本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 中的可信密钥属性 AWS CloudHSM
<a name="key_attribute_background"></a>

以下属性允许您将 AWS CloudHSM 密钥标记为可信，指定数据密钥只能使用可信密钥进行封装和解包，以及控制数据密钥解封后可以执行的操作：
+ `CKA_TRUSTED`：将此属性（除 `CKA_UNWRAP_TEMPLATE` 外）应用于将包装数据密钥的密钥，以指定已完成必要调查的管理员或加密员（CO, crypto officer）并信任此密钥。只有管理员或 CO 可以设置 `CKA_TRUSTED`。加密用户（CU）拥有密钥，但只有 CO 可以设置其 `CKA_TRUSTED` 属性。
+ `CKA_WRAP_WITH_TRUSTED`：将此属性应用于可导出数据密钥，以指定只能用标记为 `CKA_TRUSTED` 的密钥来包装此密钥。将 `CKA_WRAP_WITH_TRUSTED` 设置为 true 后，该属性将变为只读，并且您无法更改或移除该属性。
+ `CKA_UNWRAP_TEMPLATE`：将此属性应用于包装密钥（除 `CKA_TRUSTED` 外），以指定服务必须自动将哪些属性名称和值应用于服务解包的数据密钥。应用程序提交密钥供解包时，也可以提供自己的解包模板。如果您指定了解包模板并且应用程序提供了自己的解包模板，则 HSM 会使用这两个模板将属性名称和值应用于密钥。但是，如果包装密钥的 `CKA_UNWRAP_TEMPLATE` 中的值与应用程序在解包请求时提供的属性相冲突，则解包请求会失败。

了解有关属性的更多信息，请参阅以下主题：
+ [PKCS \$111 密钥属性](pkcs11-attributes.md)
+ [JCE 密钥属性](java-lib-attributes_5.md)
+ [CloudHSM CLI 密钥属性](cloudhsm_cli-key-attributes.md)