Empaquetar una clave con RSA-PKCS mediante la CLI de CloudHSM
Use el comando key wrap rsa-pkcs de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave pública RSA en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado RSA-PKCS
. El atributo extractable
de la clave de carga útil se debe establecer en true
.
Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.
Para usar el comando key wrap rsa-pkcs, primero debe tener una clave RSA en el clúster de su AWS CloudHSM. Puede generar un par de claves RSA mediante el comando La categoría generate-asymmetric-pair en la CLI de CloudHSM con el atributo wrap
establecido en true
.
Tipo de usuario
Los tipos de usuarios siguientes pueden ejecutar este comando.
-
Usuarios de criptografía (CU)
Requisitos
-
Para ejecutar este comando, debe iniciar sesión como CU.
Sintaxis
aws-cloudhsm >
help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [
<PAYLOAD_FILTER>
...] --wrapping-filter [<WRAPPING_FILTER>
...] Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path<PATH>
Path to the binary file where the wrapped key data will be saved -h, --help Print help
Ejemplo
En el ejemplo, se muestra cómo usar el comando key wrap rsa-pkcs mediante una clave pública RSA.
aws-cloudhsm >
key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{ "error_code": 0, "data": { "payload_key_reference": "0x00000000001c08f1", "wrapping_key_reference": "0x00000000007008da", "wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg==" }
Argumentos
<CLUSTER_ID>
-
El ID del clúster en el que se va a ejecutar esta operación.
Obligatorio: si se han configurado varios clústeres.
<PAYLOAD_FILTER>
-
Referencia de clave (por ejemplo,
key-reference=0xabc
) o lista de atributos clave separados por espacios en forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
para seleccionar una clave de carga útil.Obligatorio: sí
<PATH>
-
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.
Requerido: no
<WRAPPING_FILTER>
-
Referencia de clave (por ejemplo,
key-reference=0xabc
) o lista de atributos clave separados por espacios en forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
para seleccionar una clave de empaquetado.Obligatorio: sí