Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Atributos clave de la biblioteca PKCS \$111 del SDK 3 del Client SDK AWS CloudHSM
Un objeto de clave puede ser una clave pública, privada o secreta. Las acciones permitidas en un objeto de clave se especifican mediante atributos. Los atributos se definen cuando se crea el objeto de clave. Al utilizar la biblioteca PKCS \$111 AWS CloudHSM, asignamos los valores predeterminados según lo especificado en el estándar PKCS \$111.
AWS CloudHSM no admite todos los atributos enumerados en la especificación PKCS \$111. Seguimos esta especificación en todos los atributos que admitimos. Estos atributos se indican en sus respectivas tablas.
Las funciones criptográficas como `C_CreateObject`, `C_GenerateKey`, `C_GenerateKeyPair`, `C_UnwrapKey` y `C_DeriveKey` que crean, modifican o copian objetos toman una plantilla de atributos como uno de sus parámetros. Para obtener más información acerca de cómo pasar una plantilla de atributos durante la creación de objetos, consulte el ejemplo [Generar claves mediante la biblioteca de PKCS \$111](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/generate).
En los temas siguientes se proporciona más información sobre los atributos AWS CloudHSM clave del SDK de cliente 3.
**Topics**
+ [Tabla de atributos](pkcs11-v3-attributes-interpreting.md)
+ [Modificación de atributos](pkcs11-v3-modify-attr.md)
+ [Interpretación de los códigos de error de la biblioteca PKCS \$111 para el SDK de AWS CloudHSM cliente 3](pkcs11-v3-attr-errors.md)
# Tabla de atributos de la biblioteca PKCS \$111 para el AWS CloudHSM Client SDK 3
La tabla de bibliotecas PKCS \$111 del SDK 3 del AWS CloudHSM Client SDK 3 contiene una lista de atributos que difieren según el tipo de clave. Indica si un atributo determinado es compatible con un tipo de clave concreto cuando se utiliza una función criptográfica específica con. AWS CloudHSM
**Leyenda**
+ ✔ indica que CloudHSM admite el atributo para el tipo de clave específico.
+ ✖ indica que CloudHSM no admite el atributo para el tipo de clave específico.
+ R indica que el valor del atributo se establece en de solo lectura para el tipo de clave específico.
+ S indica que `GetAttributeValue` no puede leer el atributo porque distingue entre mayúsculas y minúsculas.
+ Una celda vacía en la columna Valor predeterminado indica que no hay ningún valor predeterminado específico asignado al atributo.
## GenerateKeyPair
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)
## GenerateKey
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)
## CreateObject
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)
## UnwrapKey
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)
## DeriveKey
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)
## GetAttributeValue
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/pkcs11-v3-attributes-interpreting.html)
**Notas de atributo**
+ [1] Este atributo es parcialmente compatible con el firmware y debe configurarse de forma explícita únicamente en el valor predeterminado.
+ [2] Atributo obligatorio.
+ [3] **Solo SDK 3 de cliente**. El atributo `CKA_SIGN_RECOVER` se obtiene del atributo `CKA_SIGN`. Si debe configurarse, solo se puede establecer en el mismo valor que el establecido para `CKA_SIGN`. Si no se establece, se obtiene el valor predeterminado de `CKA_SIGN`. Como CloudHSM solo admite los mecanismos de firma recuperable basados en RSA, este atributo solo se puede aplicar a clases públicas de RSA actualmente.
+ [4] **Solo SDK 3 de cliente**. El atributo `CKA_VERIFY_RECOVER` se obtiene del atributo `CKA_VERIFY`. Si debe configurarse, solo se puede establecer en el mismo valor que el establecido para `CKA_VERIFY`. Si no se establece, se obtiene el valor predeterminado de `CKA_VERIFY`. Como CloudHSM solo admite los mecanismos de firma recuperable basados en RSA, este atributo solo se puede aplicar a clases públicas de RSA actualmente.
# Modificación de los atributos de la biblioteca PKCS \$111 para el SDK 3 AWS CloudHSM del cliente
Algunos atributos de un objeto se pueden modificar una vez creado el objeto, mientras que otros no. Para modificar los atributos, utilice el comando [setAttribute](cloudhsm_mgmt_util-setAttribute.md) de cloudhsm\$1mgmt\$1util. También puede generar una lista de atributos y las constantes que los representan mediante el comando [listAttribute](cloudhsm_mgmt_util-listAttributes.md) de cloudhsm\$1mgmt\$1util.
En la siguiente lista se muestran los atributos que se pueden modificar después de crear un objeto:
+ `CKA_LABEL`
+ `CKA_TOKEN`
**nota**
La modificación solo se permite para cambiar una clave de sesión por una clave de token. Utilice el comando [setAttribute](key_mgmt_util-setAttribute.md) de key\$1mgmt\$1util para cambiar el valor del atributo.
+ `CKA_ENCRYPT`
+ `CKA_DECRYPT`
+ `CKA_SIGN`
+ `CKA_VERIFY`
+ `CKA_WRAP`
+ `CKA_UNWRAP`
+ `CKA_LABEL`
+ `CKA_SENSITIVE`
+ `CKA_DERIVE`
**nota**
Este atributo admite la derivación de claves. Debe ser `False` para todas las claves públicas y no puede establecerse en `True`. Para las claves secretas y privadas de EC, se puede establecer en `True` o `False`.
+ `CKA_TRUSTED`
**nota**
Este atributo se puede establecer en `True` o `False` solo mediante Crypto Officer (CO).
+ `CKA_WRAP_WITH_TRUSTED`
**nota**
Aplique este atributo a una clave de datos exportable para especificar que solo puede encapsular esta clave con claves marcadas como `CKA_TRUSTED`. Una vez establecido `CKA_WRAP_WITH_TRUSTED` como true, el atributo pasa a ser de solo lectura y no se puede cambiar ni eliminar.
# Interpretación de los códigos de error de la biblioteca PKCS \$111 para el SDK de AWS CloudHSM cliente 3
La especificación en la plantilla de un atributo de la biblioteca PKCS \$111 que no es compatible con una clave específica produce un error. La siguiente tabla contiene los códigos de error que se generan cuando se infringen las especificaciones:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/pkcs11-v3-attr-errors.html)