Empaquetar una clave con el CLOUDHSM-AES-GCM uso de Cloud HSM CLI - AWS CloudHSM
Tipo de usuarioRequisitosSintaxisEjemploArgumentosTemas relacionados de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Empaquetar una clave con el CLOUDHSM-AES-GCM uso de Cloud HSM CLI

Usa el key wrap cloudhsm-aes-gcm comando de Cloud HSM CLI para empaquetar una clave de carga mediante una AES clave del módulo de seguridad del hardware (HSM) y del CLOUDHSM-AES-GCM mecanismo de empaquetado. El atributo extractable de la clave de carga útil se debe establecer en true.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el key wrap cloudhsm-aes-gcm comando, primero debes tener una AES clave en tu AWS CloudHSM clúster. Puede generar una AES clave para empaquetarla con el Genera una AES clave simétrica con Cloud HSM CLI comando y el wrap atributo establecidos entrue.

Tipo de usuario

Los tipos de usuarios siguientes pueden ejecutar este comando.

  • Usuarios de criptomonedas (CUs)

Requisitos

  • Para ejecutar este comando, debe iniciar sesión como CU.

Sintaxis

aws-cloudhsm > help key wrap cloudhsm-aes-gcm
Usage: key wrap cloudhsm-aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help

Ejemplo

En este ejemplo se muestra cómo utilizar el key wrap cloudhsm-aes-gcm comando mediante una AES tecla.

aws-cloudhsm > key wrap cloudhsm-aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ"
  }
}

Argumentos

<CLUSTER_ID>

El ID del clúster en el que se va a ejecutar esta operación.

Obligatorio: si se han configurado varios clústeres.

<PAYLOAD_FILTER>

Referencia de clave (por ejemplo, key-reference=0xabc) o lista de atributos clave separados por espacios en forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para seleccionar una clave de carga útil.

Obligatorio: sí

<PATH>

Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.

Obligatorio: no

<WRAPPING_FILTER>

Referencia de clave (por ejemplo, key-reference=0xabc) o lista de atributos clave separados por espacios en forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE para seleccionar una clave de empaquetado.

Obligatorio: sí

<AAD>

AESGCMValor de datos autenticados adicionales (AAD), en hexadecimal.

Obligatorio: no

<TAG_LENGTH_BITS>

AESGCMlongitud de la etiqueta en bits.

Obligatorio: sí

<WRAPPING_APPROVALR>

Especifica la ruta de acceso a un archivo de token de quórum firmado para aprobar la operación de empaquetado de la clave. Solo es necesario si el valor de quórum del servicio de administración de claves de la clave de empaquetado es superior a 1.

<PAYLOAD_APPROVALR>

Especifica la ruta de acceso a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga es superior a 1.

Temas relacionados de