Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Preferências
Entre em contato conosco
Feedback
AWS Documentation
Crie uma conta da AWS

Envolva uma chave CLOUDHSM-AES-GCM usando a CLI do CloudHSM

PDF
RSS
Modo de foco
Envolva uma chave CLOUDHSM-AES-GCM usando a CLI do CloudHSM - AWS CloudHSM
Tipo de usuárioRequisitosSintaxeExemploArgumentosTópicos relacionados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use o comando key wrap cloudhsm-aes-gcm na CLI do CloudHSM para encapsular uma chave de carga útil usando uma chave AES no módulo de segurança de hardware (HSM) e no mecanismo de encapsulamento CLOUDHSM-AES-GCM. O atributo extractable da chave de carga útil deve ser definido como true.

Somente o proprietário de uma chave, ou seja, o usuário de criptografia que a criou, pode encapsulá-la. Os usuários que compartilham a chave podem usá-la em operações criptográficas.

Para usar o key wrap cloudhsm-aes-gcm comando, primeiro você deve ter uma chave AES em seu AWS CloudHSM cluster. Você pode gerar uma chave AES para encapsular com o comando Gerar uma chave AES simétrica com a CLI do CloudHSM e o atributo wrap definido como true.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Usuários de criptomoedas (CUs)

Requisitos

  • Para executar esse comando, você deve estar registrado como um CU.

Sintaxe

aws-cloudhsm > help key wrap cloudhsm-aes-gcm
Usage: key wrap cloudhsm-aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help

Exemplo

Este exemplo mostra como usar o comando key wrap cloudhsm-aes-gcm usando uma chave AES.

aws-cloudhsm > key wrap cloudhsm-aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ"
  }
}

Argumentos

<CLUSTER_ID>

O ID do cluster em que essa operação será executada.

Obrigatório: se vários clusters tiverem sido configurados.

<PAYLOAD_FILTER>

Referência de chave (por exemplo, key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE selecionar uma chave de carga útil.

Obrigatório: sim

<PATH>

Caminho para o arquivo binário em que os dados da chave encapsulada serão salvos.

Obrigatório: não

<WRAPPING_FILTER>

Referência de chave (por exemplo, key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE selecionar uma chave de encapsulamento.

Obrigatório: sim

<AAD>

Valor de dados autenticados adicionais (AAD) do AES GCM, em hexadecimal.

Obrigatório: não

<TAG_LENGTH_BITS>

Comprimento do rótulo AES GCM em bits.

Obrigatório: sim

<WRAPPING_APPROVALR>

Especifica o caminho do arquivo para um arquivo de token de quorum assinado para aprovar a operação de empacotamento da chave. Exigido somente se o valor do quórum do serviço de gerenciamento de chaves da chave de encapsulamento for maior que 1.

<PAYLOAD_APPROVALR>

Especifica o caminho do arquivo para um arquivo de token de quorum assinado para aprovar a operação da chave de carga útil. Exigido somente se o valor do quórum do serviço de gerenciamento de chaves da chave de carga for maior que 1.

Tópicos relacionados

Nesta página

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.