CMU를 사용하여 AWS CloudHSM Crypto User가 소유한 키 나열
AWS CloudHSM cloudhsm_mgmt_util(CMU)에서 findAllKeys 명령을 사용하여 AWS CloudHSM의 지정된 Crypto User(CU)가 소유하거나 공유하는 키를 가져옵니다. 명령은 또한 각각의 HSM에 있는 사용자 데이터의 해시를 반환합니다. 해시를 사용하면 사용자, 키 소유권, 키 공유 데이터가 클러스터의 모든 HSM에서 동일한지 한눈에 확인할 수 있습니다. 출력에서, 사용자가 소유한 키는 (o)
에 의해 주석이 첨부되고 공유 키는 (s)
에 의해 주석이 첨부됩니다.
HSM의 모든 CU는 어떤 퍼블릭 키도 사용할 수 있지만, findAllKeys는 지정된 CU가 키를 소유할 때만 퍼블릭 키를 반환합니다. 이 동작은 모든 CU 사용자에 대해 퍼블릭 키를 반환하는 key_mgmt_util의 FindKey와 다릅니다.
Crypto Officer(CO 및 PCO)와 AU(어플라이언스 사용자)만 이 명령을 실행할 수 있습니다. CU(Crypto User)는 다음 명령을 실행할 수 있습니다.
-
listUsers - 모든 사용자 찾기
-
사용할 수 있는 키를 찾을 수 있는 key_mgmt_util의 findKey
-
소유하거나 공유하는 특정 키의 소유자 및 공유 사용자를 찾기 위한 key_mgmt_util의 getKeyInfo
CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다.
HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.
사용자 유형
다음 사용자가 이 명령을 실행할 수 있습니다.
-
crypto officer(CO, PCO)
-
어플라이언스 사용자(AU)
구문
이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.
findAllKeys
<user id>
<key hash (0/1)>
[<output file>
]
예시
이러한 예제는 findAllKeys
를 사용하여 사용자의 모든 키를 찾는 방법과 각 HSM에서 키 사용자 정보 해시를 가져오는 방법을 보여 줍니다.
예 : CU의 키 찾기
이 예제는 findAllKeys를 사용하여 사용자 4가 소유하고 공유하는 HSM의 키를 찾습니다. 이 명령은 두 번째 인수에 0
값을 사용하여 해시 값을 억제합니다. 이 명령은 선택적 파일 이름을 생략하기 때문에 stdout에 씁니다(표준 출력).
출력은 사용자 4가 8, 9, 17, 262162, 19, 31 등 여섯 개의 키를 사용할 수 있음을 보여 줍니다. 출력은 (s)
를 사용하여 사용자가 명시적으로 공유하는 키를 나타냅니다. 사용자가 소유한 키는 (o)
으로 표시되며 사용자가 공유하지 않는 대칭 및 프라이빗 키와 모든 crypto user가 사용할 수 있는 퍼블릭 키를 포함합니다.
aws-cloudhsm>
findAllKeys 4 0
Keys on server 0(10.0.0.1): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.2) Keys on server 1(10.0.0.3): Number of keys found 6 number of keys matched from start index 0::6 8(s),9(s),17,262162(s),19(o),31(o) findAllKeys success on server 1(10.0.0.3)
예 : 사용자 데이터가 동기화되어 있는지 확인하기
이 예제는 findAllKeys를 사용하여 클러스터의 모든 HSM에 동일한 사용자, 키 소유권, 키 공유 값이 포함되어 있다는 것을 확인합니다. 이를 위해 각 HSM에서 키 사용자 데이터 해시를 가져와 해시 값을 비교합니다.
이 명령은 키 해시를 가져오기 위해 두 번째 인수에서 1
값을 사용합니다. 선택적 파일 이름이 생략되기 때문에 이 명령은 키 해시를 stdout에 씁니다.
예제는 사용자 6
을 지정하지만 HSM에 있는 키를 소유하거나 공유하는 모든 사용자에게 해시 값은 동일합니다. 지정된 사용자가 CO와 같이 키를 소유하지 않거나 공유하지 않는 경우, 명령은 해시 값을 반환하지 않습니다.
출력은 클러스터의 두 HSM 모두에서 키 해시가 동일함을 보여 줍니다. HSM 중 하나에 다른 사용자, 다른 키 소유자 또는 다른 공유 사용자가 있는 경우, 키 값이 동일하지 않습니다.
aws-cloudhsm>
findAllKeys 6 1
Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11,17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 3 number of keys matched from start index 0::3 8(s),9(s),11(o),17(s) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2)
이 명령은 해시 값이 HSM의 모든 키에 대한 사용자 데이터를 나타냄을 보여 줍니다. 이 명령은 사용자 3에 대해 findAllKeys를 사용합니다. 3개의 키만 소유하거나 공유하는 사용자 6과는 달리 사용자 3은 17개의 키를 소유 또는 공유하지만 키 해시 값은 동일합니다.
aws-cloudhsm>
findAllKeys 3 1
Keys on server 0(10.0.0.1): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 17 number of keys matched from start index 0::17 6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o) Key Hash: 55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49 findAllKeys success on server 1(10.0.0.2)
인수
이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.
findAllKeys
<user id>
<key hash (0/1)>
[<output file>
]
- <user id>
-
지정된 사용자가 소유하거나 공유하는 모든 키를 가져옵니다. HSM에 있는 사용자의 사용자 ID를 입력합니다. 모든 사용자의 사용자 ID를 찾으려면 listUsers를 사용하십시오.
모든 사용자 ID가 유효하지만
findAllKeys
는 CU(Crypto User)에 대해서만 키를 반환합니다.필수 항목 여부: 예
- <key hash>
-
각 HSM의 모든 키에 대한 사용자 소유권 및 공유 데이터의 해시를 포함(
1
)하거나 제외(0
)합니다.user id
인수가 키를 소유 또는 공유하는 사용자를 나타내는 경우, 키 해시가 채워집니다. HSM에서 키를 소유하거나 공유하는 모든 사용자의 경우, 서로 다른 키를 소유하고 공유하더라도 키 해시 값은 동일합니다. 하지만user id
가 CO와 같이 아무 키도 소유 또는 공유하지 않는 사용자를 나타내는 경우, 해시 값이 채워지지 않습니다.필수 항목 여부: 예
- <output file>
-
지정된 파일에 출력을 기록합니다.
필수 항목 여부: 아니요
기본값: Stdout
관련 주제
-
key_mgmt_util의 findKey
-
key_mgmt_util의 getKeyInfo