Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Déballez une clé à AES-NO-PAD l'aide de Cloud HSM CLI
Utilisez la key unwrap aes-no-pad commande dans Cloud HSM CLI pour désencapsuler une clé de charge utile dans le AWS CloudHSM cluster à l'aide de la clé AES d'encapsulation et du mécanisme de AES-NO-PAD
déballage.
Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur local
attribut est défini surfalse
.
Pour utiliser la key unwrap aes-no-pad commande, vous devez disposer de la clé AES d'encapsulation dans votre AWS CloudHSM cluster et son unwrap
attribut doit être défini surtrue
.
Type utilisateur
Les types d'utilisateur suivants peuvent exécuter cette commande.
-
Utilisateurs de cryptomonnaies (CUs)
Prérequis
-
Pour exécuter cette commande, vous devez être connecté en tant que CU.
Syntaxe
aws-cloudhsm >
help key unwrap aes-no-pad
Usage: key unwrap aes-no-pad [OPTIONS] --filter [
<FILTER>
...] --key-type-class<KEY_TYPE_CLASS>
--label<LABEL>
<--data-path<DATA_PATH>
|--data<DATA>
> Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with --data-path<DATA_PATH>
Path to the binary file containing the wrapped key data --data<DATA>
Base64 encoded wrapped key data --attributes [<UNWRAPPED_KEY_ATTRIBUTES>
...] Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key --share-crypto-users [<SHARE_CRYPTO_USERS;
...] Space separated list of Crypto User usernames to share the unwrapped key with --manage-key-quorum-value<MANAGE_KEY_QUORUM_VALUE;
The quorum value for key management operations for the unwrapped key --use-key-quorum-value<USE_KEY_QUORUM_VALUE;
The quorum value for key usage operations for the unwrapped key --key-type-class<KEY_TYPE_CLASS>
Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private] --label<LABEL>
Label for the unwrapped key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends --approval<APPROVAL>
Filepath of signed quorum token file to approve operation -h, --help Print help
Exemples
Ces exemples montrent comment utiliser la key unwrap aes-no-pad commande à l'aide d'une AES touche dont la valeur unwrap
d'attribut est définie surtrue
.
Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64
aws-cloudhsm >
key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data eXK3PMAOnKM9y3YX6brbhtMoC060EOH9
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ec", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Exemple : désencapsuler une clé de charge utile fournie via un chemin de données
aws-cloudhsm >
key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{ "error_code": 0, "data": { "key": { "key-reference": "0x00000000001c08ec", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "aes-unwrapped", "id": "0x", "check-value": "0x8d9099", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": false, "derive": false, "destroyable": true, "extractable": true, "local": false, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } } } }
Arguments
<CLUSTER_ID>
-
ID du cluster sur lequel exécuter cette opération.
Obligatoire : si plusieurs clusters ont été configurés.
<FILTER>
-
Référence clé (par exemple,
key-reference=0xabc
) ou liste séparée par des espaces d'attributs clés sous la forme deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
pour sélectionner une clé à utiliser pour le déballage.Obligatoire : oui
<DATA_PATH>
-
Chemin d'accès au fichier binaire contenant les données clés encapsulées.
Obligatoire : Oui (sauf si fourni via des données codées en Base64)
<DATA>
-
Données clés encapsulées codées en Base64.
Obligatoire : Oui (sauf indication contraire via le chemin de données)
<ATTRIBUTES>
-
Liste d'attributs clés séparés par des espaces sous la forme de
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
pour la clé encapsulée.Obligatoire : non
<KEY_TYPE_CLASS>
-
Type de clé et classe de clé encapsulée [valeurs possibles :
aes
,des3
,ec-private
,generic-secret
,rsa-private
].Obligatoire : oui
<LABEL>
-
Étiquette pour la clé déballée.
Obligatoire : oui
<SESSION>
-
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.
Obligatoire : non
<APPROVAL>
-
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.