KMU を使用して AWS CloudHSM キーを抽出する
AWS CloudHSM key_mgmt_util の extractMaskedObject コマンドを使用してハードウェアセキュリティモジュール (HSM) からキーを抽出し、隠されたオブジェクトとしてファイルに保存します。マスクされたオブジェクトとは、クローンされたオブジェクトで、insertMaskedObject コマンドを使用して再び元のクラスターに挿入して初めて使用可能になります。マスクされたオブジェクトは、生成元であるクラスター、またはそのクラスターのクローンにしか挿入できません。これには、リージョン間でのバックアップのコピーによって生成されたクラスターのクローンバージョンや、そのバックアップを使って新しいクラスターを作成することで生成されたクラスターのクローンバージョンが含まれます。
マスクされたオブジェクトは、抽出不可能なキー (OBJ_ATTR_EXTRACTABLE 値が 0 であるキー) を含め、キーを効率的にオフロードおよび同期する手段です。この手段を使うと、AWS CloudHSM 設定ファイルを更新せずに、異なるリージョンにある関連クラスター間でキーを安全に同期できます。
重要
マスクされたオブジェクトは、挿入時に復号され、元のキーのキーハンドルとは異なるキーハンドルを与えられます。マスクされたオブジェクトには、属性、所有権、共有情報、クォーラム設定など、元のキーに関連付けられているすべてのメタデータが含まれます。アプリケーションのクラスター間でキーを同期する必要がある場合は、代わりに cloudhsm_mgmt_util で syncKey を使用してください。
key_mgmt_util コマンドを実行する前に、key_mgmt_util を起動し、 HSM に ログインする 必要があります。extractMaskedObject コマンドは、キーを所有する CU または任意の CO が使用できます。
Syntax
extractMaskedObject -h extractMaskedObject -o<object-handle>-out<object-file>
例
この例は、extractMaskedObject を使い、HSM のキーをマスクされたオブジェクトとして抽出する方法を示します。
例 : マスクされたオブジェクトを抽出する
このコマンドは、HSM のハンドルが 524295 であるキーからマスクされたオブジェクトを抽出し、maskedObj というファイルとして保存します。extractMaskedObject は、コマンドが成功すると成功メッセージを返します。
Command:extractMaskedObject -o 524295 -out maskedObjObject was masked and written to file "maskedObj" Cfm3ExtractMaskedObject returned: 0x00 : HSM Return: SUCCESS
パラメータ
このコマンドでは、以下のパラメータを使用します。
-h-
コマンドのコマンドラインヘルプを表示します
必須: はい
-o-
マスクされたオブジェクトとして抽出するキーのハンドルを指定します。
必須: はい
-out-
マスクされたオブジェクトの保存先とするファイルの名前を指定します。
必須: はい
関連トピック
