AWS CloudHSM の信頼できるキーの属性 - AWS CloudHSM

AWS CloudHSM の信頼できるキーの属性

以下の属性により、AWS CloudHSM キーを信頼できるキーとしてマークしたり、データキーを信頼できるキーでのみラップおよびラップ解除できるように指定したり、ラップ解除後にデータキーが実行できる操作を制御したりできます。

  • CKA_TRUSTED: この属性 (CKA_UNWRAP_TEMPLATE に加えて) をデータキーをラップするキーに適用して、管理者または Crypto Officer (CO) が必要な努力を行っており、このキーを信頼していることを指定します。CKA_TRUSTED を設定できるのは管理者か CO だけです。Crypto User (CU) がそのキーを所有しますが、CKA_TRUSTED 属性を設定できるのは CO のみです。

  • CKA_WRAP_WITH_TRUSTED: この属性をエクスポート可能なデータキーに適用して、このキーを としてマークされたキーでのみラップできるように指定します。CKA_TRUSTEDいったん CKA_WRAP_WITH_TRUSTED を true に設定すると、属性は読み取り専用となり、属性を変更または削除することはできません。

  • CKA_UNWRAP_TEMPLATE: この属性をラッピングキーに適用し (CKA_TRUSTED に加えて)、サービスがアンラップするデータキーにサービスを自動的に適用する必要がある属性名と値を指定します。アプリケーションがラップ解除用のキーを送信するとき、ラップ解除テンプレートを個別に指定できます。アンラップテンプレートを指定し、アプリケーションが独自のアンラップテンプレートを提供する場合、HSM は両方のテンプレートを使用して属性名と値をキーに適用します。ただし、ラッピングキーの CKA_UNWRAP_TEMPLATE の中の値が、アンラップ要求中にアプリケーションによって提供された属性と競合する場合、アンラップ要求は失敗します。

属性の詳細については、次のトピックを参照してください。