CMU를 사용하여 키에 대한 AWS CloudHSM 사용자 정보 가져오기
AWS CloudHSM key_mgmt_util(KMU)에서 getKeyInfo 명령은 키를 공유하는 소유자 및 Crypto User(CU)를 포함하여 키를 사용할 수 있는 사용자의 하드웨어 보안 모듈(HSM) 사용자 ID를 반환합니다. 키에서 쿼럼 인증이 활성화되면 getKeyInfo는 키를 사용하는 암호화 작업을 승인해야 하는 사용자의 수도 반환합니다. getKeyInfo는 소유한 키 및 공유된 키에서만 실행할 수 있습니다.
퍼블릭 키에서 getKeyInfo를 실행하면 HSM의 모든 사용자가 퍼블릭 키를 사용할 수 있더라도 getKeyInfo는 키 소유자만 반환합니다. HSM에 있는 사용자의 HSM 사용자 ID를 찾으려면 listUsers를 사용하십시오. 특정 사용자의 키를 찾으려면 key_mgmt_util의 findKey -u
를 사용합니다. Crypto officers는 cloudhsm_mgmt_util의 FindAllkeys를 사용할 수 있습니다.
생성하는 키는 본인의 소유입니다. 키를 생성하면 다른 사용자와 공유할 수 있습니다. 그런 다음 기존 키를 공유하거나 공유 해제하려면 cloudhsm_mgmt_util에서 shareKey를 사용합니다.
CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다.
HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.
사용자 유형
다음 사용자 유형이 이 명령을 실행할 수 있습니다.
-
암호화 사용자(Crypto User)
구문
getKeyInfo -k
<key-handle>
[<output file>
]
예시
이러한 예제에서는 getKeyInfo를 사용하여 키의 사용자에 대한 정보를 가져오는 방법을 보여 줍니다.
예 : 비대칭 키의 사용자 가져오기
이 명령은 키 핸들이 262162
인 AES(비대칭) 키를 사용할 수 있는 사용자를 가져옵니다. 출력은 사용자 3이 키를 소유하고 사용자 4 및 6과 공유함을 보여 줍니다.
사용자 3, 4, 6만이 키 262162에서 getKeyInfo를 실행할 수 있습니다.
aws-cloudhsm>
getKeyInfo 262162
Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 2 user(s): 4 6 Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 2 user(s): 4
6
예 : 대칭 키 쌍의 사용자 가져오기
이러한 명령은 getKeyInfo를 사용하여 ECC(대칭) 키 페어에서 키를 사용할 수 있는 사용자를 가져옵니다. 퍼블릭 키에는 키 핸들 262179
이 있습니다. 프라이빗 키에는 키 핸들 262177
이 있습니다.
프라이빗 키(262177
)에서 getKeyInfo를 실행하면 키 소유자(3)와 키가 공유되는 CU(Crypto User) 4가 반환됩니다.
aws-cloudhsm>
getKeyInfo -k 262177
Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4
퍼블릭 키(262179
)에서 getKeyInfo를 실행하면 키 소유자인 사용자 3
만 반환됩니다.
aws-cloudhsm>
getKeyInfo -k 262179
Key Info on server 0(10.0.3.10): Token/Flash Key, Owned by user 3 Key Info on server 1(10.0.3.6): Token/Flash Key, Owned by user 3
사용자 4가 퍼블릭 키(및 HSM의 모든 퍼블릭 키)를 사용할 수 있는지 확인하려면 -u
에서 findKey의 파라미터를 사용하십시오.
출력은 사용자 4가 키 페어의 퍼블릭 키(262179
)와 프라이빗 키(262177
)를 모두 사용할 수 있음을 보여 줍니다. 사용자 4는 다른 모든 퍼블릭 키 및 생성되거나 공유된 어떤 프라이빗 키도 사용할 수 있습니다.
Command:
findKey -u 4
Total number of keys present 8 number of keys matched from start index 0::7 11, 12, 262159, 262161, 262162, 19, 20, 21, 262177, 262179 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
예 : 키의 쿼럼 인증 값(m_value) 가져오기
이 예제는 키의 m_value
를 가져오는 방법을 보여 줍니다. m_value는 키를 사용하는 암호화 작업과 키를 공유 또는 공유 해제하는 작업을 승인해야 하는 쿼럼 내 사용자의 수입니다.
키에서 쿼럼 인증이 활성화되면 사용자들의 쿼럼은 해당 키를 사용하는 모든 암호화 작업을 승인해야 합니다. 쿼럼 인증을 활성화하고 쿼럼 크기를 설정하려면 키를 생성할 때 -m_value
파라미터를 사용합니다.
이 명령은 genSymKey를 사용하여 사용자 4와 공유되는 256비트 AES 키를 생성합니다. 이 명령은 m_value
파라미터를 사용하여 쿼럼 인증을 활성화하고 쿼럼 크기를 2명의 사용자로 설정합니다. 사용자의 수는 필요한 승인을 제공할 수 있을 만큼 커야 합니다.
출력은 명령이 키 10을 생성했음을 보여 줍니다.
Command:
genSymKey -t 31 -s 32 -l aes256m2 -u 4 -m_value 2
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 10 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
이 명령은 cloudhsm_mgmt_util의 getKeyInfo를 사용하여 키 10
의 사용자에 대한 정보를 가져옵니다. 출력은 이 키를 사용자 3
이 소유하고 사용자 4
와 공유하고 있음을 보여 줍니다. 또한 2명의 사용자로 이루어진 쿼럼이 해당 키를 사용하는 모든 암호화 작업을 승인해야 함을 보여 줍니다.
aws-cloudhsm>
getKeyInfo 10
Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key
인수
이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.
getKeyInfo -k
<key-handle>
<output file>
- <key-handle>
-
HSM에서 한 키의 키 핸들을 지정합니다. 소유하거나 공유하는 키의 키 핸들을 입력합니다. 이 파라미터는 필수 사항입니다.
필수 항목 여부: 예
- <output file>
-
stdout 대신 지정된 파일에 출력을 기록합니다. 파일이 존재하는 경우, 이 명령은 경고 없이 파일에 덮어씁니다.
필수 항목 여부: 아니요
기본값: stdout
관련 주제
-
key_mgmt_util의 getKeyInfo
-
key_mgmt_util의 findKey
-
cloudhsm_mgmt_util의 findAllKeys