Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Holen Sie sich die Benutzer eines AWS CloudHSM Schlüssels mit KMU
Verwenden Sie den getKeyInfo Befehl in AWS CloudHSM key_mgmt_util, um den Benutzer des Hardware-Sicherheitsmoduls (HSM) von Benutzern zurückzugeben, die den Schlüssel verwenden können, einschließlich IDs des Besitzers und der Crypto-Benutzer (CU), mit denen der Schlüssel geteilt wird. Wenn die Quorum-Authentifizierung für einen Schlüssel aktiviert ist, gibt getKeyInfo auch die Anzahl der Benutzer zurück, die kryptografische Operationen genehmigen müssen, von denen der Schlüssel verwendet wird. Sie können getKeyInfo nur auf Schlüsseln ausführen, die Ihnen gehören oder die für Sie freigegeben wurden.
Wenn Sie mit öffentlichen Schlüsseln getKeyInfo ausführen, wird nur der Besitzer des Schlüssels getKeyInfo zurückgegeben, obwohl alle Benutzer von den HSM öffentlichen Schlüssel verwenden können. Um den HSM Benutzer IDs von Benutzern in Ihrem System zu findenHSMs, verwenden Sie listUsers. Um die Schlüssel für einen bestimmten Benutzer zu finden, verwenden Sie findKey-u.
Ihren gehören die Schlüssel, die Sie erstellen. Sie können einen Schlüssel für andere Benutzer freigeben, wenn Sie ihn erstellen. Verwenden Sie anschließend in cloudhsm_mgmt_util, um einen vorhandenen Schlüssel zu teilen oder die Freigabe shareKeyaufzuheben.
Syntax
getKeyInfo -h getKeyInfo -k<key-handle>
Beispiele
Diese Beispiele veranschaulichen die Verwendung von getKeyInfo zum Abrufen von Informationen über die Benutzer eines Schlüssels.
Beispiel : Abfragen der Benutzer eines symmetrischen Schlüssels
Mit diesem Befehl werden die Benutzer abgerufen, die den (symmetrischen) Schlüssel mit dem Schlüsselnamen verwenden können. AES 9 Die Ausgabe zeigt, dass Benutzer 3 den Schlüssel besitzt und mit Benutzer 4 geteilt hat.
Command:getKeyInfo -k 9Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3 also, shared to following 1 user(s): 4
Beispiel : Abfragen der Benutzer eines asymmetrischen Schlüsselpaares
Diese Befehle werden verwendetgetKeyInfo, um die Benutzer zu ermitteln, die die Schlüssel in einem RSA (asymmetrischen) key pair verwenden können. Das Schlüssel-Handle des öffentlichen Schlüssels ist 21. Das Schlüssel-Handle des privaten Schlüssels ist 20.
Wenn Sie getKeyInfo den privaten Schlüssel (20) verwenden, werden der Schlüsselbesitzer (3) und die Krypto-Benutzer (CUs) 4 und 5 zurückgegeben, mit denen der Schlüssel geteilt wird.
Command:getKeyInfo -k 20Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3 also, shared to following 2 user(s): 4 5
Wenn Sie getKeyInfo auf dem öffentlichen Schlüssel (21) ausführen, wird nur der Schlüsseleigentümer (3) zurückgegeben.
Command:getKeyInfo -k 21Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3
Um zu bestätigen, dass Benutzer 4 den öffentlichen Schlüssel (und alle öffentlichen Schlüssel auf demHSM) verwenden kann, verwenden Sie den -u Parameter von findKey.
Die Ausgabe zeigt, dass Benutzer 4 sowohl den öffentlichen (21) als auch den privaten Schlüssel (20) im Schlüsselpaar verwenden kann. Benutzer 4 kann zudem alle anderen öffentlichen und privaten Schlüssel nutzen, die sie erstellt haben oder die für sie freigegeben wurden.
Command:findKey -u 4Total number of keys present 8 number of keys matched from start index 0::7 11, 12, 262159, 262161, 262162, 19, 20, 21 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
Beispiel : Abrufen des Quorum-Authentifizierungswerts (m_value) für einen Schlüssel
Mit diesem Beispiel wird gezeigt, wie der m_value für einen Schlüssel abgerufen werden kann, d. h. die Anzahl der Benutzer im Quorum, die alle kryptografischen Vorgänge genehmigen müssen, bei denen der Schlüssel verwendet wird.
Wenn die Quorum-Authentifizierung für einen Schlüssel aktiviert ist, muss das Quorum der Benutzer alle kryptografischen Operationen genehmigen, bei denen der Schlüssel verwendet wird. Zum Aktivieren der Quorum-Authentifizierung und Festlegen der Quorum-Größe nutzen Sie beim Erstellen des Schlüssels den Parameter -m_value.
Dieser Befehl verwendet genRSAKeyPair, um ein RSA key pair zu erstellen, das mit Benutzer 4 geteilt wird. Er verwendet den Parameter m_value zur Aktivierung der Quorum-Authentifizierung für den privaten Schlüssel im Paar und zur Festlegung der Quorum-Größe auf zwei Benutzer. Die Anzahl der Benutzer muss groß genug sein, um die erforderlichen Genehmigungen bereitstellen zu können.
Die Ausgabe zeigt, dass der Befehl den öffentlichen Schlüssel 27 und den privaten Schlüssel 28 erstellt hat.
Command:genRSAKeyPair -m 2048 -e 195193 -l rsa_mofn -id rsa_mv2 -u 4 -m_value 2Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS Cfm3GenerateKeyPair: public key handle: 27 private key handle: 28 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Dieser Befehl nutzt getKeyInfo zum Abrufen von Informationen über die Benutzer des privaten Schlüssels. Die Ausgabe zeigt, dass der Schlüssel im Besitz des Benutzers 3 ist und gemeinsam mit Benutzer 4 verwendet wird. Sie zeigt auch, dass ein Quorum von zwei Benutzern jede kryptografische Operation genehmigen muss, bei der der Schlüssel verwendet wird.
Command:getKeyInfo -k 28Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key
Parameter
- -h
-
Zeigt die Befehlszeilenhilfe für den Befehl an.
Erforderlich: Ja
- -k
-
Gibt das Schlüssel-Handle eines Schlüssels in der anHSM. Geben Sie das Schlüssel-Handle eines Schlüssels ein, den Sie besitzen oder teilen. Dieser Parameter muss angegeben werden.
Verwenden Sie den findKeyBefehl, um nach Tastenzugriffen zu suchen.
Erforderlich: Ja
Verwandte Themen
-
getKeyInfoin cloudhsm_mgmt_util
-
findAllKeysin cloudhsm_mgmt_util
