Definir os atributos das chaves com a CLI do CloudHSM
Use o comando key set-attribute na CLI do CloudHSM para definir os atributos das chaves em seu cluster do AWS CloudHSM. Somente o CU que criou a chave e, consequentemente, a possui pode alterar os atributos da chave.
Para obter uma lista dos principais atributos que podem ser usados na CLI do CloudHSM, consulte Atributos de chave da CLI do CloudHSM.
Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
-
Somente usuários de criptografia (CUs) podem executar esse comando.
-
Os administradores podem definir o atributo confiável.
Requisitos
Para executar esse comando, você deve estar registrado como um CU. Para definir o atributo confiável, você deve estar logado como um usuário administrador.
Sintaxe
aws-cloudhsm >help key set-attributeSet an attribute for a key in the HSM cluster Usage: cloudhsm-cli key set-attribute [OPTIONS] --filter [<FILTER>...] --name<KEY_ATTRIBUTE>--value<KEY_ATTRIBUTE_VALUE>Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key to modify --name<KEY_ATTRIBUTE>Name of attribute to be set --value<KEY_ATTRIBUTE_VALUE>... Attribute value to be set -h, --help Print help
Exemplo: configuração de um atributo de chave
O exemplo a seguir mostra como usar o comando key set-attribute para definir o rótulo.
-
Use a chave com o rótulo
my_key, conforme mostrado aqui:aws-cloudhsm >key set-attribute --filter attr.label=my_key --name encrypt --value false{ "error_code": 0, "data": { "message": "Attribute set successfully" } } -
Use o comando key list para confirmar que o atributo
encryptfoi alterado:aws-cloudhsm >key list --filter attr.label=my_key --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000006400ec", "key-info": { "key-owners": [ { "username": "bob", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "my_key", "id": "", "check-value": "0x6bd9f7", "class": "secret-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": true, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": true, "unwrap": true, "verify": true, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } }
Argumentos
<CLUSTER_ID>-
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido configurados.
<KEY_ATTRIBUTE>-
Especifica o nome do atributo de chave.
Obrigatório: Sim
<FILTER>-
Referência de chave (por exemplo,
key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEpara selecionar uma chave correspondente para exclusão.Para obter uma lista dos atributos de chave compatíveis com com a CLI do CloudHSM, consulte Atributos de chave da CLI do CloudHSM
Obrigatório: Não
<KEY_ATTRIBUTE_VALUE>-
A chave especifica o nome do atributo.
Obrigatório: Sim
<KEY_REFERENCE>-
Uma representação hexadecimal ou decimal da chave. (como uma alça de chave).
Obrigatório: Não
Tópicos relacionados
