本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudHSM KMU 的关键属性参考
<a name="key-attribute-table"></a>

 AWS CloudHSM key\$1mgmt\$1util 命令使用常量来表示硬件安全模块 (HSM) 中密钥的属性。本主题可帮助您标识属性、查找在命令中表示它们的常量以及了解属性值。

密钥的属性是在创建密钥时设置的。要更改令牌属性 (指示密钥是永久密钥还是只存在于会话中)，请使用 key\$1mgmt\$1util 中的 [setAttribute](key_mgmt_util-setAttribute.md) command in key\$1mgmt\$1util. 命令。要更改标签、包装、解开包装、加密和解密属性，使用 cloudhsm\$1mgmt\$1util 中的 `setAttribute` 命令。

要获取属性的列表及其常量，请使用 [listAttributes](key_mgmt_util-listAttributes.md)。要获取密钥的属性值，请使用 [getAttribute](key_mgmt_util-getAttribute.md)。

下表列出了密钥属性、其常量及其有效值。


| 属性 | 常量 | 值 | 
| --- | --- | --- | 
|  OBJ\$1ATTR\$1ALL  |  512  |  表示所有属性。  | 
|  OBJ\$1ATTR\$1ALWAYS\$1SENSITIVE  |  357  |  **0**：False。 **1**：True。  | 
|  OBJ\$1ATTR\$1CLASS  |  0  | **2**：公有私有密钥对中的公有密钥。3：公有私有密钥对中的私有密钥。**4**：私有 (对称) 密钥。 | 
|  OBJ\$1ATTR\$1DECRYPT  |  261  |  **0**：False。 **1**：True。密钥可用于解密数据。  | 
|  OBJ\$1ATTR\$1DERIVE  |  268  |  **0**：False。 **1**：True。该函数派生密钥。  | 
|  OBJ\$1ATTR\$1DESTROYABLE  |  370  |  **0**：False。 **1**：True。  | 
|  OBJ\$1ATTR\$1ENCRYPT  |  260  |  **0**：False。 **1**：True。密钥可用于加密数据。  | 
|  OBJ\$1ATTR\$1EXTRACTABLE  |  354  |  **0**：False。 **1**：True。密钥可以从中导出 HSMs。  | 
|  OBJ\$1ATTR\$1ID  | 258 |  用户定义的字符串。在集群中必须是唯一的。默认值是空字符串。 | 
|  OBJ\$1ATTR\$1KCV  |  371  |  密钥的密钥检查值。有关更多信息，请参阅[其他详细信息](#key-attribute-table-details)。  | 
|  OBJ\$1ATTR\$1KEY\$1TYPE  | 256 |  **0**：RSA。**1**：DSA。**3**：EC。 **16**：普通机密。 **18**: RC4。 **21**：三重 DES (3DES)。 **31**：AES。 | 
|  OBJ\$1ATTR\$1LABEL  |  3  | 用户定义的字符串。它在集群中不必是唯一的。 | 
|  OBJ\$1ATTR\$1LOCAL  |  355  |  **0**。False。密钥已导入到 HSMs。 **1**：True。  | 
|  OBJ\$1ATTR\$1MODULUS  |  288  |  用于生成 RSA 密钥对的模数。对于 EC 密钥，此值表示十六进制格式的 ANSI X9.62 ECPoint 值 “Q” 的 DER 编码。 对于其他密钥类型，此属性不存在。  | 
|  OBJ\$1ATTR\$1MODULUS\$1BITS  |  289  |  用于生成 RSA 密钥对的模数的长度。对于 EC 密钥，这表示用于生成密钥的椭圆曲线 ID。 对于其他密钥类型，此属性不存在。  | 
|  OBJ\$1ATTR\$1NEVER\$1EXTRACTABLE  |  356  |  **0**：False。 **1**：True。密钥无法从中导出 HSMs。  | 
|  OBJ\$1ATTR\$1PUBLIC\$1EXPONENT  |  290  |  用于生成 RSA 密钥对的公有指数。 对于其他密钥类型，此属性不存在。  | 
|  OBJ\$1ATTR\$1PRIVATE  |  2  |  **0**：False。 **1**：True。此属性指示未经身份验证的用户是否可以列出密钥的属性。由于 CloudHSM PKCS\$111 提供程序当前不支持公有会话，所有密钥（包括公有/私有密钥对中的公有密钥）的此属性设置为 1。  | 
|  OBJ\$1ATTR\$1SENSITIVE  |  259  |  **0**：False。公有私有密钥对中的公有密钥。 **1**：True。  | 
|  OBJ\$1ATTR\$1SIGN  |  264  |  **0**：False。 **1**：True。密钥可用于签名 (私有密钥)。  | 
|  OBJ\$1ATTR\$1TOKEN  |  1  |  **0**：False。会话密钥。 **1**：True。永久密钥。  | 
|  OBJ\$1ATTR\$1TRUSTED  |  134  |  **0**：False。 **1**：True。  | 
|  OBJ\$1ATTR\$1UNWRAP  |  263  |  **0**：False。 **1**：True。密钥可用于解密密钥。  | 
|  OBJ\$1ATTR\$1UNWRAP\$1TEMPLATE  |  1073742354  |  值应使用应用于使用此包装密钥解开包装的任何密钥的属性模板。  | 
|  OBJ\$1ATTR\$1VALUE\$1LEN  |  353  |  密钥长度（字节）。  | 
|  OBJ\$1ATTR\$1VERIFY  |  266  |  **0**：False。 **1**：True。密钥可用于验证 (公有密钥)。  | 
|  OBJ\$1ATTR\$1WRAP  |  262  |  **0**：False。 **1**：True。密钥可用于加密密钥。  | 
|  OBJ\$1ATTR\$1WRAP\$1TEMPLATE  |  1073742353  |  值应使用属性模板来匹配使用此包装密钥包装的密钥。  | 
|  OBJ\$1ATTR\$1WRAP\$1WITH\$1TRUSTED  |  528  |  **0**：False。 **1**：True。  | 

## 其他详细信息
<a name="key-attribute-table-details"></a>

**密钥检查值 (KCV)**  
*密钥检查值* (KCV) 是 HSM 导入或生成密钥时所产生密钥的 3 字节哈希值或校验和。您也可以在 HSM 之外计算 KCV，例如导出密钥之后。然后，您可对比 KCV 值，以确认密钥的标识和完整性。若要获取密钥 KCV，请使用 [getAttribute](key_mgmt_util-getAttribute.md)。  
AWS CloudHSM 使用以下标准方法生成密钥检查值：  
+ **对称密钥**：密钥加密零块结果的前 3 个字节。
+ **非对称密钥对**：公钥 SHA-1 哈希值的前 3 个字节。
+ **HMAC 密钥**：目前不支持 HMAC 密钥 KCV。