Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés. # Cómo separar una clave de datos con una clave de confianza para AWS CloudHSM Para separar una clave de datos AWS CloudHSM, necesita una clave de confianza que esté `CKA_UNWRAP` configurada como verdadera. Para ser una clave de este tipo, también debe cumplir los siguientes criterios: + El atributo `CKA_TRUSTED` de la clave se debe establecer como true. + La clave debe utilizar `CKA_UNWRAP_TEMPLATE` y los atributos relacionados para especificar qué acciones pueden realizar las claves de datos una vez desencapsuladas. Si, por ejemplo, desea que una clave desencapsulada no se pueda exportar, debe configurar `CKA_EXPORTABLE = FALSE` como parte de `CKA_UNWRAP_TEMPLATE`. **nota** `CKA_UNWRAP_TEMPLATE` solo está disponible con PKCS \$111. Cuando una aplicación envía una clave para desencapsularla, también puede proporcionar su propia plantilla de encapsulamiento. Si especifica una plantilla de desencapsulamiento y la aplicación proporciona su propia plantilla de desencapsulamiento, el HSM utiliza ambas plantillas para aplicar los nombres y valores de los atributos a la clave. Sin embargo, si durante la solicitud de desencapsulamiento un valor de `CKA_UNWRAP_TEMPLATE` de la clave de confianza entra en conflicto con un atributo proporcionado por la aplicación, la solicitud de desencapsulamiento fallará. Para ver un ejemplo de cómo desencapsular una clave de datos con una clave de confianza, consulte [este ejemplo de PKCS \$111](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/blob/master/src/wrapping/unwrap_with_template.c).