Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Dejar de compartir una clave mediante Cloud HSM CLI
Usa el key unshare comando en Cloud HSM CLI para dejar de compartir una clave con otras personas de tu CUs AWS CloudHSM clúster.
Solo el CU que ha creado la clave (y, por tanto, la posee) puede dejar de compartirla. Los usuarios con quien se comparte la clave pueden utilizar la clave en operaciones criptográficas, pero no pueden exportarla ni eliminarla ni tampoco pueden compartirla o dejar de compartirla con otros usuarios. Además, estos usuarios no pueden cambiar los atributos de clave.
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Usuarios de criptomonedas () CUs
Requisitos
Para ejecutar este comando, debe iniciar sesión como CU.
Sintaxis
aws-cloudhsm >
help key unshare
Unshare a key in the HSM cluster with another user Usage: key unshare --filter [
<FILTER>
...] --username<USERNAME>
--role<ROLE>
Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for unsharing --username<USERNAME>
A username with which the key will be unshared --role<ROLE>
Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts -h, --help Print help (see a summary with '-h')
Ejemplo: dejar de compartir una clave con otro CU
El siguiente ejemplo muestra cómo usar el comando key unshare para dejar de compartir una clave con el CU alice
.
-
Ejecute el comando key list y filtre la clave específica que desea dejar de compartir con
alice
.aws-cloudhsm >
key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, { "username": "alice", "key-coverage": "full" } ], "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } }
-
Confirme que
alice
aparece en los resultados deshared-users
y ejecute el comando key unshare para dejar de compartir la clave conalice
.aws-cloudhsm >
key unshare --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
{ "error_code": 0, "data": { "message": "Key unshared successfully" } }
-
Vuelva a ejecutar el comando
key list
para confirmar que la clave ha dejado de compartirse conalice
.aws-cloudhsm >
key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, ], "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } }
Argumentos
<CLUSTER_ID>
-
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han configurado varios clústeres.
<FILTER>
-
Referencia clave (por ejemplo
key-reference=0xabc
) o lista de atributos clave separados por espacios en forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
para seleccionar una clave coincidente para eliminarla.Para obtener una lista de los atributos de clave compatibles, consulte Atributos clave de la nube HSM CLI.
Obligatorio: sí
<USERNAME>
-
Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_). En este comando, el nombre de usuario no distingue entre mayúsculas y minúsculas; el nombre de usuario siempre se muestra en minúsculas.
Obligatorio: sí
<ROLE>
-
Especifica el rol asignado a este usuario. Este parámetro es obligatorio. Para obtener el rol del usuario, ejecute el comando user list. Para obtener información detallada sobre los tipos de usuario de unaHSM, consulteHSMtipos de usuarios para Cloud HSM CLI.
Obligatorio: sí