CMU를 사용하여 AWS CloudHSM 키 속성 값 가져오기 - AWS CloudHSM

CMU를 사용하여 AWS CloudHSM 키 속성 값 가져오기

AWS CloudHSM cloudhsm_mgmt_util(CMU)에서 getAttribute 명령을 사용하여 AWS CloudHSM 클러스터의 모든 하드웨어 보안 모듈(HSM)에서 키에 대한 하나의 속성 값을 가져와서 stdout(표준 출력) 또는 파일에 씁니다. CU(Crypto User)만 이 명령을 실행할 수 있습니다.

키 속성은 키의 특성입니다. 여기에는 키 유형, 클래스, 레이블, ID 같은 특성과 암호화, 복호화, 래핑, 서명, 확인 등 키에서 수행할 수 있는 작업을 나타내는 값이 포함됩니다.

사용자가 소유 및 공유하는 키에 대해서만 getAttribute를 사용할 수 있습니다. 이 명령이나 키의 속성 값 중 하나 또는 전부를 파일에 기록하는 key_mgmt_util에서 getAttribute 명령을 실행할 수 있습니다.

속성과 각 속성을 나타내는 상수의 목록을 가져오려면 listAttributes 명령을 사용합니다. 기존 키의 속성 값을 변경하려면 key_mgmt_util에서 setAttribute를 사용하고 cloudhsm_mgmt_util에서 setAttribute를 사용합니다. 키 속성 해석에 대한 도움말은 KMU용 AWS CloudHSM 키 속성 참조 섹션을 참조하십시오.

CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다.

HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.

사용자 유형

다음 사용자가 이 명령을 실행할 수 있습니다.

  • 암호화 사용자(Crypto User)

구문

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

getAttribute <key handle> <attribute id> [<filename>]

이 예제는 HSM의 키에서 추출 가능 속성의 값을 가져옵니다. 이러한 명령을 사용하여 HSM에서 키를 내보낼 수 있는지 여부를 확인할 수 있습니다.

첫 번째 명령은 listAttributes를 사용하여 추출 가능 속성을 나타내는 상수를 찾습니다. 출력은 OBJ_ATTR_EXTRACTABLE 상수가 354임을 보여줍니다. 또한 KMU용 AWS CloudHSM 키 속성 참조의 속성 및 해당 값에 대한 설명을 사용하여 이 정보를 찾을 수 있습니다.

aws-cloudhsm> listAttributes Following are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512

두 번째 명령은 getAttribute를 사용하여 HSM에서 키 핸들이 262170인 키의 추출 가능 속성 값을 가져옵니다. 추출 가능 속성을 지정하기 위해 이 명령은 해당 속성을 나타내는 상수인 354를 사용합니다. 이 명령은 파일 이름을 지정하지 않기 때문에 getAttribute는 출력을 stdout에 기록합니다.

출력은 모든 HSM에서 추출 가능 속성의 값이 1임을 보여 줍니다. 이 값은 키의 소유자가 키를 내보낼 수 있음을 나타냅니다. 값이 0(0x0)이라면 키를 HSM에서 내보낼 수 없습니다. 키를 생성할 때 추출 가능 속성의 값을 설정하지만 값을 변경할 수는 없습니다.

aws-cloudhsm> getAttribute 262170 354 Attribute Value on server 0(10.0.1.10): OBJ_ATTR_EXTRACTABLE 0x00000001 Attribute Value on server 1(10.0.1.12): OBJ_ATTR_EXTRACTABLE 0x00000001 Attribute Value on server 2(10.0.1.7): OBJ_ATTR_EXTRACTABLE 0x00000001

인수

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

getAttribute <key handle> <attribute id> [<filename>]
<key-handle>

대상 키의 키 핸들을 지정합니다. 각 명령에서 키를 하나만 지정할 수 있습니다. 키의 키 핸들을 가져오려면 key_mgmt_util에서 findKey를 사용합니다.

사용자가 지정된 키를 소유 또는 공유해야 합니다. 키의 사용자를 찾으려면 key_mgmt_util에서 getKeyInfo를 사용하세요.

필수 항목 여부: 예

<attribute id>

속성을 식별합니다. 모든 속성을 나타내는 상수, 즉 모든 속성을 나타내는 512를 입력합니다. 예를 들어 키 유형을 가져오려면 OBJ_ATTR_KEY_TYPE 속성의 상수인 256을 입력합니다.

속성과 해당 상수를 나열하려면 listAttributes를 사용합니다. 키 속성 해석에 대한 도움말은 KMU용 AWS CloudHSM 키 속성 참조 섹션을 참조하십시오.

필수 항목 여부: 예

<filename>

지정된 파일에 출력을 기록합니다. 파일 경로를 입력합니다.

지정된 파일이 존재하면 getAttribute가 경고 없이 파일을 덮어씁니다.

필수 항목 여부: 아니요

기본값: Stdout

관련 주제