Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Partager une clé à l'aide du Cloud HSM CLI
Utilisez la key share commande dans le Cloud HSM CLI pour partager une clé avec d'autres CUs membres de votre AWS CloudHSM cluster.
Seul le CU qui a créé la clé et qui en est donc propriétaire peut partager la clé. Les utilisateurs avec lesquels la clé est partagée peuvent utiliser la clé dans des opérations de chiffrement, mais ils ne peuvent pas l'exporter, la supprimer ni la partager ou annuler son partage avec d'autres utilisateurs. De plus, ces utilisateurs ne peuvent pas modifier les attributs de clé.
Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
-
Utilisateurs de cryptomonnaies (CUs)
Prérequis
Pour exécuter cette commande, vous devez être connecté en tant que CU.
Syntaxe
aws-cloudhsm >help key shareShare a key in the HSM cluster with another user Usage: key share --filter [<FILTER>...] --username<USERNAME>--role<ROLE>Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for sharing --username<USERNAME>A username with which the key will be shared --role<ROLE>Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts --approval<APPROVAL>Filepath of signed quorum token file to approve operation -h, --help Print help (see a summary with '-h')
Exemple : partager une clé avec un autre CU
L'exemple suivant montre comment utiliser la commande key share pour partager une clé avec le CU alice.
-
Exécutez la commande key share pour partager la clé avec
alice.aws-cloudhsm >key share --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user{ "error_code": 0, "data": { "message": "Key shared successfully" } } -
Exécutez la commande key list.
aws-cloudhsm >key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, { "username": "alice", "key-coverage": "full" } ], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } } -
Dans la liste ci-dessus, vérifiez que
alicese trouve dans la liste desshared-users
Arguments
<CLUSTER_ID>-
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été configurés.
<FILTER>-
Référence clé (par exemple,
key-reference=0xabc) ou liste d'attributs clés séparés par des espaces sous la forme deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEpour sélectionner une clé correspondante à supprimer.Pour obtenir la liste des attributs de clés pris en charge, consultez .Attributs clés du cloud HSM CLI
Obligatoire : oui
<USERNAME>-
Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ). Le nom d'utilisateur n’est pas sensible à la casse dans cette commande, il est toujours affiché en minuscules.
Obligatoire : oui
<ROLE>-
Spécifie le rôle attribué à cet utilisateur. Ce paramètre est obligatoire. Pour obtenir le rôle de l'utilisateur, utilisez la commande user list. Pour des informations détaillées sur les types d'utilisateurs sur unHSM, consultezTypes d'utilisateurs HSM pour la CLI CloudHSM.
Obligatoire : oui
<APPROVAL>-
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé est supérieure à 1.
Rubriques en relation
