CMU를 사용하여 AWS CloudHSM Crypto User가 소유한 키 나열 - AWS CloudHSM

CMU를 사용하여 AWS CloudHSM Crypto User가 소유한 키 나열

AWS CloudHSM cloudhsm_mgmt_util(CMU)에서 findAllKeys 명령을 사용하여 AWS CloudHSM의 지정된 Crypto User(CU)가 소유하거나 공유하는 키를 가져옵니다. 명령은 또한 각각의 HSM에 있는 사용자 데이터의 해시를 반환합니다. 해시를 사용하면 사용자, 키 소유권, 키 공유 데이터가 클러스터의 모든 HSM에서 동일한지 한눈에 확인할 수 있습니다. 출력에서, 사용자가 소유한 키는 (o)에 의해 주석이 첨부되고 공유 키는 (s)에 의해 주석이 첨부됩니다.

HSM의 모든 CU는 어떤 퍼블릭 키도 사용할 수 있지만, findAllKeys는 지정된 CU가 키를 소유할 때만 퍼블릭 키를 반환합니다. 이 동작은 모든 CU 사용자에 대해 퍼블릭 키를 반환하는 key_mgmt_util의 FindKey와 다릅니다.

Crypto Officer(CO 및 PCO)와 AU(어플라이언스 사용자)만 이 명령을 실행할 수 있습니다. CU(Crypto User)는 다음 명령을 실행할 수 있습니다.

  • listUsers - 모든 사용자 찾기

  • 사용할 수 있는 키를 찾을 수 있는 key_mgmt_util의 findKey

  • 소유하거나 공유하는 특정 키의 소유자 및 공유 사용자를 찾기 위한 key_mgmt_util의 getKeyInfo

CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다.

HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.

사용자 유형

다음 사용자가 이 명령을 실행할 수 있습니다.

  • crypto officer(CO, PCO)

  • 어플라이언스 사용자(AU)

구문

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

findAllKeys <user id> <key hash (0/1)> [<output file>]

예시

이러한 예제는 findAllKeys를 사용하여 사용자의 모든 키를 찾는 방법과 각 HSM에서 키 사용자 정보 해시를 가져오는 방법을 보여 줍니다.

예 : CU의 키 찾기

이 예제는 findAllKeys를 사용하여 사용자 4가 소유하고 공유하는 HSM의 키를 찾습니다. 이 명령은 두 번째 인수에 0 값을 사용하여 해시 값을 억제합니다. 이 명령은 선택적 파일 이름을 생략하기 때문에 stdout에 씁니다(표준 출력).

출력은 사용자 4가 8, 9, 17, 262162, 19, 31 등 여섯 개의 키를 사용할 수 있음을 보여 줍니다. 출력은 (s)를 사용하여 사용자가 명시적으로 공유하는 키를 나타냅니다. 사용자가 소유한 키는 (o)으로 표시되며 사용자가 공유하지 않는 대칭 및 프라이빗 키와 모든 crypto user가 사용할 수 있는 퍼블릭 키를 포함합니다.

aws-cloudhsm> findAllKeys 4 0 Keys on server 0(10.0.0.1): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.2) Keys on server 1(10.0.0.3): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.3)
예 : 사용자 데이터가 동기화되어 있는지 확인하기

이 예제는 findAllKeys를 사용하여 클러스터의 모든 HSM에 동일한 사용자, 키 소유권, 키 공유 값이 포함되어 있다는 것을 확인합니다. 이를 위해 각 HSM에서 키 사용자 데이터 해시를 가져와 해시 값을 비교합니다.

이 명령은 키 해시를 가져오기 위해 두 번째 인수에서 1 값을 사용합니다. 선택적 파일 이름이 생략되기 때문에 이 명령은 키 해시를 stdout에 씁니다.

예제는 사용자 6을 지정하지만 HSM에 있는 키를 소유하거나 공유하는 모든 사용자에게 해시 값은 동일합니다. 지정된 사용자가 CO와 같이 키를 소유하지 않거나 공유하지 않는 경우, 명령은 해시 값을 반환하지 않습니다.

출력은 클러스터의 두 HSM 모두에서 키 해시가 동일함을 보여 줍니다. HSM 중 하나에 다른 사용자, 다른 키 소유자 또는 다른 공유 사용자가 있는 경우, 키 값이 동일하지 않습니다.

aws-cloudhsm> findAllKeys 6 1 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11,17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11(o),17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2)

이 명령은 해시 값이 HSM의 모든 키에 대한 사용자 데이터를 나타냄을 보여 줍니다. 이 명령은 사용자 3에 대해 findAllKeys를 사용합니다. 3개의 키만 소유하거나 공유하는 사용자 6과는 달리 사용자 3은 17개의 키를 소유 또는 공유하지만 키 해시 값은 동일합니다.

aws-cloudhsm> findAllKeys 3 1 Keys on server 0(10.0.0.1): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2)

인수

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

findAllKeys <user id> <key hash (0/1)> [<output file>]
<user id>

지정된 사용자가 소유하거나 공유하는 모든 키를 가져옵니다. HSM에 있는 사용자의 사용자 ID를 입력합니다. 모든 사용자의 사용자 ID를 찾으려면 listUsers를 사용하십시오.

모든 사용자 ID가 유효하지만 findAllKeys는 CU(Crypto User)에 대해서만 키를 반환합니다.

필수 항목 여부: 예

<key hash>

각 HSM의 모든 키에 대한 사용자 소유권 및 공유 데이터의 해시를 포함(1)하거나 제외(0)합니다.

user id 인수가 키를 소유 또는 공유하는 사용자를 나타내는 경우, 키 해시가 채워집니다. HSM에서 키를 소유하거나 공유하는 모든 사용자의 경우, 서로 다른 키를 소유하고 공유하더라도 키 해시 값은 동일합니다. 하지만 user id가 CO와 같이 아무 키도 소유 또는 공유하지 않는 사용자를 나타내는 경우, 해시 값이 채워지지 않습니다.

필수 항목 여부: 예

<output file>

지정된 파일에 출력을 기록합니다.

필수 항목 여부: 아니요

기본값: Stdout

관련 주제