Atributos de chaves confiáveis no AWS CloudHSM - AWS CloudHSM

Atributos de chaves confiáveis no AWS CloudHSM

Os atributos a seguir permitem marcar uma chave do AWS CloudHSM como confiável, especificar que uma chave de dados só pode ser encapsulada e desencapsulada com uma chave confiável e controlar o que uma chave de dados pode fazer depois de desencapsulada:

  • CKA_TRUSTED: aplique esse atributo (além de CKA_UNWRAP_TEMPLATE) à chave que agrupará as chaves de dados para especificar que um administrador ou responsável pela criptografia (CO) fez a diligência necessária e confia nessa chave. Somente um administrador ou CO pode configurar um CKA_TRUSTED. O usuário de criptografia (UC) possui a chave, mas somente um CO pode definir o atributo CKA_TRUSTED.

  • CKA_WRAP_WITH_TRUSTED: Aplique esse atributo a uma chave de dados exportável para especificar que você só pode agrupar essa chave com chaves marcadas como CKA_TRUSTED. Depois que CKA_WRAP_WITH_TRUSTED for definido como verdadeiro, o atributo se torna somente para leitura e não é possível alterar ou remover o atributo.

  • CKA_UNWRAP_TEMPLATE: aplique esse atributo à chave de agrupamento (além de CKA_TRUSTED) para especificar quais nomes e valores de atributos o serviço deve aplicar automaticamente às chaves de dados que o serviço desagrupa. Quando um aplicativo envia uma chave para desencapsulamento, ele pode fornecer separadamente um modelo de desencapsulamento. Se você especificar um modelo de desagrupamento e o aplicativo fornecer seu próprio modelo de desagrupamento, o HSM usará os dois modelos para aplicar nomes e valores de atributos à chave. No entanto, se um valor no CKA_UNWRAP_TEMPLATE para a chave de encapsulamento entrar em conflito com um atributo fornecido pelo aplicativo durante a solicitação de desencapsulamento, ocorrerá uma falha na solicitação de desencapsulamento.

Para obter mais informações, consulte os tópicos a seguir: