Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Empaque una clave con RSA - AES usando Cloud HSM CLI
Usa el key wrap rsa-aes comando en Cloud HSM CLI para empaquetar una clave de carga utilizando una clave RSA pública en el módulo de seguridad del hardware (HSM) y el RSA mecanismo de empaquetado. AES El extractable
atributo de la clave de carga útil debe estar establecido en. true
Solo el propietario de una clave, es decir, el usuario criptográfico (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden utilizarla en operaciones criptográficas.
Para usar el key wrap rsa-aes comando, primero debe tener una RSA clave en el AWS CloudHSM clúster. Puede generar un RSA par de claves mediante el La generate-asymmetric-pair categoría en Cloud HSM CLI comando y el wrap
atributo establecidos en. true
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Usuarios de criptomonedas () CUs
Requisitos
-
Para ejecutar este comando, debe iniciar sesión como CU.
Sintaxis
aws-cloudhsm >
help key wrap rsa-aes
Usage: key wrap rsa-aes [OPTIONS] --payload-filter [
<PAYLOAD_FILTER>
...] --wrapping-filter [<WRAPPING_FILTER>
...] --hash-function<HASH_FUNCTION>
--mgf<MGF>
Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path<PATH>
Path to the binary file where the wrapped key data will be saved --hash-function<HASH_FUNCTION>
Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512] --mgf<MGF>
Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512] -h, --help Print help
Ejemplo
En este ejemplo se muestra cómo utilizar el key wrap rsa-ae comando mediante una clave RSA pública con el valor del wrap
atributo establecido entrue
.
aws-cloudhsm >
key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{ "error_code": 0, "data": { "payload-key-reference": "0x00000000001c08f1", "wrapping-key-reference": "0x00000000007008da", "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg==" } }
Argumentos
<CLUSTER_ID>
-
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han configurado varios clústeres.
<PAYLOAD_FILTER>
-
Referencia clave (por ejemplo
key-reference=0xabc
) o lista de atributos clave separados por espacios en forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
para seleccionar una clave de carga útil.Obligatorio: sí
<PATH>
-
Ruta al archivo binario donde se guardarán los datos clave empaquetados.
Obligatorio: no
<WRAPPING_FILTER>
-
Referencia clave (por ejemplo
key-reference=0xabc
) o lista de atributos clave separados por espacios en forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
para seleccionar una clave de ajuste.Obligatorio: sí
<MGF>
-
Especifica la función de generación de máscaras.
nota
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos
mgf1-sha1
mgf1-sha224
mgf1-sha256
mgf1-sha384
mgf1-sha512
Obligatorio: sí