クラウドAESを使用してキーを GCMでラップするHSM CLI - AWS CloudHSM
ユーザーのタイプ要件Syntax引数関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クラウドAESを使用してキーを GCMでラップするHSM CLI

クラウドHSMの key wrap aes-gcm コマンドを使用してCLI、ハードウェアセキュリティモジュール (HSM) の キーと ラップメカニズムを使用してペイロードAESキーをAES-GCMラップします。ペイロードキーの extractable 属性を true に設定する必要があります。

キーの所有者、つまりキーを作成した Crypto User (CU) のみがキーをラップできます。キーを共有するユーザーは、キーを暗号化オペレーションで使用できます。

key wrap aes-gcm コマンドを使用するには、まず AWS CloudHSM クラスターに AESキーが必要です。クラウドで対称AESキーを生成するHSM CLI コマンドと wrap 属性を に設定してラップするための AESキーを生成できますtrue

ユーザーのタイプ

このコマンドは、次のタイプのユーザーが実行できます。

  • Crypto ユーザー (CUs)

要件

  • このコマンドを実行するには、CU としてログインする必要があります。

Syntax

aws-cloudhsm > help key wrap aes-gcm
Usage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help

この例では、 AESキーを使用して key wrap aes-gcm コマンドを使用する方法を示します。

aws-cloudhsm > key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64  --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "iv": "0xf90613bb8e337ec0339aad21",
    "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8"
  }
}

引数

<CLUSTER_ID>

このオペレーションを実行するクラスターの ID。

必須: 複数のクラスターが設定されている場合。

<PAYLOAD_FILTER>

ペイロードキーを選択する attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式のキー属性のキーリファレンス (例: key-reference=0xabc) またはスペース区切りリスト。

必須: はい

<PATH>

ラップされたキーデータを保存するバイナリファイルへのパス。

必須: いいえ

<WRAPPING_FILTER>

ラッピングキーを選択する attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式のキー属性のキーリファレンス (例: key-reference=0xabc) またはスペース区切りリスト。

必須: はい

<AAD>

AES GCM 追加の認証データ (AAD) 値、16 進数。

必須: いいえ

<TAG_LENGTH_BITS>

AES GCM ビット単位のタグの長さ。

必須: はい

<WRAPPING_APPROVALR>

ラッピングキーのオペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。ラッピングキーのキー管理サービスのクォーラム値が 1 より大きい場合にのみ必要です。

<PAYLOAD_APPROVALR>

ペイロードキーのオペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。ペイロードキーのキー管理サービスのクォーラム値が 1 より大きい場合にのみ必要です。

関連トピック