本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 如何使用可信密钥解封数据密钥 AWS CloudHSM 要解开数据密钥 AWS CloudHSM,您需要一个`CKA_UNWRAP`设置为 true 的可信密钥。要成为这样的密钥,还必须满足以下标准: + 密钥的 `CKA_TRUSTED` 属性必须设置为“true”。 + 密钥必须使用 `CKA_UNWRAP_TEMPLATE` 和相关属性来指定数据密钥解包后可以执行的操作。例如,如果您希望未解包的密钥不可导出,则可以将 `CKA_EXPORTABLE = FALSE` 设置为 `CKA_UNWRAP_TEMPLATE` 的一部分。 **注意** `CKA_UNWRAP_TEMPLATE` 仅在 PKCS \#11 中可用。 当应用程序提交要解包的密钥时,该应用程序还可提供自己的解包模板。如果您指定了解包模板并且应用程序提供了自己的解包模板,则 HSM 会使用这两个模板将属性名称和值应用于密钥。但是,如果在解包请求期间,可信密钥的 `CKA_UNWRAP_TEMPLATE` 中的值与应用程序提供的属性冲突,则解包请求将失败。 要查看使用可信密钥解包数据密钥的示例,请参阅[此 PKCS \#11 示例](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/blob/master/src/wrapping/unwrap_with_template.c)。