Syntaxe Exemples Paramètres Rubriques en relation

Extraire une AWS CloudHSM clé en utilisant KMU

Utilisez la extractMaskedObject commande du AWS CloudHSM key_mgmt_util pour extraire une clé d'un module de sécurité matériel (HSM) et l'enregistrer dans un fichier en tant qu'objet masqué. Les objets masqués sont des objets clonés qui ne peuvent être utilisés qu'après leur réinsertion dans le cluster d'origine à l'aide de la commande insertMaskedObject. Vous pouvez insérer un objet masqué uniquement dans le cluster à partir duquel il a été généré, ou un clone de ce cluster. Cela inclut toutes les versions clonées du cluster générées en copiant une sauvegarde entre les régions et en utilisant cette sauvegarde pour créer un nouveau cluster.

Les objets masqués sont un moyen efficace pour décharger et synchroniser les clés, y compris les clés non extractibles (c'est-à-dire, les clés qui ont une valeur OBJ_ATTR_EXTRACTABLE de 0). Ainsi, les clés peuvent être synchronisées en toute sécurité entre les clusters associés dans différentes régions sans qu'il soit nécessaire de mettre à jour le fichier de AWS CloudHSM configuration.

Important

Lors de l'insertion, les objets masqués sont déchiffrés et obtiennent un handle de clé qui est différent du handle de clé de la clé d'origine. Un objet masqué inclut toutes les métadonnées associées à la clé d'origine, y compris les attributs, la propriété et le partage d'informations, et les paramètres de quorum. Si vous devez synchroniser les clés entre les clusters d'une application, utilisez-les plutôt syncKeydans le cloudhs_mgmt_util.

Avant d'exécuter une commande key_mgmt_util, vous devez démarrer key_mgmt_util et vous connecter au. HSM La commande extractMaskedObject peut être utilisée par l'utilisateur CU qui possède la clé ou un responsable CO.

Syntaxe


extractMaskedObject -h

extractMaskedObject -o <object-handle>
                    -out <object-file>

Exemples

Cet exemple montre comment extractMaskedObject extraire une clé d'un HSM objet masqué.

Exemple : Extraire un objet masqué

Cette commande extrait un objet masqué d'une touche dotée HSM d'un handle 524295 et l'enregistre sous la forme d'un fichier appelémaskedObj. Lorsque la commande aboutit, extractMaskedObject renvoie un message de réussite.


Command: extractMaskedObject -o 524295 -out maskedObj

Object was masked and written to file "maskedObj"

        Cfm3ExtractMaskedObject returned: 0x00 : HSM Return: SUCCESS

Paramètres

Cette commande accepte les paramètres suivants :

-h

Affiche l'aide de la ligne de commande pour la commande.

Obligatoire : oui

-o

Spécifie le handle de la clé à extraire en tant qu'objet masqué.

Obligatoire : oui

-out

Spécifie le nom du fichier dans lequel l'objet masqué sera enregistré.

Obligatoire : oui

Rubriques en relation

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

exSymKey

findKey