기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# CloudHSM CLI 명령에 대한 참조
CloudHSM CLI는 관리자가 AWS CloudHSM 클러스터의 사용자를 관리하는 데 도움이 됩니다. CloudHSM CLI는 대화형 모드와 단일 명령 모드의 두 가지 모드로 실행할 수 있습니다. 빠른 시작은 [AWS CloudHSM 명령줄 인터페이스(CLI) 시작하기](cloudhsm_cli-getting-started.md) 섹션을 참조하십시오.
대부분의 CloudHSM CLI 명령을 실행하려면 CloudHSM CLI를 시작하고 HSM에 로그인해야 합니다. HSM을 추가하거나 삭제하는 경우 CloudHSM CLI의 구성 파일을 업데이트합니다. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.
다음 주제에서는 CloudHSM CLI의 명령에 대해 설명합니다.
| 명령 | 설명 | 사용자 유형 |
| --- | --- | --- |
| [활성화](cloudhsm_cli-cluster-activate.md) | CloudHSM 클러스터를 활성화하고 클러스터가 새 클러스터인지 확인합니다. 다른 작업을 수행하기 전에 이 작업을 먼저 수행해야 합니다. | 활성화되지 않은 관리자 |
| [hsm-정보](cloudhsm_cli-cluster-hsm-info.md) | 클러스터에서 HSM을 나열합니다. | 모든 [1](#cli-ref-1)(인증되지 않은 사용자 포함) 로그인은 필요하지 않습니다. |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | EC 프라이빗 키와 ECDSA 서명 메커니즘을 사용하여 서명을 생성합니다. | 암호화 사용자(Crypto User) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Ed25519 프라이빗 키와 HashEdDSA 서명 메커니즘을 사용하여 서명을 생성합니다. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | RSA 프라이빗 키와 RSA-PKCS 서명 메커니즘을 사용하여 서명을 생성합니다. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | RSA 프라이빗 키와 RSA-PKCS-PSS 서명 메커니즘을 사용하여 서명을 생성합니다. | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | 파일이 지정된 퍼블릭 키로 HSM에서 서명되었는지 확인합니다. ECDSA 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다. 서명된 파일을 소스 파일과 비교하고 지정된 ecdsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다. | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Ed25519 퍼블릭 키를 사용하여 HashEdDSA 서명을 확인합니다. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | 파일이 지정된 퍼블릭 키로 HSM에서 서명되었는지 확인합니다. RSA-PKCS 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다. 서명된 파일을 소스 파일과 비교하고 지정된 rsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | 파일이 지정된 퍼블릭 키로 HSM에서 서명되었는지 확인합니다. RSA-PKCS-PSS 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다. 서명된 파일을 소스 파일과 비교하고 지정된 rsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다. | CU |
| [키 삭제](cloudhsm_cli-key-delete.md) | AWS CloudHSM 클러스터에서 키를 삭제합니다. | CU |
| [키 생성-파일](cloudhsm_cli-key-generate-file.md) | AWS CloudHSM 클러스터에 키 파일을 생성합니다. | CU |
| [키 생성-비대칭-페어 rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | AWS CloudHSM 클러스터에서 비대칭 RSA 키 페어를 생성합니다. | CU |
| [키 생성-비대칭-페어 ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | AWS CloudHSM 클러스터에서 비대칭 타원 곡선(EC) 키 페어를 생성합니다. | CU |
| [키 생성-대칭 aes](cloudhsm_cli-key-generate-symmetric-aes.md) | AWS CloudHSM 클러스터에서 대칭 AES 키를 생성합니다. | CU |
| [키 생성-대칭 일반-비밀](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | AWS CloudHSM 클러스터에 대칭 일반 보안 키를 생성합니다. | CU |
| [키 가져오기 pem](cloudhsm_cli-key-import-pem.md) | PEM 형식 키를 HSM으로 가져옵니다. 이 명령을 사용하여 HSM 외부에서 생성된 퍼블릭 키를 가져올 수 있습니다. | CU |
| [키 목록](cloudhsm_cli-key-list.md) | AWS CloudHSM 클러스터에 있는 현재 사용자의 모든 키를 찾습니다. | CU |
| [키 복제](cloudhsm_cli-key-replicate.md) | 소스 클러스터에서 복제된 대상 클러스터로 키를 복제합니다. | CU |
| [키 세트-속성](cloudhsm_cli-key-set-attribute.md) | AWS CloudHSM 클러스터에 있는 키의 속성을 설정합니다. | CU는 이 명령을 실행할 수 있고, 관리자는 신뢰할 수 있는 속성을 설정할 수 있습니다. |
| [키 공유](cloudhsm_cli-key-share.md) | AWS CloudHSM 클러스터의 다른 CUs와 키를 공유합니다. | CU |
| [키 공유 취소](cloudhsm_cli-key-unshare.md) | AWS CloudHSM 클러스터의 다른 CUs와 키를 공유 해제합니다. | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | AES 래핑 키와 AES-GCM 래핑 해제 메커니즘을 사용하여 페이로드 키를 클러스터로 래핑 해제합니다. | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | AES 래핑 키와 AES-NO-PAD 래핑 해제 메커니즘을 사용하여 페이로드 키를 클러스터로 래핑 해제합니다. | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | AES 래핑 키와 AES-PKCS5-PAD 래핑 해제 메커니즘을 사용하여 페이로드 키를 래핑 해제합니다. | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | AES 래핑 키와 AES-ZERO-PAD 래핑 해제 메커니즘을 사용하여 페이로드 키를 클러스터로 래핑 해제합니다. | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | AES 래핑 키와 CLOUDHSM-AES-GCM 래핑 해제 메커니즘을 사용하여 페이로드 키를 클러스터로 래핑 해제합니다. | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | RSA 프라이빗 키와 RSA-AES 래핑 해제 메커니즘을 사용하여 페이로드 키를 래핑 해제합니다. | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | RSA 프라이빗 키와 RSA-OAEP 래핑 메커니즘을 사용하여 페이로드 키를 래핑 해제합니다. | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | RSA 프라이빗 키와 RSA-PKCS 래핑 메커니즘을 사용하여 페이로드 키를 래핑 해제합니다. | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | HSM의 AES 키와 AES-GCM 래핑 메커니즘을 사용하여 페이로드 키를 래핑합니다. | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | HSM의 AES 키와 AES-NO-PAD 래핑 메커니즘을 사용하여 페이로드 키를 래핑합니다. | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | HSM의 AES 키와 AES-PKCS5-PAD 래핑 메커니즘을 사용하여 페이로드 키를 래핑합니다. | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | HSM의 AES 키와 AES-ZERO-PAD 래핑 메커니즘을 사용하여 페이로드 키를 래핑합니다. | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | HSM의 AES 키와 CLOUDHSM-AES-GCM 래핑 메커니즘을 사용하여 페이로드 키를 래핑합니다. | CU |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | HSM의 RSA 퍼블릭 키와 RSA-AES 래핑 메커니즘을 사용하여 페이로드 키를 래핑합니다. | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | HSM 및 RSA-OAEP 래핑 메커니즘에서 RSA 퍼블릭 키를 사용하여 페이로드 키를 래핑합니다. | CU |
| [ CloudHSM CLI를 사용하여 RSA-PKCS로 키 래핑rsa-pkcs **key wrap rsa-pkcs** 명령은 HSM 및 `RSA-PKCS` 래핑 메커니즘에서 RSA 퍼블릭 키를 사용하여 페이로드 키를 래핑합니다. CloudHSM CLI에서 **key wrap rsa-pkcs** 명령을 사용하여 하드웨어 보안 모듈(HSM) 및 `RSA-PKCS` 래핑 메커니즘에서 RSA 퍼블릭 키를 사용하여 페이로드 키를 래핑합니다. 페이로드 키의 `extractable` 속성은 `true`로 설정되어야 합니다. 키 소유자, 즉 키를 생성한 Crypto User(CU)만 키를 래핑할 수 있습니다. 키를 공유하는 사용자는 해당 키를 암호화 작업에 사용할 수 있습니다. **key wrap rsa-pkcs** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 RSA 키가 있어야 합니다. [CloudHSM CLI에서 generate-asymmetric-pair 범주](cloudhsm_cli-key-generate-asymmetric-pair.md) 명령 및 `true`로 설정된 `wrap` 속성을 사용하여 RSA 키 페어를 생성할 수 있습니다. 사용자 유형 다음 사용자 유형이 이 명령을 실행할 수 있습니다. CU(Crypto User) 요구 사항 이 명령을 실행하려면 CU로 로그인해야 합니다. 구문
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` 예제 이 예제에서는 RSA 퍼블릭 키를 사용하여 **key wrap rsa-pkcs** 명령을 사용하는 방법을 보여줍니다.
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
키 참조(예: `key-reference=0xabc`) 또는 페이로드 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
필수 항목 여부: 예
******
래핑된 키 데이터가 저장될 이진 파일의 경로입니다.
필수 여부: 아니요
******
키 참조(예: `key-reference=0xabc`) 또는 래핑 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록입니다.
필수 항목 여부: 예
******
키 래핑 작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 키 래핑의 키 관리 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
******
페이로드 키 작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 페이로드 키의 키 관리 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다. 관련 주제 [CloudHSM CLI에서 키 래핑 명령](cloudhsm_cli-key-wrap.md) [CloudHSM CLI에서 키 래핑 해제 명령](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | HSM 및 RSA-PKCS 래핑 메커니즘에서 RSA 퍼블릭 키를 사용하여 페이로드 키를 래핑합니다. | CU |
| [로그인](cloudhsm_cli-login.md) | AWS CloudHSM 클러스터에 로그인합니다. | 관리자, CU(Crypto User), AU(Appliance User) |
| [로그아웃](cloudhsm_cli-logout.md) | AWS CloudHSM 클러스터에서 로그아웃합니다. | 관리자, CU, AU(Appliance User) |
| [쿼럼 토큰-서명 삭제](cloudhsm_cli-qm-token-del.md) | 쿼럼 인증 서비스의 토큰을 하나 이상 삭제합니다. | 관리자 |
| [쿼럼 토큰-서명 생성](cloudhsm_cli-qm-token-gen.md) | 쿼럼 인증 서비스를 위한 토큰을 생성합니다. | 관리자 |
| [쿼럼 토큰-서명 목록](cloudhsm_cli-qm-token-list.md) | CloudHSM 클러스터에 있는 모든 토큰-서명 쿼럼 토큰을 나열합니다. | 모든 [1](#cli-ref-1)(인증되지 않은 사용자 포함) 로그인은 필요하지 않습니다. |
| [쿼럼 토큰-서명 목록-쿼럼-값](cloudhsm_cli-qm-token-list-qm.md) | CloudHSM 클러스터에 설정된 쿼럼 값을 나열합니다. | 모든 [1](#cli-ref-1)(인증되지 않은 사용자 포함) 로그인은 필요하지 않습니다. |
| [쿼럼 토큰-서명 설정-쿼럼-값](cloudhsm_cli-qm-token-set-qm.md) | 쿼럼 인증 서비스의 새 쿼럼 값을 설정합니다. | 관리자 |
| [사용자 변경-mfa](cloudhsm_cli-user-change-mfa.md) | 사용자의 다중 인증(MFA) 전략을 변경합니다. | 관리자, CU |
| [사용자 암호-변경](cloudhsm_cli-user-change-password.md) | HSM 사용자의 암호를 변경합니다. 모든 사용자는 본인의 암호를 변경할 수 있습니다. 관리자는 모든 사용자의 암호를 변경할 수 있습니다. | 관리자, CU |
| [사용자 생성](cloudhsm_cli-user-create.md) | AWS CloudHSM 클러스터에 사용자를 생성합니다. | 관리자 |
| [사용자 삭제](cloudhsm_cli-user-delete.md) | AWS CloudHSM 클러스터에서 사용자를 삭제합니다. | 관리자 |
| [사용자 목록](cloudhsm_cli-user-list.md) | AWS CloudHSM 클러스터의 사용자를 나열합니다. | 모든 [1](#cli-ref-1)(인증되지 않은 사용자 포함) 로그인은 필요하지 않습니다. |
| [사용자 변경-쿼럼 토큰-서명 등록](cloudhsm_cli-user-chqm-token-reg.md) | 사용자의 쿼럼 토큰-서명 쿼럼 전략을 등록합니다. | 관리자 |
**Annotations**
+ [1] 모든 사용자에는 나열된 모든 역할과 로그인하지 않은 사용자가 포함됩니다.
# CloudHSM CLI의 클러스터 범주
CloudHSM CLI에서 **cluster**은 상위 카테고리와 결합될 때 클러스터에 특정한 명령을 생성하는 명령 그룹의 상위 카테고리입니다. 현재 클러스터 카테고리는 다음과 같은 명령으로 구성되어 있습니다.
**Topics**
+ [활성화](cloudhsm_cli-cluster-activate.md)
+ [hsm-정보](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# CloudHSM CLI를 사용하여 클러스터 활성화
CloudHSM CLI에서 **cluster activate** 명령을 사용하여 AWS CloudHSM에서 [새 클러스터를 활성화](activate-cluster.md)합니다. 클러스터를 사용하여 암호화 작업을 수행하려면 먼저 해당 명령을 실행해야 합니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ 활성화되지 않은 관리자
## 구문
이 명령에는 파라미터가 없습니다.
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## 예제
이 명령은 관리자 사용자의 초기 암호를 설정하여 클러스터를 활성화합니다.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## 관련 주제
+ [사용자 생성](cloudhsm_cli-user-create.md)
+ [사용자 삭제](cloudhsm_cli-user-delete.md)
+ [사용자-암호 변경](cloudhsm_cli-user-change-password.md)
# CloudHSM CLI를 사용하여 HSM 나열
CloudHSM CLI의 **cluster hsm-info** 명령을 사용하여 AWS CloudHSM 클러스터의 하드웨어 보안 모듈(HSMs)을 나열합니다. 이 명령을 실행하기 위해 CloudHSM CLI에 로그인할 필요는 없습니다.
**참고**
HSMs 추가하거나 삭제하는 경우 AWS CloudHSM 클라이언트와 명령줄 도구가 사용하는 구성 파일을 업데이트합니다. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ 모든 사용자. 이 명령을 실행하기 위해 로그인할 필요는 없습니다.
## 구문
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 예제
이 명령은 AWS CloudHSM 클러스터에 있는 HSMs을 나열합니다.
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
출력에는 다음 속성이 있습니다.
+ **공급업체**: HSM의 공급업체 이름입니다.
+ **모델**: HSM의 모델 번호입니다.
+ **일련 번호**: HSM의 일련 번호입니다. 교체로 인해 변경될 수 있습니다.
+ **Hardware-version-major**: 메이저 하드웨어 버전입니다.
+ **Hardware-version-minor**: 마이너 하드웨어 버전입니다.
+ **Firmware-version-major**: 메이저 펌웨어 버전입니다.
+ **Firmware-version-minor**: 마이너 펌웨어 버전입니다.
+ **Firmware-build-number**: 펌웨어 빌드 번호입니다.
+ **Firmware-id**: 빌드와 함께 메이저 버전과 마이너 버전이 포함된 펌웨어 ID입니다.
+ **FIPS 상태**: 클러스터와 클러스터의 HSM을 FIPS 모드로 설정합니다. FIPS 모드인 경우 출력은 “2 [단일 요소 인증을 사용하는 FIPS 모드]”입니다. 비FIPS 모드인 경우 출력은 “0 [단일 요소 인증을 사용하는 비FIPS 모드]”입니다.
## 관련 주제
+ [CloudHSM CLI를 사용하여 클러스터 활성화](cloudhsm_cli-cluster-activate.md)
# CloudHSM CLI의 클러스터 mtls 범주
CloudHSM CLI에서 **cluster mtls**는 상위 범주와 결합할 때 AWS CloudHSM 클러스터에 고유한 명령을 생성하는 명령 그룹의 상위 범주입니다. 현재 이 카테고리는 다음과 같은 명령으로 구성되어 있습니다.
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# CloudHSM CLI를 사용하여 트러스트 앵커 등록 취소
CloudHSM CLI에서 **cluster mtls deregister-trust-anchor** 명령을 사용하여 클라이언트와 AWS CloudHSM간의 상호 TLS에 대한 트러스트 앵커를 등록 취소합니다.
## 사용자 유형
다음 사용자가 이 명령을 실행할 수 있습니다.
+ 관리자
## 요구 사항
+ 이 명령을 실행하려면 관리자로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 예제
**Example**
다음 예제에서 이 명령은 HSM에서 트러스트 앵커를 제거합니다.
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
그런 다음 **list-trust-anchors** 명령을 실행하여 트러스트 앵커가 AWS CloudHSM에서 등록 취소되었는지 확인할 수 있습니다.
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
** ** **
16진수 또는 10진수 인증서 참조.
**필수 항목 여부:** 예
클러스터에서 트러스트 앵커 등록을 취소하면 해당 트러스트 앵커가 서명한 클라이언트 인증서를 사용하는 기존 mTLS 연결이 모두 삭제됩니다.
** ** **
작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 쿼럼 클러스터 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
## 관련 주제
+ [cluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS 설정(권장)](getting-started-setup-mtls.md)
# CloudHSM CLI를 사용하여 mTLS 적용 수준 가져오기
CloudHSM CLI에서 **cluster mtls get-enforcement** 명령을 사용하여 클라이언트와 AWS CloudHSM간의 상호 TLS 사용 수준을 가져옵니다.
## 사용자 유형
다음 사용자가 이 명령을 실행할 수 있습니다.
+ 관리자
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 관리자 또는 Crypto User(CU)로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 예제
**Example**
다음 예제에서 이 명령은 AWS CloudHSM의 mtls 적용 수준을 나열합니다.
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
## 관련 주제
+ [cluster mtls set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [mTLS 설정(권장)](getting-started-setup-mtls.md)
# CloudHSM CLI를 사용하여 트러스트 앵커 나열
CloudHSM CLI에서 **cluster mtls list-trust-anchors** 명령을 사용하여 클라이언트와 AWS CloudHSM간의 상호 TLS에 사용할 수 있는 모든 트러스트 앵커를 나열합니다.
## 사용자 유형
다음 사용자가 이 명령을 실행할 수 있습니다.
+ 모든 사용자. 이 명령을 실행하기 위해 로그인할 필요는 없습니다.
## 구문
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## 예제
**Example**
다음 예제에서 이 명령은 AWS CloudHSM의 등록된 모든 트러스트 앵커를 나열합니다.
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
## 관련 주제
+ [cluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [mTLS 설정(권장)](getting-started-setup-mtls.md)
# CloudHSM CLI를 사용하여 트러스트 앵커 등록
CloudHSM CLI에서 **cluster mtls register-trust-anchor** 명령을 사용하여 클라이언트와 AWS CloudHSM간의 상호 TLS에 대한 트러스트 앵커를 등록합니다.
## 사용자 유형
다음 사용자가 이 명령을 실행할 수 있습니다.
+ 관리자
## 요구 사항
는 다음 키 유형의 트러스트 앵커를 AWS CloudHSM 허용합니다.
****
| 키 유형 | 설명 |
| --- | --- |
| EC | secp256r1(P-256), secp384r1(P-384) 및 secp521r1(P-521) 곡선. |
| RSA | 2,048비트, 3,072비트 및 4,096비트 RSA 키 |
## 구문
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 예제
**Example**
다음 예제에서 이 명령은 HSM에 트러스트 앵커를 등록합니다. 등록할 수 있는 최대 트러스트 앵커 수는 두 개(2)입니다.
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
그런 다음 **list-trust-anchors** 명령을 실행하여 트러스트 앵커가 AWS CloudHSM에 등록되었는지 확인할 수 있습니다.
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
** ** **
등록할 트러스트 앵커의 파일 경로.
**필수 항목 여부:** 예
AWS CloudHSM 는 중간 인증서를 트러스트 앵커로 등록할 수 있도록 지원합니다. 이러한 경우 전체 PEM 인코딩 인증서 체인 파일을 계층 순서로 HSM에 등록해야 합니다.
AWS CloudHSM 는 6980바이트의 인증서 체인을 지원합니다.
** ** **
작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 쿼럼 클러스터 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
## 관련 주제
+ [cluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [cluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [mTLS 설정(권장)](getting-started-setup-mtls.md)
# CloudHSM CLI를 사용하여 mTLS 적용 수준 설정
CloudHSM CLI에서 **cluster mtls set-enforcement** 명령을 사용하여 클라이언트와 AWS CloudHSM간의 상호 TLS 사용 수준을 설정합니다.
## 사용자 유형
다음 사용자가 이 명령을 실행할 수 있습니다.
+ 사용자 이름이 admin인 관리자
## 요구 사항
이 명령을 실행하려면
+ 하나 이상의 트러스트 앵커가 AWS CloudHSM에 성공적으로 등록되었습니다.
+ 올바른 프라이빗 키와 클라이언트 인증서를 사용하여 CloudHSM CLI를 구성하고 상호 TLS 연결에서 CloudHSM CLI를 시작합니다.
+ 사용자 이름이 ‘admin’인 기본 관리자로 로그인해야 합니다. 다른 관리자는 이 명령을 실행할 수 없습니다.
## 구문
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## 예제
**Example**
다음 예제에서이 명령은의 mtls 적용 수준을 클러스터 AWS CloudHSM 로 설정합니다. set-enforcement 명령은 상호 TLS 연결에서만 수행할 수 있으며, 사용자 이름이 admin인 관리자로 로그인할 수 있습니다. [AWS CloudHSM에 대한 mTLS 적용 설정](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement)을 참조하세요.
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
그런 다음 **get-enforcement** 명령을 실행하여 적용 수준이 클러스터로 설정되었는지 확인할 수 있습니다.
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
** ** **
클러스터에서 mtls에 대해 설정할 수준.
**유효값**
+ **클러스터**: 클라이언트와 AWS CloudHSM 클러스터 간에 상호 TLS 사용을 적용합니다.
+ **없음**: 클라이언트와 AWS CloudHSM 클러스터 간에 상호 TLS 사용을 강제하지 마십시오.
**필수 항목 여부:** 예
클러스터에서 mTLS 사용을 적용하면 기존에 존재하지 않는 모든 연결이 끊어지고 mTLS 인증서가 있는 클러스터에만 연결할 수 있습니다.
** ** **
작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 쿼럼 클러스터 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
## 관련 주제
+ [cluster mtls get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [mTLS 설정(권장)](getting-started-setup-mtls.md)
# CloudHSM CLI에서 암호화 범주
CloudHSM CLI에서 **crypto**은 상위 카테고리와 결합될 때 암호화 작업에 특정한 명령을 생성하는 명령 그룹의 상위 카테고리입니다. 현재 이 카테고리는 다음과 같은 명령으로 구성되어 있습니다.
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [확인](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# CloudHSM CLI에서 암호화 서명 범주
CloudHSM CLI에서 **crypto sign**은 상위 범주와 결합할 때 AWS CloudHSM 클러스터에서 선택한 프라이빗 키를 사용하여 서명을 생성하는 명령 그룹의 상위 범주입니다. **crypto sign**에는 다음 하위 명령이 있습니다.
+ [CloudHSM CLI에서 ECDSA 메커니즘으로 서명 생성](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [CloudHSM CLI에서 HashEdDSA 메커니즘으로 서명 생성](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [CloudHSM CLI에서 RSA-PKCS 메커니즘으로 서명 생성](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [CloudHSM CLI에서 RSA-PKCS-PSS 메커니즘으로 서명 생성](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
**crypto sign**을 사용하려면 HSM에 프라이빗 키가 있어야 합니다. 다음 명령을 사용하여 프라이빗 키를 생성할 수 있습니다.
+ [키 생성-비대칭-페어 ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [키 생성-비대칭-페어 rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# CloudHSM CLI에서 ECDSA 메커니즘으로 서명 생성
CloudHSM CLI에서 **crypto sign ecdsa** 명령을 사용하여 EC 프라이빗 키와 ECDSA 서명 메커니즘을 사용하여 서명을 생성합니다.
**crypto sign ecdsa** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 EC 프라이빗 키가 있어야 합니다. `sign` 속성이 `true`로 설정된 [CloudHSM CLI를 사용하여 비대칭 EC 키 페어 생성](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) 명령을 사용하여 EC 프라이빗 키를 생성할 수 있습니다.
결과 ECDSA 서명은 형식으로 생성되며`r||s`, 여기서 r 및 s 구성 요소는 원시 바이너리 데이터로 연결되고 base64 인코딩 형식으로 반환됩니다.
**참고**
서명은 [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md) 하위 명령을 AWS CloudHSM 사용하여에서 확인할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 예제
이 예제에서는 **crypto sign ecdsa**를 사용하여 ECDSA 서명 메커니즘 및 `SHA256` 해시 함수를 사용하여 서명을 생성하는 방법을 보여줍니다. 이 명령은 HSM에서 프라이빗 키를 사용합니다.
**Example 예: 기본 64 인코딩 데이터에 대한 서명 생성**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example 예: 데이터 파일에 대한 서명 생성**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
서명할 Base64 인코딩 데이터.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
서명할 데이터의 위치를 지정합니다.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다.
유효한 값:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 형식으로 키 속성의 공백으로 구분된 목록을 사용하여 일치하는 키를 선택합니다.
지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.
필수 항목 여부: 예
******
작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 프라이빗 키의 키 사용 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
******
데이터 파라미터의 값을 서명 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
유효한 값:
+ raw
+ 다이제스트
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI에서 HashEdDSA 메커니즘으로 서명 생성
**중요**
HashEdDSA 서명 작업은 비 FIPS 모드의 hsm2m.medium 인스턴스에서만 지원됩니다.
CloudHSM CLI에서 **crypto sign ed25519ph** 명령을 사용하여 Ed25519 프라이빗 키와 HashEdDSA 서명 메커니즘을 사용하여 서명을 생성합니다. HashEdDSA에 대한 자세한 내용은 [NIST SP 186-5, 섹션 7.8](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)을 참조하세요.
**crypto sign ed25519ph** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 Ed25519 프라이빗 키가 있어야 합니다. `curve` 파라미터가 로 설정`ed25519`되고 `sign` 속성이 로 설정된 [CloudHSM CLI를 사용하여 비대칭 EC 키 페어 생성](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) 명령을 사용하여 Ed25519 프라이빗 키를 생성할 수 있습니다`true`.
**참고**
서명은 [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md) 하위 명령을 AWS CloudHSM 사용하여에서 확인할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
+ HashEdDSA 서명 작업은 비 FIPS 모드의 hsm2m.medium 인스턴스에서만 지원됩니다.
## 구문
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 예제
이 예제에서는를 사용하여 Ed25519ph 서명 메커니즘 및 `sha512`해시 함수를 사용하여 서명을 **crypto sign ed25519ph** 생성하는 방법을 보여줍니다. 이 명령은 HSM에서 프라이빗 키를 사용합니다.
**Example 예: 기본 64 인코딩 데이터에 대한 서명 생성**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example 예: 데이터 파일에 대한 서명 생성**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
서명할 Base64 인코딩 데이터.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
서명할 데이터의 위치를 지정합니다.
필수: 예(데이터 파라미터를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다. Ed25519ph는 SHA512만 지원합니다.
유효한 값:
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE 형식으로 키 속성의 공백으로 구분된 목록을 사용하여 일치하는 키를 선택합니다.
지원되는 CloudHSM CLI 키 속성 목록은 섹션을 참조하세요[CloudHSM CLI의 키 속성](cloudhsm_cli-key-attributes.md).
필수 항목 여부: 예
******
작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 프라이빗 키의 키 사용 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
******
데이터 파라미터의 값을 서명 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
유효한 값:
+ raw
+ 다이제스트
필수: 예
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI에서 RSA-PKCS 메커니즘으로 서명 생성
CloudHSM CLI에서 **crypto sign rsa-pkcs** 명령을 사용하여 RSA 프라이빗 키와 RSA-PKCS 서명 메커니즘을 사용하여 서명을 생성합니다.
**crypto sign rsa-pkcs** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 RSA 프라이빗 키가 있어야 합니다. `sign` 속성이 `true`로 설정된 [CloudHSM CLI를 사용하여 비대칭 RSA 키 페어 생성](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) 명령을 사용하여 RSA 프라이빗 키를 생성할 수 있습니다.
**참고**
서명은 [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md) 하위 명령을 AWS CloudHSM 사용하여에서 확인할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 예제
이 예제에서는 **crypto sign rsa-pkcs**를 사용하여 RSA-PKCS 서명 메커니즘 및 `SHA256` 해시 함수를 사용하여 서명을 생성하는 방법을 보여줍니다. 이 명령은 HSM에서 프라이빗 키를 사용합니다.
**Example 예: 기본 64 인코딩 데이터에 대한 서명 생성**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example 예: 데이터 파일에 대한 서명 생성**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
서명할 Base64 인코딩 데이터.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
서명할 데이터의 위치를 지정합니다.
필수: 예(데이터를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다.
유효한 값:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.
필수 항목 여부: 예
******
작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 프라이빗 키의 키 사용 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
******
데이터 파라미터의 값을 서명 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
RSA-PKCS의 경우 [RFC 8017, 섹션 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)에 지정된 대로 데이터를 DER 인코딩 형식으로 전달해야 합니다.
유효한 값:
+ raw
+ 다이제스트
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI에서 RSA-PKCS-PSS 메커니즘으로 서명 생성
CloudHSM CLI에서 **crypto sign rsa-pkcs-pss** 명령을 사용하여 RSA 프라이빗 키와 `RSA-PKCS-PSS` 서명 메커니즘을 사용하여 서명을 생성합니다.
**crypto sign rsa-pkcs-pss** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 RSA 프라이빗 키가 있어야 합니다. `sign` 속성이 `true`로 설정된 [CloudHSM CLI를 사용하여 비대칭 RSA 키 페어 생성](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) 명령을 사용하여 RSA 프라이빗 키를 생성할 수 있습니다.
**참고**
서명은 [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md) 하위 명령을 AWS CloudHSM 사용하여에서 확인할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## 예제
이 예제에서는 **crypto sign rsa-pkcs-pss**를 사용하여 `RSA-PKCS-PSS` 서명 메커니즘과 `SHA256` 해시 함수를 사용하여 서명을 생성하는 방법을 보여줍니다. 이 명령은 HSM에서 프라이빗 키를 사용합니다.
**Example 예: 기본 64 인코딩 데이터에 대한 서명 생성**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example 예: 데이터 파일에 대한 서명 생성**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
서명할 Base64 인코딩 데이터.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
서명할 데이터의 위치를 지정합니다.
필수: 예(데이터를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다.
유효한 값:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.
필수 항목 여부: 예
******
마스크 생성 함수를 지정합니다.
마스크 생성 함수 해시 함수는 서명 메커니즘 해시 함수와 일치해야 합니다.
유효한 값:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
필수 항목 여부: 예
******
솔트 길이를 지정합니다.
필수 항목 여부: 예
******
작업을 승인할 서명된 쿼럼 토큰 파일의 파일 경로를 지정합니다. 프라이빗 키의 키 사용 서비스 쿼럼 값이 1보다 큰 경우에만 필요합니다.
******
데이터 파라미터의 값을 서명 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
유효한 값:
+ raw
+ 다이제스트
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
## 관련 주제
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI의 암호화 확인 범주
CloudHSM CLI에서 **crypto verify**는 상위 범주와 결합하여 파일이 지정된 키로 서명되었는지 확인하는 명령 그룹의 상위 범주입니다. **crypto verify**에는 다음 하위 명령이 있습니다.
+ [crypto verify ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [암호화 확인 ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [crypto verify rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [crypto verify rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
**crypto verify** 명령은 서명된 파일을 소스 파일과 비교하고 지정된 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 분석합니다.
**참고**
파일은 [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md) 작업 AWS CloudHSM 으로 로그인할 수 있습니다.
# CloudHSM CLI에서 ECDSA 메커니즘으로 서명된 서명 확인
CloudHSM CLI에서 **crypto verify ecdsa** 명령을 사용하여 다음 작업을 완료합니다.
+ 지정된 퍼블릭 키로 HSM에서 파일에 서명했는지 확인합니다.
+ ECDSA 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다.
+ 서명된 파일을 소스 파일과 비교하고 지정된 ecdsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다.
+ ECDSA 확인 함수는 형식의 서명을 기대합니다. `r||s`여기서 r 및 s 구성 요소는 원시 바이너리 데이터로 연결됩니다.
**crypto verify ecdsa** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 EC 퍼블릭 키가 있어야 합니다. `verify` 속성이 `true`로 설정된 [CloudHSM CLI를 사용하여 PEM 형식 키 가져오기](cloudhsm_cli-key-import-pem.md) 명령을 사용하여 EC 퍼블릭 키를 가져올 수 있습니다.
**참고**
[CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md) 하위 명령을 사용하여 CloudHSM CLI에서 서명을 생성할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 예제
이 예제에서는 **crypto verify ecdsa**를 사용하여 ECDSA 서명 메커니즘 및 `SHA256` 해시 함수를 사용하여 생성된 서명을 확인하는 방법을 보여줍니다. 이 명령은 HSM에서 퍼블릭 키를 사용합니다.
**Example 예: Base64 인코딩 데이터를 사용하여 Base64 인코딩 서명 확인**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 예: 데이터 파일을 사용하여 서명 파일 확인**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 예: 거짓 서명 관계 입증**
이 명령은 `/home/data`에 있는 데이터가 ECDSA 서명 메커니즘을 사용하여 레이블 `ecdsa-public`이 있는 퍼블릭 키로 서명되어 `/home/signature`에 있는 서명을 생성했는지 확인합니다. 주어진 인수가 참 서명 관계를 구성하지 않으므로, 이 명령은 오류 메시지를 반환합니다.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
서명할 Base64 인코딩 데이터.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
서명할 데이터의 위치를 지정합니다.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다.
유효한 값:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.
필수 항목 여부: 예
******
Base64 인코딩된 서명.
필수: 예(서명 경로를 통해 제공되지 않는 경우)
******
서명의 위치를 지정합니다.
필수: 예(서명 경로를 통해 제공되지 않는 경우)
******
데이터 파라미터의 값을 서명 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
유효한 값:
+ raw
+ 다이제스트
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI에서 HashEdDSA 메커니즘으로 서명된 서명 확인
**중요**
HashEdDSA 서명 확인 작업은 비 FIPS 모드의 hsm2m.medium 인스턴스에서만 지원됩니다.
CloudHSM CLI에서 **crypto verify ed25519ph** 명령을 사용하여 다음 작업을 완료합니다.
+ 지정된 Ed25519 퍼블릭 키를 사용하여 데이터 또는 파일의 서명을 확인합니다.
+ HashEdDSA 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다. HashEdDSA에 대한 자세한 내용은 [NIST SP 186-5, 섹션 7.8](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf)을 참조하세요.
**crypto verify ed25519ph** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 Ed25519 퍼블릭 키가 있어야 합니다. `curve` 파라미터가 로 설정`ed25519`되고 `verify` 속성이 로 설정된 [CloudHSM CLI를 사용하여 비대칭 EC 키 페어 생성](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) 명령을 사용하여 Ed25519 키 페어를 생성`true`하거나 `verify` 속성이 로 설정된 [CloudHSM CLI를 사용하여 PEM 형식 키 가져오기](cloudhsm_cli-key-import-pem.md) 명령을 사용하여 Ed25519 퍼블릭 키를 가져올 수 있습니다`true`.
**참고**
[CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md) 하위 명령을 사용하여 CloudHSM CLI에서 서명을 생성할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
+ HashEdDSA 서명 확인 작업은 비 FIPS 모드의 hsm2m.medium 인스턴스에서만 지원됩니다.
## 구문
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## 예제
이 예제에서는를 **crypto verify ed25519ph** 사용하여 Ed25519ph 서명 메커니즘 및 `sha512`해시 함수를 사용하여 생성된 서명을 확인하는 방법을 보여줍니다. 이 명령은 HSM에서 Ed25519 퍼블릭 키를 사용합니다.
**Example 예: Base64 인코딩 데이터를 사용하여 Base64 인코딩 서명 확인**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 예: 데이터 파일을 사용하여 서명 파일 확인**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
확인할 Base64 인코딩 데이터입니다.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
확인할 데이터의 위치를 지정합니다.
필수: 예(데이터 파라미터를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다. Ed25519ph는 SHA512만 지원합니다.
유효한 값:
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 섹션을 참조하세요[CloudHSM CLI의 키 속성](cloudhsm_cli-key-attributes.md).
필수 항목 여부: 예
******
Base64 인코딩된 서명.
필수: 예(서명 경로를 통해 제공되지 않는 경우)
******
서명의 위치를 지정합니다.
필수: 예(서명 파라미터를 통해 제공되지 않는 경우)
******
데이터 파라미터의 값을 확인 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
유효한 값:
+ raw
+ 다이제스트
필수: 예
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
+ [CloudHSM CLI에서 HashEdDSA 메커니즘으로 서명 생성](cloudhsm_cli-crypto-sign-ed25519ph.md)
# CloudHSM CLI에서 RSA-PKCS 메커니즘으로 서명된 서명 확인
CloudHSM CLI에서 **crypto verify rsa-pkcs** 명령을 사용하여 다음 작업을 완료합니다.
+ 지정된 퍼블릭 키로 HSM에서 파일에 서명했는지 확인합니다.
+ `RSA-PKCS` 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다.
+ 서명된 파일을 소스 파일과 비교하고 지정된 rsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다.
**crypto verify rsa-pkcs** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 RSA 퍼블릭 키가 있어야 합니다.
**참고**
[CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md) 하위 명령과 함께 CloudHSM CLI를 사용하여 서명을 생성할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## 예제
이 예제에서는 **crypto verify rsa-pkcs**를 사용하여 RSA-PKCS 서명 메커니즘 및 `SHA256` 해시 함수를 사용하여 생성된 서명을 확인하는 방법을 보여줍니다. 이 명령은 HSM에서 퍼블릭 키를 사용합니다.
**Example 예: Base64 인코딩 데이터를 사용하여 Base64 인코딩 서명 확인**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 예: 데이터 파일을 사용하여 서명 파일 확인**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 예: 거짓 서명 관계 입증**
이 명령은 잘못된 데이터가 RSAPKCS 서명 메커니즘을 사용하여 레이블 `rsa-public`이 있는 퍼블릭 키로 서명되었는지 여부를 확인하여 `/home/signature`에 있는 서명을 생성합니다. 주어진 인수가 참 서명 관계를 구성하지 않으므로, 이 명령은 오류 메시지를 반환합니다.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
서명할 Base64 인코딩 데이터.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
서명할 데이터의 위치를 지정합니다.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다.
유효한 값:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.
필수 항목 여부: 예
******
Base64 인코딩된 서명.
필수: 예(서명 경로를 통해 제공되지 않는 경우)
******
서명의 위치를 지정합니다.
필수: 예(서명 경로를 통해 제공되지 않는 경우)
******
데이터 파라미터의 값을 서명 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
RSA-PKCS의 경우 [RFC 8017, 섹션 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)에 지정된 대로 데이터를 DER 인코딩 형식으로 전달해야 합니다.
유효한 값:
+ raw
+ 다이제스트
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI에서 RSA-PKCS-PSS 메커니즘으로 서명된 서명 확인
CloudHSM CLI에서 **crypto sign rsa-pkcs-pss** 명령을 사용하여 다음 작업을 완료합니다.
+ 지정된 퍼블릭 키로 HSM에서 파일에 서명했는지 확인합니다.
+ RSA-PKCS-PSS 서명 메커니즘을 사용하여 서명이 생성되었는지 확인합니다.
+ 서명된 파일을 소스 파일과 비교하고 지정된 rsa 퍼블릭 키와 서명 메커니즘에 기반하여 두 파일이 암호적으로 관련되어 있는지 결정합니다.
**crypto verify rsa-pkcs-pss** 명령을 사용하려면 먼저 AWS CloudHSM 클러스터에 RSA 퍼블릭 키가 있어야 합니다. `verify` 속성이 `true`로 설정된 키 가져오기 pem 명령 ADD UNWRAP LINK HERE)를 사용하여 RSA 퍼블릭 키를 가져올 수 있습니다.
**참고**
[CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md) 하위 명령과 함께 CloudHSM CLI를 사용하여 서명을 생성할 수 있습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## 예제
이 예제에서는 **crypto verify rsa-pkcs-pss**를 사용하여 RSA-PKCS-PSS 서명 메커니즘 및 `SHA256` 해시 함수를 사용하여 생성된 서명을 확인하는 방법을 보여줍니다. 이 명령은 HSM에서 퍼블릭 키를 사용합니다.
**Example 예: Base64 인코딩 데이터를 사용하여 Base64 인코딩 서명 확인**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 예: 데이터 파일을 사용하여 서명 파일 확인**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example 예: 거짓 서명 관계 입증**
이 명령은 잘못된 데이터가 RSAPKCSPSS 서명 메커니즘을 사용하여 레이블 `rsa-public`이 있는 퍼블릭 키로 서명되었는지 여부를 확인하여 `/home/signature`에 있는 서명을 생성합니다. 주어진 인수가 참 서명 관계를 구성하지 않으므로, 이 명령은 오류 메시지를 반환합니다.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
서명할 Base64 인코딩 데이터.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
서명할 데이터의 위치를 지정합니다.
필수: 예(데이터 경로를 통해 제공되지 않는 경우)
******
해시 함수를 지정합니다.
유효한 값:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
필수 항목 여부: 예
******
키 참조(예: `key-reference=0xabc`) 또는 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 CloudHSM CLI용 키 속성 섹션을 참조하세요.
필수 항목 여부: 예
******
마스크 생성 함수를 지정합니다.
마스크 생성 함수 해시 함수는 서명 메커니즘 해시 함수와 일치해야 합니다.
유효한 값:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
필수 항목 여부: 예
******
Base64 인코딩된 서명.
필수: 예(서명 경로를 통해 제공되지 않는 경우)
******
서명의 위치를 지정합니다.
필수: 예(서명 경로를 통해 제공되지 않는 경우)
******
데이터 파라미터의 값을 서명 알고리즘의 일부로 해시할지 여부를 지정합니다. 해시되지 않은 데이터에는 `raw`, 이미 해시된 다이제스트에는 `digest`를 사용합니다.
유효한 값:
+ raw
+ 다이제스트
## 관련 주제
+ [CloudHSM CLI에서 암호화 서명 범주](cloudhsm_cli-crypto-sign.md)
+ [CloudHSM CLI의 암호화 확인 범주](cloudhsm_cli-crypto-verify.md)
# CloudHSM CLI에서 키 범주
CloudHSM CLI에서 **key**은 상위 카테고리와 결합될 때 키에 특정한 명령을 생성하는 명령 그룹의 상위 카테고리입니다. 현재 이 카테고리는 다음과 같은 명령으로 구성되어 있습니다.
+ [삭제](cloudhsm_cli-key-delete.md)
+ [생성-파일](cloudhsm_cli-key-generate-file.md)
+ [키 생성-비대칭-페어](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [키 생성-비대칭-페어 rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [키 생성-비대칭-페어 ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [키 생성-대칭](cloudhsm_cli-key-generate-symmetric.md)
+ [키 생성-대칭 aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [키 생성-대칭 일반 보안](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [pem 가져오기](cloudhsm_cli-key-import-pem.md)
+ [목록](cloudhsm_cli-key-list.md)
+ [복제](cloudhsm_cli-key-replicate.md)
+ [세트-속성](cloudhsm_cli-key-set-attribute.md)
+ [공유](cloudhsm_cli-key-share.md)
+ [공유 해제](cloudhsm_cli-key-unshare.md)
+ [래핑 해제](cloudhsm_cli-key-unwrap.md)
+ [wrap](cloudhsm_cli-key-wrap.md)
# CloudHSM CLI를 사용하여 키 삭제
CloudHSM CLI에서 **key delete** 명령을 사용하여 AWS CloudHSM 클러스터에서 키를 삭제합니다. 키는 한 번에 하나만 삭제할 수 있습니다. 키 페어에서 키 하나를 삭제해도 해당 페어의 다른 키에는 아무 영향을 미치지 않습니다.
키를 생성하고 결과적으로 소유한 CU만 키를 삭제할 수 있습니다. 키를 공유하지만 소유하지 않은 사용자는 암호화 작업에 키를 사용할 수 있지만 삭제할 수는 없습니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
+ 이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## 예제
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
키 참조(예: `key-reference=0xabc`) 또는 삭제를 위해 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 [CloudHSM CLI의 키 속성](cloudhsm_cli-key-attributes.md) 섹션을 참조하십시오.
필수: 예
## 관련 주제
+ [CloudHSM CLI를 사용하여 사용자의 키 나열](cloudhsm_cli-key-list.md)
+ [CloudHSM CLI를 사용하여 비대칭 키 내보내기](cloudhsm_cli-key-generate-file.md)
+ [CloudHSM CLI를 사용하여 키 공유 해제](cloudhsm_cli-key-unshare.md)
+ [CloudHSM CLI의 키 속성](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI를 사용하여 키 필터링](manage-keys-cloudhsm-cli-filtering.md)
# CloudHSM CLI를 사용하여 비대칭 키 내보내기
CloudHSM CLI에서 **key generate-file** 명령을 사용하여 하드웨어 보안 모듈(HSM)에서 비대칭 키를 내보냅니다. 대상이 프라이빗 키인 경우 프라이빗 키에 대한 참조는 가짜 PEM 형식으로 내보내집니다. 대상이 퍼블릭 키인 경우 퍼블릭 키 바이트는 PEM 형식으로 내보내집니다.
실제 프라이빗 키 자료를 포함하지 않지만 대신에 HSM의 프라이빗 키를 참조하는 가짜 PEM 파일을 사용하여 웹 서버에서 AWS CloudHSM으로 오프로드하는 SSL/TLS를 설정할 수 있습니다. 자세한 내용은 [SSL/TLS 오프로드](ssl-offload.md)를 참조하십시오.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## 예제
이 예제에서는를 **key generate-file** 사용하여 AWS CloudHSM 클러스터에서 키 파일을 생성하는 방법을 보여줍니다.
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 인수
******
이 작업을 실행할 클러스터의 ID입니다.
필수: 여러 클러스터가 [구성된](cloudhsm_cli-configs-multi-cluster.md) 경우.
******
키 참조(예: `key-reference=0xabc`) 또는 삭제를 위해 일치하는 키를 선택할 수 있는 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 형식의 키 속성의 공백으로 구분된 목록.
지원되는 CloudHSM CLI 키 속성 목록은 [CloudHSM CLI의 키 속성](cloudhsm_cli-key-attributes.md) 섹션을 참조하십시오.
필수 여부: 아니요
******
키 파일의 인코딩 형식을 지정합니다.
필수 항목 여부: 예
******
키 파일이 기록될 파일 경로를 지정합니다.
필수 항목 여부: 예
## KSP 키 참조 생성(Windows)
**참고**
이 기능은 SDK 버전 5.16.0 이상에서만 사용할 수 있습니다.
### 사전 조건
+ Windows 플랫폼에서만 KSP 키 참조를 생성할 수 있습니다.
+ Crypto User(CU)로 로그인해야 합니다.
### 파일 위치
기본적으로 AWS CloudHSM은 생성된 파일을 다음 위치에 저장합니다. `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`
다른 위치를 지정하려면 `--path` 파라미터를 사용합니다.
### 구문
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### 예제 - 프라이빗 키의 속성 필터를 사용하여 KSP 키 참조 생성
다음 예제에서는 특정 레이블이 지정된 프라이빗 키에 대한 KSP 키 참조를 생성합니다.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### 예제 - 모든 키 페어에 대한 KSP 키 참조 생성
다음 예제에서는 클러스터의 모든 키 페어에 대한 KSP 키 참조를 생성합니다.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 관련 주제
+ [CloudHSM CLI의 키 속성](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI를 사용하여 키 필터링](manage-keys-cloudhsm-cli-filtering.md)
+ [CloudHSM CLI에서 generate-asymmetric-pair 범주](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [CloudHSM CLI에서 generate-symmetric 범주](cloudhsm_cli-key-generate-symmetric.md)
# CloudHSM CLI에서 generate-asymmetric-pair 범주
CloudHSM CLI에서 **key generate-asymmetric-pair**은 명령 그룹의 상위 범주로, 상위 범주와 결합하면 비대칭 키 쌍을 생성하는 명령이 생성됩니다. 현재 이 카테고리는 다음과 같은 명령으로 구성되어 있습니다.
+ [키 생성-비대칭-페어 ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [키 생성-비대칭-페어 rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# CloudHSM CLI를 사용하여 비대칭 EC 키 페어 생성
CloudHSM CLI에서 **key asymmetric-pair ec** 명령을 사용하여 AWS CloudHSM 클러스터에서 비대칭 타원 곡선(EC) 키 페어를 생성합니다.
## 사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
+ CU(Crypto User)
## 요구 사항
이 명령을 실행하려면 CU로 로그인해야 합니다.
## 구문
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value