Atributos compatíveis da CloudHSM CLI - AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Atributos compatíveis da CloudHSM CLI

Como melhor prática, defina valores somente para os atributos que deseja tornar restritivos. Se você não especificar um valor, o CloudHSM utilizará o valor padrão especificado na tabela abaixo.

A tabela a seguir lista os atributos de chave, valores possíveis, padrões e notas relacionadas da CloudHSM CLI. Uma célula vazia na coluna Valor indica que não há nenhum valor padrão específico atribuído ao atributo.

Atributo da CloudHSM CLI Valor Modificável com a key set-attribute Configurável na criação da chave
always-sensitive

O valor é True se sensitive sempre esteve definido como True e nunca foi alterado.

 Não Não
check-value Valor de verificação da chave. Para obter mais informações, consulte Detalhes adicionais. Não Não
class

Valores possíveis: secret-key, public-key e private-key.

 Não Sim
curve

Curva elíptica usada para gerar o par de chaves EC.

Valores válidos: secp224r1secp256r1,prime256v1,secp384r1,secp256k1,secp521r1, e ed25519

ed25519só é compatível com instâncias hsm2m.medium no modo não FIPS.

 Não Configurável com EC, não configurável com RSA
decrypt

Padrão: False

 Sim Sim
derive

Padrão: False

 A derivação pode ser definida nas instâncias hsm2m.medium. Ela não pode ser definida para chaves RSA em instâncias hsm1.medium. Sim
destroyable

Padrão: True

 Sim Sim
ec-point

Para chaves EC, codificação DER do ECPoint valor ANSI X9.62 “Q” em formato hexadecimal.

Para outros tipos de chave, esse atributo não existe.

 Não Não
encrypt

Padrão: False

 Sim Sim
extractable

Padrão: True

 Não Sim
id Padrão: Vazio id pode ser definido em todas as instâncias hsm2m.medium. Ela não pode ser definida em instâncias hsm1.medium. Sim
key-length-bytes

Necessário para gerar uma chave AES.

Valores válidos: 16, 24 e 32 bytes.

 Não Não
key-type

Valores possíveis: aes, rsa e ec.

 Não Sim
label Padrão: Vazio Sim Sim
local

Padrão: True para chaves geradas no HSM, False para chaves importadas para o HSM.

 Não Não
modifiable

Padrão: True

 Pode ser alterado de verdadeiro para falso, mas não de falso para verdadeiro. Sim
modulus O módulo que foi usado para gerar um par de chaves RSA. Para outros tipos de chave, esse atributo não existe. Não Não
modulus-size-bits

Necessário para gerar um par de chaves RSA.

Valor mínimo de 2048.

 Não Configurável com RSA, não configurável com EC
never-extractable

O valor é True se extraível nunca tiver sido definido como False.

O valor é False se extraível já tiver sido definido como True.

 Não Não
private

Padrão: True

 Não Sim
public-exponent

Necessário para gerar um par de chaves RSA.

Valores válidos: o valor deve ser um número ímpar maior que ou igual a 65537.

 Não Configurável com RSA, não configurável com EC
sensitive

Padrão:

  • O valor é True para chaves AES e chaves privadas EC e RSA.

  • O valor é False para chaves públicas EC e RSA.

 Não Configurável com chaves privadas, não configurável com chaves públicas.
sign

Padrão:

  • O valor é True para chaves AES.

  • O valor é False para chaves RSA e EC.

 Sim Sim
token

Padrão: True

 Pode ser alterado de falso para verdadeiro, mas não de verdadeiro para falso. Sim
trusted

Padrão: False

 Somente usuários administradores podem definir esse parâmetro. Não
unwrap Padrão: False Sim Sim, exceto para chaves públicas.
unwrap-template Os valores devem usar o modelo de atributo aplicado a todas as chaves desencapsuladas com essa chave de encapsulamento. Sim Não
verify

Padrão:

  • O valor é True para chaves AES.

  • O valor é False para chaves RSA e EC.

 Sim Sim
wrap Padrão: False Sim Sim, exceto para chaves privadas.
wrap-template Os valores devem usar o modelo de atributo para corresponder à chave agrupada usando essa chave de agrupamento. Sim Não
wrap-with-trusted

Padrão: False

 Sim Sim