Buat daftar kunci yang dimiliki pengguna AWS CloudHSM kripto CMU - AWS CloudHSM
Jenis penggunaSintaksContohPendapatTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat daftar kunci yang dimiliki pengguna AWS CloudHSM kripto CMU

Gunakan findAllKeys perintah di AWS CloudHSM cloudhsm_mgmt_util (CMU) untuk mendapatkan kunci yang dimiliki atau dibagikan oleh pengguna kripto tertentu (CU). AWS CloudHSM Perintah ini juga mengembalikan hash dari data pengguna pada masing-masing. HSMs Anda dapat menggunakan hash untuk menentukan sekilas apakah pengguna, kepemilikan kunci, dan data berbagi kunci sama pada semua HSMs di cluster. Dalam output, kunci yang dimiliki oleh pengguna dianotasi oleh (o) dan kunci bersama dianotasi oleh (s).

findAllKeysmengembalikan kunci publik hanya ketika CU yang ditentukan memiliki kunci, meskipun semua CUs di HSM dapat menggunakan kunci publik apa pun. Perilaku ini berbeda dari findKeydi key_mgmt_util, yang mengembalikan kunci publik untuk semua pengguna CU.

Hanya petugas kripto (COsdanPCOs) dan pengguna alat (AUs) yang dapat menjalankan perintah ini. Pengguna Crypto (CUs) dapat menjalankan perintah berikut:

  • listUsersuntuk menemukan semua pengguna

  • findKeydi key_mgmt_util untuk menemukan kunci yang dapat mereka gunakan

  • getKeyInfodi key_mgmt_util untuk menemukan pemilik dan pengguna bersama dari kunci tertentu yang mereka miliki atau bagikan

Sebelum Anda menjalankan CMU perintah apa pun, Anda harus memulai CMU dan masuk ke fileHSM. Pastikan Anda masuk dengan tipe pengguna yang dapat menjalankan perintah yang Anda rencanakan untuk digunakan.

Jika Anda menambah atau menghapusHSMs, perbarui file konfigurasi untukCMU. Jika tidak, perubahan yang Anda buat mungkin tidak efektif untuk semua HSMs di cluster.

Jenis pengguna

Pengguna berikut dapat menjalankan perintah berikut.

  • Petugas Crypto (CO,PCO)

  • Pengguna peralatan (AU)

Sintaks

Karena perintah ini tidak memiliki parameter bernama, Anda harus memasukkan argumen dalam urutan yang ditentukan dalam diagram sintaks.

findAllKeys <user id> <key hash (0/1)> [<output file>]

Contoh

Contoh-contoh ini menunjukkan cara menggunakan findAllKeys untuk menemukan semua kunci untuk pengguna dan mendapatkan hash informasi pengguna kunci pada HSMs masing-masing.

contoh : Temukan kunci untuk CU

Contoh ini digunakan findAllKeys untuk menemukan kunci di pengguna HSMs yang dimiliki dan dibagikan 4. Perintah menggunakan nilai 0 untuk argumen kedua untuk menekan nilai hash. Karena menghilangkan nama file opsional, perintah menulis ke stdout (output standar).

Output menunjukkan bahwa pengguna 4 dapat menggunakan 6 kunci: 8, 9, 17, 262162, 19, dan 31. Output menggunakan (s) untuk menunjukkan kunci yang secara eksplisit dibagi oleh pengguna. Kunci yang dimiliki pengguna ditunjukkan oleh (o) dan termasuk kunci simetris dan privat yang tidak bagi pengguna, dan kunci publik yang tersedia untuk semua pengguna kripto. 

aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)
contoh : Verifikasi bahwa data pengguna disinkronkan

Contoh ini digunakan findAllKeys untuk memverifikasi bahwa semua HSMs dalam cluster berisi pengguna yang sama, kepemilikan kunci, dan nilai berbagi kunci. Untuk melakukan ini, ia mendapat hash dari data pengguna kunci pada masing-masing HSM dan membandingkan nilai hash.

Untuk mendapatkan hash kunci, perintah menggunakan nilai 1 dalam argumen kedua. Nama file opsional dihilangkan, sehingga perintah menulis hash kunci untuk stdout.

Contoh menentukan pengguna6, tetapi nilai hash akan sama untuk setiap pengguna yang memiliki atau berbagi salah satu kunci pada. HSMs Jika pengguna tertentu tidak memiliki atau berbagi kunci apa pun, seperti CO, perintah tidak mengembalikan nilai hash.

Output menunjukkan bahwa hash kunci identik dengan kedua HSMs di cluster. Jika salah satu dari HSM mereka memiliki pengguna yang berbeda, pemilik kunci yang berbeda, atau pengguna bersama yang berbeda, nilai hash kunci tidak akan sama.

aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Perintah ini menunjukkan bahwa nilai hash mewakili data pengguna untuk semua kunci pada. HSM Perintah menggunakan findAllKeys untuk pengguna 3. Tidak seperti pengguna 6, yang memiliki atau berbagi hanya 3 kunci, pengguna 3 memiliki atau berbeagi 17 kunci, tetapi nilai hash kunci adalah sama.

aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Pendapat

Karena perintah ini tidak memiliki parameter bernama, Anda harus memasukkan argumen dalam urutan yang ditentukan dalam diagram sintaks.

findAllKeys <user id> <key hash (0/1)> [<output file>]
<user id>

Mendapat semua kunci yang pengguna tertentu miliki atau bagikan. Masukkan ID pengguna pengguna di fileHSMs. Untuk menemukan pengguna IDs dari semua pengguna, gunakan listUsers.

IDsSemua pengguna valid, tetapi findAllKeys mengembalikan kunci hanya untuk pengguna kripto (CUs).

Wajib: Ya

<key hash>

Termasuk (1) atau mengecualikan (0) hash dari kepemilikan pengguna dan berbagi data untuk semua kunci di masing-masing. HSM

Saat argumen user id mewakili pengguna yang memiliki atau berbagi kunci, hash kunci diisi. Nilai hash kunci identik untuk semua pengguna yang memiliki atau berbagi kunci padaHSM, meskipun mereka memiliki dan berbagi kunci yang berbeda. Namun, ketika user id mewakili pengguna yang tidak memiliki atau berbagi kunci apa pun, seperti CO, nilai hash tidak diisi.

Wajib: Ya

<output file>

Menulis output ke file yang ditentukan.

Wajib: Tidak

Default: Stdout

Topik terkait