CMU를 사용하여 AWS CloudHSM 키 공유 - AWS CloudHSM

CMU를 사용하여 AWS CloudHSM 키 공유

AWS CloudHSM cloudhsm_mgmt_util에서 shareKey 명령은 소유하는 키를 다른 Crypto User와 공유 및 공유 해제합니다. 키 소유자만 키를 공유 및 공유 해제할 수 있습니다. 키를 생성할 때 키를 공유할 수도 있습니다.

다른 사용자의 키를 공유하는 사용자는 해당 키를 암호화 작업에 사용할 수는 있지만 키에 대해 삭제, 내보내기, 공유, 공유 해제 또는 속성 변경을 할 수는 없습니다. 키에서 쿼럼 인증이 활성화되면 쿼럼이 해당 키를 공유 또는 공유 해제하는 모든 작업을 승인해야 합니다.

CMU 명령을 실행하려면 먼저 CMU를 시작하고, HSM에 로그인해야 합니다. 사용하려는 명령을 실행할 수 있는 사용자 유형으로 로그인해야 합니다.

HSM을 추가하거나 삭제하는 경우 CMU의 구성 파일을 업데이트하십시오. 그렇지 않으면 변경 내용이 클러스터의 모든 HSM에서 유효하지 않을 수도 있습니다.

사용자 유형

다음 사용자 유형이 이 명령을 실행할 수 있습니다.

  • 암호화 사용자(Crypto User)

구문

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

사용자 유형: CU(Crypto User)

shareKey <key handle> <user id> <(share/unshare key?) 1/0>

다음 예제는 shareKey를 사용하여 소유하는 키를 다른 Crypto User와 공유 및 공유 해제하는 방법을 보여줍니다.

예 : 키 공유하기

이 예제에서는 shareKey를 사용하여 현재 사용자가 소유하는 ECC 프라이빗 키를 HSM의 다른 Crypto User와 공유합니다. 퍼블릭 키는 HSM의 모든 사용자가 사용할 수 있으므로, 공유 또는 공유 해제할 필요가 없습니다.

첫 번째 명령은 getKeyInfo를 사용하여 HSM의 ECC 프라이빗 키인 키 262177의 사용자 정보를 가져옵니다.

출력은 키 262177을 사용자 3이 소유하지만 공유되지 않고 있음을 보여줍니다.

aws-cloudhsm>getKeyInfo 262177 Key Info on server 0(10.0.3.10): Token/Flash Key, Owned by user 3 Key Info on server 1(10.0.3.6): Token/Flash Key, Owned by user 3

이 명령은 shareKey를 사용하여 키 262177을 HSM의 다른 Crypto User인 사용자 4와 공유합니다. 마지막 인수는 값 1을 사용하여 공유 작업을 표시합니다.

출력은 클러스터의 두 HSM 모두에서 작업이 성공했음을 보여 줍니다.

aws-cloudhsm>shareKey 262177 4 1 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y shareKey success on server 0(10.0.3.10) shareKey success on server 1(10.0.3.6)

작업이 성공했는지 확인하기 위해 예제에서는 첫 번째 getKeyInfo 명령을 반복합니다.

출력은 이제 키 262177가 사용자 4와 공유되고 있음을 보여 줍니다.

aws-cloudhsm>getKeyInfo 262177 Key Info on server 0(10.0.3.10): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 Key Info on server 1(10.0.3.6): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4
예 : 키 공유 해제하기

이 예제는 대칭 키를 공유 해제, 즉 키의 공유 사용자 목록에서 Crypto User를 제거합니다.

이 명령은 shareKey를 사용하여 키 6의 공유 사용자 목록에서 사용자 4를 제거합니다. 마지막 인수는 값 0을 사용하여 공유 해제 작업을 표시합니다.

출력은 두 HSM 모두에서 명령이 성공했음을 보여줍니다. 따라서 사용자 4는 더 이상 암호화 작업에 키 6을 사용할 수 없습니다.

aws-cloudhsm>shareKey 6 4 0 *************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?y shareKey success on server 0(10.0.3.10) shareKey success on server 1(10.0.3.6)

인수

이 명령에는 이름이 지정된 파라미터가 없으므로 구문 다이어그램에 지정된 순서대로 인수를 입력해야 합니다.

shareKey <key handle> <user id> <(share/unshare key?) 1/0>
<key-handle>

소유하는 키의 키 핸들을 지정합니다. 각 명령에서 키를 하나만 지정할 수 있습니다. 키의 키 핸들을 가져오려면 key_mgmt_util에서 findKey를 사용합니다. 키의 소유자를 확인하려면 getKeyInfo를 사용합니다.

필수 항목 여부: 예

<user id>

키를 공유 또는 공유 해제하는 CU(Crypto User)의 사용자 ID를 지정합니다. 사용자의 사용자 ID를 찾으려면 listUsers를 사용합니다.

필수 항목 여부: 예

<share 1 or unshare 0>

지정된 사용자와 키를 공유하려면 1을 입력합니다. 키를 공유 해제하려면, 즉 키의 공유 사용자 목록에서 지정된 사용자를 제거하려면 0을 입력합니다.

필수 항목 여부: 예

관련 주제