本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 中的信任金鑰屬性 AWS CloudHSM
<a name="key_attribute_background"></a>

下列屬性可讓您將 AWS CloudHSM 金鑰標示為受信任、指定資料金鑰只能使用受信任金鑰包裝和取消包裝，以及控制資料金鑰在取消包裝後可執行的操作：
+ `CKA_TRUSTED`：將此屬性 (除 `CKA_UNWRAP_TEMPLATE` 外) 套用於將會包裝資料金鑰的金鑰，以表明管理員或加密管理員 (CO) 已完成必要的盡職調查並信任此金鑰。只有管理員或 CO 可以設定 `CKA_TRUSTED`。加密使用者 (CU) 擁有金鑰，但只有 CO 可以設置其 `CKA_TRUSTED` 屬性。
+ `CKA_WRAP_WITH_TRUSTED`：將此屬性套用於可匯出的資料金鑰，以表明只能使用標記為 `CKA_TRUSTED` 的金鑰包裝此金鑰。一旦設定 `CKA_WRAP_WITH_TRUSTED` 為 true，屬性就會變成唯讀，而且您無法變更或移除屬性。
+ `CKA_UNWRAP_TEMPLATE`：將此屬性套用於包裝金鑰 (除 `CKA_TRUSTED` 外)，以指定服務必須自動套用於服務取消包裝資料金鑰的屬性名稱和值。當應用程式提交金鑰以取消包裝時，還可提供自有的取消包裝範本。如果您指定取消包裝範本，且應用程式提供了自有的取消包裝範本，則 HSM 會使用這兩個範本將屬性名稱和值套用於金鑰。但是，如果用於包裝金鑰的 `CKA_UNWRAP_TEMPLATE` 中的值與應用程式在取消包裝請求期間提供的屬性衝突，取消包裝請求會失敗。

如需關於屬性的詳細資訊，請參閱下列主題：
+ [PKCS \$111 金鑰屬性](pkcs11-attributes.md)
+ [JCE 金鑰屬性](java-lib-attributes_5.md)
+ [CloudHSM CLI 金鑰屬性](cloudhsm_cli-key-attributes.md)