Atributos de chaves confiáveis no AWS CloudHSM
Os atributos a seguir permitem marcar uma chave do AWS CloudHSM como confiável, especificar que uma chave de dados só pode ser encapsulada e desencapsulada com uma chave confiável e controlar o que uma chave de dados pode fazer depois de desencapsulada:
-
CKA_TRUSTED
: aplique esse atributo (além deCKA_UNWRAP_TEMPLATE
) à chave que agrupará as chaves de dados para especificar que um administrador ou responsável pela criptografia (CO) fez a diligência necessária e confia nessa chave. Somente um administrador ou CO pode configurar umCKA_TRUSTED
. O usuário de criptografia (UC) possui a chave, mas somente um CO pode definir o atributoCKA_TRUSTED
. -
CKA_WRAP_WITH_TRUSTED
: Aplique esse atributo a uma chave de dados exportável para especificar que você só pode agrupar essa chave com chaves marcadas comoCKA_TRUSTED
. Depois queCKA_WRAP_WITH_TRUSTED
for definido como verdadeiro, o atributo se torna somente para leitura e não é possível alterar ou remover o atributo. -
CKA_UNWRAP_TEMPLATE
: aplique esse atributo à chave de agrupamento (além deCKA_TRUSTED
) para especificar quais nomes e valores de atributos o serviço deve aplicar automaticamente às chaves de dados que o serviço desagrupa. Quando um aplicativo envia uma chave para desencapsulamento, ele pode fornecer separadamente um modelo de desencapsulamento. Se você especificar um modelo de desagrupamento e o aplicativo fornecer seu próprio modelo de desagrupamento, o HSM usará os dois modelos para aplicar nomes e valores de atributos à chave. No entanto, se um valor noCKA_UNWRAP_TEMPLATE
para a chave de encapsulamento entrar em conflito com um atributo fornecido pelo aplicativo durante a solicitação de desencapsulamento, ocorrerá uma falha na solicitação de desencapsulamento.
Para obter mais informações, consulte os tópicos a seguir: