KMU를 사용하여 AWS CloudHSM 키 추출 - AWS CloudHSM
구문예시파라미터관련 주제

KMU를 사용하여 AWS CloudHSM 키 추출

AWS CloudHSM key_mgmt_util에서 extractMaskedObject 명령을 사용하여 하드웨어 보안 모듈(HSM)에서 키를 추출하여 마스킹된 개체로 파일에 저장합니다. 마스크된 개체는 복제된 개체로, insertMaskedObject 명령을 사용하여 원래 클러스터에 다시 삽입한 후에만 사용할 수 있습니다. 마스킹 처리된 객체는 이 객체가 생성된 클러스터나 해당 클러스터의 복제본에만 삽입할 수 있습니다. 여기에는 리전 간에 백업을 복사하고 해당 백업을 사용하여 새 클러스터를 만들어 생성된 클러스터의 복제 버전이 포함됩니다.

마스킹 처리된 객체는 추출할 수 없는 키를 포함하여(즉, OBJ_ATTR_EXTRACTABLE 값이 0인 키) 키를 오프로드하고 동기화하는 효율적인 방법입니다. 이러한 방식으로 AWS CloudHSM 구성 파일을 업데이트하지 않고도 여러 리전에서 관련된 클러스터 간에 키를 안전하게 동기화할 수 있습니다.

중요

삽입 시 마스킹 처리된 객체가 해독되고 원래 키의 키 핸들과 다른 키 핸들이 제공됩니다. 마스킹 처리된 객체에는 원래 키와 관련된 메타데이터가 모두 포함됩니다(예: 속성, 소유권 및 공유 정보, 쿼럼 설정 등). 애플리케이션의 클러스터 간에 키를 동기화해야 하는 경우 대신 cloudhsm_mgmt_util의 SyncKey를 사용하십시오.

key_mgmt_util 명령을 실행하기 전에 key_mgmt_util을 시작하고 HSM에 로그인해야 합니다. extractMaskedObject 명령은 키를 소유한 CU나 모든 CO가 사용할 수 있습니다.

구문

extractMaskedObject -h

extractMaskedObject -o <object-handle>
                    -out <object-file>

예시

이 예제에서는 extractMaskedObject를 사용하여 HSM에서 키를 마스킹 처리된 객체로 추출하는 방법을 보여 줍니다.

예 : 마스킹 처리된 객체 추출

이 명령은 핸들이 524295인 키의 HSM에서 마스킹 처리된 객체를 추출하고 이를 maskedObj라는 파일로 저장합니다. 명령이 성공하면 extractMaskedObject가 성공 메시지를 반환합니다.

Command: extractMaskedObject -o 524295 -out maskedObj

Object was masked and written to file "maskedObj"

        Cfm3ExtractMaskedObject returned: 0x00 : HSM Return: SUCCESS

파라미터

이 명령은 다음 파라미터를 사용합니다.

-h

명령에 대한 명령줄 도움말을 표시합니다.

필수 항목 여부: 예

-o

마스킹 처리된 객체로 추출할 키 핸들을 지정합니다.

필수 항목 여부: 예

-out

마스킹 처리된 객체를 저장할 파일 이름을 지정합니다.

필수 항목 여부: 예

관련 주제