Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Untuk menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM, Anda harus menyelesaikan tiga langkah dasar:
Untuk kunci data yang Anda rencanakan untuk dibungkus dengan kunci tepercaya, atur
CKA_WRAP_WITH_TRUSTED
atributnya ke true.Untuk kunci tepercaya yang Anda rencanakan untuk membungkus kunci data, atur
CKA_TRUSTED
atributnya ke true.Gunakan kunci tepercaya untuk membungkus kunci data.
Langkah 1: Atur kunci data CKA_WRAP_WITH_TRUSTED
ke true
Untuk kunci data yang ingin Anda bungkus, pilih salah satu opsi berikut untuk mengatur CKA_WRAP_WITH_TRUSTED
atribut kunci ke true. Melakukan hal ini membatasi kunci data sehingga aplikasi hanya dapat menggunakan kunci tepercaya untuk membungkusnya.
Opsi 1: Jika menghasilkan kunci baru, atur CKA_WRAP_WITH_TRUSTED
ke true
Buat kunci menggunakan PKCS#11, JCE, atau Cloud HSM CLI. Lihat contoh berikut untuk lebih jelasnya.
Untuk menghasilkan kunci dengan PKCS #11, Anda perlu mengatur CKA_WRAP_WITH_TRUSTED
atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci CK_ATTRIBUTE template
dan kemudian mengatur atribut ke true:
CK_BYTE_PTR label = "test_key"; CK_ATTRIBUTE template[] = { {CKA_WRAP_WITH_TRUSTED, &true_val, sizeof(CK_BBOOL)}, {CKA_LABEL, label, strlen(label)}, ... };
Untuk informasi selengkapnya, lihat sampel publik kami yang mendemonstrasikan pembuatan kunci dengan PKCS #11
Opsi 2: Jika menggunakan kunci yang ada, gunakan Cloud HSM CLI untuk menyetelnya CKA_WRAP_WITH_TRUSTED
ke true
Untuk menyetel CKA_WRAP_WITH_TRUSTED
atribut kunci yang ada ke true, ikuti langkah-langkah berikut:
Gunakan Masuk ke HSM menggunakan Cloud HSM CLI perintah untuk masuk sebagai pengguna kripto (CU).
Gunakan Atur atribut kunci dengan Cloud HSM CLI perintah untuk mengatur
wrap-with-trusted
atribut kunci ke true.aws-cloudhsm >
key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true
{ "error_code": 0, "data": { "message": "Attribute set successfully" } }
Langkah 2: Atur kunci tepercaya CKA_TRUSTED
ke true
Untuk membuat kunci menjadi kunci tepercaya, CKA_TRUSTED
atributnya harus disetel ke true. Anda dapat menggunakan Cloud HSM CLI atau Cloud HSM Management Utility (CMU) untuk melakukan ini.
Jika menggunakan Cloud HSM CLI untuk menyetel
CKA_TRUSTED
atribut kunci, lihatTandai kunci sebagai tepercaya menggunakan Cloud HSM CLI.Jika menggunakan
CKA_TRUSTED
atribut CMU to set key, lihatCara menandai kunci sebagai tepercaya dengan Utilitas AWS CloudHSM Manajemen.
Langkah 3. Gunakan kunci tepercaya untuk membungkus kunci data
Untuk membungkus kunci data yang direferensikan di Langkah 1 dengan kunci tepercaya yang Anda tetapkan di Langkah 2, lihat tautan berikut untuk contoh kode. Masing-masing menunjukkan cara membungkus kunci.