Obtenez des informations AWS CloudHSM utilisateur sur une clé en utilisant CMU - AWS CloudHSM
Type utilisateurSyntaxeExemplesArgumentsRubriques en relation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Obtenez des informations AWS CloudHSM utilisateur sur une clé en utilisant CMU

Utilisez la getKeyInfo commande du AWS CloudHSM key_mgmt_util (KMU) pour renvoyer l'utilisateur du module de sécurité matériel (HSM) aux utilisateurs autorisés à utiliser IDs la clé, y compris le propriétaire et les utilisateurs cryptographiques (CU) avec lesquels la clé est partagée. Lorsque l'authentification par quorum est activée sur une clé, getKeyInfo renvoie également le nombre d'utilisateurs qui doivent approuver les opérations de chiffrement qui utilisent la clé. Vous ne pouvez exécuter getKeyInfo que sur les clés que vous possédez et sur les clés que vous partagez.

Lorsque vous utilisez getKeyInfo des clés publiques, getKeyInfo seul le propriétaire de la clé est renvoyé, même si tous les utilisateurs HSM peuvent utiliser la clé publique. Pour trouver le HSM ou les utilisateurs IDs de votre siteHSMs, utilisez listUsers. Pour trouver les clés d'un utilisateur en particulier, utilisez-les findKey-udans key_mgmt_util. Les responsables de la cryptographie peuvent l'utiliser findAllKeysdans cloudhs_mgmt_util.

Vous possédez les clés que vous créez. Vous pouvez partager une clé avec d'autres utilisateurs lorsque vous la créez. Ensuite, pour partager ou annuler le partage d'une clé existante, utilisez-la shareKeydans cloudhlmmgmt_util.

Avant d'exécuter une CMU commande, vous devez démarrer CMU et vous connecter auHSM. Veillez à ce que le type d'utilisateur du compte que vous utilisez pour vous connecter puisse exécuter les commandes que vous prévoyez d'utiliser.

Si vous ajoutez ou supprimezHSMs, mettez à jour les fichiers de configuration pourCMU. Dans le cas contraire, les modifications que vous apportez risquent de ne pas être efficaces pour tous HSMs les membres du cluster.

Type utilisateur

Les types d'utilisateur suivants peuvent exécuter cette commande.

  • Utilisateurs de chiffrement (CU)

Syntaxe

getKeyInfo -k <key-handle> [<output file>]

Exemples

Ces exemples montrent comment utiliser getKeyInfo pour obtenir des informations sur les utilisateurs d'une clé.

Exemple : Obtention des utilisateurs pour une clé asymétrique

Cette commande permet d'obtenir les utilisateurs qui peuvent utiliser la touche AES (asymétrique) avec un manche. 262162 La sortie indique que l'utilisateur 3 possède la clé et la partage avec les utilisateurs 4 et 6.

Seuls les utilisateurs 3, 4 et 6 peuvent exécuter getKeyInfo sur la clé 262162. 

aws-cloudhsm>getKeyInfo 262162
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
Exemple : Obtention des utilisateurs pour une paire de clés symétrique

Ces commandes permettent getKeyInfo d'obtenir les utilisateurs qui peuvent utiliser les clés dans une paire de clés ECC (symétrique). La clé publique dispose du handle de clé 262179. La clé privée dispose du handle de clé 262177.

Lorsque vous exécutez getKeyInfo la clé privée (262177), elle renvoie le propriétaire de la clé (3) et les utilisateurs cryptographiques (CUs) 4, avec lesquels la clé est partagée. 

aws-cloudhsm>getKeyInfo -k 262177
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4

Lorsque vous exécutez getKeyInfo sur la clé publique (262179), la commande renvoie uniquement le propriétaire de la clé, l'utilisateur 3. 

aws-cloudhsm>getKeyInfo -k 262179
Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

Pour confirmer que l'utilisateur 4 peut utiliser la clé publique (et toutes les clés publiques qui s'y trouventHSM), utilisez le -u paramètre findKeyin key_mgmt_util.

La sortie indique que l'utilisateur 4 peut utiliser la clé publique (262179) et la clé privée (262177) dans la paire de clés. L'utilisateur 4 peut également utiliser toutes les autres clés publiques et clés privées qu'il a créées ou qu'il a partagées. 

Command:  findKey -u 4

Total number of keys present 8

 number of keys matched from start index 0::7
11, 12, 262159, 262161, 262162, 19, 20, 21, 262177, 262179

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
Exemple : Obtention de la valeur d'authentification par quorum (m_value) pour une clé

Cet exemple montre comment obtenir la valeur m_value pour une clé. La valeur m_value correspond au nombre d'utilisateurs du quorum qui doivent approuver toutes les opérations de chiffrement qui utilisent la clé et toutes les opérations de partage et d'annulation de partage.

Lorsque l'authentification par quorum est activée sur une clé, un quorum d'utilisateurs doit approuver toutes les opérations de chiffrement qui utilisent la clé. Pour activer l'authentification par quorum et définir la taille de quorum, utilisez le paramètre -m_value lorsque vous créez la clé.

Cette commande permet genSymKeyde créer une AES clé de 256 bits partagée avec l'utilisateur 4. Elle utilise le paramètre m_value pour activer l'authentification par quorum et définir la taille du quorum sur deux utilisateurs. Le nombre d'utilisateurs doit être suffisamment grand pour fournir les approbations requises.

La sortie montre que la commande a créé la clé 10.

 Command:  genSymKey -t 31 -s 32 -l aes256m2 -u 4 -m_value 2

        Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 10

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Cette commande utilise getKeyInfo dans cloudhsm_mgmt_util pour obtenir des informations sur les utilisateurs de la clé 10. La sortie indique que la clé est détenue par l'utilisateur 3 et partagée avec l'utilisateur 4. Elle indique également qu'un quorum de deux utilisateurs doit approuver chaque opération de chiffrement qui utilise la clé.

aws-cloudhsm>getKeyInfo 10

Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key

Arguments

Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.

getKeyInfo -k <key-handle> <output file>
<handle-clé>

Spécifie le manche d'une touche duHSM. Entrez le handle de clé d'une clé qui vous appartient ou que vous partagez. Ce paramètre est obligatoire.

Obligatoire : oui

<fichier de sortie>

Écrit la sortie sur le fichier spécifié, à la place de stdout. Si le fichier existe, la commande le remplace sans avertissement.

Obligatoire : non

Par défaut : stdout

Rubriques en relation