Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Annuler le partage d'une clé à l'aide du Cloud HSM CLI
Utilisez la key unshare commande dans le Cloud HSM CLI pour annuler le partage d'une clé avec d'autres membres CUs de votre AWS CloudHSM cluster.
Seul le CU qui a créé la clé et qui en est donc propriétaire peut annuler le partage de la clé. Les utilisateurs avec lesquels la clé est partagée peuvent utiliser la clé dans des opérations de chiffrement, mais ils ne peuvent pas l'exporter, la supprimer ni la partager ou annuler son partage avec d'autres utilisateurs. De plus, ces utilisateurs ne peuvent pas modifier les attributs de clé.
Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
-
Utilisateurs de cryptomonnaies (CUs)
Prérequis
Pour exécuter cette commande, vous devez être connecté en tant que CU.
Syntaxe
aws-cloudhsm >help key unshareUnshare a key in the HSM cluster with another user Usage: key unshare --filter [<FILTER>...] --username<USERNAME>--role<ROLE>Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for unsharing --username<USERNAME>A username with which the key will be unshared --role<ROLE>Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts -h, --help Print help (see a summary with '-h')
Exemple : annuler le partage d'une clé avec un autre CU
L'exemple suivant montre comment utiliser la commande key unshare pour annuler le partage d'une clé avec le CUalice.
-
Exécutez la commande key list et filtrez en fonction de la touche spécifique avec laquelle vous souhaitez annuler le partage avec
alice.aws-cloudhsm >key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, { "username": "alice", "key-coverage": "full" } ], "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } } -
Confirmez que
alicese trouve dans la sortieshared-userset exécutez la commande key unshare suivante pour annuler le partage de la clé avecalice.aws-cloudhsm >key unshare --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user{ "error_code": 0, "data": { "message": "Key unshared successfully" } } -
Exécutez à nouveau la commande
key listpour confirmer que la clé n'a pas été partagée avecalice.aws-cloudhsm >key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, ], "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } }
Arguments
<CLUSTER_ID>-
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été configurés.
<FILTER>-
Référence clé (par exemple,
key-reference=0xabc) ou liste d'attributs clés séparés par des espaces sous la forme deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEpour sélectionner une clé correspondante à supprimer.Pour obtenir la liste des attributs de clés pris en charge, consultez .Attributs clés du cloud HSM CLI
Obligatoire : oui
<USERNAME>-
Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( _ ). Le nom d'utilisateur n’est pas sensible à la casse dans cette commande, il est toujours affiché en minuscules.
Obligatoire : oui
<ROLE>-
Spécifie le rôle attribué à cet utilisateur. Ce paramètre est obligatoire. Pour obtenir le rôle de l'utilisateur, utilisez la commande user list. Pour des informations détaillées sur les types d'utilisateurs sur unHSM, consultezHSMtypes d'utilisateurs pour le cloud HSM CLI.
Obligatoire : oui
Rubriques en relation
