

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Attributs clés de la bibliothèque PKCS \$111 pour le SDK AWS CloudHSM client 3
<a name="pkcs11-v3-attributes"></a>

Un objet de clé peut être une clé publique, privée ou secrète. Les actions autorisées sur un objet de clé sont spécifiées via des attributs. Les attributs sont définis lorsque l'objet de clé est créé. Lorsque vous utilisez la bibliothèque PKCS \$111 pour AWS CloudHSM, nous attribuons des valeurs par défaut conformément à la norme PKCS \$111.

AWS CloudHSM ne prend pas en charge tous les attributs répertoriés dans la spécification PKCS \$111. Nous nous conformons à la spécification pour tous les attributs que nous prenons en charge. Ces attributs sont indiqués dans les tableaux respectifs.

Les fonctions cryptographiques telles que `C_CreateObject`, `C_GenerateKey`, `C_GenerateKeyPair`, `C_UnwrapKey` et `C_DeriveKey` qui créent, modifient ou copient des objets utilisent un modèle d’attribut en tant que paramètre. Pour plus d'informations sur la transmission d'un modèle d’attributs lors de la création d’un objet, consultez l’échantillon [Generate keys through PKCS \$111 library](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/generate).

Les rubriques suivantes fournissent des informations supplémentaires sur les attributs AWS CloudHSM clés du SDK client 3.

**Topics**
+ [Tableau des attributs](pkcs11-v3-attributes-interpreting.md)
+ [Modification d’attributs](pkcs11-v3-modify-attr.md)
+ [Interprétation des codes d'erreur de la bibliothèque PKCS \$111 pour AWS CloudHSM le SDK client 3](pkcs11-v3-attr-errors.md)

# Tableau des attributs de bibliothèque PKCS \$111 pour le SDK AWS CloudHSM client 3
<a name="pkcs11-v3-attributes-interpreting"></a>

La table de bibliothèque PKCS \$111 pour AWS CloudHSM le SDK client 3 contient une liste d'attributs qui diffèrent selon le type de clé. Il indique si un attribut donné est pris en charge pour un type de clé particulier lors de l'utilisation d'une fonction cryptographique spécifique avec AWS CloudHSM.

**Légende :**
+ ✔ indique que CloudHSM prend en charge l'attribut pour le type de clé spécifique.
+ ✖ indique que CloudHSM ne prend pas en charge l'attribut pour le type de clé spécifique.
+ R indique que la valeur de l'attribut est définie en lecture seule pour le type de clé spécifique.
+ S indique que l'attribut ne peut pas être lu par `GetAttributeValue` car sensible.
+ Une cellule vide dans la colonne Default Value (Valeur par défaut) indique qu'il n'y a aucune valeur par défaut attribuée à l'attribut.

## GenerateKeyPair
<a name="pkcs11-v3-generatekeypair"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)

## GenerateKey
<a name="pkcs11-v3-generatekey"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)

## CreateObject
<a name="pkcs11-v3-createobject"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)

## UnwrapKey
<a name="pkcs11-v3-unwrapkey"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)

## DeriveKey
<a name="pkcs11-v3-derivekey"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)

## GetAttributeValue
<a name="pkcs11-v3-getattributevalue"></a>

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)

**Annotations d'attributs**
+ [1] Cet attribut est partiellement pris en charge par le micrologiciel et doit être explicitement défini sur la valeur par défaut.
+ [2] Attribut obligatoire.
+ [3] **SDK client 3 uniquement**. L’attribut `CKA_SIGN_RECOVER` est dérivé de l’attribut `CKA_SIGN`. S’il est défini, il doit uniquement l’être avec la même valeur que celle définie pour `CKA_SIGN`. Dans le cas contraire, il prend la valeur par défaut de `CKA_SIGN`. Étant donné que CloudHSM prend uniquement en charge les mécanismes de signature récupérable basés sur RSA, cet attribut est actuellement applicable uniquement aux clés publiques RSA.
+ [4] **SDK client 3 uniquement**. L’attribut `CKA_VERIFY_RECOVER` est dérivé de l’attribut `CKA_VERIFY`. S’il est défini, il doit uniquement l’être avec la même valeur que celle définie pour `CKA_VERIFY`. Dans le cas contraire, il prend la valeur par défaut de `CKA_VERIFY`. Étant donné que CloudHSM prend uniquement en charge les mécanismes de signature récupérable basés sur RSA, cet attribut est actuellement applicable uniquement aux clés publiques RSA.

# Modification des attributs de bibliothèque PKCS \$111 pour le SDK AWS CloudHSM client 3
<a name="pkcs11-v3-modify-attr"></a>

Certains attributs d'un objet peuvent être modifiés une fois que l'objet a été créé, tandis que d’autres ne le peuvent pas. Pour modifier des attributs, utilisez la commande [setAttribute](cloudhsm_mgmt_util-setAttribute.md) à partir de cloudhsm\$1mgmt\$1util. Vous pouvez également obtenir une liste des attributs et des constantes qui les représentent en utilisant la commande [listAttribute](cloudhsm_mgmt_util-listAttributes.md) à partir de cloudhsm\$1mgmt\$1util.

La liste suivante contient les attributs que vous pouvez modifier après la création de l'objet :
+ `CKA_LABEL`
+ `CKA_TOKEN`
**Note**  
La modification est autorisée uniquement pour changer une clé de session en une clé de jeton. Utilisez la commande [setAttribute](key_mgmt_util-setAttribute.md) à partir de key\$1mgmt\$1util pour modifier la valeur de l’attribut.
+ `CKA_ENCRYPT`
+ `CKA_DECRYPT`
+ `CKA_SIGN`
+ `CKA_VERIFY`
+ `CKA_WRAP`
+ `CKA_UNWRAP`
+ `CKA_LABEL`
+ `CKA_SENSITIVE`
+ `CKA_DERIVE`
**Note**  
Cet attribut prend en charge la dérivation de clé. Il doit être `False` pour toutes les clés publiques et ne peut pas être défini sur `True`. Pour les clés privées EC et secrètes, il peut être défini sur `True` ou `False`.
+ `CKA_TRUSTED`
**Note**  
Cet attribut peut être défini sur `True` ou `False` par le responsable du chiffrement uniquement.
+ `CKA_WRAP_WITH_TRUSTED`
**Note**  
Appliquez cet attribut à une clé de données exportable pour indiquer que vous ne pouvez encapsuler cette clé qu'avec des clés marquées comme `CKA_TRUSTED`. Une fois `CKA_WRAP_WITH_TRUSTED` défini sur true, l'attribut passe en lecture seule et vous ne pouvez ni le modifier ni le supprimer.

# Interprétation des codes d'erreur de la bibliothèque PKCS \$111 pour AWS CloudHSM le SDK client 3
<a name="pkcs11-v3-attr-errors"></a>

La spécification dans le modèle d'un attribut de bibliothèque PKCS \$111 qui n'est pas pris en charge par une clé spécifique entraîne une erreur. Le tableau suivant contient des codes d'erreur qui sont générés lorsque vous violez des spécifications :

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/pkcs11-v3-attr-errors.html)