本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
以下属性允许您将 AWS CloudHSM 密钥标记为可信,指定数据密钥只能使用可信密钥进行封装和解包,以及控制数据密钥解封后可以执行的操作:
-
CKA_TRUSTED:将此属性(除CKA_UNWRAP_TEMPLATE外)应用于将包装数据密钥的密钥,以指定已完成必要调查的管理员或加密员(CO, crypto officer)并信任此密钥。只有管理员或 CO 可以设置CKA_TRUSTED。加密用户(CU)拥有密钥,但只有 CO 可以设置其CKA_TRUSTED属性。 -
CKA_WRAP_WITH_TRUSTED:将此属性应用于可导出数据密钥,以指定只能用标记为CKA_TRUSTED的密钥来包装此密钥。将CKA_WRAP_WITH_TRUSTED设置为 true 后,该属性将变为只读,并且您无法更改或移除该属性。 -
CKA_UNWRAP_TEMPLATE:将此属性应用于包装密钥(除CKA_TRUSTED外),以指定服务必须自动将哪些属性名称和值应用于服务解包的数据密钥。应用程序提交密钥供解包时,也可以提供自己的解包模板。如果您指定了解包模板并且应用程序提供了自己的解包模板,则 HSM 会使用这两个模板将属性名称和值应用于密钥。但是,如果包装密钥的CKA_UNWRAP_TEMPLATE中的值与应用程序在解包请求时提供的属性相冲突,则解包请求会失败。
了解有关属性的更多信息,请参阅以下主题:
