AWS CloudHSM KMU を使用してシークレットキーをエクスポートする - AWS CloudHSM

AWS CloudHSM KMU を使用してシークレットキーをエクスポートする

key_mgmt_util (KMU) を使用して AWS CloudHSM からプライベートキーをエクスポートするには、次の手順を実行します。

シークレットキーをエクスポートするには

  1. genSymKey コマンドを使用してラップキーを作成します。次のコマンドは、現在のセッション中のみ有効な 128 ビット AES ラップキーを作成します。

    Command: genSymKey -t 31 -s 16 -sess -l export-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

Symmetric Key Created.  Key Handle: 524304

Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

  2. エクスポートするシークレットキーのタイプに応じて、次のいずれかのコマンドを使用します。

    • 対称キーをエクスポートするには、exSymKey コマンドを使用します。次のコマンドでは、aes256.key.exp という名前のファイルに AES キーをエクスポートします。利用可能なオプションをすべて確認するには、exSymKey -h コマンドを使用します。

      Command: exSymKey -k 524295 -out aes256.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS


Wrapped Symmetric Key written to file "aes256.key.exp"
      注記

      コマンドの出力には、「ラップされた対称キー」が出力ファイルに書かれている、とあります。ただし、出力ファイルにはプレーンテキストの (ラップされていない) キーが含まれています。ファイルにラップ (暗号化) されたキーをエクスポートするには、wrapKey コマンドを使用します。

    • プライベートキーをエクスポートするには、exportPrivateKey コマンドを使用します。次のコマンドでは、rsa2048.key.exp という名前のファイルにプライベートキーをエクスポートします。利用可能なオプションをすべて確認するには、exportPrivateKey -h コマンドを使用します。

      Command: exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS

Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS

PEM formatted private key is written to rsa2048.key.exp