Dapatkan nilai atribut AWS CloudHSM kunci menggunakan CMU - AWS CloudHSM
Jenis penggunaSintaksContohPendapatTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dapatkan nilai atribut AWS CloudHSM kunci menggunakan CMU

Gunakan getAttribute perintah di AWS CloudHSM cloudhsm_mgmt_util (CMU) untuk mendapatkan satu nilai atribut untuk kunci dari semua modul keamanan perangkat keras (HSM) di AWS CloudHSM cluster dan menuliskannya ke stdout (output standar) atau ke file. Hanya pengguna crypto (CUs) yang dapat menjalankan perintah ini.

Atribut Kunci adalah properti dari kunci. Properti tersebut termasuk karakteristik, seperti jenis kunci, kelas, label, dan ID, dan nilai-nilai yang mewakili tindakan yang dapat Anda lakukan pada kunci, seperti mengenkripsi, mendekripsi, membungkus, menandatangani, dan memverifikasi.

Anda dapat menggunakan getAttribute hanya pada tombol yang Anda miliki dan kunci yang dibagikan dengan Anda. Anda dapat menjalankan perintah ini atau getAttributeperintah di key_mgmt_util, yang menulis satu atau semua nilai atribut kunci ke file.

Untuk mendapatkan daftar atribut dan konstanta yang mewakili mereka, gunakan listAttributesperintah. Untuk mengubah nilai atribut kunci yang ada, gunakan di key_mgmt_util dan setAttributedi cloudhsm_mgmt_util. setAttribute Untuk membantu menafsirkan atribut kunci, lihat AWS CloudHSM referensi atribut kunci untuk KMU.

Sebelum Anda menjalankan CMU perintah apa pun, Anda harus memulai CMU dan masuk ke fileHSM. Pastikan Anda masuk dengan tipe pengguna yang dapat menjalankan perintah yang Anda rencanakan untuk digunakan.

Jika Anda menambah atau menghapusHSMs, perbarui file konfigurasi untukCMU. Jika tidak, perubahan yang Anda buat mungkin tidak efektif untuk semua HSMs di cluster.

Jenis pengguna

Pengguna berikut dapat menjalankan perintah berikut.

  • Pengguna kripto (CU)

Sintaks

Karena perintah ini tidak memiliki parameter bernama, Anda harus memasukkan argumen dalam urutan yang ditentukan dalam diagram sintaks.

getAttribute <key handle> <attribute id> [<filename>]

Contoh

Contoh ini mendapatkan nilai atribut yang dapat diekstrak untuk kunci di. HSMs Anda dapat menggunakan perintah seperti ini untuk menentukan apakah Anda dapat mengekspor kunci dariHSMs.

Perintah pertama digunakan listAttributesuntuk menemukan konstanta yang mewakili atribut yang dapat diekstraksi. Output menunjukkan bahwa konstanta untuk OBJ_ATTR_EXTRACTABLE adalah 354. Anda juga dapat menemukan informasi ini dengan deskripsi atribut dan nilai-nilainya dalam AWS CloudHSM referensi atribut kunci untuk KMU.

aws-cloudhsm> listAttributes

Following are the possible attribute values for getAttribute:

      OBJ_ATTR_CLASS                  = 0
      OBJ_ATTR_TOKEN                  = 1
      OBJ_ATTR_PRIVATE                = 2
      OBJ_ATTR_LABEL                  = 3
      OBJ_ATTR_TRUSTED                = 134
      OBJ_ATTR_KEY_TYPE               = 256
      OBJ_ATTR_ID                     = 258
      OBJ_ATTR_SENSITIVE              = 259
      OBJ_ATTR_ENCRYPT                = 260
      OBJ_ATTR_DECRYPT                = 261
      OBJ_ATTR_WRAP                   = 262
      OBJ_ATTR_UNWRAP                 = 263
      OBJ_ATTR_SIGN                   = 264
      OBJ_ATTR_VERIFY                 = 266
      OBJ_ATTR_DERIVE                 = 268
      OBJ_ATTR_LOCAL                  = 355
      OBJ_ATTR_MODULUS                = 288
      OBJ_ATTR_MODULUS_BITS           = 289
      OBJ_ATTR_PUBLIC_EXPONENT        = 290
      OBJ_ATTR_VALUE_LEN              = 353
      OBJ_ATTR_EXTRACTABLE            = 354
      OBJ_ATTR_NEVER_EXTRACTABLE      = 356
      OBJ_ATTR_ALWAYS_SENSITIVE       = 357
      OBJ_ATTR_DESTROYABLE            = 370
      OBJ_ATTR_KCV                    = 371
      OBJ_ATTR_WRAP_WITH_TRUSTED      = 528      
      OBJ_ATTR_WRAP_TEMPLATE          = 1073742353
      OBJ_ATTR_UNWRAP_TEMPLATE        = 1073742354
      OBJ_ATTR_ALL                    = 512

Perintah kedua digunakan getAttribute untuk mendapatkan nilai atribut yang dapat diekstrak untuk kunci dengan pegangan kunci 262170 diHSMs. Untuk menentukan atribut yang dapat diekstrak, perintah menggunakan 354, konstanta yang mewakili atribut. Karena perintah tidak menentukan nama file, getAttribute menulis output ke stdout.

Output menunjukkan bahwa nilai atribut yang dapat diekstraksi adalah 1 pada semua. HSM Nilai ini menunjukkan bahwa pemilik kunci dapat mengekspornya. Ketika nilainya 0 (0x0), itu tidak dapat diekspor dari. HSMs Anda menetapkan nilai atribut yang dapat diekstrak ketika Anda membuat kunci, tetapi Anda tidak dapat mengubahnya.

aws-cloudhsm> getAttribute 262170 354

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_EXTRACTABLE
0x00000001

Attribute Value on server 1(10.0.1.12):
OBJ_ATTR_EXTRACTABLE
0x00000001

Attribute Value on server 2(10.0.1.7):
OBJ_ATTR_EXTRACTABLE
0x00000001

Pendapat

Karena perintah ini tidak memiliki parameter bernama, Anda harus memasukkan argumen dalam urutan yang ditentukan dalam diagram sintaks.

getAttribute <key handle> <attribute id> [<filename>]
<key-handle>

Menentukan handel kunci dari kunci target. Anda hanya dapat menentukan satu kunci pada setiap perintah. Untuk mendapatkan pegangan kunci kunci, gunakan findKeydi key_mgmt_util.

Anda harus memiliki kunci tertentu atau kunci itu harus dibagi dengan Anda. Untuk menemukan pengguna kunci, gunakan getKeyInfodi key_mgmt_util.

Wajib: Ya

<attribute id>

Mengidentifikasi atribut. Masukkan konstanta yang mewakili atribut, atau 512, yang mewakili semua atribut. Sebagai contoh, untuk mendapatkan jenis kunci, masukkan 256, yang merupakan konstanta untuk atribut OBJ_ATTR_KEY_TYPE.

Untuk daftar atribut dan konstanta mereka, gunakan listAttributes. Untuk membantu menafsirkan atribut kunci, lihat AWS CloudHSM referensi atribut kunci untuk KMU.

Wajib: Ya

<filename>

Menulis output ke file yang ditentukan. Masukkan jalur file.

Jika file yang ditentukan ada, getAttribute menimpa file tanpa peringatan.

Wajib: Tidak

Default: Stdout

Topik terkait