Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Generieren Sie einen symmetrischen AES Schlüssel mit Cloud HSM CLI
Verwenden Sie den key generate-symmetric aes Befehl in Cloud HSMCLI, um einen symmetrischen AES Schlüssel in Ihrem AWS CloudHSM Cluster zu generieren.
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Crypto-Benutzer () CUs
Voraussetzungen
Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
Syntax
aws-cloudhsm >
help key generate-symmetric aes
Generate an AES key Usage: key generate-symmetric aes [OPTIONS] --label
<LABEL>
--key-length-bytes<KEY_LENGTH_BYTES>
Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --label<LABEL>
Label for the key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends --key-length-bytes<KEY_LENGTH_BYTES>
Key length in bytes --attributes [<KEY_ATTRIBUTES>
...] Space separated list of key attributes to set for the generated AES key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE -h, --help Print help
Beispiele
Diese Beispiele zeigen, wie der key generate-symmetric aes Befehl verwendet wird, um einen AES Schlüssel zu erstellen.
Beispiel: Erstellen Sie einen AES Schlüssel
aws-cloudhsm >
key generate-symmetric aes \ --label example-aes \ --key-length-bytes 24
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000002e06bf", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "session" }, "attributes": { "key-type": "aes", "label": "example-aes", "id": "", "check-value": "0x9b94bd", "class": "secret-key", "encrypt": false, "decrypt": false, "token": false, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 24 } } } }
Beispiel: Erstellen Sie einen AES Schlüssel mit optionalen Attributen
aws-cloudhsm >
key generate-symmetric aes \ --label example-aes \ --key-length-bytes 24 \ --attributes decrypt=true encrypt=true
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000002e06bf", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "session" }, "attributes": { "key-type": "aes", "label": "example-aes", "id": "", "check-value": "0x9b94bd", "class": "secret-key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 24 } } } }
Argumente
<CLUSTER_ID>
-
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster konfiguriert wurden.
<KEY_ATTRIBUTES>
-
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten AES Schlüssel festgelegt werden sollen, in der Form von
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(z. B.token=true
).Eine Liste der unterstützten Schlüsselattribute finden Sie unter Schlüsselattribute für Cloud HSM CLI.
Erforderlich: Nein
<KEY-LENGTH-BYTES>
-
Gibt die Schlüssellänge in Byte an.
Zulässige Werte:
16, 24 und 32
Erforderlich: Ja
<LABEL>
-
Gibt eine benutzerdefinierte Bezeichnung für den AES Schlüssel an. Die maximal zulässige Größe
label
beträgt 127 Zeichen für Client SDK 5.11 und höher. Client SDK 5.10 und früher hat ein Limit von 126 Zeichen.Erforderlich: Ja
<SESSION>
-
Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.
Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.
Standardmäßig handelt es sich bei den generierten Schlüsseln um persistente (Token-)Schlüssel. Die Eingabe von < SESSION > ändert dies und stellt sicher, dass es sich bei einem mit diesem Argument generierten Schlüssel um einen (kurzlebigen) Sitzungsschlüssel handelt.
Erforderlich: Nein