AWS CloudHSM에 대해 신뢰할 수 있는 키로 데이터 키의 래핑을 해제하는 방법

AWS CloudHSM에서 데이터 키의 래핑을 해제하려면 CKA_UNWRAP이 있는 신뢰할 수 있는 키를 true로 설정해야 합니다. 이러한 키가 되려면 다음 기준도 충족해야 합니다.

키의 CKA_TRUSTED 속성은 true로 설정되어야 합니다.
키는 래핑이 해제된 후 데이터 키가 수행할 수 있는 작업을 지정하기 위해 CKA_UNWRAP_TEMPLATE 및 관련 속성을 사용해야 합니다. 예를 들어, 래핑이 해제된 키를 내보낼 수 없도록 하려면 CKA_UNWRAP_TEMPLATE의 일부로 CKA_EXPORTABLE = FALSE를 설정합니다.

참고

CKA_UNWRAP_TEMPLATE는 PKCS #11에서만 사용할 수 있습니다.

애플리케이션이 래핑을 해제할 키를 제출하면 애플리케이션은 자체 래핑 해제 템플릿을 제공할 수도 있습니다. 언랩 템플릿을 지정하고 애플리케이션이 자체 언랩 템플릿을 제공하는 경우 HSM은 두개의 템플릿을 모두 사용하여 속성 이름과 값을 키에 적용합니다. 하지만 래핑 해제 요청 중에 신뢰할 수 있는 키의 CKA_UNWRAP_TEMPLATE은 애플리케이션에서 제공한 속성과 충돌하는 경우 래핑 해제 요청이 실패합니다.

신뢰할 수 있는 키를 사용한 데이터 키 래핑 해제에 대한 예를 보려면 이 PKCS #11 예제를 참조하십시오.

javascript가 브라우저에서 비활성화되거나 사용이 불가합니다.

AWS 설명서를 사용하려면 Javascript가 활성화되어야 합니다. 지침을 보려면 브라우저의 도움말 페이지를 참조하십시오.

문서 규칙

신뢰할 수 있는 키를 사용하여 데이터 키를 래핑하는 방법

CloudHSM CLI를 사용한 키 관리