Estrarre una chiave AES-ZERO-PAD utilizzando la CLI di CloudhSM

Modalità Focus

Estrarre una chiave AES-ZERO-PAD utilizzando la CLI di CloudhSM - AWS CloudHSM

Tipo di utente Requisiti Sintassi Esempi Argomenti Argomenti correlati

Utilizzate il key unwrap aes-zero-pad comando nella CLI di CloudHSM per estrarre una chiave di payload AWS CloudHSM nel cluster utilizzando la chiave di wrapping AES e il meccanismo di unwrapping. AES-ZERO-PAD

Le chiavi non incluse possono essere utilizzate nello stesso modo delle chiavi generate da. AWS CloudHSM Per indicare che non sono state generate localmente, il loro local attributo è impostato su. false

Per utilizzare il key unwrap aes-no-pad comando, è necessario disporre della chiave di wrapping AES nel AWS CloudHSM cluster e il relativo unwrap attributo deve essere impostato su. true

Tipo di utente

I seguenti tipi di utenti possono eseguire questo comando.

Utenti Crypto () CUs

Requisiti

Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.

Sintassi


aws-cloudhsm > help key unwrap aes-zero-pad
Usage: key unwrap aes-zero-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help

Esempi

Questi esempi mostrano come utilizzare il key unwrap aes-zero-pad comando utilizzando una chiave AES con il valore dell'unwrapattributo impostato sutrue.

Esempio: scartare una chiave di payload dai dati chiave avvolti codificati in Base64


aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}

Esempio: scartare una chiave di payload fornita tramite un percorso dati


aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}

Argomenti

<CLUSTER_ID>

L'ID del cluster su cui eseguire questa operazione.

Obbligatorio: se sono stati configurati più cluster.

<FILTER>

Riferimento alla chiave (ad esempio,key-reference=0xabc) o elenco separato da spazi degli attributi chiave sotto forma attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di selezione di una chiave da utilizzare.

Campo obbligatorio: sì

<DATA_PATH>

Percorso del file binario contenente i dati chiave racchiusi.

Obbligatorio: Sì (a meno che non sia fornito tramite dati codificati Base64)

<DATA>

Dati chiave avvolti codificati in Base64.

Obbligatorio: Sì (a meno che non sia fornito tramite il percorso dati)

<ATTRIBUTES>

Elenco separato da spazi degli attributi chiave sotto forma KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di chiave racchiusa.

Campo obbligatorio: no

<KEY_TYPE_CLASS>

Tipo di chiave e classe di chiave racchiusa [valori possibili:aes,,, des3 ec-privategeneric-secret,rsa-private].

Campo obbligatorio: sì

<LABEL>

Etichetta per la chiave aperta.

Campo obbligatorio: sì

<SESSION>

Crea una chiave di sessione che esiste solo nella sessione corrente. La chiave non può essere recuperata dopo la fine della sessione.

Campo obbligatorio: no

<APPROVAL>

Specifica il percorso del file di un token firmato del quorum per approvare l'operazione. Richiesto solo se il valore del quorum del servizio di gestione delle chiavi della chiave di unwrapping è maggiore di 1.

Argomenti correlati

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

aes-pkcs5-pad

cloudhsm-aes-gcm

In questa pagina

Seleziona le tue preferenze relative ai cookie

Personalizza le tue preferenze relative ai cookie

Essenziali

Prestazione

Funzionali

Pubblicitari

Impossibile salvare le preferenze dei cookie

Estrarre una chiave AES-ZERO-PAD utilizzando la CLI di CloudhSM

Tipo di utente

Requisiti

Sintassi

Esempi

Esempio: scartare una chiave di payload dai dati chiave avvolti codificati in Base64

Esempio: scartare una chiave di payload fornita tramite un percorso dati

Argomenti

Argomenti correlati

In questa pagina

Questa pagina ti è stata utile?

Argomento successivo:

Argomento precedente:

Hai bisogno di aiuto?