Benutzertyp Syntax Beispiele Argumente Verwandte Themen

Listet die Schlüssel auf, die ein AWS CloudHSM Krypto-Benutzer besitzt, indem CMU

Verwenden Sie den findAllKeys Befehl in AWS CloudHSM cloudhsm_mgmt_util (CMU), um die Schlüssel abzurufen, die ein bestimmter Crypto-Benutzer (CU) besitzt oder teilt. AWS CloudHSM Der Befehl gibt auch einen Hash der Benutzerdaten auf jedem der. HSMs Sie können den Hash verwenden, um auf einen Blick festzustellen, ob die Benutzer-, Schlüsseleigentums- und Schlüsselfreigabedaten für alle HSMs im Cluster identisch sind. In der Ausgabe werden die Schlüssel, die dem Benutzer gehören, von (o) mit Anmerkungen versehen, und gemeinsam genutzte Schlüssel werden von (s) kommentiert.

findAllKeysgibt öffentliche Schlüssel nur zurück, wenn die angegebene CU Eigentümer des Schlüssels ist, obwohl alle CUs Benutzer jeden beliebigen öffentlichen Schlüssel verwenden HSM können. Dieses Verhalten unterscheidet sich von findKeykey_mgmt_util, das öffentliche Schlüssel für alle CU-Benutzer zurückgibt.

Nur Kryptobeauftragte (COsundPCOs) und Appliance-Benutzer (AUs) können diesen Befehl ausführen. Crypto-Benutzer (CUs) können die folgenden Befehle ausführen:

listUsersum alle Benutzer zu finden
findKeyin key_mgmt_util, um die Schlüssel zu finden, die sie verwenden können
getKeyInfoin key_mgmt_util, um den Besitzer und die gemeinsamen Benutzer eines bestimmten Schlüssels zu finden, den sie besitzen oder gemeinsam nutzen

Bevor Sie einen CMU Befehl ausführen, müssen Sie den starten CMU und sich dort anmelden. HSM Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.

Wenn Sie etwas hinzufügen oder löschenHSMs, aktualisieren Sie die Konfigurationsdateien fürCMU. Andernfalls sind die Änderungen, die Sie vornehmen, möglicherweise nicht für alle Mitglieder HSMs des Clusters wirksam.

Benutzertyp

Die folgenden Benutzer können diesen Befehl ausführen.

Krypto-Offiziere (CO,PCO)
Appliance-Benutzer (Appliance User, AU)

Syntax

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.


findAllKeys <user id> <key hash (0/1)> [<output file>]

Beispiele

Diese Beispiele zeigen, wie Sie findAllKeys alle Schlüssel für einen Benutzer finden und einen Hash mit den wichtigsten Benutzerinformationen für jeden Benutzer abrufen könnenHSMs.

Beispiel : Suchen der Schlüssel für einen CU

In diesem Beispiel werden findAllKeys die Schlüssel in dem Verzeichnis gesuchtHSMs, das Benutzer 4 besitzt und gemeinsam nutzt. Der Befehl verwendet den Wert 0 für das zweite Argument, um den Hashwert zu unterdrücken. Da der optionale Dateiname weggelassen wird, führt der Befehl Schreibvorgänge in der Standardausgabe (stdout) aus.

Die Ausgabe zeigt, dass Benutzer 4 6 Schlüssel verwenden kann: 8, 9, 17, 262162, 19 und 31. Die Ausgabe verwendet ein (s), um Schlüssel anzugeben, die explizit vom Benutzer freigegeben werden. Die Schlüssel, die der Benutzer besitzt, werden durch ein (o) gekennzeichnet und umfassen symmetrische und private Schlüssel, die der Benutzer nicht freigibt, sowie öffentliche Schlüssel, die für alle Crypto-Benutzer verfügbar sind.


aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)

Beispiel : Sicherstellen, dass Benutzerdaten synchronisiert sind

In diesem Beispiel wird findAllKeys überprüft, ob alle HSMs im Cluster dieselben Werte für Benutzer, Schlüsselbesitz und gemeinsame Nutzung von Schlüsseln enthalten. Zu diesem Zweck wird jeweils ein Hash der wichtigsten Benutzerdaten abgerufen HSM und die Hashwerte verglichen.

Zum Abrufen des Schlüsselhashwerts verwendet der Befehl den Wert 1 für das zweite Argument. Der optionale Dateiname wird weggelassen, sodass der Befehl den Schlüsselhashwert in die Standardausgabe (stdout) schreibt.

Im Beispiel wird user angegeben6, aber der Hashwert ist derselbe für jeden Benutzer, der einen der Schlüssel auf dem besitzt oder teiltHSMs. Wenn der angegebene Benutzer keine Schlüssel besitzt oder gemeinsam verwendet, z. B. ein Verschlüsselungsverantwortlicher (CO), gibt der Befehl keinen Hashwert zurück.

Die Ausgabe zeigt, dass der Schlüssel-Hash mit beiden Hash HSMs im Cluster identisch ist. Wenn einer von ihnen unterschiedliche Benutzer, verschiedene Schlüsselinhaber oder verschiedene gemeinsame Benutzer HSM hätte, wären die Schlüssel-Hashwerte nicht identisch.


aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Dieser Befehl demonstriert, dass der Hashwert die Benutzerdaten für alle Schlüssel auf dem darstelltHSM. Der Befehl verwendet findAllKeys für Benutzer 3. Im Gegensatz zu Benutzer 6, der nur 3 Schlüssel besitzt oder gemeinsam verwendet, besitzt oder verwendet Benutzer 3 17 Schlüssel. Dennoch ist der Schlüsselhashwert identisch.


aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Argumente

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.


findAllKeys <user id> <key hash (0/1)> [<output file>]

<user id>

Ruft alle Schlüssel ab, die der Benutzer besitzt oder die für ihn freigegeben sind. Geben Sie die Benutzer-ID eines Benutzers auf dem einHSMs. Um den Benutzer IDs aller Benutzer zu finden, verwenden Sie listUsers.

Alle Benutzer IDs sind gültig, geben aber nur Schlüssel für Krypto-Benutzer findAllKeys zurück (CUs).

Erforderlich: Ja

<key hash>

Beinhaltet (1) oder schließt (0) einen Hash aus, der den Besitz des Benutzers und die gemeinsame Nutzung von Daten für alle Schlüssel in jedem HSM Schlüssel angibt.

Wenn das Argument user id einen Benutzer darstellt, der Schlüssel besitzt oder gemeinsam verwendet, ist der Schlüsselhashwert ausgefüllt. Der Schlüssel-Hashwert ist für alle Benutzer identisch, die Schlüssel für besitzen oder gemeinsam nutzenHSM, obwohl sie unterschiedliche Schlüssel besitzen und gemeinsam nutzen. Wenn user id jedoch einen Benutzer darstellt, der keine Schlüssel besitzt oder gemeinsam verwendet, z. B. einen Verschlüsselungsverantwortlichen (CO), wird der Hashwert nicht angegeben.

Erforderlich: Ja

<output file>

Schreibt die Ausgabe in die angegebene Datei.

Erforderlich: Nein

Standard: Stdout