Criar uma chave com o RSA-PKCS usando a CLI do CloudHSM - AWS CloudHSM
Tipo de usuárioRequisitosSintaxeExemploArgumentosTópicos relacionados

Criar uma chave com o RSA-PKCS usando a CLI do CloudHSM

Use o comando key wrap rsa-pkcs na CLI do CloudHSM para encapsular uma chave de carga útil usando uma chave pública RSA no módulo de segurança de hardware (HSM) e no mecanismo de encapsulamento RSA-PKCS. O atributo extractable da chave de carga útil deve ser definido como true.

Somente o proprietário de uma chave, ou seja, o usuário de criptografia que a criou, pode encapsulá-la. Os usuários que compartilham a chave podem usá-la em operações criptográficas.

Para usar o comando key wrap rsa-pkcs, primeiro você deve ter uma chave RSA em seu cluster do AWS CloudHSM. Você pode gerar um par de chaves RSA usando o comando A categoria generate-asymmetric-pair na CLI do CloudHSM e o atributo wrap definido como true.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Usuários de criptografia (CUs)

Requisitos

  • Para executar esse comando, você deve estar registrado como um CU.

Sintaxe

aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
  -h, --help
          Print help

Exemplo

Este exemplo mostra como usar o comando key wrap rsa-pkcs usando uma chave pública RSA.

aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000007008da",
    "wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
  }

Argumentos

<CLUSTER_ID>

O ID do cluster em que essa operação será executada.

Obrigatório: se vários clusters tiverem sido configurados.

<PAYLOAD_FILTER>

Referência de chave (por exemplo, key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE selecionar uma chave de carga útil.

Obrigatório: Sim

<PATH>

Caminho para o arquivo binário em que os dados da chave encapsulada serão salvos.

Obrigatório: Não

<WRAPPING_FILTER>

Referência de chave (por exemplo, key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma de attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE selecionar uma chave de encapsulamento.

Obrigatório: Sim

Tópicos relacionados