Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Come utilizzare chiavi attendibili per racchiudere le chiavi dati AWS CloudHSM

PDF
RSS
Modalità Focus
Come utilizzare chiavi attendibili per racchiudere le chiavi dati AWS CloudHSM - AWS CloudHSM
Fase 1: imposta l'attributo CKA_WRAP_WITH_TRUSTED della chiave di dati su trueFase 2: imposta l'attributo CKA_TRUSTED della chiave attendibile su trueFase 3. Utilizza la chiave attendibile per eseguire il wrapping della chiave di dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Per utilizzare una chiave affidabile per racchiudere una chiave dati AWS CloudHSM, devi completare tre passaggi fondamentali:

  1. Per la chiave di dati di cui intendi eseguire il wrapping con una chiave attendibile, imposta il relativo attributo CKA_WRAP_WITH_TRUSTED su true.

  2. Per la chiave attendibile con cui intendi eseguire il wrapping della chiave di dati, imposta il relativo attributo CKA_TRUSTED su true.

  3. Utilizza la chiave attendibile per eseguire il wrapping della chiave di dati.

Fase 1: imposta l'attributo CKA_WRAP_WITH_TRUSTED della chiave di dati su true

Per la chiave di dati di cui intendi annullare il wrapping, scegli una delle opzioni seguenti per impostare l'attributo CKA_WRAP_WITH_TRUSTED della chiave su true. In questo modo si applicano delle restrizioni alla chiave di dati in modo che le applicazioni possano utilizzare solo chiavi attendibili per eseguirne il wrapping.

Opzione 1: in caso di generazione di una nuova chiave, imposta CKA_WRAP_WITH_TRUSTED su true

Genera una chiave utilizzando PKCS #11, JCE o la CLI di CloudHSM. Per ulteriori dettagli, vedi gli esempi a seguire.

PKCS #11

Per generare una chiave con PKCS #11, è necessario impostare l'attributo CKA_WRAP_WITH_TRUSTED della chiave su true. Come mostrato nell'esempio seguente, esegui questa operazione includendo questo attributo nel modello CK_ATTRIBUTE template della chiave e impostando l'attributo su true:

CK_BYTE_PTR label = "test_key";
CK_ATTRIBUTE template[] = {
        {CKA_WRAP_WITH_TRUSTED, &true_val,         sizeof(CK_BBOOL)},
        {CKA_LABEL,             label,             strlen(label)},
        ...
};

Per ulteriori informazioni, consulta i nostri esempi pubblici che illustrano la generazione di chiavi con PKCS #11.

JCE

Per generare una chiave con JCE, è necessario impostare l'attributo WRAP_WITH_TRUSTED della chiave su true. Come mostrato nell'esempio seguente, esegui questa operazione includendo questo attributo nel modello KeyAttributesMap della chiave e impostando l'attributo su true:

final String label = "test_key";
final KeyAttributesMap keySpec = new KeyAttributesMap();
keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true);
keySpec.put(KeyAttribute.LABEL, label);
...

Per ulteriori informazioni, consulta i nostri esempi pubblici che illustrano la generazione di chiavi con JCE.

CloudHSM CLI

Per generare una chiave con la CLI di CloudHSM, è necessario impostare l'attributo wrap-with-trusted della chiave su true. Per farlo, includi wrap-with-trusted=true nell'argomento appropriato per il comando di generazione della chiave:

  • Per le chiavi simmetriche, aggiungi wrap-with-trusted all'argomento attributes.

  • Per le chiavi pubbliche, aggiungi wrap-with-trusted all'argomento public-attributes.

  • Per le chiavi private, aggiungi wrap-with-trusted all'argomento private-attributes.

Per ulteriori informazioni sulla generazione di una coppia di chiavi, consulta la pagina La generate-asymmetric-pair categoria nella CLI di CloudHSM.

Per ulteriori informazioni sulla generazione di chiavi simmetriche, consulta la pagina La categoria generate-symmetric nella CLI di CloudhSM.

anchoranchoranchor

Per generare una chiave con PKCS #11, è necessario impostare l'attributo CKA_WRAP_WITH_TRUSTED della chiave su true. Come mostrato nell'esempio seguente, esegui questa operazione includendo questo attributo nel modello CK_ATTRIBUTE template della chiave e impostando l'attributo su true:

CK_BYTE_PTR label = "test_key";
CK_ATTRIBUTE template[] = {
        {CKA_WRAP_WITH_TRUSTED, &true_val,         sizeof(CK_BBOOL)},
        {CKA_LABEL,             label,             strlen(label)},
        ...
};

Per ulteriori informazioni, consulta i nostri esempi pubblici che illustrano la generazione di chiavi con PKCS #11.

Opzione 2: se utilizzi una chiave esistente, usa la CLI di CloudHSM per impostare l'attributo CKA_WRAP_WITH_TRUSTED su true

Per impostare l'attributo CKA_WRAP_WITH_TRUSTED di una chiave esistente su true, segui questa procedura:

  1. Utilizza il comando Accedi a un HSM utilizzando CloudHSM CLI per accedere come crypto user (CU).

  2. Utilizza il comando Imposta gli attributi delle chiavi con CloudhSM CLI per impostare l'attributo wrap-with-trusted della chiave su true.

    aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true
{
  "error_code": 0,
  "data": {
    "message": "Attribute set successfully"
  }
}

Fase 2: imposta l'attributo CKA_TRUSTED della chiave attendibile su true

Per rendere una chiave attendibile, l'attributo CKA_TRUSTED deve essere impostato su true. Per farlo, è possibile utilizzare la CLI di CloudHSM o CloudHSM Management Utility (CMU).

Fase 3. Utilizza la chiave attendibile per eseguire il wrapping della chiave di dati

Per eseguire il wrapping della chiave di dati a cui si fa riferimento nella fase 1 con la chiave attendibile impostata nella fase 2, consulta i link seguenti per vedere esempi di codice. Ciascun esempio mostra come eseguire il wrapping delle chiavi.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.