Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Estrarre una chiave con AES-GCM utilizzando la CLI di CloudhSM

PDF
RSS
Modalità Focus
Estrarre una chiave con AES-GCM utilizzando la CLI di CloudhSM - AWS CloudHSM
Tipo di utenteRequisitiSintassiEsempiArgomentiArgomenti correlati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzate il key unwrap aes-gcm comando nella CLI di CloudHSM per estrarre una chiave di payload nel cluster utilizzando la chiave di wrapping AES e il meccanismo di unwrapping. AES-GCM

Le chiavi non impacchettate possono essere utilizzate nello stesso modo delle chiavi generate da. AWS CloudHSM Per indicare che non sono state generate localmente, il loro local attributo è impostato su. false

Per utilizzare il key unwrap aes-gcm comando, è necessario disporre della chiave di wrapping AES nel AWS CloudHSM cluster e il relativo unwrap attributo deve essere impostato su. true

Tipo di utente

I seguenti tipi di utenti possono eseguire questo comando.

  • Utenti Crypto () CUs

Requisiti

  • Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.

Sintassi

aws-cloudhsm > help key unwrap aes-gcm
Usage: key unwrap aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> --iv <IV> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --iv <IV>
          Initial value used to wrap the key, in hex
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help

Esempi

Questi esempi mostrano come utilizzare il key unwrap aes-gcm comando utilizzando una chiave AES con il valore dell'unwrapattributo impostato sutrue.

Esempio: scartare una chiave di payload dai dati chiave avvolti codificati in Base64
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data xvslgrtg8kHzrvekny97tLSIeokpPwV8
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
Esempio: scartare una chiave di payload fornita tramite un percorso dati
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}

Argomenti

<CLUSTER_ID>

L'ID del cluster su cui eseguire questa operazione.

Obbligatorio: se sono stati configurati più cluster.

<FILTER>

Riferimento alla chiave (ad esempio,key-reference=0xabc) o elenco separato da spazi degli attributi chiave sotto forma attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di selezione di una chiave da utilizzare.

Campo obbligatorio: sì

<DATA_PATH>

Percorso del file binario contenente i dati chiave racchiusi.

Obbligatorio: Sì (a meno che non sia fornito tramite dati codificati Base64)

<DATA>

Dati chiave avvolti codificati in Base64.

Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)

<ATTRIBUTES>

Elenco separato da spazi degli attributi chiave sotto forma KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di chiave racchiusa.

Campo obbligatorio: no

<AAD>

Come valore AAD (Additional Authenticated Data) di GCM, in esadecimale.

Campo obbligatorio: no

<TAG_LENGTH_BITS>

Lunghezza del tag Aes GCM in bit.

Campo obbligatorio: sì

<KEY_TYPE_CLASS>

Tipo di chiave e classe di chiave racchiusa [valori possibili:aes,,, des3ec-private,generic-secret]. rsa-private

Campo obbligatorio: sì

<LABEL>

Etichetta per la chiave aperta.

Campo obbligatorio: sì

<SESSION>

Crea una chiave di sessione che esiste solo nella sessione corrente. La chiave non può essere recuperata dopo la fine della sessione.

Campo obbligatorio: no

<IV>

Valore iniziale usato per racchiudere la chiave, in esadecimale.

Campo obbligatorio: no

<APPROVAL>

Specifica il percorso del file di un token firmato del quorum per approvare l'operazione. Richiesto solo se il valore del quorum del servizio di gestione delle chiavi della chiave di unwrapping è maggiore di 1.

Argomenti correlati

In questa pagina

Argomento successivo:

aes-no-pad

Argomento precedente:

scartare

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.