Replicación de una clave con la CLI de CloudHSM
Use el comando key replicate de la CLI de CloudHSM para replicar una clave de un clúster de origen del AWS CloudHSM a un clúster de destino del AWS CloudHSM.
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Administradores (CO)
-
Usuarios de criptografía (CU)
nota
Los usuarios criptográficos deben poseer la clave para usar este comando.
Requisitos
-
Los clústeres de origen y destino deben ser clones. Esto significa que uno se creó a partir de una copia de seguridad del otro o que ambos se crearon a partir de una copia de seguridad común. Para obtener más información, consulte Creación de clústeres a partir de las copias de seguridad.
-
El propietario de la clave debe existir en el clúster de destino. Además, si la clave se comparte con algún usuario, estos también deben existir en el clúster de destino.
-
Para ejecutar este comando, debe iniciar sesión como usuario criptográfico o administrador en los clústeres de origen y de destino.
En el modo de comando único, el comando usará las variables de entorno CLOUDHSM_PIN y CLOUDHSM_ROLE para autenticarse en el clúster de origen. Para obtener más información, consulte Modo de comando único. Para proporcionar las credenciales del clúster de destino, debe configurar dos variables de entorno adicionales: DESTINATION_CLOUDHSM_PIN y DESTINATION_CLOUDHSM_ROLE:
$export DESTINATION_CLOUDHSM_ROLE=role$export DESTINATION_CLOUDHSM_PIN=username:passwordEn el modo interactivo, los usuarios deberán iniciar sesión de forma explícita en los clústeres de origen y de destino.
Sintaxis
aws-cloudhsm >help key replicateReplicate a key from a source to a destination cluster Usage: key replicate --filter [<FILTER>...] --source-cluster-id <SOURCE_CLUSTER_ID> --destination-cluster-id <DESTINATION_CLUSTER_ID> Options: --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key on the source cluster --source-cluster-id <SOURCE_CLUSTER_ID> Source cluster ID --destination-cluster-id <DESTINATION_CLUSTER_ID> Destination cluster ID -h, --help Print help
Ejemplos
ejemplo Ejemplo: replicar clave
Este comando replica una clave de un clúster de origen a un clúster de destino clonado. En el siguiente ejemplo, se muestra el resultado cuando se inicia sesión como usuario criptográfico en ambos clústeres.
crypto-user-1@cluster-1234abcdefg >key replicate \ --filter attr.label=example-key \ --source-cluster-id cluster-1234abcdefg \ --destination-cluster-id cluster-2345bcdefgh{ "error_code": 0, "data": { "key": { "key-reference": "0x0000000000300006", "key-info": { "key-owners": [ { "username": "crypto-user-1", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "example-key", "id": "0x", "check-value": "0x5e118e", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": true, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } }, "message": "Successfully replicated key" } }
Argumentos
<FILTER>-
Referencia de clave (por ejemplo,
key-reference=0xabc) o lista de atributos clave separados por espacios en forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEpara seleccionar una clave coincidente en el clúster de origen.Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte Atributos de clave de la CLI de CloudHSM
Obligatorio: sí
<SOURCE_CLUSTER_ID>-
El ID del clúster de origen.
Obligatorio: sí
<DESTINATION_CLUSTER_ID>-
El ID del clúster de destino.
Obligatorio: sí
Temas relacionados de
