Imposta gli attributi delle AWS CloudHSM chiavi usando CMU - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Imposta gli attributi delle AWS CloudHSM chiavi usando CMU

Usa il setAttribute comando in AWS CloudHSM cloudhsm_mgmt_util per modificare il valore degli attributi label, encrypt, decrypt, wrap e unwrap di una chiave in. HSMs Puoi anche usare il setAttributecomando in key_mgmt_util per convertire una chiave di sessione in una chiave persistente. Puoi modificare solo gli attributi di chiavi di tua proprietà.

Prima di eseguire qualsiasi CMU comando, è necessario avviare CMU e accedere a. HSM Assicurati di eseguire l'accesso con il tipo di account utente autorizzato a eseguire i comandi che prevedi di utilizzare.

Se aggiungi o eliminiHSMs, aggiorna i file di configurazione perCMU. In caso contrario, le modifiche apportate potrebbero non essere efficaci per tutti HSMs gli utenti del cluster.

Tipo di utente

Gli utenti seguenti possono eseguire questo comando.

  • Crypto user (CU)

Sintassi

Poiché questi comandi non dispongono di parametri denominati, è necessario immettere gli argomenti nell'ordine specificato nei diagrammi sintattici.

setAttribute <key handle> <attribute id>

Esempio

Questo esempio illustra come disattivare la funzionalità di decodifica di una chiave simmetrica. Puoi utilizzare un comando come questo per configurare una chiave di wrapping in grado di eseguire e annullare il wrapping di altre chiavi ma non di crittografare o decodificare dati.

Per prima cosa, è necessario creare la chiave di wrapping. Questo comando utilizza genSymKeykey_mgmt_util per generare una chiave simmetrica a 256 bit. AES L'output mostra che la nuova chiave presenta l'handle 14.

$ genSymKey -t 31 -s 32 -l aes256 Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 14 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Poi, è necessario confermare il valore corrente dell'attributo di decodifica. Per ottenere l'ID dell'attributo decrypt, usa. listAttributes L'output indica che la costante che rappresenta l'attributo OBJ_ATTR_DECRYPT è 261. Per informazioni sull'interpretazione degli attributi chiave, vedi AWS CloudHSM riferimento all'attributo chiave per KMU.

aws-cloudhsm> listAttributes Following are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512

Per ottenere il valore corrente dell'attributo decrypt per la chiave 14, il comando successivo utilizza cloudhsm_mgmt_util. getAttribute

L'output mostra che il valore dell'attributo decrypt è true (1) su entrambi i componenti del cluster. HSMs

aws-cloudhsm> getAttribute 14 261 Attribute Value on server 0(10.0.0.1): OBJ_ATTR_DECRYPT 0x00000001 Attribute Value on server 1(10.0.0.2): OBJ_ATTR_DECRYPT 0x00000001

Questo comando utilizza setAttribute per modificare il valore dell'attributo di decodifica (attributo 261) della chiave 14 in 0. In questo modo viene disabilitata la funzionalità di decodifica sulla chiave.

L'output mostra che il comando ha avuto successo su entrambi i componenti del clusterHSMs.

aws-cloudhsm> setAttribute 14 261 0 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)? y setAttribute success on server 0(10.0.0.1) setAttribute success on server 1(10.0.0.2)

Il comando finale ripete il comando getAttribute. E, come in precedenza, ottiene l'attributo di decodifica (attributo 261) della chiave 14.

Questa volta, l'output mostra che il valore dell'attributo decrypt è falso (0) su entrambi i componenti del clusterHSMs.

aws-cloudhsm>getAttribute 14 261 Attribute Value on server 0(10.0.3.6): OBJ_ATTR_DECRYPT 0x00000000 Attribute Value on server 1(10.0.1.7): OBJ_ATTR_DECRYPT 0x00000000

Argomenti

setAttribute <key handle> <attribute id>
<handle-chiave>

Specifica l'handle della chiave posseduta. È possibile specificare una sola chiave in ogni comando. Per ottenere l'handle di una chiave, usa findKeykey_mgmt_util. Per trovare gli utenti di una chiave, usa. getKeyInfo

Campo obbligatorio: sì

<attributo id>

Specifica la costante che rappresenta l'attributo da modificare. È possibile specificare un solo attributo in ogni comando. Per ottenere gli attributi e i loro valori interi, usa listAttributes. Per informazioni sull'interpretazione degli attributi chiave, vedi. AWS CloudHSM riferimento all'attributo chiave per KMU

Valori validi:

  • 3OBJ_ATTR_LABEL.

  • 134OBJ_ATTR_TRUSTED.

  • 260OBJ_ATTR_ENCRYPT.

  • 261OBJ_ATTR_DECRYPT.

  • 262OBJ_ATTR_WRAP.

  • 263OBJ_ATTR_UNWRAP.

  • 264OBJ_ATTR_SIGN.

  • 266OBJ_ATTR_VERIFY.

  • 268OBJ_ATTR_DERIVE.

  • 370OBJ_ATTR_DESTROYABLE.

  • 528OBJ_ATTR_WRAP_WITH_TRUSTED.

  • 1073742353OBJ_ATTR_WRAP_TEMPLATE.

  • 1073742354OBJ_ATTR_UNWRAP_TEMPLATE.

Campo obbligatorio: sì

Argomenti correlati