As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# AWS CloudHSM referência de atributo-chave para KMU
Os comandos AWS CloudHSM key\_mgmt\_util usam constantes para representar os atributos das chaves em um módulo de segurança de hardware (HSM). Este tópico pode ajudá-lo a identificar os atributos, encontrar as constantes que os representam nos comandos e entender seus valores.
Você define os atributos de uma chave ao criá-la. Para alterar o atributo de token, que indica se uma chave é persistente ou existe apenas na sessão, use o comando [setAttribute](key_mgmt_util-setAttribute.md) na key\_mgmt\_util . Para alterar os atributos de rótulos, encapsulamento, desencapsulamento, criptografia e descriptografia, use o comando `setAttribute` em cloudhsm\_mgmt\_util.
Para obter uma lista de atributos e suas constantes, use [listAttributes](key_mgmt_util-listAttributes.md). Para obter os valores dos atributos de uma chave, use [getAttribute](key_mgmt_util-getAttribute.md).
A tabela a seguir lista os atributos-chave, suas constantes e seus valores válidos.
| Atributo | Constante | Valores |
| --- | --- | --- |
| OBJ\_ATTR\_ALL | 512 | Representa todos os atributos. |
| OBJ\_ATTR\_ALWAYS\_SENSITIVE | 357 | **0**: False.
**1**: True. |
| OBJ\_ATTR\_CLASS | 0 | **2**: Chave pública em um par de chaves privadapública.3: Chave privada em um par de chaves privadapública.
**4**: Chave secreta (simétrica). |
| OBJ\_ATTR\_DECRYPT | 261 | **0**: False.
**1**: True. A chave pode ser usada para descriptografar dados. |
| OBJ\_ATTR\_DERIVE | 268 | **0**: False.
**1**: True. A função gera a chave. |
| OBJ\_ATTR\_DESTROYABLE | 370 | **0**: False.
**1**: True. |
| OBJ\_ATTR\_ENCRYPT | 260 | **0**: False.
**1**: True. A chave pode ser usada para criptografar dados. |
| OBJ\_ATTR\_EXTRACTABLE | 354 | **0**: False.
**1**: True. A chave pode ser exportada do HSMs. |
| OBJ\_ATTR\_ID | 258 | String definida pelo usuário. Deve ser exclusivo no cluster. O padrão é uma string vazia. |
| OBJ\_ATTR\_KCV | 371 | Valor de verificação da chave. Para obter mais informações, consulte [Detalhes adicionais](#key-attribute-table-details). |
| OBJ\_ATTR\_KEY\_TYPE | 256 | **0**: RSA.
**1**: DSA.
**3**: EC.
**16**: Segredo genérico.
**18**: RC4.
**21**: Triple DES (3DES).
**31**: AES. |
| OBJ\_ATTR\_LABEL | 3 | String definida pelo usuário. Ele não precisa ser exclusivo no cluster. |
| OBJ\_ATTR\_LOCAL | 355 | **0**. Falso. A chave foi importada para HSMs o.
**1**: True. |
| OBJ\_ATTR\_MODULUS | 288 | O módulo que foi usado para gerar um par de chaves RSA. Para chaves EC, esse valor representa a codificação DER do valor ANSI X9.62 “Q” em formato ECPoint hexadecimal.
Para outros tipos de chave, esse atributo não existe. |
| OBJ\_ATTR\_MODULUS\_BITS | 289 | O comprimento do módulo utilizado para gerar um par de chaves RSA. Para chaves EC, isso representa o ID da curva elíptica usada para gerar a chave.
Para outros tipos de chave, esse atributo não existe. |
| OBJ\_ATTR\_NEVER\_EXTRACTABLE | 356 | **0**: False.
**1**: True. A chave não pode ser exportada do HSMs. |
| OBJ\_ATTR\_PUBLIC\_EXPONENT | 290 | O expoente público usado para gerar um par de chaves RSA.
Para outros tipos de chave, esse atributo não existe. |
| OBJ\_ATTR\_PRIVATE | 2 | **0**: False.
**1**: True. Este atributo indica se os usuários não autenticados podem listar os atributos da chave. Como o provedor PKCS\#11 do CloudHSM atualmente não oferece suporte a sessões públicas, todas as chaves (incluindo chaves públicas em um par de chaves públicas/privadas) têm esse atributo definido como 1. |
| OBJ\_ATTR\_SENSITIVE | 259 | **0**: False. Chave pública em um par de chaves privada-pública.
**1**: True. |
| OBJ\_ATTR\_SIGN | 264 | **0**: False.
**1**: True. A chave pode ser usada para assinatura (chaves privadas). |
| OBJ\_ATTR\_TOKEN | 1 | **0**: False. Chave de sessão.
**1**: True. Chave persistente. |
| OBJ\_ATTR\_TRUSTED | 134 | **0**: False.
**1**: True. |
| OBJ\_ATTR\_UNWRAP | 263 | **0**: False.
**1**: True. A chave pode ser usada para descriptografar chaves. |
| OBJ\_ATTR\_UNWRAP\_TEMPLATE | 1073742354 | Os valores devem usar o modelo de atributo aplicado a todas as chaves desencapsuladas com essa chave de encapsulamento. |
| OBJ\_ATTR\_VALUE\_LEN | 353 | Tamanho da chave em bytes. |
| OBJ\_ATTR\_VERIFY | 266 | **0**: False.
**1**: True. A chave pode ser usada para verificação (chaves públicas). |
| OBJ\_ATTR\_WRAP | 262 | **0**: False.
**1**: True. A chave pode ser usada para criptografar chaves. |
| OBJ\_ATTR\_WRAP\_TEMPLATE | 1073742353 | Os valores devem usar o modelo de atributo para corresponder à chave agrupada usando essa chave de agrupamento. |
| OBJ\_ATTR\_WRAP\_WITH\_TRUSTED | 528 | **0**: False.
**1**: True. |
## Detalhes adicionais
**Valor de verificação de chave (KCV)**
O *key check value* (KCV – valor de verificação de chave) é um hash de 3 bytes ou soma de verificação de uma chave gerada quando o HSM importa ou gera uma chave. Você também pode calcular um KCV fora do HSM, como depois de exportar uma chave. Em seguida, é possível comparar os valores do KCV para confirmar a identidade e a integridade da chave. Para obter o KCV de uma chave, use [getAttribute](key_mgmt_util-getAttribute.md).
AWS CloudHSM usa o seguinte método padrão para gerar um valor de verificação de chave:
+ **Chaves simétricas**: primeiros 3 bytes do resultado da criptografia de um bloco zero com a chave.
+ **Pares de chaves assimétricas**: primeiros 3 bytes do hash SHA-1 da chave pública.
+ **Chaves HMAC**: o KCV para chaves HMAC não é suportado no momento.