本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解中的可信密钥 AWS CloudHSM
<a name="understand-trusted-key-wraps"></a>

可*信密钥*是用于封装其他密钥的密钥，管理员和加密人员 (COs) 使用该属性特别将其标识为可信。`CKA_TRUSTED`此外，管理员和加密人员 (COs) 使用`CKA_UNWRAP_TEMPLATE`和相关属性来指定数据密钥在被可信密钥解封后可以执行的操作。由可信密钥解包的数据密钥还必须包含这些属性，解包操作才能成功，这有助于确保解包的数据密钥仅允许用于您想要的用途。

使用该 `CKA_WRAP_WITH_TRUSTED` 属性来标识要用可信密钥包装的所有数据密钥。这样做可以限制数据密钥，这样一来应用程序只能使用可信密钥来解包它们。一旦在数据密钥上设置了该属性，该属性就会变成只读，无法更改。有了这些属性后，应用程序只能使用您信任的密钥来解包您的数据密钥，而解包总是会产生带有限制这些密钥使用方式的属性的数据密钥。