Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Exporter une AWS CloudHSM clé à l'aide de KMU
<a name="key_mgmt_util-wrapKey"></a>

Utilisez la **wrapKey** commande du AWS CloudHSM key\$1mgmt\$1util pour exporter une copie chiffrée d'une clé symétrique ou privée depuis le module de sécurité matérielle (HSM) vers un fichier. Lorsque vous exécutez **wrapKey**, vous spécifiez la clé à exporter, une clé sur le module HSM pour chiffrer (encapsuler) la clé à exporter et le fichier de sortie.

La commande `wrapKey` écrit la clé chiffrée dans un fichier que vous spécifiez, mais elle ne supprime pas la clé du HSM ou ne vous empêche pas de l'utiliser dans des opérations de chiffrement. Vous pouvez exporter la même clé plusieurs fois. 

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur de chiffrement (CU) ayant créé la clé, peut l'exporter. Les utilisateurs qui partagent la clé peut l'utiliser dans des opérations de chiffrement, mais ne peuvent pas l'exporter.

Pour réimporter la clé chiffrée dans le HSM, utilisez [unWrapKey](key_mgmt_util-unwrapKey.md). Pour exporter une clé en texte brut depuis un HSM, utilisez [exSymKey](key_mgmt_util-exSymKey.md)ou selon [exportPrivateKey](key_mgmt_util-exportPrivateKey.md)le cas. La [aesWrapUnwrap](key_mgmt_util-aesWrapUnwrap.md)commande ne peut pas déchiffrer (déballer) les clés chiffrées**wrapKey**.

Avant d'exécuter une commande key\$1mgmt\$1util, vous devez [démarrer key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) et vous [connecter](key_mgmt_util-log-in.md) au HSM en tant qu'utilisateur de chiffrement (CU). 

## Syntaxe
<a name="wrapKey-syntax"></a>

```
wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]
```

## Exemple
<a name="wrapKey-examples"></a>

**Example**  
Cette commande permet d'exporter une clé symétrique Triple DES (3DES) 192 bits (handle de clé `7`). Elle utilise une clé AES 256 bits dans le module HSM (handle de clé `14`) pour encapsuler la clé `7`. Ensuite, elle écrit la clé 3DES chiffrée dans le fichier `3DES-encrypted.key`.  
La sortie indique que la clé `7` (clé 3DES) a été correctement encapsulée et écrite dans le fichier spécifié. La clé chiffrée est longue de 307 octets.  

```
        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
```

## Parameters
<a name="wrapKey-params"></a>

**-h**  
Affiche l'aide concernant la commande.   
Obligatoire : oui

**-k**  
Poignée de clé de la clé que vous souhaitez exporter. Saisissez le handle de clé d'une clé symétrique ou privée qui vous appartient. Pour trouver des handles de clé, utilisez la commande [findKey](key_mgmt_util-findKey.md).  
Pour vérifier qu'une clé peut être exportée, utilisez la commande [getAttribute](key_mgmt_util-getAttribute.md) pour obtenir la valeur de l'attribut `OBJ_ATTR_EXTRACTABLE`, représentée par la constante `354`. Pour obtenir de l'aide sur l'interprétation des attributs de clé, consultez le [AWS CloudHSM référence d'attribut clé pour KMU](key-attribute-table.md).  
De même, vous pouvez exporter uniquement les clés qui vous appartiennent. Pour trouver le propriétaire d'une clé, utilisez la [getKeyInfo](key_mgmt_util-getKeyInfo.md)commande.  
Obligatoire : oui

**-s, sem**  
Spécifie la clé d'encapsulage. Entrez le handle d'une clé AES ou RSA sur le HSM. Ce paramètre est obligatoire. Pour trouver des handles de clé, utilisez la commande [findKey](key_mgmt_util-findKey.md).  
Pour créer une clé d'encapsulation, [genSymKey](key_mgmt_util-genSymKey.md)utilisez-la pour générer une clé AES (type 31) ou [gen RSAKey Pair](key_mgmt_util-genRSAKeyPair.md) pour générer une paire de clés RSA (type 0). Si vous utilisez une paire de clés RSA, veillez à encapsuler la clé avec l'une des clés et à la désencapsuler avec l'autre. Pour déterminer si une clé peut être utilisée comme clé d'encapsulage, utilisez [getAttribute](key_mgmt_util-getAttribute.md) pour obtenir la valeur de l'attribut `OBJ_ATTR_WRAP`, représentée par la constante `262`.  
Obligatoire : oui

**-out**  
Chemin et nom du fichier de sortie. Lorsque la commande aboutit, ce fichier contient une copie chiffrée de la clé exportée. Si le fichier existe déjà, la commande le remplace sans avertissement.  
Obligatoire : oui

**-m**  
Valeur représentant le mécanisme d'encapsulage. CloudHSM prend en charge les mécanismes suivants :       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Obligatoire : oui  
Lorsque vous utilisez le mécanisme `RSA_OAEP` d'encapsulage, la taille de clé maximale que vous pouvez encapsuler est déterminée par le module de la clé RSA et la longueur du hachage spécifié comme suit : Taille maximale de la clé = (modulusLengthInoctets-2\$1 octets-2). hashLengthIn  
Lorsque vous utilisez le mécanisme d'encapsulage RSA\$1PKCS, la taille maximale de clé que vous pouvez encapsuler est déterminée par le module de la clé RSA comme suit : Taille maximale de la clé = (octets -11). modulusLengthIn

**-t**  
Valeur représentant l'algorithme de hachage. CloudHSM prend en charge les algorithmes suivants :      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Obligatoire : non

**-aad**  
Nom de fichier contenant `AAD`.  
Valide uniquement pour les mécanismes `AES_GCM` et `CLOUDHSM_AES_GCM`.
Obligatoire : non

**-noheader**  
Omet l’en-tête qui spécifie les [attributs de clés](key_mgmt_util-reference.md) spécifiques à CloudHSM. Utilisez ce paramètre *uniquement* si vous prévoyez de désencapsuler la clé à l'aide d'outils en dehors de key\$1mgmt\$1util.  
Obligatoire : non

**-i**  
Vecteur d'initialisation (IV) (valeur hexadécimale).  
Valide uniquement lorsqu'il est transmis avec le paramètre `-noheader` pour les mécanismes `CLOUDHSM_AES_KEY_WRAP` et `NIST_AES_WRAP`.
Obligatoire : non

**-iv\$1file**  
Fichier dans lequel vous voulez écrire la valeur IV obtenue en réponse.  
Valide uniquement lorsqu'il est transmis avec le paramètre `-noheader` pour le mécanisme `AES_GCM`.
Obligatoire : non

**-tag\$1size**  
Taille de l'étiquette à enregistrer avec le blob encapsulé.  
Valide uniquement lorsqu'il est transmis avec le paramètre `-noheader` pour les mécanismes `AES_GCM` et `CLOUDHSM_AES_GCM`. La taille minimale de la balise est de huit.
Obligatoire : non

[1] Conformément aux directives du NIST, cela n'est pas autorisé pour les clusters en mode FIPS après 2023. Pour les clusters en mode non FIPS, cela est toujours autorisé après 2023. Consultez [Conformité à la norme FIPS 140 : mécanisme 2024 rendu obsolète](compliance-dep-notif.md#compliance-dep-notif-1) pour plus de détails.

## Rubriques en relation
<a name="wrapKey-seealso"></a>
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)