Configurar los atributos de claves del AWS CloudHSM mediante la CMU
Use el comando setAttribute de la cloudhsm_mgmt_util del AWS CloudHSM para cambiar el valor de la etiqueta, cifrar, descifrar, empaquetar y desempaquetar atributos de una clave en los HSM. También puede utilizar el comando setAttribute de key_mgmt_util para convertir la clave de una sesión en una clave persistente. Solo puede cambiar los atributos de claves de su propiedad.
Para poder ejecutar cualquier comando de CMU, debe iniciar la CMU e iniciar sesión en el HSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.
Si agrega o elimina uno o varios HSM, actualice los archivos de configuración de la CMU. De lo contrario, es posible que los cambios que realice no se hagan efectivos para todos los HSM del clúster.
Tipo de usuario
Los usuarios siguientes pueden ejecutar este comando.
-
Usuarios de criptografía (CU)
Sintaxis
Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.
setAttribute<key handle><attribute id>
Ejemplo
En este ejemplo, se muestra cómo deshabilitar la funcionalidad de descifrar de una clave simétrica. Puede utilizar un comando como este para configurar una clave de encapsulamiento que debe poder encapsular y desencapsular otras claves, pero no cifrar ni descifrar datos.
El primer paso consiste en crear la clave de encapsulamiento. Este comando utiliza el comando genSymKey de key_mgmt_util para generar una clave simétrica AES de 256 bits. La salida muestra que la nueva clave tiene el identificador de clave 14.
$genSymKey -t 31 -s 32 -l aes256Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 14 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
A continuación, queremos confirmar el valor actual del atributo de descifrar. Para obtener el ID de atributo del atributo de descifrar, utilice listAttributes. La salida muestra que la constante que representa al atributo OBJ_ATTR_DECRYPT es 261. Para obtener ayuda para interpretar los atributos de clave, consulte la Referencia de atributos de claves de AWS CloudHSM para la KMU.
aws-cloudhsm>listAttributesFollowing are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512
Para obtener el valor actual del atributo de descifrado de la clave 14, el siguiente comando utiliza getAttribute en cloudhsm_mgmt_util.
La salida muestra que el valor del atributo de descifrar es verdadera (1) en ambos HSM del clúster.
aws-cloudhsm>getAttribute 14 261Attribute Value on server 0(10.0.0.1): OBJ_ATTR_DECRYPT 0x00000001 Attribute Value on server 1(10.0.0.2): OBJ_ATTR_DECRYPT 0x00000001
Este comando utiliza setAttribute para cambiar el valor del atributo de descifrado (atributo 261) de la clave 14 a 0. Esto desactiva la funcionalidad de descifrar en la clave.
La salida muestra que el comando se ha ejecutado correctamente en ambos HSM del clúster.
aws-cloudhsm>setAttribute 14 261 0*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?ysetAttribute success on server 0(10.0.0.1) setAttribute success on server 1(10.0.0.2)
El comando final repite el comando getAttribute. En este caso también obtiene el atributo de descifrar (atributo 261) de la clave 14.
Ahora la salida muestra que el valor del atributo de descifrar es falso (0) en ambos HSM del clúster.
aws-cloudhsm>getAttribute 14 261 Attribute Value on server 0(10.0.3.6): OBJ_ATTR_DECRYPT 0x00000000 Attribute Value on server 1(10.0.1.7): OBJ_ATTR_DECRYPT 0x00000000
Argumentos
setAttribute<key handle><attribute id>
- <key-handle>
-
Especifica el identificador de una clave de su propiedad. Puede especificar una única clave en cada comando. Para obtener el identificador de una clave, use findKey en key_mgmt_util. Para encontrar los usuarios de una clave, use getKeyInfo.
Obligatorio: sí
- <attribute id>
-
Especifica la constante que representa el atributo que desea cambiar. Puede especificar un único atributo en cada comando. Para obtener los atributos y sus valores enteros, utilice listAttributes. Para obtener ayuda para interpretar los atributos de clave, consulte la Referencia de atributos de claves de AWS CloudHSM para la KMU.
Valores válidos:
-
3.
OBJ_ATTR_LABEL -
134
OBJ_ATTR_TRUSTED -
260:
OBJ_ATTR_ENCRYPT. -
261:
OBJ_ATTR_DECRYPT. -
262:
OBJ_ATTR_WRAP. -
263:
OBJ_ATTR_UNWRAP. -
264:
OBJ_ATTR_SIGN. -
266
OBJ_ATTR_VERIFY -
268
OBJ_ATTR_DERIVE -
370
OBJ_ATTR_DESTROYABLE -
528
OBJ_ATTR_WRAP_WITH_TRUSTED -
1073742353:
OBJ_ATTR_WRAP_TEMPLATE -
1073742354:
OBJ_ATTR_UNWRAP_TEMPLATE
Obligatorio: sí
-
Temas relacionados de
setAttribute en key_mgmt_util
