本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
下列屬性可讓您將 AWS CloudHSM 金鑰標示為受信任、指定資料金鑰只能使用受信任金鑰包裝和取消包裝,以及控制資料金鑰在取消包裝之後可以執行的動作:
-
CKA_TRUSTED:將此屬性 (除CKA_UNWRAP_TEMPLATE外) 套用於將會包裝資料金鑰的金鑰,以表明管理員或加密管理員 (CO) 已完成必要的盡職調查並信任此金鑰。只有管理員或 CO 可以設定CKA_TRUSTED。加密使用者 (CU) 擁有金鑰,但只有 CO 可以設置其CKA_TRUSTED屬性。 -
CKA_WRAP_WITH_TRUSTED:將此屬性套用於可匯出的資料金鑰,以表明只能使用標記為CKA_TRUSTED的金鑰包裝此金鑰。一旦設定CKA_WRAP_WITH_TRUSTED為 true,屬性就會變成唯讀,而且您無法變更或移除屬性。 -
CKA_UNWRAP_TEMPLATE:將此屬性套用於包裝金鑰 (除CKA_TRUSTED外),以指定服務必須自動套用於服務取消包裝資料金鑰的屬性名稱和值。當應用程式提交金鑰以取消包裝時,還可提供自有的取消包裝範本。如果您指定取消包裝範本,且應用程式提供了自有的取消包裝範本,則 HSM 會使用這兩個範本將屬性名稱和值套用於金鑰。但是,如果用於包裝金鑰的CKA_UNWRAP_TEMPLATE中的值與應用程式在取消包裝請求期間提供的屬性衝突,取消包裝請求會失敗。
如需關於屬性的詳細資訊,請參閱下列主題:
