Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden Sie den key unshare Befehl in der CloudHSM-CLI, um die gemeinsame Nutzung eines Schlüssels mit anderen CUs in Ihrem Cluster aufzuheben. AWS CloudHSM
Nur der CU, der den Schlüssel erstellt hat und somit Eigentümer des Schlüssels ist, kann das Teilen des Schlüssels aufheben. Benutzer, mit denen ein Schlüssel geteilt wird, können den Schlüssel für kryptografische Operationen verwenden, aber sie können den Schlüssel nicht löschen, exportieren, teilen oder das Teilen aufheben. Darüber hinaus können diese Benutzer Schlüsselattribute nicht ändern.
Benutzertyp
Die folgenden Benutzertypen können diesen Befehl ausführen.
-
Crypto-Benutzer () CUs
Voraussetzungen
Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.
Syntax
aws-cloudhsm >help key unshareUnshare a key in the HSM cluster with another user Usage: key unshare --filter [<FILTER>...] --username<USERNAME>--role<ROLE>Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for unsharing --username<USERNAME>A username with which the key will be unshared --role<ROLE>Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts --approval<APPROVAL>Filepath of signed quorum token file to approve operation -h, --help Print help (see a summary with '-h')
Beispiel: Die gemeinsame Nutzung eines Schlüssels mit einer anderen CU rückgängig machen
Das folgende Beispiel zeigt, wie Sie den key unshare-Befehl verwenden, um einen Schlüssel mit CU alice nicht mehr zu teilen.
-
Führen Sie den key list-Befehl aus und filtern Sie nach dem bestimmten Schlüssel, mit dem Sie das Teilen mit
alicebeenden möchten.aws-cloudhsm >key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, { "username": "alice", "key-coverage": "full" } ], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } } -
Bestätigen Sie, dass
alicein dershared-users-Ausgabe enthalten ist, und führen Sie den folgenden key unshare-Befehl aus, um das Teilen des Schlüssels mitaliceaufzuheben.aws-cloudhsm >key unshare --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user{ "error_code": 0, "data": { "message": "Key unshared successfully" } } -
Führen Sie den
key list-Befehl erneut aus, um zu bestätigen, dass das Teilen des Schlüssels mitaliceaufgehoben wurde.aws-cloudhsm >key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, ], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } }
Argumente
<CLUSTER_ID>-
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.
Erforderlich: Wenn mehrere Cluster konfiguriert wurden.
<FILTER>-
Schlüsselreferenz (z. B.
key-reference=0xabc) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Formattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE, dass ein passender Schlüssel zum Löschen ausgewählt werden soll.Eine Liste der unterstützten Schlüsselattribute finden Sie unter Schlüsselattribute für CloudHSM-CLI.
Erforderlich: Ja
<USERNAME>-
Gibt einen Anzeigenamen für den Benutzer an. Die maximale Länge beträgt 31 Zeichen. Das einzige zulässige Sonderzeichen ist ein Unterstrich (_). Beim Benutzernamen wird in diesem Befehl nicht zwischen Groß- und Kleinschreibung unterschieden, der Benutzername wird immer in Kleinbuchstaben angezeigt.
Erforderlich: Ja
<ROLE>-
Gibt die diesem Benutzer zugewiesene Rolle an. Dieser Parameter muss angegeben werden. Um die Rolle des Benutzers zu erfahren, verwenden Sie den Befehl user list. Ausführliche Informationen zu den Benutzertypen in einem HSM finden Sie unter HSM-Benutzertypen für CloudHSM CLI.
Erforderlich: Ja
<APPROVAL>-
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Schlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.
Verwandte Themen
