本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 JCE for 擷取金鑰 AWS CloudHSM Java 密碼編譯延伸模組 (JCE) 使用允許插入不同密碼編譯實作的架構。 AWS CloudHSM 會運送其中一個 JCE 提供者,將密碼編譯操作卸載至 HSM。對於使用儲存在 AWS CloudHSM 中金鑰的其他大多數 JCE 提供者,他們必須將金鑰位元組以純文字形式從 HSM 擷取到機器的記憶體中以供使用。HSM 通常僅允許將金鑰擷取為包裝物件,而非純文字。不過,為了支援供應商間整合使用案例, AWS CloudHSM 允許選擇加入組態選項,以明確地擷取金鑰位元組。 **重要** 只要指定 AWS CloudHSM 供應商或使用 AWS CloudHSM 金鑰物件,JCE AWS CloudHSM 就會將操作卸載至 。如果您預期在 HSM 內進行作業,則您不需要以純文字形式擷取金鑰。當您的應用程式因第三方程式庫或 JCE 提供者的限制而無法使用安全機制 (例如,包裝和取消包裝金鑰) 時,僅需要以純文字形式擷取金鑰。 根據預設, AWS CloudHSM JCE 提供者允許擷取**公有金鑰**以使用外部 JCE 提供者。一律允許使用下列方法: | 類別 | Method | Format (getEncoded) | | --- | --- | --- | | EcPublicKey | getEncoded() | X.509 | | | getW() | N/A | | RSAPublicKey | getEncoded() | X.509 | | | getPublicExponent() | N/A | | CloudHsmRsaPrivateCrtKey | getPublicExponent() | N/A | 根據預設, AWS CloudHSM JCE 提供者不允許擷取**私有**或**私密**金鑰的清除金鑰位元組。如果您的使用案例需要,您可在下列情況下以純文字形式擷取**私用**金鑰或**秘密**金鑰的金鑰位元組: 1. 私用金鑰和秘密金鑰的 `EXTRACTABLE` 屬性設定為 **true**。 + 根據預設,私用金鑰和秘密金鑰的 `EXTRACTABLE` 屬性設定為 **true**。`EXTRACTABLE` 金鑰是允許從 HSM 匯出的金鑰。如需詳細資訊,請參閱 [Client SDK 5](java-lib-attributes_5.md) 支援的 Java 屬性。 1. 私用金鑰和私密金鑰的 `WRAP_WITH_TRUSTED` 屬性設定為 **false**。 + `getEncoded`、`getPrivateExponent` 和 `getS` 不能與無法以純文字形式匯出的私用金鑰搭配使用。`WRAP_WITH_TRUSTED` 不允許您的私用金鑰以純文字形式匯出 HSM。如需詳細資訊,請參閱[使用受信任的金鑰控制金鑰取消包裝](manage-keys-using-trusted-keys.md)。