As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
compartilhamento de chaves
O key share comando compartilha uma chave com outras CUs em seu AWS CloudHSM cluster.
Somente a UC que criou a chave e, consequentemente, a possui pode cancelar o compartilhamento da chave. Os usuários com quem a chave é compartilhada podem usá-la em operações criptográficas, mas não podem excluí-la, exportá-la, compartilhá-la nem descompartilhá-la. Além disso, esses usuários não podem alterar os principais atributos.
Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
-
Usuários de criptografia (CUs)
Requisitos
Para executar esse comando, você deve estar registrado como um CU.
Sintaxe
aws-cloudhsm >
help key share
Share a key in the HSM cluster with another user Usage: key share --filter [
<FILTER>
...] --username<USERNAME>
--role<ROLE>
Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for sharing --username<USERNAME>
A username with which the key will be shared --role<ROLE>
Role the user has in the cluster Possible values: - crypto-user: A CryptoUser has the ability to manage and use keys - admin: An Admin has the ability to manage user accounts -h, --help Print help (see a summary with '-h')
Exemplo: compartilhar uma chave com outro CU
O exemplo a seguir mostra como usar o comando key share para compartilhar uma chave com a CU alice
.
-
Execute o comando key share com o qual compartilhar a chave
alice
.aws-cloudhsm >
key share --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
{ "error_code": 0, "data": { "message": "Key shared successfully" } }
-
Execute o comando key list.
aws-cloudhsm >
key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000001c0686", "key-info": { "key-owners": [ { "username": "cu3", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu1", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, { "username": "cu5", "key-coverage": "full" }, { "username": "cu6", "key-coverage": "full" }, { "username": "cu7", "key-coverage": "full" }, { "username": "alice", "key-coverage": "full" } ], "cluster-coverage": "full" }, "attributes": { "key-type": "rsa", "label": "rsa_key_to_share", "id": "", "check-value": "0xae8ff0", "class": "private-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": true, "verify": false, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 1219, "public-exponent": "0x010001", "modulus": "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", "modulus-size-bits": 2048 } } ], "total_key_count": 1, "returned_key_count": 1 } }
-
Na lista acima, verifique se
alice
está na lista deshared-users
Argumentos
<CLUSTER_ID>
-
O ID do cluster no qual executar essa operação.
Obrigatório: se vários clusters tiverem sido configurados.
<FILTER>
-
Referência de chave (por exemplo,
key-reference=0xabc
) ou lista separada por espaços de atributos de chave na forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
selecionar uma chave correspondente para exclusão.Para obter uma lista dos atributos de chave compatíveis, consulte Principais atributos da nuvem HSM CLI.
Obrigatório: Sim
<USERNAME>
-
Especifica um nome amigável para o usuário. O tamanho máximo é de 31 caracteres. O único caractere especial permitido é um sublinhado ( _ ). O nome de usuário não diferencia maiúsculas de minúsculas neste comando. O nome de usuário é sempre exibido em minúsculas.
Obrigatório: Sim
<ROLE>
-
Especifica a função atribuída a esse usuário. Esse parâmetro é obrigatório. Para obter a função do usuário, use o comando lista de usuário. Para obter informações detalhadas sobre os tipos de usuários em um HSM, consulte Noções básicas sobre usuários do HSM.
Obrigatório: Sim