deux modèles pour appliquer des noms et des valeurs d'attribut à la clé. Toutefois, si, au cours de la demande de désencapsulage, une valeur du CKA_UNWRAP_TEMPLATE de la clé fiable entre en conflit avec un attribut fourni par l'application, la demande de désencapsulage échoue.
Pour voir un exemple de désencapsulage d'une clé de données avec une clé fiable, reportez-vous à cet exemple PKCS #11
