KMU を使用して AWS CloudHSM キーのユーザーを取得する - AWS CloudHSM
Syntaxパラメータ関連トピック

KMU を使用して AWS CloudHSM キーのユーザーを取得する

AWS CloudHSM key_mgmt_util の getKeyInfo コマンドを使用して、キーを共有する所有者および Crypto User (CU) を含む、キーを使用できるユーザーのハードウェアセキュリティモジュール (HSM) ユーザー ID を返します。キーに対するクォーラム認証が有効になっている場合、getKeyInfo はキーを使用する暗号化オペレーションを承認する必要があるユーザーの数も返します。getKeyInfo は、所有および共有しているキーに対してのみ実行できます。

パブリックキーに対して getKeyInfo を実行すると、HSM のすべてのユーザーがパブリックキーを使用できる場合でも、getKeyInfo はキー所有者のみを返します。HSM のユーザーの HSM ユーザー ID を確認するには、listUsers を使用します。特定のユーザーのキーを確認するには、findKey -u を使用します。

ユーザーは、自分で作成したキーを所有します。自分で作成したキーは、他のユーザーと共有できます。既存のキーを共有または共有解除するには、cloudhsm_mgmt_util の shareKey を使用します。

key_mgmt_util コマンドを実行する前に、key_mgmt_util を起動し、Crypto User (CU) として HSM に ログインする 必要があります。

Syntax

getKeyInfo -h

getKeyInfo -k <key-handle>

以下の例では、getKeyInfo を使用してキーのユーザーに関する情報を取得する方法を示します。

例 : 対称キーのユーザーを取得する

次のコマンドでは、キーハンドルが 9 の AES (対称) キーを使用できるユーザーを取得します。出力は、キーの所有者がユーザー 3 であり、キーをユーザー 4 と共有していることを示しています。

Command:  getKeyInfo -k 9

       Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS

       Owned by user 3

       also, shared to following 1 user(s):

                4
例 : 非対称キーペアのユーザーを取得する

以下のコマンドでは、getKeyInfo を使用して RSA (非対称) キーペアのキーを使用できるユーザーを取得します。パブリックキーのキーハンドルは 21 です。プライベートキーのキーハンドルは 20 です。

プライベートキー (getKeyInfo) に対して 20 を実行すると、キー所有者 (3) およびキーを共有している Crypto User (CU) 4 と 5 が返されます。

Command:  getKeyInfo -k 20

       Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS

       Owned by user 3

       also, shared to following 2 user(s):

                4
                5

getKeyInfo をパブリックキー (21) に対して実行すると、キー所有者 (3) のみが返されます。

Command:  getKeyInfo -k 21

       Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS

       Owned by user 3

ユーザー 4 がパブリックキー (および HSM のすべてのパブリックキー) を使用できることを確認するには、-ufindKey パラメータを使用します。

出力は、ユーザー 4 がキーペアのパブリックキー (21) とプライベートキー (20) の両方を使用できることを示しています。ユーザー 4 は、他のすべてのパブリックキーと、自分で作成したプライベートキーまたは共有しているプライベートキーを使用することもできます。

Command:  findKey -u 4
Total number of keys present 8

 number of keys matched from start index 0::7
11, 12, 262159, 262161, 262162, 19, 20, 21

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
例 : キーのクォーラム認証値 (m_value) を取得する

この例では、キーの m_value、つまりキーを使用する暗号化オペレーションを承認する必要があるクォーラムのユーザー数を取得する方法を示します。

キーに対してクォーラム認証を有効にすると、ユーザーのクォーラムは、そのキーを使用する暗号化オペレーションを承認する必要があります。クォーラム認証を有効にしてクォーラムサイズを設定するには、キーの作成時に -m_value パラメータを使用します。

次のコマンドでは、genRSAKeyPair を使用して、ユーザー 4 と共有される RSA キーペアを作成します。また、m_value パラメータを使用してペアのプライベートキーでクォーラム認証を有効にし、クォーラムサイズを 2 ユーザーに設定します。ユーザー数は必要な承認を提供できるだけの大きさが必要です。

出力は、このコマンドでパブリックキー 27 とプライベートキー 28 が作成されたことを示しています。

 Command:  genRSAKeyPair -m 2048 -e 195193 -l rsa_mofn -id rsa_mv2 -u 4 -m_value 2

        Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS

        Cfm3GenerateKeyPair:    public key handle: 27    private key handle: 28

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS

次のコマンドでは、getKeyInfo を使用して、プライベートキーのユーザーに関する情報を取得します。出力は、キーの所有者がユーザー 3 であり、キーがユーザー 4 と共有されていることを示しています。また、2 ユーザーのクォーラムが、このキーを使用するすべての暗号化オペレーションを承認する必要があることも示しています。

Command:  getKeyInfo -k 28

        Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key

パラメータ

-h

コマンドのコマンドラインヘルプを表示します

必須: はい

-k

HSM で 1 つのキーのキーハンドルを指定します。所有または共有するキーのキーハンドルを入力します。このパラメータは必須です。

キーハンドルを見つけるには、findKey コマンドを使用します。

必須: はい

関連トピック