Dejar de compartir una clave mediante Cloud HSM CLI - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Dejar de compartir una clave mediante Cloud HSM CLI

Usa el key unshare comando en Cloud HSM CLI para dejar de compartir una clave con otras personas de tu CUs AWS CloudHSM clúster.

Solo el CU que ha creado la clave (y, por tanto, la posee) puede dejar de compartirla. Los usuarios con quien se comparte la clave pueden utilizar la clave en operaciones criptográficas, pero no pueden exportarla ni eliminarla ni tampoco pueden compartirla o dejar de compartirla con otros usuarios. Además, estos usuarios no pueden cambiar los atributos de clave.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Usuarios de criptomonedas () CUs

Requisitos

Para ejecutar este comando, debe iniciar sesión como CU.

Sintaxis

aws-cloudhsm > help key unshare Unshare a key in the HSM cluster with another user Usage: key unshare --filter [<FILTER>...] --username <USERNAME> --role <ROLE> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for unsharing --username <USERNAME> A username with which the key will be unshared --role <ROLE> Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts -h, --help Print help (see a summary with '-h')

Ejemplo: dejar de compartir una clave con otro CU

El siguiente ejemplo muestra cómo usar el comando key unshare para dejar de compartir una clave con el CU alice.

  1. Ejecute el comando key list y filtre la clave específica que desea dejar de compartir con alice.

    aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, { "username": "alice", "key-coverage": "full" } ], "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } }
  2. Confirme que alice aparece en los resultados de shared-users y ejecute el comando key unshare para dejar de compartir la clave con alice.

    aws-cloudhsm > key unshare --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user { "error_code": 0, "data": { "message": "Key unshared successfully" } }
  3. Vuelva a ejecutar el comando key list para confirmar que la clave ha dejado de compartirse con alice.

    aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, ], "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } }

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<FILTER>

Referencia clave (por ejemplokey-reference=0xabc) o lista de atributos clave separados por espacios en forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para seleccionar una clave coincidente para eliminarla.

Para obtener una lista de los atributos de clave compatibles, consulte Atributos clave de la nube HSM CLI.

Obligatorio: sí

<USERNAME>

Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (_). En este comando, el nombre de usuario no distingue entre mayúsculas y minúsculas; el nombre de usuario siempre se muestra en minúsculas.

Obligatorio: sí

<ROLE>

Especifica el rol asignado a este usuario. Este parámetro es obligatorio. Para obtener el rol del usuario, ejecute el comando user list. Para obtener información detallada sobre los tipos de usuario de unaHSM, consulteHSMtipos de usuarios para Cloud HSM CLI.

Obligatorio: sí

Temas relacionados de