本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS CloudHSM KMU 的关键属性参考
<a name="key-attribute-table"></a>

 AWS CloudHSM key\_mgmt\_util 命令使用常量来表示硬件安全模块 (HSM) 中密钥的属性。本主题可帮助您标识属性、查找在命令中表示它们的常量以及了解属性值。

密钥的属性是在创建密钥时设置的。要更改令牌属性 (指示密钥是永久密钥还是只存在于会话中)，请使用 key\_mgmt\_util 中的 [setAttribute](key_mgmt_util-setAttribute.md) command in key\_mgmt\_util. 命令。要更改标签、包装、解开包装、加密和解密属性，使用 cloudhsm\_mgmt\_util 中的 `setAttribute` 命令。

要获取属性的列表及其常量，请使用 [listAttributes](key_mgmt_util-listAttributes.md)。要获取密钥的属性值，请使用 [getAttribute](key_mgmt_util-getAttribute.md)。

下表列出了密钥属性、其常量及其有效值。


| 属性 | 常量 | 值 | 
| --- | --- | --- | 
| OBJ\_ATTR\_ALL | 512 | 表示所有属性。 | 
| OBJ\_ATTR\_ALWAYS\_SENSITIVE | 357 | **0**：False。<br />**1**：True。 | 
| OBJ\_ATTR\_CLASS | 0 | **2**：公有私有密钥对中的公有密钥。3：公有私有密钥对中的私有密钥。<br />**4**：私有 (对称) 密钥。 | 
| OBJ\_ATTR\_DECRYPT | 261 | **0**：False。<br />**1**：True。密钥可用于解密数据。 | 
| OBJ\_ATTR\_DERIVE | 268 | **0**：False。<br />**1**：True。该函数派生密钥。 | 
| OBJ\_ATTR\_DESTROYABLE | 370 | **0**：False。<br />**1**：True。 | 
| OBJ\_ATTR\_ENCRYPT | 260 | **0**：False。<br />**1**：True。密钥可用于加密数据。 | 
| OBJ\_ATTR\_EXTRACTABLE | 354 | **0**：False。<br />**1**：True。密钥可以从中导出 HSMs。 | 
| OBJ\_ATTR\_ID | 258 | 用户定义的字符串。在集群中必须是唯一的。默认值是空字符串。 | 
| OBJ\_ATTR\_KCV | 371 | 密钥的密钥检查值。有关更多信息，请参阅[其他详细信息](#key-attribute-table-details)。 | 
| OBJ\_ATTR\_KEY\_TYPE | 256 | **0**：RSA。<br />**1**：DSA。<br />**3**：EC。<br />**16**：普通机密。<br />**18**: RC4。<br />**21**：三重 DES (3DES)。<br />**31**：AES。 | 
| OBJ\_ATTR\_LABEL | 3 | 用户定义的字符串。它在集群中不必是唯一的。 | 
| OBJ\_ATTR\_LOCAL | 355 | **0**。False。密钥已导入到 HSMs。<br />**1**：True。 | 
| OBJ\_ATTR\_MODULUS | 288 | 用于生成 RSA 密钥对的模数。对于 EC 密钥，此值表示十六进制格式的 ANSI X9.62 ECPoint 值 “Q” 的 DER 编码。<br />对于其他密钥类型，此属性不存在。 | 
| OBJ\_ATTR\_MODULUS\_BITS | 289 | 用于生成 RSA 密钥对的模数的长度。对于 EC 密钥，这表示用于生成密钥的椭圆曲线 ID。<br />对于其他密钥类型，此属性不存在。 | 
| OBJ\_ATTR\_NEVER\_EXTRACTABLE | 356 | **0**：False。<br />**1**：True。密钥无法从中导出 HSMs。 | 
| OBJ\_ATTR\_PUBLIC\_EXPONENT | 290 | 用于生成 RSA 密钥对的公有指数。<br />对于其他密钥类型，此属性不存在。 | 
| OBJ\_ATTR\_PRIVATE | 2 | **0**：False。<br />**1**：True。此属性指示未经身份验证的用户是否可以列出密钥的属性。由于 CloudHSM PKCS\#11 提供程序当前不支持公有会话，所有密钥（包括公有/私有密钥对中的公有密钥）的此属性设置为 1。 | 
| OBJ\_ATTR\_SENSITIVE | 259 | **0**：False。公有私有密钥对中的公有密钥。<br />**1**：True。 | 
| OBJ\_ATTR\_SIGN | 264 | **0**：False。<br />**1**：True。密钥可用于签名 (私有密钥)。 | 
| OBJ\_ATTR\_TOKEN | 1 | **0**：False。会话密钥。<br />**1**：True。永久密钥。 | 
| OBJ\_ATTR\_TRUSTED | 134 | **0**：False。<br />**1**：True。 | 
| OBJ\_ATTR\_UNWRAP | 263 | **0**：False。<br />**1**：True。密钥可用于解密密钥。 | 
| OBJ\_ATTR\_UNWRAP\_TEMPLATE | 1073742354 | 值应使用应用于使用此包装密钥解开包装的任何密钥的属性模板。 | 
| OBJ\_ATTR\_VALUE\_LEN | 353 | 密钥长度（字节）。 | 
| OBJ\_ATTR\_VERIFY | 266 | **0**：False。<br />**1**：True。密钥可用于验证 (公有密钥)。 | 
| OBJ\_ATTR\_WRAP | 262 | **0**：False。<br />**1**：True。密钥可用于加密密钥。 | 
| OBJ\_ATTR\_WRAP\_TEMPLATE | 1073742353 | 值应使用属性模板来匹配使用此包装密钥包装的密钥。 | 
| OBJ\_ATTR\_WRAP\_WITH\_TRUSTED | 528 | **0**：False。<br />**1**：True。 | 

## 其他详细信息
<a name="key-attribute-table-details"></a>

**密钥检查值 (KCV)**  
*密钥检查值* (KCV) 是 HSM 导入或生成密钥时所产生密钥的 3 字节哈希值或校验和。您也可以在 HSM 之外计算 KCV，例如导出密钥之后。然后，您可对比 KCV 值，以确认密钥的标识和完整性。若要获取密钥 KCV，请使用 [getAttribute](key_mgmt_util-getAttribute.md)。  
AWS CloudHSM 使用以下标准方法生成密钥检查值：  
+ **对称密钥**：密钥加密零块结果的前 3 个字节。
+ **非对称密钥对**：公钥 SHA-1 哈希值的前 3 个字节。
+ **HMAC 密钥**：目前不支持 HMAC 密钥 KCV。