Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Generieren Sie mit Cloud einen symmetrischen generischen geheimen Schlüssel HSM CLI
Verwenden Sie den key generate-asymmetric-pair Befehl in Cloud HSMCLI, um einen symmetrischen Generic Secret-Schlüssel in Ihrem AWS CloudHSM Cluster zu generieren.
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Crypto-Benutzer () CUs
Voraussetzungen
Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
Syntax
aws-cloudhsm >
key help generate-symmetric generic-secret
Generate a generic secret key Usage: key generate-symmetric generic-secret [OPTIONS] --label
<LABEL>
--key-length-bytes<KEY_LENGTH_BYTES>
Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --label<LABEL>
Label for the key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends --key-length-bytes<KEY_LENGTH_BYTES>
Key length in bytes --attributes [<KEY_ATTRIBUTES>
...] Space separated list of key attributes to set for the generated generic secret key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE -h, --help Print help
Beispiele
Diese Beispiele zeigen, wie Sie den key generate-symmetric generic-secret-Befehl verwenden, um einen generischen geheimen Schlüssel zu erstellen.
Beispiel: Erstellen Sie einen generischen geheimen Schlüssel
aws-cloudhsm >
key generate-symmetric generic-secret \ --label example-generic-secret \ --key-length-bytes 256
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000002e08fd", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "session" }, "attributes": { "key-type": "generic-secret", "label": "example-generic-secret", "id": "", "class": "secret-key", "encrypt": false, "decrypt": false, "token": false, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 256 } } } }
Beispiel: Erstellen Sie einen generischen geheimen Schlüssel mit optionalen Attributen
aws-cloudhsm >
key generate-symmetric generic-secret \ --label example-generic-secret \ --key-length-bytes 256 \ --attributes token=true encrypt=true
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000002e08fd", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "session" }, "attributes": { "key-type": "generic-secret", "label": "example-generic-secret", "id": "", "class": "secret-key", "encrypt": true, "decrypt": false, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 256 } } } }
Argumente
<CLUSTER_ID>
-
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster konfiguriert wurden.
<KEY_ATTRIBUTES>
-
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten AES Schlüssel festgelegt werden sollen, in der Form von
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(z. B.token=true
).Eine Liste der unterstützten Schlüsselattribute finden Sie unter Schlüsselattribute für Cloud HSM CLI.
Erforderlich: Nein
<KEY-LENGTH-BYTES>
-
Gibt die Schlüssellänge in Byte an.
Zulässige Werte:
1 bis 800
Erforderlich: Ja
<LABEL>
-
Gibt eine benutzerdefinierte Bezeichnung für den generischen geheimen Schlüssel an. Die maximal zulässige Größe
label
beträgt 127 Zeichen für Client SDK 5.11 und höher. Client SDK 5.10 und früher hat ein Limit von 126 Zeichen.Erforderlich: Ja
<SESSION>
-
Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.
Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.
Standardmäßig handelt es sich bei den generierten Schlüsseln um persistente (Token-)Schlüssel. Die Eingabe von < SESSION > ändert dies und stellt sicher, dass es sich bei einem mit diesem Argument generierten Schlüssel um einen (kurzlebigen) Sitzungsschlüssel handelt.
Erforderlich: Nein