修改适用于 AWS CloudHSM Client SDK 5 的 PKCS #11 库属性 - AWS CloudHSM

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

修改适用于 AWS CloudHSM Client SDK 5 的 PKCS #11 库属性

对象的一些 PKCS #11 库属性可以在 AWS CloudHSM 对象创建后修改,有一些则不能。要修改属性,请使用 CloudHSM CLI 中的密钥集-属性命令。您还可通过 CloudHSM CLI 中的密钥列表命令派生出属性列表。

以下列表显示了对象创建后允许修改的属性:

  • CKA_LABEL

  • CKA_TOKEN

    注意

    修改仅允许将会话密钥更改为令牌密钥。使用 CloudHSM CLI 中的密钥集-属性命令更改属性值。

  • CKA_ENCRYPT

  • CKA_DECRYPT

  • CKA_SIGN

  • CKA_VERIFY

  • CKA_WRAP

  • CKA_UNWRAP

  • CKA_LABEL

  • CKA_SENSITIVE

  • CKA_DERIVE

    注意

    此属性支持密钥派生。它对所有公有密钥必须为 False,并且无法设置为 True。对于秘密和 EC 私有密钥,它可以设置为 TrueFalse

  • CKA_TRUSTED

    注意

    此属性仅可通过加密员(CO) 设置为 TrueFalse

  • CKA_WRAP_WITH_TRUSTED

    注意

    将此属性应用于可导出的数据密钥,以表示此密钥只能更换为标记CKA_TRUSTED的密钥。将 CKA_WRAP_WITH_TRUSTED 设置为 true 后,该属性将变为只读,并且您无法更改或移除该属性。