key share - AWS CloudHSM
Tipo de usuarioRequisitosSintaxisEjemplo: compartir una clave con otro CUArgumentosTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

key share

El key share comando comparte una clave con otras CU AWS CloudHSM del clúster.

Solo el CU que ha creado la clave (y, por tanto, la posee) puede compartirla. Los usuarios con quien se comparte la clave pueden utilizar la clave en operaciones criptográficas, pero no pueden exportarla ni eliminarla ni tampoco pueden compartirla o dejar de compartirla con otros usuarios. Además, estos usuarios no pueden cambiar los atributos de clave.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Usuarios de criptografía (CU)

Requisitos

Para ejecutar este comando, debe iniciar sesión como CU.

Sintaxis

aws-cloudhsm > help key share
Share a key in the HSM cluster with another user

Usage: key share --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for sharing

      --username <USERNAME>
          A username with which the key will be shared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

  -h, --help
          Print help (see a summary with '-h')

Ejemplo: compartir una clave con otro CU

El siguiente ejemplo muestra cómo usar el comando key share para compartir una clave con el CU alice.

  1. Ejecute el comando key share para compartir la clave con alice.

    aws-cloudhsm > key share --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
{
  "error_code": 0,
  "data": {
    "message": "Key shared successfully"
  }
}

  2. Ejecute el comando key list.

    aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x00000000001c0686",
        "key-info": {
          "key-owners": [
            {
              "username": "cu3",
              "key-coverage": "full"
            }
          ],
          "shared-users": [
            {
              "username": "cu2",
              "key-coverage": "full"
            },
            {
              "username": "cu1",
              "key-coverage": "full"
            },
            {
              "username": "cu4",
              "key-coverage": "full"
            },
            {
              "username": "cu5",
              "key-coverage": "full"
            },
            {
              "username": "cu6",
              "key-coverage": "full"
            },
            {
              "username": "cu7",
              "key-coverage": "full"
            },
            {
              "username": "alice",
              "key-coverage": "full"
            }
          ],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "rsa",
          "label": "rsa_key_to_share",
          "id": "",
          "check-value": "0xae8ff0",
          "class": "private-key",
          "encrypt": false,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 1219,
          "public-exponent": "0x010001",
          "modulus": "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",
          "modulus-size-bits": 2048
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. En la lista anterior, compruebe que alice aparece en la lista de shared-users

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<FILTER>

Referencia clave (por ejemplokey-reference=0xabc) o lista de atributos clave separados por espacios en forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para seleccionar una clave coincidente para su eliminación.

Para obtener una lista de los atributos de clave compatibles, consulte Atributos clave de la nube HSM CLI.

Obligatorio: sí

<USERNAME>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_). En este comando, el nombre de usuario no distingue entre mayúsculas y minúsculas; el nombre de usuario siempre se muestra en minúsculas.

Obligatorio: sí

<ROLE>

Especifica el rol asignado a este usuario. Este parámetro es obligatorio. Para obtener el rol del usuario, ejecute el comando user list. Para obtener información detallada sobre los tipos de usuario en un HSM, consulte Más información sobre los usuarios de HSM.

Obligatorio: sí

Temas relacionados de