了解 AWS CloudHSM 中的可信密钥

可信密钥是用于包装其他密钥的密钥，管理员和加密员（CO, cryptographic officer）使用属性 CKA_TRUSTED 特意将其标识为可信。此外，管理员和加密员（CO, cryptographic officer）使用 CKA_UNWRAP_TEMPLATE 和相关属性来指定数据密钥在被可信密钥解包后可以执行的操作。由可信密钥解包的数据密钥还必须包含这些属性，解包操作才能成功，这有助于确保解包的数据密钥仅允许用于您想要的用途。

使用该 CKA_WRAP_WITH_TRUSTED 属性来标识要用可信密钥包装的所有数据密钥。这样做可以限制数据密钥，这样一来应用程序只能使用可信密钥来解包它们。一旦在数据密钥上设置了该属性，该属性就会变成只读，无法更改。有了这些属性后，应用程序只能使用您信任的密钥来解包您的数据密钥，而解包总是会产生带有限制这些密钥使用方式的属性的数据密钥。