クラウドの主要な属性HSM CLI - AWS CloudHSM
サポートされている属性その他の詳細関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クラウドの主要な属性HSM CLI

このトピックでは、 クラウドHSMを使用してキー属性CLIを設定する方法について説明します。CloudHSM のキー属性CLIは、キーのタイプ、キーの機能、またはキーのラベル付け方法を定義できます。一部の属性は固有の特性 (キーのタイプなど) を定義します。その他の属性は「true」または「false」に設定できます。これらの属性を変更すると、キーの機能の一部が有効または無効になります。

キー属性の使用方法を示す例については、親コマンド キー の下にリストされているコマンドを参照してください。

サポートされている属性

ベストプラクティスとして、制限する属性の値のみを設定してください。値を指定しない場合、CloudHSM は以下の表で指定されたデフォルト値CLIを使用します。

次の表は、キー属性、指定できる値、デフォルト、および関連する注意事項を示しています。Value 列のセルが空の場合は、属性に割り当てられている特定のデフォルト値がないことを示します。

クラウドHSMCLI属性 key set-attributeで変更可能 キー作成時に設定可能
always-sensitive

sensitive が常に True に設定されており、変更されたことがない場合、値は True となります。

 なし なし
check-value キーのチェック値。詳細については、「その他の詳細」を参照してください。 なし なし
class

想定される値: secret-keypublic-keyprivate-key

 なし あり
curve

EC キーペア生成に使用される楕円曲線。

有効な値: secp224r1secp256r1prime256v1secp384r1secp256k1secp521r1

 なし EC で設定可能、 で設定不可 RSA
decrypt

デフォルト: False

 あり あり
derive

デフォルト: False

 あり あり
destroyable

デフォルト: True

 あり あり
ec-point

EC キーの場合、ANSIX9.62 DERECPoint値「Q」を 16 進数形式でエンコードします。

他のキータイプの場合、この属性は存在しません。

 なし なし
encrypt

デフォルト: False

 あり あり
extractable

デフォルト: True

 なし あり
id デフォルト: 空 なし あり
key-length-bytes

AES キーの生成に必要です。

有効な値: 16 バイト、24 バイト、32 バイト。

 なし なし
key-type

想定される値: aesrsaec

 なし あり
label デフォルト: 空 あり あり
local

デフォルト: で生成されたキーTrueの場合は HSM、 にインポートされたキーFalseの場合は HSM。

 なし なし
modifiable

デフォルト: True

 なし なし
modulus RSA キーペアの生成に使用されたモジュラス。他のキータイプの場合、この属性は存在しません。 なし なし
modulus-size-bits

RSA キーペアの生成に必要です。

最小値は 2048 です。

 なし で設定可能RSA、EC で設定不可
never-extractable

この値は、抽出可能が False に設定されたことがない場合、True となります。

この値は、抽出可能が True に設定されたことがある場合、False となります。

 なし なし
private

デフォルト: True

 なし あり
public-exponent

RSA キーペアの生成に必要です。

有効な値: 値は、65537 以上の奇数にする必要があります

 なし で設定可能RSA、EC で設定不可
sensitive

デフォルト:

  • 値は、 AESキー、EC キー、RSAプライベートキーTrueの です。

  • 値は EC キーとRSAパブリックキーFalse用です。

 なし プライベートキーでは設定可能で、パブリックキーでは設定できません。
sign

デフォルト:

  • 値は AESキーTrue用です。

  • 値は RSAおよび EC キーFalseの です。

 あり あり
token

デフォルト: False

 なし あり
trusted

デフォルト: False

 あり なし
unwrap デフォルト: False あり あり
unwrap-template 値は、このラッピングキーを使用してラップ解除されたキーに適用される属性テンプレートを使用する必要があります。 あり なし
verify

デフォルト:

  • 値は AESキーTrue用です。

  • 値は RSAおよび EC キーFalseの です。

 あり あり
wrap デフォルト: False あり あり
wrap-template 値は、属性テンプレートを使用し、このラッピングキーでラップされたキーと一致させる必要があります。 あり なし
wrap-with-trusted

デフォルト: False

 あり あり

その他の詳細

値の確認

チェック値は、キーHSMをインポートまたは生成するときに生成されるキーの 3 バイトのハッシュまたはチェックサムです。キーをエクスポートした後などHSM、 の外部でチェック値を計算することもできます。次に、チェック値を比較して、キーのアイデンティティと整合性を確認できます。キーのチェック値を取得するには、キーリストに Verbose (詳細) フラグを付けて使用します。

AWS CloudHSM は、次の標準メソッドを使用してチェック値を生成します。

  • 対称キー: ゼロブロックをキーで暗号化した結果の最初の 3 バイト。

  • 非対称キーペア : パブリックキーの SHA-1 ハッシュの最初の 3 バイト。

  • HMAC キー: HMACキーKCVの は、現時点ではサポートされていません。

関連トピック