CloudHSM CLI를 사용하여 AES-GCM으로 키 래핑 - AWS CloudHSM

CloudHSM CLI를 사용하여 AES-GCM으로 키 래핑

CloudHSM CLI에서 key wrap aes-gcm 명령을 사용하여 하드웨어 보안 모듈(HSM) 및 AES-GCM 래핑 메커니즘에서 AES 키를 사용하여 페이로드 키를 래핑합니다. 페이로드 키의 extractable 속성은 true로 설정되어야 합니다.

키 소유자, 즉 키를 생성한 Crypto User(CU)만 키를 래핑할 수 있습니다. 키를 공유하는 사용자는 해당 키를 암호화 작업에 사용할 수 있습니다.

key wrap aes-gcm 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 AES 키가 있어야 합니다. CloudHSM CLI를 사용하여 대칭 AES 키 생성 명령 및 true로 설정된 wrap 속성을 사용하여 래핑하기 위한 AES 키를 생성할 수 있습니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

  • CU(Crypto User)

요구 사항

  • 이 명령을 실행하려면 CU로 로그인해야 합니다.

구문

aws-cloudhsm > help key wrap aes-gcm Usage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path <PATH> Path to the binary file where the wrapped key data will be saved --aad <AAD> Aes GCM Additional Authenticated Data (AAD) value, in hex --tag-length-bits <TAG_LENGTH_BITS> Aes GCM tag length in bits -h, --help Print help

이 예제에서는 AES 키를 사용하여 key wrap aes-gcm 명령을 사용하는 방법을 보여줍니다.

aws-cloudhsm > key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10 { "error_code": 0, "data": { "payload_key_reference": "0x00000000001c08f1", "wrapping_key_reference": "0x00000000001c08ea", "iv": "0xf90613bb8e337ec0339aad21", "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8" } }

인수

<CLUSTER_ID>

이 작업을 실행할 클러스터의 ID입니다.

필수: 여러 클러스터가 구성된 경우.

<PAYLOAD_FILTER>

키 참조(예: key-reference=0xabc) 또는 페이로드 키를 선택할 수 있는 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 형식의 키 속성의 공백으로 구분된 목록.

필수 항목 여부: 예

<PATH>

래핑된 키 데이터가 저장될 이진 파일의 경로입니다.

필수 항목 여부: 아니요

<WRAPPING_FILTER>

키 참조(예: key-reference=0xabc) 또는 래핑 키를 선택할 수 있는 attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 형식의 키 속성의 공백으로 구분된 목록입니다.

필수 항목 여부: 예

<AAD>

16진수 단위의 AES GCM 추가 인증 데이터(AAD) 값입니다.

필수 항목 여부: 아니요

<TAG_LENGTH_BITS>

비트 단위로 표시한 AES GCM 태그 길이입니다.

필수 항목 여부: 예

관련 주제