本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 如何使用 的信任金鑰來取消包裝資料金鑰 AWS CloudHSM 若要在 中取消包裝資料金鑰 AWS CloudHSM,您需要已`CKA_UNWRAP`設為 true 的信任金鑰。若要成為金鑰,其還必須滿足下列條件: + 金鑰的 `CKA_TRUSTED` 屬性必須設定為 true。 + 金鑰必須使用 `CKA_UNWRAP_TEMPLATE` 和相關屬性來指定資料金鑰在取消包裝後可以執行的動作。例如,如果您希望取消包裝的金鑰不可匯出,您可以將 `CKA_EXPORTABLE = FALSE` 設定為 `CKA_UNWRAP_TEMPLATE` 的一部分。 **注意** `CKA_UNWRAP_TEMPLATE` 僅可與 PKCS \#11 一同使用。 當應用程式提交要取消包裝的金鑰時,應用程式也可以提供自有的取消包裝範本。如果您指定取消包裝範本,且應用程式提供了自有的取消包裝範本,則 HSM 會使用這兩個範本將屬性名稱和值套用於金鑰。但是,如果在取消包裝請求期間,可信任金鑰中的值與應用程式提供的屬性 `CKA_UNWRAP_TEMPLATE` 衝突,則取消包裝請求會失敗。 若要查看關於使用可信任金鑰取消包裝金鑰的範例,請參閱[此 PKCS \#11 範例](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/blob/master/src/wrapping/unwrap_with_template.c)。