Como desempacotar uma chave de dados com uma chave confiável para AWS CloudHSM

Para desempacotar uma chave de dados AWS CloudHSM, você precisa de uma chave confiável que tenha sido CKA_UNWRAP definida como verdadeira. Para ser uma chave desse tipo, ela também deve atender aos seguintes critérios:

O atributo CKA_TRUSTED da chave deve ser definido como verdadeiro.
A chave deve usar atributos CKA_UNWRAP_TEMPLATE relacionados para especificar quais ações as chaves de dados podem realizar depois de desagrupadas. Se, por exemplo, você quiser que uma chave desagrupada não seja exportável, defina CKA_EXPORTABLE = FALSE como parte do CKA_UNWRAP_TEMPLATE.

nota

CKA_UNWRAP_TEMPLATEsó está disponível com PKCS #11.

Quando um aplicativo envia uma chave para ser desagrupada, ele pode fornecer separadamente um modelo de desagrupamento. Se você especificar um modelo de desempacotamento e o aplicativo fornecer seu próprio modelo de desempacotamento, ele HSM usará os dois modelos para aplicar nomes e valores de atributos à chave. No entanto, se durante a solicitação de desagrupamento um valor na chave confiável entrar em CKA_UNWRAP_TEMPLATE conflito com um atributo fornecido pelo aplicativo, a solicitação de desagrupamento falhará.

Para ver um exemplo de como desempacotar uma chave de dados com uma chave confiável, consulte este exemplo PKCS #11.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Como usar chaves confiáveis para agrupar chaves de dados

Gerenciamento de chaves com a nuvem HSM CLI