Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Cara menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM
<a name="wrap_keys_using_trusted"></a>

Untuk menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM, Anda harus menyelesaikan tiga langkah dasar:

1. Untuk kunci data yang Anda rencanakan untuk dibungkus dengan kunci tepercaya, atur `CKA_WRAP_WITH_TRUSTED` atributnya ke true.

1. Untuk kunci tepercaya yang Anda rencanakan untuk membungkus kunci data, atur `CKA_TRUSTED` atributnya ke true.

1. Gunakan kunci tepercaya untuk membungkus kunci data.

## Langkah 1: Atur kunci data `CKA_WRAP_WITH_TRUSTED` ke true
<a name="w2aac15c19c11b7"></a>

Untuk kunci data yang ingin Anda bungkus, pilih salah satu opsi berikut untuk mengatur `CKA_WRAP_WITH_TRUSTED` atribut kunci ke true. Melakukan hal ini membatasi kunci data sehingga aplikasi hanya dapat menggunakan kunci tepercaya untuk membungkusnya.

### Opsi 1: Jika menghasilkan kunci baru, atur `CKA_WRAP_WITH_TRUSTED` ke true
<a name="w2aac15c19c11b7b5"></a>

[Buat kunci menggunakan [PKCS \#11](pkcs11-library.md), [JCE, atau CloudHSM CLI](java-library.md).](cloudhsm_cli.md) Lihat contoh berikut untuk lebih jelasnya.

------
#### [ PKCS \#11 ]

Untuk menghasilkan kunci dengan PKCS \#11, Anda perlu menyetel `CKA_WRAP_WITH_TRUSTED` atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci `CK_ATTRIBUTE template` dan kemudian mengatur atribut ke true:

```
CK_BYTE_PTR label = "test_key";
CK_ATTRIBUTE template[] = {
        {CKA_WRAP_WITH_TRUSTED, &true_val,         sizeof(CK_BBOOL)},
        {CKA_LABEL,             label,             strlen(label)},
        ...
};
```

Untuk informasi selengkapnya, lihat [sampel publik kami yang mendemonstrasikan pembuatan kunci dengan PKCS \#11](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/generate).

------
#### [ JCE ]

Untuk menghasilkan kunci dengan JCE, Anda perlu mengatur `WRAP_WITH_TRUSTED` atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci `KeyAttributesMap` dan kemudian mengatur atribut ke true:

```
final String label = "test_key";
final KeyAttributesMap keySpec = new KeyAttributesMap();
keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true);
keySpec.put(KeyAttribute.LABEL, label);
...
```

Untuk informasi lebih lanjut, lihat [sampel publik kami yang mendemonstrasikan pembuatan kunci dengan JCE](https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-samples.html#java-samples-code_5).

------
#### [ CloudHSM CLI ]

Untuk menghasilkan kunci dengan CloudHSM CLI, Anda perlu mengatur atribut kunci ke true. `wrap-with-trusted` Lakukan ini dengan memasukkan `wrap-with-trusted=true` argumen yang sesuai untuk perintah pembuatan kunci:
+ Untuk kunci simetris, `wrap-with-trusted` tambahkan `attributes` argumen.
+ Untuk kunci publik, `wrap-with-trusted` tambahkan `public-attributes` argumen.
+ Untuk kunci pribadi, `wrap-with-trusted` tambahkan `private-attributes` argumen.

Untuk informasi selengkapnya tentang pembuatan key pair, lihat[generate-asymmetric-pairKategori di CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md).

Untuk informasi lebih lanjut tentang pembuatan kunci simetris, lihat[Kategori generate-simetris di CloudHSM CLI](cloudhsm_cli-key-generate-symmetric.md).

------

### Opsi 2: Jika menggunakan kunci yang ada, gunakan CloudHSM CLI untuk menyetelnya ke true `CKA_WRAP_WITH_TRUSTED`
<a name="w2aac15c19c11b7b7"></a>

Untuk menyetel `CKA_WRAP_WITH_TRUSTED` atribut kunci yang ada ke true, ikuti langkah-langkah berikut:

1. Gunakan [Masuk ke HSM menggunakan CloudHSM CLI](cloudhsm_cli-login.md) perintah untuk masuk sebagai pengguna kripto (CU).

1. Gunakan [Mengatur atribut kunci dengan CloudHSM CLI](cloudhsm_cli-key-set-attribute.md) perintah untuk mengatur `wrap-with-trusted` atribut kunci ke true.

   ```
   aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true
   {
     "error_code": 0,
     "data": {
       "message": "Attribute set successfully"
     }
   }
   ```

## Langkah 2: Atur kunci tepercaya `CKA_TRUSTED` ke true
<a name="w2aac15c19c11b9"></a>

Untuk membuat kunci menjadi kunci tepercaya, `CKA_TRUSTED` atributnya harus disetel ke true. Anda dapat menggunakan CloudHSM CLI atau CloudHSM Management Utility (CMU) untuk melakukan ini.
+ Jika menggunakan CloudHSM CLI untuk menyetel atribut kunci, lihat. `CKA_TRUSTED` [Tandai kunci sebagai tepercaya menggunakan CloudHSM CLI](manage-keys-cloudhsm-cli-trusted.md)
+ Jika menggunakan CMU untuk menyetel `CKA_TRUSTED` atribut kunci, lihat[Cara menandai kunci sebagai tepercaya dengan Utilitas AWS CloudHSM Manajemen](cloudhsm_using_trusted_keys_control_key_wrap.md).

## Langkah 3. Gunakan kunci tepercaya untuk membungkus kunci data
<a name="w2aac15c19c11c11"></a>

Untuk membungkus kunci data yang direferensikan di Langkah 1 dengan kunci tepercaya yang Anda tetapkan di Langkah 2, lihat tautan berikut untuk contoh kode. Masing-masing menunjukkan cara membungkus kunci.
+ [AWS CloudHSM Contoh PKCS \#11](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/wrapping)
+ [AWS CloudHSM Contoh JCE](https://github.com/aws-samples/aws-cloudhsm-jce-examples/tree/sdk5/src/main/java/com/amazonaws/cloudhsm/examples)