Générez une clé secrète générique symétrique avec Cloud HSM CLI - AWS CloudHSM
Type utilisateurPrérequisSyntaxeExemplesArgumentsRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Générez une clé secrète générique symétrique avec Cloud HSM CLI

Utilisez la key generate-asymmetric-pair commande dans Cloud HSM CLI pour générer une clé secrète générique symétrique dans votre AWS CloudHSM cluster.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

  • Utilisateurs de cryptomonnaies (CUs)

Prérequis

Pour exécuter cette commande, vous devez être connecté en tant que CU.

Syntaxe

aws-cloudhsm > key help generate-symmetric generic-secret
Generate a generic secret key

Usage: key generate-symmetric generic-secret [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated generic secret key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
  -h, --help
          Print help

Exemples

Ces exemples montrent comment utiliser la commande key generate-symmetric generic-secret pour créer une clé secrète générique.

Exemple : création d'une clé secrète générique
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
Exemple : création d'une clé secrète générique avec des attributs facultatifs
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256 \
--attributes token=true encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}

Arguments

<CLUSTER_ID>

ID du cluster sur lequel exécuter cette opération.

Obligatoire : si plusieurs clusters ont été configurés.

<KEY_ATTRIBUTES>

Spécifie une liste séparée par des espaces d'attributs clés à définir pour la AES clé générée sous la forme KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (par exemple,token=true).

Pour obtenir la liste des attributs de clés pris en charge, consultez Attributs clés du cloud HSM CLI.

Obligatoire : non

<KEY-LENGTH-BYTES>

Spécifie la taille de la clé en octets.

Valeurs valides :

  • 1 à 800

Obligatoire : oui

<LABEL>

Spécifie une étiquette définie par l'utilisateur pour la clé secrète générique. La taille maximale autorisée label est de 127 caractères pour Client SDK 5.11 et versions ultérieures. Le client SDK 5.10 et les versions antérieures ont une limite de 126 caractères.

Obligatoire : oui

<SESSION>

Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.

Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.

Par défaut, les clés générées sont des clés persistantes (jetons). La transmission de < SESSION > change cela, garantissant qu'une clé générée avec cet argument est une clé de session (éphémère).

Obligatoire : non

Rubriques en relation