翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudHSM CLI コマンドのリファレンス
CloudHSM CLI は、管理者が AWS CloudHSM クラスター内のユーザーを管理するのに役立ちます。CloudHSM CLI は、インタラクティブモードとシングルコマンドモードの 2 つのモードで実行できます。クイックスタートについては、「[コマンドラインインターフェイス (CLI) AWS CloudHSM の開始方法](cloudhsm_cli-getting-started.md)」を参照してください。
多くの CloudHSM CLI コマンドを実行するには、CloudHSM CLI を起動し、HSM にログインする必要があります。HSM を追加または削除する場合は、CloudHSM CLI の構成ファイルを更新します。さもないと、クラスター内のすべての HSM で変更が有効にならない場合があります。
以下のトピックでは、CloudHSM CLI のコマンドについて説明します。
| コマンド | 説明 | ユーザータイプ |
| --- | --- | --- |
| [アクティブ化](cloudhsm_cli-cluster-activate.md) | CloudHSM クラスターをアクティブ化し、クラスターが新しいものであることを確認します。これは他のオペレーションを実行する前に行う必要があります。 | 非アクティブ管理者 |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | クラスター内の HSM を一覧表示します。 | 認証されていないユーザーを含むすべての [1](#cli-ref-1)。ログインは必須ではありません。 |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | EC プライベートキーと ECDSA 署名機構を使用して署名を生成します。 | Crypto User (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Ed25519 プライベートキーと HashEdDSA 署名メカニズムを使用して署名を生成します。 | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | RSA プライベートキーと RSA-PKCS 署名機構を使用して署名を生成します。 | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | RSA プライベートキーと RSA-PKCS-PSS 署名機構を使用して署名を生成します。 | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | ファイルが特定のパブリックキーによって HSM で署名されていることを確認します。ECDSA 署名機構を使用して署名が生成されたことを確認します。署名されたファイルをソース ファイルと比較し、指定された ecdsa パブリックキーと署名機構に基づいて暗号的に関連するかどうかを分析します。 | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Ed25519 パブリックキーを使用して HashEdDSA 署名を検証します。 | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | ファイルが特定のパブリックキーによって HSM で署名されていることを確認します。RSA-PKCS 署名機構を使用して署名が生成されたことを確認します。署名されたファイルをソース ファイルと比較し、指定された rsa パブリックキーと署名機構に基づいて暗号的に関連するかどうかを分析します。 | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | ファイルが特定のパブリックキーによって HSM で署名されていることを確認します。RSA-PKCS-PSS 署名機構を使用して署名が生成されたことを確認します。署名されたファイルをソース ファイルと比較し、指定された rsa パブリックキーと署名機構に基づいて暗号的に関連するかどうかを分析します。 | CU |
| [キー削除](cloudhsm_cli-key-delete.md) | AWS CloudHSM クラスターからキーを削除します。 | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | AWS CloudHSM クラスターにキーファイルを生成します。 | CU |
| [key generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | AWS CloudHSM クラスターに非対称 RSA キーペアを生成します。 | CU |
| [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | AWS CloudHSM クラスターに非対称楕円曲線 (EC) キーペアを生成します。 | CU |
| [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | AWS CloudHSM クラスターに対称 AES キーを生成します。 | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | AWS CloudHSM クラスターに対称汎用シークレットキーを生成します。 | CU |
| [key import pem](cloudhsm_cli-key-import-pem.md) | PEM 形式キーを HSM にインポートします。このコマンドを使用すると、HSM の外部で生成されたパブリックキーをインポートできます。 | CU |
| [キーリスト](cloudhsm_cli-key-list.md) | AWS CloudHSM クラスターに存在する現在のユーザーのすべてのキーを検索します。 | CU |
| [key replicate](cloudhsm_cli-key-replicate.md) | ソースクラスターから複製先のクラスターにキーをレプリケートします。 | CU |
| [key set-attribute](cloudhsm_cli-key-set-attribute.md) | AWS CloudHSM クラスター内のキーの属性を設定します。 | CU はこのコマンドを実行でき、管理者は信頼できる属性を設定できます。 |
| [キーシェア](cloudhsm_cli-key-share.md) | AWS CloudHSM クラスター内の他の CUs とキーを共有します。 | CU |
| [キー共有解除](cloudhsm_cli-key-unshare.md) | AWS CloudHSM クラスター内の他の CUs とキーの共有を解除します。 | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | AES ラッピングキーと AES-GCM ラップ解除メカニズムを使用して、ペイロードキーをクラスターにラップ解除します。 | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | AES ラッピングキーと AES-NO-PAD ラップ解除メカニズムを使用して、ペイロードキーをクラスターにラップ解除します。 | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | AES ラッピングキーと AES-PKCS5-PAD ラップ解除メカニズムを使用してペイロードキーをラップ解除します。 | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | AES ラッピングキーと AES-ZERO-PAD ラップ解除メカニズムを使用して、ペイロードキーをクラスターにラップ解除します。 | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | AES ラッピングキーと CLOUDHSM-AES-GCM ラップ解除メカニズムを使用して、ペイロードキーをクラスターにラップ解除します。 | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | RSA プライベートキーと RSA-AES ラップ解除メカニズムを使用してペイロードキーをラップ解除します。 | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | RSA プライベートキーと RSA-OAEP ラップ解除メカニズムを使用してペイロードキーをラップ解除します。 | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | RSA プライベートキーと RSA-PKCS ラップ解除メカニズムを使用してペイロードキーをラップ解除します。 | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | HSM の AES キーと AES-GCM ラップメカニズムを使用してペイロードキーをラップします。 | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | HSM の AES キーと AES-NO-PAD ラップメカニズムを使用してペイロードキーをラップします。 | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | HSM の AES キーと AES-PKCS5-PAD ラップメカニズムを使用してペイロードキーをラップします。 | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | HSM の AES キーと AES-ZERO-PAD ラップメカニズムを使用してペイロードキーをラップします。 | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | HSM の AES キーと CLOUDHSM-AES-GCM ラッピングメカニズムを使用してペイロードキーをラップします。 | CU |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | HSM の RSA パブリックキーと RSA-AES ラップメカニズムを使用してペイロードキーをラップします。 | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | HSM の RSA パブリックキーと RSA-OAEP ラップメカニズムを使用してペイロードキーをラップします。 | CU |
| [ CloudHSM CLI で RSA-PKCS でキーをラップするrsa-pkcs **key wrap rsa-pkcs** コマンドは、HSM の RSA パブリックキーと `RSA-PKCS` ラップメカニズムを使用してペイロードキーをラップします。 CloudHSM CLI の **key wrap rsa-pkcs** コマンドを使用して、ハードウェアセキュリティモジュール (HSM) の RSA パブリックキーと `RSA-PKCS` ラップメカニズムを使用してペイロードキーをラップします。ペイロードキーの `extractable` 属性を `true` に設定する必要があります。 キーの所有者、つまりキーを作成した Crypto User (CU) のみがキーをラップできます。キーを共有するユーザーは、キーを暗号化オペレーションで使用できます。 **key wrap rsa-pkcs** コマンドを使用するには、まず AWS CloudHSM クラスターに RSA キーが必要です。[CloudHSM CLI の generate-asymmetric-pair カテゴリ](cloudhsm_cli-key-generate-asymmetric-pair.md) コマンドと `true` に設定された `wrap` 属性を使用して、RSA キーペアを生成できます。 ユーザーのタイプ このコマンドは、次のタイプのユーザーが実行できます。 Crypto User (CU) 要件 このコマンドを実行するには、CU としてログインする必要があります。 Syntax
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` 例 この例では、RSA パブリックキーを使用して **key wrap rsa-pkcs** コマンドを使用する方法を示しています。
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
ペイロードキーを選択する `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のキーリファレンス (例: `key-reference=0xabc`) またはスペース区切りリスト。
必須: はい
******
ラップされたキーデータを保存するバイナリファイルへのパス。
必須: いいえ
******
ラッピングキーを選択する `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のキーリファレンス (例: `key-reference=0xabc`) またはスペース区切りリスト。
必須: はい
******
ラッピングキーのオペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。ラッピングキーのキー管理サービスのクォーラム値が 1 より大きい場合にのみ必要です。
******
ペイロードキーのオペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。ペイロードキーのキー管理サービスのクォーラム値が 1 より大きい場合にのみ必要です。 関連トピック [CloudHSM CLI のキーラップコマンド](cloudhsm_cli-key-wrap.md) [CloudHSM CLI のキーアンラップコマンド](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | HSM の RSA パブリックキーと RSA-PKCS ラップメカニズムを使用してペイロードキーをラップします。 | CU |
| [login](cloudhsm_cli-login.md) (ログイン) | AWS CloudHSM クラスターにログインします。 | Admin、Crypto User (CU)、および Appliance User (AU) |
| [logout](cloudhsm_cli-logout.md) (サインアウト) | AWS CloudHSM クラスターからログアウトします。 | Admin、CU、および Appliance User (AU) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | クォーラム承認サービスのトークンを 1 つ以上削除します。 | 管理者 |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | クォーラム承認サービスのトークンを生成します。 | 管理者 |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | CloudHSM クラスターに存在するすべてのトークン署名のクォーラムトークンを一覧表示します。 | 認証されていないユーザーを含むすべての [1](#cli-ref-1)。ログインは必須ではありません。 |
| [quorum token-sign list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | CloudHSM クラスターに設定されているクォーラム値を一覧表示します。 | 認証されていないユーザーを含むすべての [1](#cli-ref-1)。ログインは必須ではありません。 |
| [quorum token-sign set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | クォーラム認定サービスの新しいクォーラム値を設定します。 | 管理者 |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | ユーザーの多要素認証 (MFA) 戦略を変更します。 | Admin、CU |
| [user change-password](cloudhsm_cli-user-change-password.md) | HSM 上のユーザーのパスワードを変更します。どのユーザーも自分のパスワードを変更できます。管理者は誰でもパスワードを変更できます。 | Admin、CU |
| [user create](cloudhsm_cli-user-create.md) | AWS CloudHSM クラスターにユーザーを作成します。 | 管理者 |
| [user delete](cloudhsm_cli-user-delete.md) | AWS CloudHSM クラスター内のユーザーを削除します。 | 管理者 |
| [user list](cloudhsm_cli-user-list.md) | AWS CloudHSM クラスター内のユーザーを一覧表示します。 | 認証されていないユーザーを含むすべての [1](#cli-ref-1)。ログインは必須ではありません。 |
| [ユーザー変更クォーラムトークン署名登録](cloudhsm_cli-user-chqm-token-reg.md) | ユーザーのクォーラムトークン署名クォーラム戦略を登録します。 | 管理者 |
**注釈**
+ [1] すべてのユーザーには、リストされているすべてのロールとログインしていないユーザーが含まれます。
# CloudHSM CLI のクラスターカテゴリ
CloudHSM CLI では、**cluster** はコマンドグループの親カテゴリであり、親カテゴリと組み合わせるとクラスター固有のコマンドを作成します。現在、クラスターカテゴリは以下のコマンドで構成されています。
**Topics**
+ [アクティブ化](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# CloudHSM CLI でクラスターをアクティブ化する
CloudHSM CLI の **cluster activate** コマンドを使用して AWS CloudHSMで[新しいクラスターをアクティブ化](activate-cluster.md)します。クラスターを使用して暗号化オペレーションを実行するには、まずこのコマンドを実行する必要があります。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ 非アクティブ管理者
## 構文
このコマンドにはパラメータはありません。
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## 例
このコマンドは、管理者ユーザーの初期パスワードを設定してクラスターをアクティブ化します。
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## 関連トピック
+ [user create](cloudhsm_cli-user-create.md)
+ [user delete](cloudhsm_cli-user-delete.md)
+ [user change-password](cloudhsm_cli-user-change-password.md)
# CloudHSM CLI で HSM を一覧表示する
CloudHSM CLI の **cluster hsm-info** コマンドを使用して、 AWS CloudHSM クラスター内のハードウェアセキュリティモジュール (HSMsを一覧表示します。このコマンドは、CloudHSM CLI にログインしていなくても実行できます。
**注記**
HSMs を追加または削除する場合は、 AWS CloudHSM クライアントとコマンドラインツールが使用する設定ファイルを更新します。そうしないと、クラスター内のすべての HSM で変更が有効にならない場合があります。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ すべてのユーザー。このコマンドは、ログインしていなくても実行できます。
## Syntax
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 例
このコマンドは、 AWS CloudHSM クラスターに存在する HSMsを一覧表示します。
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
出力には以下の属性があります。
+ **Vendor**: HSM のベンダー名。
+ **Model**: HSM のモデル番号。
+ **Serial-number**: デバイスのシリアル番号。置換により変更される場合があります。
+ **Hardware-version-major**: ハードウェアのメジャーバージョン。
+ **Hardware-version-minor**: ハードウェアのマイナーバージョン。
+ **Firmware-version-major**: メジャーファームウェアバージョン。
+ **Firmware-version-minor**: マイナーファームウェアバージョン。
+ **Firmware-build-number**: ファームウェアビルド番号。
+ **Firmware-id**: ファームウェア ID。ビルドに加えてメジャーバージョンとマイナーバージョンが含まれます。
+ **FIPS-state**: クラスターとその中の HSM の FIPS モード。FIPS モードの場合、出力は「2 [単一要素認証の FIPS モード]」です。非 FIPS モードの場合、出力は「0 [単一要素認証の非 FIPS モード]」です。
## 関連トピック
+ [CloudHSM CLI でクラスターをアクティブ化する](cloudhsm_cli-cluster-activate.md)
# CloudHSM CLI のクラスター mtls カテゴリ
CloudHSM CLI では、 **cluster mtls**はコマンドグループの親カテゴリであり、親カテゴリと組み合わせると、 AWS CloudHSM クラスターに固有のコマンドが作成されます。現在、このカテゴリは次のコマンドで構成されています。
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# CloudHSM CLI でトラストアンカーの登録を解除する
CloudHSM CLI の **cluster mtls deregister-trust-anchor** コマンドを使用して、クライアントと AWS CloudHSMの間の相互 TLS のトラストアンカーを登録解除します。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ 管理者
## 要件
+ このコマンドを実行するには、管理者ユーザーとしてログインする必要があります。
## Syntax
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 例
**Example**
次の例では、このコマンドは HSM からトラストアンカーを削除します。
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
その後、次のように **list-trust-anchors** コマンドを実行して、トラストアンカーが AWS CloudHSMから登録解除されたことを確認できます。
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
** ** **
16 進数または 10 進数の証明書リファレンス。
**必須:** はい
クラスター内のトラストアンカーの登録を解除すると、そのトラストアンカーによって署名されたクライアント証明書を使用した既存の mTLS 接続はすべて削除されます。
** ** **
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムクラスターサービスのクォーラム値が 1 より大きい場合にのみ必要です。
## 関連トピック
+ [cluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS の設定 (推奨)](getting-started-setup-mtls.md)
# CloudHSM CLI で mTLS 適用レベルを取得する
CloudHSM CLI の **cluster mtls get-enforcement** コマンドを使用して、クライアントと AWS CloudHSMの間の相互 TLS の使用の適用レベルを取得します。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ 管理者
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、管理者ユーザーまたは Crypto User (CU) としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 例
**Example**
次の例では、このコマンドは AWS CloudHSMの mtls 適用レベルを一覧表示します。
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
## 関連トピック
+ [cluster mtls set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [mTLS の設定 (推奨)](getting-started-setup-mtls.md)
# CloudHSM CLI でトラストアンカーを一覧表示する
CloudHSM CLI の **cluster mtls list-trust-anchors** コマンドを使用して、クライアントと AWS CloudHSMの間の相互 TLS に使用できるすべてのトラストアンカーを一覧表示します。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ すべてのユーザー。このコマンドは、ログインしていなくても実行できます。
## Syntax
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 例
**Example**
次の例では、このコマンドは AWS CloudHSMから登録されたすべてのトラストアンカーを一覧表示します。
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
## 関連トピック
+ [cluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [mTLS の設定 (推奨)](getting-started-setup-mtls.md)
# CloudHSM CLI でトラストアンカーを登録する
CloudHSM CLI の **cluster mtls register-trust-anchor** コマンドを使用して、クライアントと AWS CloudHSMの間の相互 TLS のトラストアンカーを登録します。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ 管理者
## 要件
は、次のキータイプのトラストアンカー AWS CloudHSM を受け入れます。
****
| キータイプ | 説明 |
| --- | --- |
| EC | secp256r1 (P-256)、secp384r1 (P-384)、および secp521r1 (P-521) 曲線。 |
| RSA | 2048 ビット、3072 ビット、および 4096 ビットの RSA キー。 |
## Syntax
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 例
**Example**
次の例では、このコマンドはトラストアンカーを HSM に登録します。登録できるトラストアンカーの最大数は 2 個です。
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
その後、次のように **list-trust-anchors** コマンドを実行して、トラストアンカーが AWS CloudHSMに登録されたことを確認できます。
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
** ** **
登録するトラストアンカーのファイルパス。
**必須:** はい
AWS CloudHSM では、中間証明書をトラストアンカーとして登録できます。このような場合は、PEM でエンコードされた証明書チェーンファイル全体を、証明書を階層順にして、HSM に登録する必要があります。
AWS CloudHSM は、6980 バイトの証明書チェーンをサポートします。
** ** **
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムクラスターサービスのクォーラム値が 1 より大きい場合にのみ必要です。
## 関連トピック
+ [cluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [cluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS の設定 (推奨)](getting-started-setup-mtls.md)
# CloudHSM CLI で mTLS 適用レベルを設定する
CloudHSM CLI の **cluster mtls set-enforcement** コマンドを使用して、クライアントと AWS CloudHSMの間の相互 TLS の使用の適用レベルを設定します。
## ユーザーのタイプ
このコマンドは、次のユーザーが実行できます。
+ ユーザー名 admin を使用する管理者
## 要件
このコマンドを実行するには:
+ 少なくとも 1 つのトラストアンカーが AWS CloudHSMに正常に登録されました。
+ 適切なプライベートキーとクライアント証明書を使用して CloudHSM CLI を設定し、相互 TLS 接続で CloudHSM CLI を起動します。
+ デフォルトの管理者として「admin」というユーザー名でログインする必要があります。他の管理者ユーザーは、このコマンドを実行できません。
## Syntax
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 例
**Example**
次の例では、このコマンドは の mtls 適用レベル AWS CloudHSM をクラスターに設定します。set-enforcement コマンドは、相互 TLS 接続で、かつ、ユーザー名を admin とする管理者ユーザーとしてログインした場合のみ実行できます。「[AWS CloudHSMに対して mTLS 適用を設定する](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement)」を参照してください。
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
その後、**get-enforcement** コマンドを実行して、適用レベルがクラスターに設定されたことを確認できます。
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
** ** **
クラスター内の mtls に設定するレベル。
**有効な値**
+ cluster****: クライアントとクラスター AWS CloudHSM 間の相互 TLS の使用を強制します。
+ **none**: クライアントとクラスター AWS CloudHSM 間の相互 TLS の使用を強制しないでください。
**必須:** はい
クラスターで mTLS の使用を適用すると、既存の非 mTLS 接続はすべて削除され、mTLS 証明書を持つクラスターにのみ接続できます。
** ** **
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。クォーラムクラスターサービスのクォーラム値が 1 より大きい場合にのみ必要です。
## 関連トピック
+ [cluster mtls get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [mTLS の設定 (推奨)](getting-started-setup-mtls.md)
# CloudHSM CLI の暗号化カテゴリ
CloudHSM CLI では、**crypto** はコマンドグループの親カテゴリであり、親カテゴリと組み合わせると暗号オペレーション固有のコマンドを作成します。現在、このカテゴリは次のコマンドで構成されています。
+ [サイン](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [検証](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# CloudHSM CLI の暗号化署名カテゴリ
CloudHSM CLI では、**crypto sign** はコマンドグループの親カテゴリであり、親カテゴリと組み合わせると、 AWS CloudHSM クラスター内で選択したプライベートキーを使用して署名を生成します。**crypto sign** には、次のサブコマンドがあります。
+ [CloudHSM CLI で ECDSA メカニズムを使用して署名を生成する](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [CloudHSM CLI で HashEdDSA メカニズムを使用して署名を生成する](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [CloudHSM CLI で RSA-PKCS メカニズムを使用して署名を生成する](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [CloudHSM CLI で RSA-PKCS-PSS メカニズムを使用して署名を生成する](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
**crypto sign** を使用するには、HSM 内にプライベートキーが必要です。プライベートキーは、次のコマンドで生成できます。
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# CloudHSM CLI で ECDSA メカニズムを使用して署名を生成する
CloudHSM CLI の **crypto sign ecdsa** コマンドを使用して、EC プライベートキーと ECDSA 署名メカニズムを使用して署名を生成します。
**crypto sign ecdsa** コマンドを使用するには、まず AWS CloudHSM クラスターに EC プライベートキーが必要です。`sign` 属性を `true` に設定して、[CloudHSM CLI を使用して非対称 EC キーペアを生成する](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) コマンドを使用して EC プライベートキーを生成できます。
生成される ECDSA 署名は、r と のコンポーネントが raw バイナリデータとして連結され`r||s`、base64 でエンコードされた形式で返される 形式で生成されます。
**注記**
署名は、 [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md) サブコマンド AWS CloudHSM を使用して で検証できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 例
これらの例は、**crypto sign ecdsa** を使用して、ECDSA 署名メカニズムと `SHA256` ハッシュ関数を使用して署名を生成する方法を示しています。このコマンドは HSM でプライベートキーを使用します。
**Example 例: ベース 64 でエンコードされたデータの署名を生成する**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example 例: データファイルの署名を生成する**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
署名対象の Base64 でエンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
署名するデータの場所を指定します。
必須: はい (データパスを通じて提供される場合を除く)
******
ハッシュ関数を指定します。
有効な値:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必須: はい
******
キー参照 (例: `key-reference=0xabc`) または attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「CloudHSM CLI のキー属性」を参照してください
必須: はい
******
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。プライベートキーのキー使用サービスのクォーラム値が 1 より大きい場合にのみ必要です。
******
データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
有効な値:
+ raw
+ ダイジェスト
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI で HashEdDSA メカニズムを使用して署名を生成する
**重要**
HashEdDSA 署名オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされています。
CloudHSM CLI の **crypto sign ed25519ph** コマンドを使用して、Ed25519 プライベートキーと HashEdDSA 署名メカニズムを使用して署名を生成します。HashEdDSA の詳細については、[NIST SP 186-5、セクション 7.8 ](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)を参照してください。
**crypto sign ed25519ph** コマンドを使用するには、まず AWS CloudHSM クラスターに Ed25519 プライベートキーが必要です。`curve` パラメータを に設定`ed25519`し、`sign`属性を に設定して、 [CloudHSM CLI を使用して非対称 EC キーペアを生成する](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) コマンドを使用して Ed25519 プライベートキーを生成できます`true`。
**注記**
署名は、 [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md) サブコマンド AWS CloudHSM を使用して で検証できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
+ HashEdDSA 署名オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされています。
## Syntax
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 例
これらの例は、 **crypto sign ed25519ph**を使用して Ed25519ph 署名メカニズムと`sha512`ハッシュ関数を使用して署名を生成する方法を示しています。このコマンドは HSM でプライベートキーを使用します。
**Example 例: ベース 64 でエンコードされたデータの署名を生成する**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example 例: データファイルの署名を生成する**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
署名対象の Base64 でエンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
署名するデータの場所を指定します。
必須: はい (データパラメータで指定されない限り)
******
ハッシュ関数を指定します。Ed25519ph は SHA512 のみをサポートします。
有効な値:
+ sha512
必須: はい
******
キー参照 (例: `key-reference=0xabc`) または attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「」を参照してください[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)。
必須: はい
******
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。プライベートキーのキー使用サービスのクォーラム値が 1 より大きい場合にのみ必要です。
******
データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
有効な値:
+ raw
+ ダイジェスト
必須: はい
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI で RSA-PKCS メカニズムを使用して署名を生成する
CloudHSM CLI の **crypto sign rsa-pkcs** コマンドを使用して、RSA プライベートキーと RSA-PKCS 署名メカニズムを使用して署名を生成します。
**crypto sign rsa-pkcs** コマンドを使用するには、まず AWS CloudHSM クラスターに RSA プライベートキーが必要です。`sign` 属性を `true` に設定して、[CloudHSM CLI で非対称 RSA キーペアを生成する](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) コマンドを使用して RSA プライベートキーを生成できます。
**注記**
署名は、 [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md) サブコマンド AWS CloudHSM を使用して で検証できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 例
これらの例は、**crypto sign rsa-pkcs** を使用して、RSA-PKCS 署名メカニズムと `SHA256` ハッシュ関数を使用して署名を生成する方法を示しています。このコマンドは HSM でプライベートキーを使用します。
**Example 例: ベース 64 でエンコードされたデータの署名を生成する**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example 例: データファイルの署名を生成する**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
署名対象の Base64 でエンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
署名するデータの場所を指定します。
必須: はい (データを通じて提供される場合を除く)
******
ハッシュ関数を指定します。
有効な値:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必須: はい
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「CloudHSM CLI のキー属性」を参照してください
必須: はい
******
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。プライベートキーのキー使用サービスのクォーラム値が 1 より大きい場合にのみ必要です。
******
データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
RSA-PKCS の場合、データは [RFC 8017、セクション 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) で規定されている DER エンコード形式で渡す必要があります。
有効な値:
+ raw
+ ダイジェスト
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI で RSA-PKCS-PSS メカニズムを使用して署名を生成する
CloudHSM CLI の **crypto sign rsa-pkcs-pss** コマンドを使用して、RSA プライベートキーと `RSA-PKCS-PSS` 署名メカニズムを使用して署名を生成します。
**crypto sign rsa-pkcs-pss** コマンドを使用するには、まず AWS CloudHSM クラスターに RSA プライベートキーが必要です。`sign` 属性を `true` に設定して、[CloudHSM CLI で非対称 RSA キーペアを生成する](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) コマンドを使用して RSA プライベートキーを生成できます。
**注記**
署名は、 [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md) サブコマンド AWS CloudHSM を使用して で検証できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## 例
これらの例は、**crypto sign rsa-pkcs-pss** を使用して、`RSA-PKCS-PSS` 署名メカニズムと `SHA256` ハッシュ関数を使用して署名を生成する方法を示しています。このコマンドは HSM でプライベートキーを使用します。
**Example 例: ベース 64 でエンコードされたデータの署名を生成する**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example 例: データファイルの署名を生成する**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
署名対象の Base64 でエンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
署名するデータの場所を指定します。
必須: はい (データを通じて提供される場合を除く)
******
ハッシュ関数を指定します。
有効な値:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必須: はい
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「CloudHSM CLI のキー属性」を参照してください
必須: はい
******
マスク生成関数を指定します。
マスク生成関数のハッシュ関数は、署名メカニズムのハッシュ関数と一致する必要があります。
有効な値:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
必須: はい
******
ソルトの長さを指定します。
必須: はい
******
オペレーションを承認する署名付きクォーラムトークンファイルへのファイルパスを指定します。プライベートキーのキー使用サービスのクォーラム値が 1 より大きい場合にのみ必要です。
******
データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
有効な値:
+ raw
+ ダイジェスト
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
## 関連トピック
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI の暗号化検証カテゴリ
CloudHSM CLI では、**crypto verify** はコマンドグループの親カテゴリであり、親カテゴリと組み合わせるとファイルが指定されたキーによって署名されているかどうかを確認します。**crypto verify** には次のサブコマンドがあります。
+ [crypto verify ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [暗号化検証 ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [crypto verify rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [crypto verify rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
**crypto verify** コマンドは、署名されたファイルをソースファイルと比較し、両者が指定されたパブリックキーと署名メカニズムに基づいて暗号的に関連するかどうかを分析します。
**注記**
ファイルは [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)オペレーション AWS CloudHSM でサインインできます。
# CloudHSM CLI で ECDSA メカニズムを使用して署名された署名を検証する
CloudHSM CLI の **crypto verify ecdsa** コマンドを使用して、次のオペレーションを完了します。
+ 指定されたパブリックキーによって HSM でファイルが署名されていることを確認します。
+ ECDSA 署名メカニズムを使用して署名が生成されたことを検証します。
+ 署名されたファイルをソースファイルと比較し、両者が指定された ecdsa パブリックキーと署名メカニズムに基づいて暗号的に関連するかどうかを判断します。
+ ECDSA 検証関数は、r と のコンポーネントが raw バイナリデータとして連結される `r||s`形式の署名を想定しています。
**crypto verify ecdsa** コマンドを使用するには、まず AWS CloudHSM クラスターに EC パブリックキーが必要です。`verify` 属性を `true` に設定して [CloudHSM CLI で PEM 形式キーをインポートする](cloudhsm_cli-key-import-pem.md) コマンドを使用して、EC パブリックキーをインポートできます。
**注記**
CloudHSM CLI の [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md) サブコマンドを使用して署名を生成できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 例
これらの例は、**crypto verify ecdsa** を使用して、ECDSA 署名メカニズムと `SHA256` ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM でパブリックキーを使用します。
**Example 例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 例: データファイルを使用して署名ファイルを検証する**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 例: 偽の署名関係を証明する**
このコマンドは、`/home/data` にあるデータが、ラベル `ecdsa-public` 付きのパブリックキーによって、`/home/signature` にある署名を生成する ECDSA 署名メカニズムを使用して署名されたかどうかを検証します。指定の引数が真の署名関係を構成していないため、コマンドは、エラーメッセージを返します。
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
署名対象の Base64 でエンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
署名するデータの場所を指定します。
必須: はい (データパスを通じて提供される場合を除く)
******
ハッシュ関数を指定します。
有効な値:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必須: はい
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「CloudHSM CLI のキー属性」を参照してください
必須: はい
******
Base64 でエンコードされた署名。
必須: はい (署名パスを通じて提供される場合を除く)
******
署名の場所を指定します。
必須: はい (署名パスを通じて提供される場合を除く)
******
データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
有効な値:
+ raw
+ ダイジェスト
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI で HashEdDSA メカニズムで署名された署名を検証する
**重要**
HashEdDSA 署名検証オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされます。
CloudHSM CLI の **crypto verify ed25519ph** コマンドを使用して、次のオペレーションを完了します。
+ 特定の Ed25519 パブリックキーを使用して、データまたはファイルの署名を検証します。
+ HashEdDSA 署名メカニズムを使用して署名が生成されたことを確認します。HashEdDSA の詳細については、[NIST SP 186-5、セクション 7.8 ](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)を参照してください。
**crypto verify ed25519ph** コマンドを使用するには、まず AWS CloudHSM クラスターに Ed25519 パブリックキーが必要です。`curve` パラメータを に設定`ed25519`し、 `verify` 属性を に設定して [CloudHSM CLI を使用して非対称 EC キーペアを生成する](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) コマンドを使用して Ed25519 キーペアを生成するか`true`、 `verify` 属性を に設定して [CloudHSM CLI で PEM 形式キーをインポートする](cloudhsm_cli-key-import-pem.md) コマンドを使用して Ed25519 パブリックキーをインポートできます`true`。
**注記**
CloudHSM CLI の [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md) サブコマンドを使用して署名を生成できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
+ HashEdDSA 署名検証オペレーションは、非 FIPS モードの hsm2m.medium インスタンスでのみサポートされます。
## Syntax
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 例
これらの例は、 **crypto verify ed25519ph**を使用して Ed25519ph 署名メカニズムと`sha512`ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM で Ed25519 パブリックキーを使用します。
**Example 例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 例: データファイルを使用して署名ファイルを検証する**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
検証する Base64 エンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
検証するデータの場所を指定します。
必須: はい (データパラメータで指定されない限り)
******
ハッシュ関数を指定します。Ed25519ph は SHA512 のみをサポートします。
有効な値:
+ sha512
必須: はい
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「」を参照してください[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)。
必須: はい
******
Base64 でエンコードされた署名。
必須: はい (署名パスを通じて提供される場合を除く)
******
署名の場所を指定します。
必須: はい (署名パラメータで指定されない限り)
******
データパラメータの値を検証アルゴリズムの一部としてハッシュするかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
有効な値:
+ raw
+ ダイジェスト
必須: はい
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
+ [CloudHSM CLI で HashEdDSA メカニズムを使用して署名を生成する](cloudhsm_cli-crypto-sign-ed25519ph.md)
# CloudHSM CLI で RSA-PKCS メカニズムを使用して署名された署名を検証する
CloudHSM CLI の **crypto verify rsa-pkcs** コマンドを使用して、次のオペレーションを完了します。
+ 指定されたパブリックキーによって HSM でファイルが署名されていることを確認します。
+ `RSA-PKCS` 署名メカニズムを使用して署名が生成されたことを検証します。
+ 署名されたファイルをソースファイルと比較し、両者が指定された rsa パブリックキーと署名メカニズムに基づいて暗号的に関連するかどうかを判断します。
**crypto verify rsa-pkcs** コマンドを使用するには、まず AWS CloudHSM クラスターに RSA パブリックキーが必要です。
**注記**
CloudHSM CLI の [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md) サブコマンドを使用して署名を生成できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 例
これらの例は、**crypto verify rsa-pkcs** を使用して RSA-PKCS 署名メカニズムと `SHA256` ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM でパブリックキーを使用します。
**Example 例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 例: データファイルを使用して署名ファイルを検証する**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 例: 偽の署名関係を証明する**
このコマンドは、無効なデータが、ラベル `rsa-public` 付きのパブリックキーによって、`/home/signature` にある署名を生成する RSAPKCS 署名メカニズムを使用して署名されたかどうかを検証します。指定の引数が真の署名関係を構成していないため、コマンドは、エラーメッセージを返します。
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
署名対象の Base64 でエンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
署名するデータの場所を指定します。
必須: はい (データパスを通じて提供される場合を除く)
******
ハッシュ関数を指定します。
有効な値:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必須: はい
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「CloudHSM CLI のキー属性」を参照してください
必須: はい
******
Base64 でエンコードされた署名。
必須: はい (署名パスを通じて提供される場合を除く)
******
署名の場所を指定します。
必須: はい (署名パスを通じて提供される場合を除く)
******
データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
RSA-PKCS の場合、データは [RFC 8017、セクション 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2) で規定されている DER エンコード形式で渡す必要があります。
有効な値:
+ raw
+ ダイジェスト
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI で RSA-PKCS-PSS メカニズムを使用して署名された署名を検証する
CloudHSM CLI の **crypto sign rsa-pkcs-pss** コマンドを使用して、次のオペレーションを完了します。
+ 指定されたパブリックキーによって HSM でファイルが署名されていることを確認します。
+ RSA-PKCS-PSS 署名メカニズムを使用して署名が生成されたことを検証します。
+ 署名されたファイルをソースファイルと比較し、両者が指定された rsa パブリックキーと署名メカニズムに基づいて暗号的に関連するかどうかを判断します。
**crypto verify rsa-pkcs-pss** コマンドを使用するには、まず AWS CloudHSM クラスターに RSA パブリックキーが必要です。`verify` 属性を `true` に設定して、キーインポート pem コマンド (ADD UNWRAP LINK HERE) を使用して RSA パブリックキーをインポートできます。
**注記**
CloudHSM CLI の [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md) サブコマンドを使用して署名を生成できます。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## 例
これらの例は、**crypto verify rsa-pkcs-pss** を使用して、RSA-PKCS-PSS 署名メカニズムと `SHA256` ハッシュ関数を使用して生成された署名を検証する方法を示しています。このコマンドは HSM でパブリックキーを使用します。
**Example 例: Base64 でエンコードされた署名を Base64 でエンコードされたデータで検証する**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 例: データファイルを使用して署名ファイルを検証する**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 例: 偽の署名関係を証明する**
このコマンドは、無効なデータが、ラベル `rsa-public` 付きのパブリックキーによって、`/home/signature` にある署名を生成する RSAPKCSPSS 署名メカニズムを使用して署名されたかどうかを検証します。指定の引数が真の署名関係を構成していないため、コマンドは、エラーメッセージを返します。
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
署名対象の Base64 でエンコードされたデータ。
必須: はい (データパスを通じて提供される場合を除く)
******
署名するデータの場所を指定します。
必須: はい (データパスを通じて提供される場合を除く)
******
ハッシュ関数を指定します。
有効な値:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
必須: はい
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「CloudHSM CLI のキー属性」を参照してください
必須: はい
******
マスク生成関数を指定します。
マスク生成関数のハッシュ関数は、署名メカニズムのハッシュ関数と一致する必要があります。
有効な値:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
必須: はい
******
Base64 でエンコードされた署名。
必須: はい (署名パスを通じて提供される場合を除く)
******
署名の場所を指定します。
必須: はい (署名パスを通じて提供される場合を除く)
******
データパラメータの値を、署名アルゴリズムの一部としてハッシュ化するかどうかを指定します。ハッシュされていないデータには `raw` を使用し、すでにハッシュされているダイジェストには `digest` を使用します。
有効な値:
+ raw
+ ダイジェスト
## 関連トピック
+ [CloudHSM CLI の暗号化署名カテゴリ](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI の暗号化検証カテゴリ](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI のキーカテゴリ
CloudHSM CLI では、**key** はコマンドのグループの親カテゴリであり、親カテゴリと組み合わせると、キーに固有のコマンドが作成されます。現在、このカテゴリは次のコマンドで構成されています。
+ [削除](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [key generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [key generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [import pem](cloudhsm_cli-key-import-pem.md)
+ [リスト](cloudhsm_cli-key-list.md)
+ [レプリケーション](cloudhsm_cli-key-replicate.md)
+ [セットの属性](cloudhsm_cli-key-set-attribute.md)
+ [使用](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [unwrap](cloudhsm_cli-key-unwrap.md)
+ [wrap](cloudhsm_cli-key-wrap.md)
# CloudHSM CLI でキーを削除する
CloudHSM CLI の **key delete** コマンドを使用して、 AWS CloudHSM クラスターからキーを削除します。一度に削除できるキーは 1 つだけです。キーペアの一方のキーを削除しても、ペアの他方のキーには影響がありません。
キーを作成し、そのキーを所有している CU のみがキーを削除できます。キーを共有しているが所有者ではないユーザーは、暗号化オペレーションでキーを使用できますが、削除することはできません。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## 例
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを削除対象として選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください
必須: はい
## 関連トピック
+ [CloudHSM CLI でユーザーのキーを一覧表示する](cloudhsm_cli-key-list.md)
+ [CloudHSM CLI で非対称キーをエクスポートする](cloudhsm_cli-key-generate-file.md)
+ [CloudHSM CLI を使用してキーの共有を解除する](cloudhsm_cli-key-unshare.md)
+ [CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI を使用してキーをフィルタリングする](manage-keys-cloudhsm-cli-filtering.md)
# CloudHSM CLI で非対称キーをエクスポートする
CloudHSM CLI の **key generate-file** コマンドを使用して、ハードウェアセキュリティモジュール (HSM) から非対称キーをエクスポートします。ターゲットがプライベートキーの場合、プライベートキーへの参照はフェイク PEM 形式でエクスポートされます。ターゲットがパブリックキーの場合、パブリックキーバイトは PEM 形式でエクスポートされます。
フェイク PEM ファイルは、実際のプライベートキーマテリアルを含むわけではなく、HSM のプライベートキーを参照するため、ウェブサーバーから AWS CloudHSMへの SSL/TLS オフロードを確立するために使用できます。詳細については、「[SSL/TLS オフロード](ssl-offload.md)」を参照してください。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## 例
この例では、 **key generate-file** を使用して AWS CloudHSM クラスターにキーファイルを生成する方法を示します。
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを削除対象として選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください
必須: いいえ
******
キーファイルのエンコード形式を指定します
必須: はい
******
キーファイルが書き込まれるファイルパスを指定します
必須: はい
## KSP キー参照を生成します (Windows)
**注記**
この機能は、SDK バージョン 5.16.0 以降でのみ使用できます。
### 前提条件
+ KSP キー参照は Windows プラットフォームでのみ生成できます。
+ Crypto User (CU) としてサインインする必要があります。
### ファイルの場所
デフォルトでは、AWS CloudHSM は生成されたファイルを `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition` に保存します。
別の場所を指定するには、`--path` パラメータを使用します。
### 構文
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### 例 – プライベートキーの属性フィルターを使用して KSP キー参照を生成する
次の例では、特定のラベルを持つプライベートキーの KSP キー参照を生成します。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### 例 – すべてのキーペアの KSP キー参照を生成する
次の例では、クラスター内のすべてのキーペアの KSP キー参照を生成します。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 関連トピック
+ [CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI を使用してキーをフィルタリングする](manage-keys-cloudhsm-cli-filtering.md)
+ [CloudHSM CLI の generate-asymmetric-pair カテゴリ](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [CloudHSM CLI の generate-symmetric カテゴリ](cloudhsm_cli-key-generate-symmetric.md)
# CloudHSM CLI の generate-asymmetric-pair カテゴリ
CloudHSM CLI では、**key generate-asymmetric-pair** はコマンドグループの親カテゴリで、親カテゴリと組み合わせると非対称キーペアを生成するコマンドを作成します。現在、このカテゴリは次のコマンドで構成されています。
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# CloudHSM CLI を使用して非対称 EC キーペアを生成する
CloudHSM CLI の **key asymmetric-pair ec** コマンドを使用して、 AWS CloudHSM クラスターに非対称楕円曲線 (EC) キーペアを生成します。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
このコマンドを実行するには、CU としてログインする必要があります。
## 構文
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value