Langkah 1: Atur kunci data CKA_WRAP_WITH_TRUSTED ke true Langkah 2: Atur kunci tepercaya CKA_TRUSTED ke true Langkah 3. Gunakan kunci tepercaya untuk membungkus kunci data

Cara menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM

Untuk menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM, Anda harus menyelesaikan tiga langkah dasar:

Untuk kunci data yang Anda rencanakan untuk dibungkus dengan kunci tepercaya, atur CKA_WRAP_WITH_TRUSTED atributnya ke true.
Untuk kunci tepercaya yang Anda rencanakan untuk membungkus kunci data, atur CKA_TRUSTED atributnya ke true.
Gunakan kunci tepercaya untuk membungkus kunci data.

Langkah 1: Atur kunci data `CKA_WRAP_WITH_TRUSTED` ke true

Untuk kunci data yang ingin Anda bungkus, pilih salah satu opsi berikut untuk mengatur CKA_WRAP_WITH_TRUSTED atribut kunci ke true. Melakukan hal ini membatasi kunci data sehingga aplikasi hanya dapat menggunakan kunci tepercaya untuk membungkusnya.

Opsi 1: Jika menghasilkan kunci baru, atur `CKA_WRAP_WITH_TRUSTED` ke true

Buat kunci menggunakan PKCS #11, JCE, atau CloudHSM CLI. Lihat contoh berikut untuk lebih jelasnya.

PKCS #11

Untuk menghasilkan kunci dengan PKCS #11, Anda perlu menyetel CKA_WRAP_WITH_TRUSTED atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci CK_ATTRIBUTE template dan kemudian mengatur atribut ke true:


CK_BYTE_PTR label = "test_key";
CK_ATTRIBUTE template[] = {
        {CKA_WRAP_WITH_TRUSTED, &true_val,         sizeof(CK_BBOOL)},
        {CKA_LABEL,             label,             strlen(label)},
        ...
};

Untuk informasi selengkapnya, lihat sampel publik kami yang mendemonstrasikan pembuatan kunci dengan PKCS #11.

JCE

Untuk menghasilkan kunci dengan JCE, Anda perlu mengatur WRAP_WITH_TRUSTED atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci KeyAttributesMap dan kemudian mengatur atribut ke true:


final String label = "test_key";
final KeyAttributesMap keySpec = new KeyAttributesMap();
keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true);
keySpec.put(KeyAttribute.LABEL, label);
...

Untuk informasi lebih lanjut, lihat sampel publik kami yang mendemonstrasikan pembuatan kunci dengan JCE.

CloudHSM CLI

Untuk menghasilkan kunci dengan CloudHSM CLI, Anda perlu mengatur atribut kunci ke true. wrap-with-trusted Lakukan ini dengan memasukkan wrap-with-trusted=true argumen yang sesuai untuk perintah pembuatan kunci:

Untuk kunci simetris, wrap-with-trusted tambahkan attributes argumen.
Untuk kunci publik, wrap-with-trusted tambahkan public-attributes argumen.
Untuk kunci pribadi, wrap-with-trusted tambahkan private-attributes argumen.

Untuk informasi selengkapnya tentang pembuatan key pair, lihat generate-asymmetric-pairKategori di CloudHSM CLI.

Untuk informasi lebih lanjut tentang pembuatan kunci simetris, lihatKategori generate-simetris di CloudHSM CLI.

Opsi 2: Jika menggunakan kunci yang ada, gunakan CloudHSM CLI untuk menyetelnya ke true `CKA_WRAP_WITH_TRUSTED`

Untuk menyetel CKA_WRAP_WITH_TRUSTED atribut kunci yang ada ke true, ikuti langkah-langkah berikut:

Gunakan Masuk ke HSM menggunakan CloudHSM CLI perintah untuk masuk sebagai pengguna kripto (CU).

Gunakan Mengatur atribut kunci dengan CloudHSM CLI perintah untuk mengatur wrap-with-trusted atribut kunci ke true.


aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true
{
  "error_code": 0,
  "data": {
    "message": "Attribute set successfully"
  }
}

Langkah 2: Atur kunci tepercaya `CKA_TRUSTED` ke true

Untuk membuat kunci menjadi kunci tepercaya, CKA_TRUSTED atributnya harus disetel ke true. Anda dapat menggunakan CloudHSM CLI atau CloudHSM Management Utility (CMU) untuk melakukan ini.

Jika menggunakan CloudHSM CLI untuk menyetel atribut kunci, lihat. CKA_TRUSTED Tandai kunci sebagai tepercaya menggunakan CloudHSM CLI
Jika menggunakan CMU untuk menyetel CKA_TRUSTED atribut kunci, lihatCara menandai kunci sebagai tepercaya dengan Utilitas AWS CloudHSM Manajemen.

Langkah 3. Gunakan kunci tepercaya untuk membungkus kunci data

Untuk membungkus kunci data yang direferensikan di Langkah 1 dengan kunci tepercaya yang Anda tetapkan di Langkah 2, lihat tautan berikut untuk contoh kode. Masing-masing menunjukkan cara membungkus kunci.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Atribut kunci tepercaya

Cara membuka kunci data dengan kunci tepercaya

Cara menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM

Langkah 1: Atur kunci data CKA_WRAP_WITH_TRUSTED ke true

Opsi 1: Jika menghasilkan kunci baru, atur CKA_WRAP_WITH_TRUSTED ke true

Opsi 2: Jika menggunakan kunci yang ada, gunakan CloudHSM CLI untuk menyetelnya ke true CKA_WRAP_WITH_TRUSTED

Langkah 2: Atur kunci tepercaya CKA_TRUSTED ke true

Langkah 3. Gunakan kunci tepercaya untuk membungkus kunci data

Langkah 1: Atur kunci data `CKA_WRAP_WITH_TRUSTED` ke true

Opsi 1: Jika menghasilkan kunci baru, atur `CKA_WRAP_WITH_TRUSTED` ke true

Opsi 2: Jika menggunakan kunci yang ada, gunakan CloudHSM CLI untuk menyetelnya ke true `CKA_WRAP_WITH_TRUSTED`

Langkah 2: Atur kunci tepercaya `CKA_TRUSTED` ke true