中的信任金鑰屬性 AWS CloudHSM

下列屬性可讓您將 AWS CloudHSM 金鑰標記為受信任，指定資料金鑰只能使用受信任金鑰包裝和取消包裝，並控制資料金鑰在取消包裝後可以執行的動作：

CKA_TRUSTED：將此屬性 (除 CKA_UNWRAP_TEMPLATE 外) 套用於將會包裝資料金鑰的金鑰，以表明管理員或加密管理員 (CO) 已完成必要的盡職調查並信任此金鑰。只有管理員或 CO 可以設定 CKA_TRUSTED。加密使用者 (CU) 擁有金鑰，但只有 CO 可以設置其 CKA_TRUSTED 屬性。
CKA_WRAP_WITH_TRUSTED：將此屬性套用於可匯出的資料金鑰，以表明只能使用標記為 CKA_TRUSTED 的金鑰包裝此金鑰。一旦設定 CKA_WRAP_WITH_TRUSTED 為 true，屬性就會變成唯讀，而且您無法變更或移除屬性。
CKA_UNWRAP_TEMPLATE：將此屬性套用於包裝金鑰 (除 CKA_TRUSTED 外)，以指定服務必須自動套用於服務取消包裝資料金鑰的屬性名稱和值。當應用程式提交金鑰以取消包裝時，還可提供自有的取消包裝範本。如果您指定展開範本，且應用程式提供自己的展開範本，則 HSM會使用這兩個範本將屬性名稱和值套用至金鑰。但是，如果用於包裝金鑰的 CKA_UNWRAP_TEMPLATE 中的值與應用程式在取消包裝請求期間提供的屬性衝突，取消包裝請求會失敗。

如需關於屬性的詳細資訊，請參閱下列主題：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

了解可信任金鑰

如何使用可信任金鑰來包裝資料金鑰