KMU を使用して AWS CloudHSM キーの属性を設定する - AWS CloudHSM
Syntaxパラメータ関連トピック

KMU を使用して AWS CloudHSM キーの属性を設定する

setAttribute key_mgmt_util の AWS CloudHSM コマンドで、現在のセッションでのみ有効なキーを、削除するまで存在する永続キーに変換します。この変換を行うために、キーのトークン属性 (OBJ_ATTR_TOKEN) の値を false (0) から true (1) に変更します。自分が所有するキーの属性のみ変更できます。

cloudhsm_mgmt_util の setAttribute コマンドを使用して、ラベルの変更、属性のラップ、アンラップ、暗号化、および復号化を行うこともできます。

key_mgmt_util コマンドを実行する前に、key_mgmt_util を起動し、Crypto User (CU) として HSM に ログインする 必要があります。

Syntax

setAttribute -h 

setAttribute -o <object handle> 
             -a 1

次の例では、セッションキーを永続キーに変換する方法を示します。

最初のコマンドは、genSymKey-sess パラメーターを使用して、現在のセッションでのみ有効な 192 ビットの AES キーを作成します。出力は、新しいセッションキーのキーハンドルが 262154 であることを示しています。

Command: genSymKey -t 31 -s 24 -l tmpAES -sess
      
        Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 262154

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS

次のコマンドでは、findKey を使用して現在のセッションのセッションキーを確認します。出力は、キー 262154 がセッションキーであることを示しています。

Command:  findKey -sess 1

Total number of keys present 1

 number of keys matched from start index 0::0
262154

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

次のコマンドでは、setAttribute を使用してキー 262154 をセッションキーから永続キーに変換します。そのために、キーのトークン属性 (OBJ_ATTR_TOKEN) の値を 0 (false)から 1 (true)に変更します。キー属性の解釈については、KMU の AWS CloudHSM キー属性リファレンス を参照してください。

このコマンドでは、-o パラメータを使用してキーハンドル (262154) を指定し、-a パラメータを使用してトークン属性を表す定数 (1) を指定します。コマンドを実行すると、トークン属性の値を指定するよう求められます。唯一の有効な値は 1 (true) です。これは、永続キーの値です。

Command: setAttribute -o 262154 -a 1
         This attribute is defined as a boolean value.
          Enter the boolean attribute value (0 or 1):1

        Cfm3SetAttribute returned: 0x00 : HSM Return: SUCCESS

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

次のコマンドでは、262154 が永続キーになったことを確認するために、findKey を使用してセッションキー (-sess 1) と永続キー (-sess 0) を検索します。今回は、コマンドでセッションキーが検出されず、永続キーのリストで 262154 が返されます。

Command: findKey -sess 1

Total number of keys present 0

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS



Command: findKey -sess 0

Total number of keys present 5

 number of keys matched from start index 0::4
6, 7, 524296, 9, 262154

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

パラメータ

-h

コマンドに関するヘルプを表示します。

必須: はい

-オ

ターゲットキーのキーハンドルを指定します。各コマンドに指定できるキーは 1 つのみです。キーのキーハンドルを取得するには、findKey を使用します。

必須: はい

-a

変更する属性を表す定数を指定します。唯一の有効な値は 1 です。これはトークン属性 OBJ_ATTR_TOKEN を表します。

属性とその整数値を取得するには、listAttributes を使用します。

必須: はい

関連トピック