翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudHSM CLI を使用してキーを生成します
キーを生成する前に、CloudHSM CLI を起動し、Crypto User (CU) としてログインする必要があります。HSM でキーを生成するには、生成したいキーと対応するタイプのコマンドを使用します。
対称キーの生成
key generate-symmetric に記載されているコマンドを使用して対称キーを生成します。利用可能なオプションをすべて確認するには、help key generate-symmetric コマンドを使用します。
AES キーの生成
key generate-symmetric aes コマンドを使用して AES キーを生成します。利用可能なオプションをすべて確認するには、help key generate-symmetric aes コマンドを使用します。
次の例では 32 バイトの AES キーを生成します。
aws-cloudhsm >
key generate-symmetric aes \ --label aes-example \ --key-length-bytes 32
引数
<LABEL>
-
AES キーのユーザー定義ラベルを指定します。
必須: はい
<KEY-LENGTH-BYTES>
-
キーの長さをバイト単位で指定します。
有効値:
16、24、32
必須: はい
<KEY_ATTRIBUTES>
-
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
形式で生成された AES キーに設定するキー属性のスペース区切りリストを指定します (例:token=true
)。サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいクラウドの主要な属性HSM CLI。
必須: いいえ
<SESSION>
-
現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。
セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。
デフォルトでは、生成されるキーは永続/トークンキーです。<SESSION> を使用するとこれは変更され、この引数で生成されたキーがセッション/エフェメラルであることが保証されます
必須: いいえ
汎用シークレットキーを生成します
key generate-symmetric generic-secret コマンドを使用して汎用シークレットキーを生成します。利用可能なオプションをすべて確認するには、help key generate-symmetric generic-secret コマンドを使用します。
次の例では、32 バイトの汎用シークレットキーを生成します。
aws-cloudhsm >
key generate-symmetric generic-secret \ --label generic-secret-example \ --key-length-bytes 32
引数
<LABEL>
-
汎用シークレットキーのユーザー定義ラベルを指定します。
必須: はい
<KEY-LENGTH-BYTES>
-
キーの長さをバイト単位で指定します。
有効値:
1~800
必須: はい
<KEY_ATTRIBUTES>
-
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
形式で生成された汎用シークレットキーに設定するキー属性のスペース区切りリストを指定します (例:token=true
)。サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいクラウドの主要な属性HSM CLI。
必須: いいえ
<SESSION>
-
現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。
セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。
デフォルトでは、生成されるキーは永続/トークンキーです。<SESSION> を使用するとこれは変更され、この引数で生成されたキーがセッション/エフェメラルであることが保証されます
必須: いいえ
非対称キーの生成
キー generate-asymmetric-pair に記載されているコマンドを使用して非対称キーペアを生成します。
RSA キーの生成
key generate-asymmetric-pair rsa コマンドを使用して RSA キーペアを生成します 利用可能なオプションをすべて確認するには、help key generate-asymmetric-pair rsa コマンドを使用します。
次の例では、RSA 2048 ビットのキーペアが生成されます。
aws-cloudhsm >
key generate-asymmetric-pair rsa \ --public-exponent 65537 \ --modulus-size-bits 2048 \ --public-label rsa-public-example \ --private-label rsa-private-example
引数
<PUBLIC_LABEL>
-
パブリックキーのユーザー定義ラベルを指定します。
必須: はい
<PRIVATE_LABEL>
-
プライベートキーのユーザー定義ラベルを指定します。
必須: はい
<MODULUS_SIZE_BITS>
-
モジュラスの長さをビット単位で指定します。最小値は 2048 です。
必須: はい
<PUBLIC_EXPONENT>
-
パブリック指数を指定します。値は、65537 以上の奇数にする必要があります
必須: はい
<PUBLIC_KEY_ATTRIBUTES>
-
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
形式で生成された RSA パブリックキーに設定するキー属性のスペース区切りリストを指定します (例:token=true
)。サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいクラウドの主要な属性HSM CLI。
必須: いいえ
<SESSION>
-
現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。
セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。
デフォルトでは、生成されるキーは永続/トークンキーです。<SESSION> を使用するとこれは変更され、この引数で生成されたキーがセッション/エフェメラルであることが保証されます
必須: いいえ
EC (楕円曲線暗号) キーペアの生成
key generate-asymmetric-pair ec コマンドを使用して EC キーペアを生成します。サポートされている楕円曲線のリストを含め、利用可能なオプションをすべて確認するには、help key generate-asymmetric-pair ec コマンドを使用します。
次の例では、Secp384r1 楕円曲線 を使用して EC キーペアを生成します。
aws-cloudhsm >
key generate-asymmetric-pair ec \ --curve secp384r1 \ --public-label ec-public-example \ --private-label ec-private-example
引数
<PUBLIC_LABEL>
-
パブリックキーのユーザー定義ラベルを指定します。で使用できる最大サイズ
label
は、クライアント SDK 5.11 以降では 127 文字です。Client SDK 5.10 以前では、126 文字に制限されています。必須: はい
<PRIVATE_LABEL>
-
プライベートキーのユーザー定義ラベルを指定します。で使用できる最大サイズ
label
は、クライアント SDK 5.11 以降では 127 文字です。Client SDK 5.10 以前では、126 文字に制限されています。必須: はい
<CURVE>
-
楕円曲線の識別子を指定します。
有効値:
prime256v1
secp256r1
secp224r1
secp384r1
secp256k1
secp521r1
必須: はい
<PUBLIC_KEY_ATTRIBUTES>
-
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
形式で生成された EC パブリックキーに設定するキー属性のスペース区切りリストを指定します (例:token=true
)。サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいクラウドの主要な属性HSM CLI。
必須: いいえ
<PRIVATE_KEY_ATTRIBUTES>
-
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
形式で生成された EC プライベートキーに設定するキー属性のスペース区切りリストを指定します (例:token=true
)。サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいクラウドの主要な属性HSM CLI。
必須: いいえ
<SESSION>
-
現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。
セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。
デフォルトでは、生成されるキーは永続 (トークン) キーです。<SESSION> で渡すことでこれが変わり、この引数で生成されたキーがセッション (エフェメラル) キーであることが保証されます。
必須: いいえ