了解 中的信任金鑰 AWS CloudHSM

信任的金鑰是用來包裝其他金鑰的金鑰，而管理員和密碼編譯管理員 (COs) 使用 屬性 特別識別為信任CKA_TRUSTED。此外，管理員和密碼編譯主管 (COs) 使用 CKA_UNWRAP_TEMPLATE 和相關屬性來指定資料金鑰在被信任的金鑰取消包裝後可以執行的動作。由可信任金鑰取消資料金鑰包裝也必須包含這些屬性，取消包裝的操作才能成功，其有助於確保只允許已取消包裝的資料金鑰用於您想要的用途。

使用屬性 CKA_WRAP_WITH_TRUSTED 來識別您要使用可信任金鑰包裝的所有資料金鑰。這樣做可讓您限制資料金鑰，讓應用程式只能使用可信任金鑰來取消包裝。一旦您在資料金鑰上設定此屬性，屬性就會變成唯讀，而且無法變更。設定這些屬性後，應用程式只能使用您信任的金鑰來取消資料金鑰包裝，並且取消包裝一律會產生具有會限制這些金鑰使用方式屬性的資料金鑰。