Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Cara menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM

Mode fokus
Cara menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM - AWS CloudHSM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk menggunakan kunci tepercaya untuk membungkus kunci data AWS CloudHSM, Anda harus menyelesaikan tiga langkah dasar:

  1. Untuk kunci data yang Anda rencanakan untuk dibungkus dengan kunci tepercaya, atur CKA_WRAP_WITH_TRUSTED atributnya ke true.

  2. Untuk kunci tepercaya yang Anda rencanakan untuk membungkus kunci data, atur CKA_TRUSTED atributnya ke true.

  3. Gunakan kunci tepercaya untuk membungkus kunci data.

Langkah 1: Atur kunci data CKA_WRAP_WITH_TRUSTED ke true

Untuk kunci data yang ingin Anda bungkus, pilih salah satu opsi berikut untuk mengatur CKA_WRAP_WITH_TRUSTED atribut kunci ke true. Melakukan hal ini membatasi kunci data sehingga aplikasi hanya dapat menggunakan kunci tepercaya untuk membungkusnya.

Opsi 1: Jika menghasilkan kunci baru, atur CKA_WRAP_WITH_TRUSTED ke true

Buat kunci menggunakan PKCS#11, JCE, atau Cloud HSM CLI. Lihat contoh berikut untuk lebih jelasnya.

PKCS #11

Untuk menghasilkan kunci dengan PKCS #11, Anda perlu mengatur CKA_WRAP_WITH_TRUSTED atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci CK_ATTRIBUTE template dan kemudian mengatur atribut ke true:

CK_BYTE_PTR label = "test_key"; CK_ATTRIBUTE template[] = { {CKA_WRAP_WITH_TRUSTED, &true_val, sizeof(CK_BBOOL)}, {CKA_LABEL, label, strlen(label)}, ... };

Untuk informasi selengkapnya, lihat sampel publik kami yang mendemonstrasikan pembuatan kunci dengan PKCS #11.

JCE

Untuk menghasilkan kunci denganJCE, Anda perlu mengatur WRAP_WITH_TRUSTED atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci KeyAttributesMap dan kemudian mengatur atribut ke true:

final String label = "test_key"; final KeyAttributesMap keySpec = new KeyAttributesMap(); keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true); keySpec.put(KeyAttribute.LABEL, label); ...

Untuk informasi lebih lanjut, lihat sampel publik kami yang menunjukkan pembuatan kunci dengan JCE.

CloudHSM CLI

Untuk membuat kunci dengan Cloud HSMCLI, Anda perlu menyetel wrap-with-trusted atribut kunci ke true. Lakukan ini dengan memasukkan wrap-with-trusted=true argumen yang sesuai untuk perintah pembuatan kunci:

  • Untuk kunci simetris, wrap-with-trusted tambahkan attributes argumen.

  • Untuk kunci publik, wrap-with-trusted tambahkan public-attributes argumen.

  • Untuk kunci pribadi, wrap-with-trusted tambahkan private-attributes argumen.

Untuk informasi selengkapnya tentang pembuatan key pair, lihat generate-asymmetric-pairKategori di Cloud HSM CLI.

Untuk informasi lebih lanjut tentang pembuatan kunci simetris, lihatKategori generate-symmetric di Cloud HSM CLI.

Untuk menghasilkan kunci dengan PKCS #11, Anda perlu mengatur CKA_WRAP_WITH_TRUSTED atribut kunci ke true. Seperti yang ditunjukkan dalam contoh berikut, lakukan ini dengan memasukkan atribut ini dalam kunci CK_ATTRIBUTE template dan kemudian mengatur atribut ke true:

CK_BYTE_PTR label = "test_key"; CK_ATTRIBUTE template[] = { {CKA_WRAP_WITH_TRUSTED, &true_val, sizeof(CK_BBOOL)}, {CKA_LABEL, label, strlen(label)}, ... };

Untuk informasi selengkapnya, lihat sampel publik kami yang mendemonstrasikan pembuatan kunci dengan PKCS #11.

Opsi 2: Jika menggunakan kunci yang ada, gunakan Cloud HSM CLI untuk menyetelnya CKA_WRAP_WITH_TRUSTED ke true

Untuk menyetel CKA_WRAP_WITH_TRUSTED atribut kunci yang ada ke true, ikuti langkah-langkah berikut:

  1. Gunakan Masuk ke HSM menggunakan Cloud HSM CLI perintah untuk masuk sebagai pengguna kripto (CU).

  2. Gunakan Atur atribut kunci dengan Cloud HSM CLI perintah untuk mengatur wrap-with-trusted atribut kunci ke true.

    aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true { "error_code": 0, "data": { "message": "Attribute set successfully" } }

Langkah 2: Atur kunci tepercaya CKA_TRUSTED ke true

Untuk membuat kunci menjadi kunci tepercaya, CKA_TRUSTED atributnya harus disetel ke true. Anda dapat menggunakan Cloud HSM CLI atau Cloud HSM Management Utility (CMU) untuk melakukan ini.

Langkah 3. Gunakan kunci tepercaya untuk membungkus kunci data

Untuk membungkus kunci data yang direferensikan di Langkah 1 dengan kunci tepercaya yang Anda tetapkan di Langkah 2, lihat tautan berikut untuk contoh kode. Masing-masing menunjukkan cara membungkus kunci.

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.