As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Referência para comandos da CLI do CloudHSM
A CLI do CloudHSM ajuda os administradores a gerenciar usuários em seu cluster. AWS CloudHSM A CLI do CloudHSM pode ser executada em dois modos: modo interativo e modo de comando único. Para começar rapidamente, consulte [Introdução à Interface de Linha de AWS CloudHSM Comando (CLI)](cloudhsm_cli-getting-started.md).
Para executar a maioria dos comandos da CLI do CloudHSM, você deve iniciar a CLI do CloudHSM e fazer login no HSM. Se você adicionar ou excluir HSMs, atualize os arquivos de configuração do CloudHSM CLI. Caso contrário, as alterações feitas podem não ser efetivas para todos HSMs no cluster.
Os seguintes tópicos descrevem comandos na CLI do CloudHSM:
| Command | Description | Tipo de usuário |
| --- | --- | --- |
| [activate](cloudhsm_cli-cluster-activate.md) | Ativa um cluster CloudHSM e confirma que o cluster é novo. Isso deve ser feito antes que qualquer outra operação possa ser executada. | Administrador desativado |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | Liste os HSMs em seu cluster. | Tudo [1](#cli-ref-1), incluindo usuários não autenticados. O login não é necessário. |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | Gera uma assinatura usando uma chave privada EC e o mecanismo de assinatura ECDSA. | Usuários de criptografia (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | Gera uma assinatura usando uma chave privada Ed25519 e o mecanismo de assinatura HashEd DSA. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | Gera uma assinatura usando uma chave privada RSA e o mecanismo de assinatura RSA-PKCS. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | Gera uma assinatura usando uma chave privada RSA e o mecanismo de RSA-PKCS-PSS assinatura. | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | Confirma que um arquivo foi assinado no HSM por uma determinada chave pública. Verifica se a assinatura foi gerada usando o mecanismo de assinatura ECDSA. Compara um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública ecdsa e em um mecanismo de assinatura. | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | Verifica as assinaturas HashEd do DSA usando uma chave pública Ed25519. | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | Confirma que um arquivo foi assinado no HSM por uma determinada chave pública. Verifica se a assinatura foi gerada usando o mecanismo de assinatura RSA-PKCS. Compara um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública RSA e em um mecanismo de assinatura. | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | Confirma que um arquivo foi assinado no HSM por uma determinada chave pública. Verifica se a assinatura foi gerada usando o mecanismo de RSA-PKCS-PSS assinatura. Compara um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública RSA e em um mecanismo de assinatura. | CU |
| [excluir chave](cloudhsm_cli-key-delete.md) | Exclui uma chave do seu AWS CloudHSM cluster. | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | Gera um arquivo de chave no seu AWS CloudHSM cluster. | CU |
| [chave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | Gera um par de chaves RSA assimétrico em seu cluster. AWS CloudHSM | CU |
| [chave, generate-asymmetric-pair etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | Gera um par de chaves assimétrica de curva elíptica (EC) em seu cluster. AWS CloudHSM | CU |
| [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | Gera uma chave AES simétrica em seu AWS CloudHSM cluster. | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | Gera uma chave secreta genérica simétrica em seu AWS CloudHSM cluster. | CU |
| [pem de importação de chaves](cloudhsm_cli-key-import-pem.md) | Importa uma chave no formato PEM para um HSM. Você pode usá-lo para importar chaves públicas que foram geradas fora do HSM. | CU |
| [lista de chaves](cloudhsm_cli-key-list.md) | Encontra todas as chaves do usuário atual presente no seu AWS CloudHSM cluster. | CU |
| [replicação de chave](cloudhsm_cli-key-replicate.md) | Replique uma chave de um cluster de origem para um cluster de destino clonado. | CU |
| [atributo do conjunto de chaves](cloudhsm_cli-key-set-attribute.md) | Define os atributos das chaves no seu AWS CloudHSM cluster. | CUs podem executar esse comando, os administradores podem definir o atributo confiável. |
| [compartilhamento de chaves](cloudhsm_cli-key-share.md) | Compartilha uma chave com outras CUs pessoas em seu AWS CloudHSM cluster. | CU |
| [descompartilhar chave](cloudhsm_cli-key-unshare.md) | Cancela o compartilhamento de uma chave com outra CUs em seu AWS CloudHSM cluster. | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | Desencapsula uma chave de carga útil no cluster usando a chave de encapsulamento AES e o mecanismo de desencapsulamento AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | Desempacota uma chave de carga útil no cluster usando a chave de empacotamento AES e o mecanismo de desempacotamento. AES-NO-PAD | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | Desempacota uma chave de carga útil usando a chave de empacotamento AES e o mecanismo de desempacotamento AES- PKCS5 -PAD. | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | Desempacota uma chave de carga útil no cluster usando a chave de empacotamento AES e o mecanismo de desempacotamento. AES-ZERO-PAD | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | Desempacota uma chave de carga útil no cluster usando a chave de empacotamento AES e o mecanismo de desempacotamento. CLOUDHSM-AES-GCM | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | Desencapsula uma chave de carga útil usando uma chave privada RSA e o mecanismo de desencapsulamento RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | Desencapsula uma chave de carga útil usando a chave privada RSA e o mecanismo de desencapsulamento RSA-OAEP. | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | Desencapsula uma chave de carga útil usando a chave privada RSA e o mecanismo de desencapsulamento RSA-PKCS. | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | Encapsula uma chave de carga útil usando uma chave AES no HSM e o mecanismo de encapsulamento AES-GCM. | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | Encapsula uma chave de carga útil usando uma chave AES no HSM e o mecanismo de empacotamento AES-NO-PAD. | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | Encapsula uma chave de carga útil usando uma chave AES no HSM e o mecanismo de empacotamento AES- PKCS5 -PAD. | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | Encapsula uma chave de carga útil usando uma chave AES no HSM e o mecanismo de empacotamento AES-ZERO-PAD. | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | Encapsula uma chave de carga útil usando uma chave AES no HSM e o mecanismo de empacotamento CLOUDHSM-AES-GCM. | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | Encapsula uma chave de carga útil usando uma chave pública RSA no HSM e o mecanismo de encapsulamento RSA-AES. | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | Encapsula uma chave de carga útil usando uma chave pública RSA no HSM e o mecanismo de encapsulamento RSA-OAEP. | CU |
| [ Criar uma chave com o RSA-PKCS usando a CloudHSM CLIrsa-pkcs O comando **key wrap rsa-pkcs** encapsula uma chave de carga útil usando uma chave pública RSA no HSM e o mecanismo de encapsulamento `RSA-PKCS`. Use o comando **key wrap rsa-pkcs** na CloudHSM CLI para encapsular uma chave de carga útil usando uma chave pública RSA no módulo de segurança de hardware (HSM) e no mecanismo de encapsulamento `RSA-PKCS`. O atributo `extractable` da chave de carga útil deve ser definido como `true`. Somente o proprietário de uma chave, ou seja, o usuário de criptografia que a criou, pode encapsulá-la. Os usuários que compartilham a chave podem usá-la em operações criptográficas. Para usar o **key wrap rsa-pkcs** comando, primeiro você deve ter uma chave RSA em seu AWS CloudHSM cluster. Você pode gerar um par de chaves RSA usando o comando [A generate-asymmetric-pair categoria na CLI do CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md) e o atributo `wrap` definido como `true`. Tipo de usuário Os seguintes tipos de usuários podem executar este comando. Usuários de criptomoedas (CUs) Requisitos Para executar esse comando, você deve estar registrado(a) como um CU. Sintaxe
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [...] --wrapping-filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path
Path to the binary file where the wrapped key data will be saved
--wrapping-approval
File path of signed quorum token file to approve operation for wrapping key
--payload-approval
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` Exemplo Este exemplo mostra como usar o comando **key wrap rsa-pkcs** usando uma chave pública RSA.
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave de carga útil.
Obrigatório: Sim
******
Caminho para o arquivo binário em que os dados da chave encapsulada serão salvos.
Obrigatório: não
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave de encapsulamento.
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação da chave de encapsulamento. Exigido somente se o valor do quórum do serviço de gerenciamento de chaves da chave de encapsulamento for maior do que 1.
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação da chave de carga útil. Exigido somente se o valor do quórum do serviço de gerenciamento de chaves da chave de carga útil for maior do que 1. Tópicos relacionados [O comando key wrap na CLI do CloudHSM](cloudhsm_cli-key-wrap.md) [O comando key unwrap na CLI do CloudHSM](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | Encapsula uma chave de carga útil usando uma chave pública RSA no HSM e o mecanismo de encapsulamento RSA-PKCS. | CU |
| [login](cloudhsm_cli-login.md) | Faça login no seu AWS CloudHSM cluster. | Administrador, usuário de criptografia (CU) e usuário do dispositivo (AU) |
| [logout](cloudhsm_cli-logout.md) | Saia do seu AWS CloudHSM cluster. | Administrador, CU e usuário do dispositivo (AU) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | Exclui um ou mais tokens de um serviço autorizado por quórum. | Administrador |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | Gera um token para um serviço autorizado por quórum. | Administrador |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | Lista todos os tokens de quórum de assinatura de token presentes no seu cluster do CloudHSM. | Tudo [1](#cli-ref-1), incluindo usuários não autenticados. O login não é necessário. |
| [sinal simbólico de quórum list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | Lista os valores de quorum definidos no seu cluster CloudHSM. | Tudo [1](#cli-ref-1), incluindo usuários não autenticados. O login não é necessário. |
| [sinal simbólico de quórum set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | Define um novo valor de quórum para um serviço autorizado por quórum. | Administrador |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | Altera a estratégia de autenticação multifator (MFA) do usuário. | Administrador, CU |
| [alterar senha de usuário](cloudhsm_cli-user-change-password.md) | Altera as senhas dos usuários no HSMs. Qualquer usuário pode alterar sua própria senha. Os administradores podem mudar a senha de qualquer pessoa. | Administrador, CU |
| [criar usuário](cloudhsm_cli-user-create.md) | Cria um usuário no seu AWS CloudHSM cluster. | Administrador |
| [excluir usuário](cloudhsm_cli-user-delete.md) | Exclui um usuário no seu AWS CloudHSM cluster. | Administrador |
| [ista de usuários](cloudhsm_cli-user-list.md) | Lista os usuários em seu AWS CloudHSM cluster. | Tudo [1](#cli-ref-1), incluindo usuários não autenticados. O login não é necessário. |
| [user change-quorum token-sign register](cloudhsm_cli-user-chqm-token-reg.md) | Registra a estratégia de quórum de assinatura de token de quórum para um usuário. | Administrador |
**Anotações**
+ [1] Todos os usuários incluem todas as funções listadas e usuários não logados.
# A categoria cluster na CLI do CloudHSM
Na CLI do CloudHSM, **cluster** é uma categoria principal para um grupo de comandos que, quando combinado com a categoria principal, cria um comando específico para clusters. Atualmente, a categoria cluster consiste nos seguintes comandos:
**Topics**
+ [activate](cloudhsm_cli-cluster-activate.md)
+ [hsm-info](cloudhsm_cli-cluster-hsm-info.md)
+ [mtls](cloudhsm_cli-cluster-mtls.md)
# Ativar um cluster com a CLI do CloudHSM
Use o comando **cluster activate** na CLI do CloudHSM para [ativar um novo cluster](activate-cluster.md) no AWS CloudHSM. Esse comando deve ser executado para que o cluster possa ser usado para executar operações criptográficas.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Administrador desativado
## Sintaxe
Este comando não possui parâmetros.
```
aws-cloudhsm > help cluster activate
Activate a cluster
This command will set the initial Admin password. This process will cause your CloudHSM cluster to
move into the ACTIVE state.
USAGE:
cloudhsm-cli cluster activate [OPTIONS] [--password ]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--password
Optional: Plaintext activation password If you do not include this argument you will be prompted for it
-h, --help
Print help (see a summary with '-h')
```
## Exemplo
Esse comando ativa seu cluster definindo a senha inicial para seu usuário administrador.
```
aws-cloudhsm > cluster activate
Enter password:
Confirm password:
{
"error_code": 0,
"data": "Cluster activation successful"
}
```
## Tópicos relacionados
+ [criar usuário](cloudhsm_cli-user-create.md)
+ [excluir usuário](cloudhsm_cli-user-delete.md)
+ [alterar senha de usuário](cloudhsm_cli-user-change-password.md)
# Lista HSMs com a CLI do CloudHSM
Use o **cluster hsm-info** comando na CLI do CloudHSM para listar os HSMs módulos de segurança de hardware () em seu cluster. AWS CloudHSM Você não precisa estar conectado na CLI do CloudHSM para executar esse comando.
**nota**
Se você adicionar ou excluir HSMs, atualize os arquivos de configuração que o AWS CloudHSM cliente e as ferramentas de linha de comando usam. Caso contrário, as alterações feitas podem não ser efetivas HSMs em todas as partes do cluster.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Todos os usuários. Você não precisa estar conectado para executar esse comando.
## Sintaxe
```
aws-cloudhsm > help cluster hsm-info
List info about each HSM in the cluster
Usage: cloudhsm-cli cluster hsm-info [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Exemplo
Esse comando lista o HSMs presente em seu AWS CloudHSM cluster.
```
aws-cloudhsm > cluster hsm-info
{
"error_code": 0,
"data": {
"hsms": [
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000590",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000625",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
},
{
"vendor": "Marvell Semiconductors, Inc.",
"model": "NITROX-III CNN35XX-NFBE",
"serial-number": "5.3G1941-ICM000663",
"hardware-version-major": "5",
"hardware-version-minor": "3",
"firmware-version-major": "2",
"firmware-version-minor": "6",
"firmware-build-number": "16",
"firmware-id": "CNN35XX-NFBE-FW-2.06-16"
"fips-state": "2 [FIPS mode with single factor authentication]"
}
]
}
}
```
O objeto tem os seguintes atributos:
+ **Fornecedor**: o nome do fornecedor do HSM.
+ **Modelo**: o número do modelo do HSM.
+ **Número de série**: o número de série do dispositivo. Isso pode mudar devido a substituições.
+ **H ardware-version-major**: A versão principal do hardware.
+ **H ardware-version-minor**: A versão secundária do hardware.
+ **F irmware-version-major**: A versão principal do firmware.
+ **F irmware-version-minor**: A versão secundária do firmware.
+ **F irmware-build-number**: O número de compilação do firmware.
+ **Firmware-id**: o ID do firmware, que inclui as versões principais e secundárias junto com a compilação.
+ **Estado FIPS**: o modo FIPS do cluster e o que está nele. HSMs Se estiver no modo FIPS, a saída será “2 [FIPS mode with single factor authentication]”. Se estiver no modo não FIPS, a saída será “0 [non-FIPS mode with single factor authentication]”.
## Tópicos relacionados
+ [Ativar um cluster com a CLI do CloudHSM](cloudhsm_cli-cluster-activate.md)
# A categoria cluster mtls na CLI do CloudHSM
Na **cluster mtls** CLI do CloudHSM, é uma categoria principal para um grupo de comandos que, quando combinados com a categoria principal, criam um comando específico para clusters. AWS CloudHSM Atualmente, essa categoria consiste nos seguintes comandos:
**Topics**
+ [deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [register-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
# Cancelar o registro de uma âncora de confiança com a CLI do CloudHSM
Use o comando **cluster mtls deregister-trust-anchor** na CLI do CloudHSM para cancelar o registro de uma âncora de confiança para TLS mútuo entre o cliente e o AWS CloudHSM.
## Tipo de usuário
Os usuários a seguir podem executar este comando.
+ Administrador
## Requisitos
+ Para executar esse comando, é necessário se conectar como usuário administrador.
## Sintaxe
```
aws-cloudhsm > help cluster mtls deregister-trust-anchor
Deregister a trust anchor for mtls
Usage: cluster mtls deregister-trust-anchor [OPTIONS] --certificate-reference [...]
Options:
--certificate-reference A hexadecimal or decimal certificate reference
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Exemplo
**Example**
No exemplo a seguir, esse comando remove uma âncora de confiança do HSM.
```
aws-cloudhsm > cluster mtls deregister-trust-anchor --certificate-reference 0x01
{
"error_code": 0,
"data": {
"message": "Trust anchor with reference 0x01 deregistered successfully"
}
}
```
Em seguida, você pode executar o comando **list-trust-anchors** para confirmar que o registro da âncora de confiança foi cancelado do AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": []
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Uma referência de certificado hexadecimal ou decimal.
**Obrigatório**: sim
Depois de cancelar o registro de uma âncora de confiança no cluster, todas as conexões mTLS existentes usando o certificado do cliente assinado por essa âncora de confiança serão descartadas.
** ** **
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de cluster for maior que 1.
## Tópicos relacionados
+ [cluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Obter o nível de imposição do mTLS com a CloudHSM CLI
Use o comando **cluster mtls get-enforcement** na CloudHSM CLI para obter o nível de imposição do uso do TLS mútuo entre o cliente e o AWS CloudHSM.
## Tipo de usuário
Os usuários a seguir podem executar este comando.
+ Administrador
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar logado como usuário administrador ou usuário criptográfico (CUs).
## Sintaxe
```
aws-cloudhsm > help cluster mtls get-enforcement
Get the status of mtls enforcement in the cluster
Usage: cluster mtls get-enforcement [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Exemplo
**Example**
No exemplo a seguir, esse comando lista o nível de imposição do mtls do AWS CloudHSM.
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "none"
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
## Tópicos relacionados
+ [cluster mtls set-enforcement](cloudhsm_cli-cluster-mtls-set-enforcement.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Listar âncoras de confiança com o CloudHSM CLI
Use o comando **cluster mtls list-trust-anchors** na CloudHSM CLI para listar todas as âncoras de confiança que podem ser usadas para TLS mútuo entre o cliente e o AWS CloudHSM.
## Tipo de usuário
Os usuários a seguir podem executar este comando.
+ Todos os usuários. Você não precisa estar conectado para executar esse comando.
## Sintaxe
```
aws-cloudhsm > help cluster mtls list-trust-anchors
List all trust anchors for mtls
Usage: cluster mtls list-trust-anchors [OPTIONS]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
-h, --help Print help
```
## Exemplo
**Example**
No exemplo a seguir, esse comando lista todas as âncoras de confiança registradas do AWS CloudHSM.
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
},
{
"certificate-reference": "0x02",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
## Tópicos relacionados
+ [cluster mtls reregister-trust-anchor](cloudhsm_cli-cluster-mtls-register-trust-anchor.md)
+ [cluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Registrar uma âncora de confiança com a CLI do CloudHSM
Use o comando **cluster mtls register-trust-anchor** na CLI do CloudHSM para registrar uma âncora de confiança para TLS mútuo entre o cliente e o AWS CloudHSM.
## Tipo de usuário
Os usuários a seguir podem executar este comando.
+ Administrador
## Requisitos
AWS CloudHSM Aceita âncoras de confiança com os seguintes tipos de chave:
****
| Tipo de chave | Description |
| --- | --- |
| EC | Curvas secp256r1 (P-256), secp384r1 (P-384) e secp521r1 (P-521). |
| RSA | Chaves RSA de 2.048 bits, 3.072 bits e 4.096 bits. |
## Sintaxe
```
aws-cloudhsm > help cluster mtls register-trust-anchor
Register a trust anchor for mtls
Usage: cluster mtls register-trust-anchor [OPTIONS] --path [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--path Filepath of the trust anchor to register
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Exemplo
**Example**
No exemplo a seguir, esse comando registra uma âncora de confiança no HSM. No máximo 2 (duas) âncoras de confiança podem ser registradas.
```
aws-cloudhsm > cluster mtls register-trust-anchor --path /home/rootCA
{
"error_code": 0,
"data": {
"trust_anchor": {
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
}
}
```
Em seguida, você pode executar o comando **list-trust-anchors** para confirmar que a âncora de confiança foi registrada no AWS CloudHSM:
```
aws-cloudhsm > cluster mtls list-trust-anchors
{
"error_code": 0,
"data": {
"trust_anchors": [
{
"certificate-reference": "0x01",
"certificate": "",
"cluster-coverage": "full"
}
]
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
O caminho da âncora de confiança a ser registrada.
**Obrigatório**: sim
AWS CloudHSM suporta o registro de certificados intermediários como âncora confiável. Nesses casos, todo o arquivo da cadeia de certificados codificado pelo PEM precisa ser registrado no HSM, com os certificados em ordem hierárquica.
AWS CloudHSM suporta uma cadeia de certificados de 6980 bytes.
** ** **
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de cluster for maior que 1.
## Tópicos relacionados
+ [cluster mtls deregister-trust-anchor](cloudhsm_cli-cluster-mtls-deregister-trust-anchor.md)
+ [cluster mtls list-trust-anchors](cloudhsm_cli-cluster-mtls-list-trust-anchors.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# Definir o nível de imposição do mTLS com a CloudHSM CLI
Use o comando **cluster mtls set-enforcement** na CloudHSM CLI para definir o nível de imposição do uso do TLS mútuo entre o cliente e o AWS CloudHSM.
## Tipo de usuário
Os usuários a seguir podem executar este comando.
+ Administrador com nome de usuário “admin”
## Requisitos
Para executar esse comando:
+ Pelo menos uma âncora de confiança foi registrada com êxito no AWS CloudHSM.
+ Configure a CloudHSM CLI com a chave privada e o certificado de cliente corretos e inicie a CloudHSM CLI em uma conexão TLS mútua.
+ Você deve fazer login como administrador padrão com o nome de usuário “admin”. Nenhum outro usuário administrador poderá executar esse comando.
## Sintaxe
```
aws-cloudhsm > help cluster mtls set-enforcement
Set mtls enforcement policy in the cluster
Usage: cluster mtls set-enforcement [OPTIONS] --level [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--level Level to be set for mtls in the cluster [possible values: none, cluster]
--approval Filepath of signed quorum token file to approve operation
-h, --help Print help
```
## Exemplo
**Example**
No exemplo a seguir, esse comando define o nível de imposição mtls do cluster AWS CloudHSM a ser. O comando set-enforcement só pode ser executado em uma conexão TLS mútua estabelecida como usuário administrador com nome de usuário “admin”; consulte [definir a imposição do mTLS para AWS CloudHSM](getting-started-setup-mtls.md#getting-start-setup-mtls-enforcement).
```
aws-cloudhsm > cluster mtls set-enforcement --level cluster
{
"error_code": 0,
"data": {
"message": "Mtls enforcement level set to Cluster successfully"
}
}
```
Em seguida, você pode executar o comando **get-enforcement** para confirmar se o nível de imposição foi definido como cluster:
```
aws-cloudhsm > cluster mtls get-enforcement
{
"error_code": 0,
"data": {
"mtls-enforcement-level": "cluster"
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
** ** **
Nível a ser definido para mtls no cluster.
**Valores válidos**
+ **cluster**: imponha o uso de TLS mútuo entre o cliente e AWS CloudHSM no cluster.
+ **none**: não imponha o uso de TLS mútuo entre o cliente e AWS CloudHSM no cluster.
**Obrigatório**: sim
Depois de impor o uso de mTLS no cluster, todas as conexões não MTLS existentes serão descartadas e a conexão com o cluster será possível apenas com certificados mTLS.
** ** **
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de cluster for maior que 1.
## Tópicos relacionados
+ [cluster mtls get-enforcement](cloudhsm_cli-cluster-mtls-get-enforcement.md)
+ [Configurar mTLS (recomendado)](getting-started-setup-mtls.md)
# A categoria crypto na CLI do CloudHSM
Na CLI do CloudHSM, **crypto** é uma categoria principal para um grupo de comandos que, quando combinado com a categoria principal, cria um comando específico para operações criptográficas. Atualmente, essa categoria consiste nos seguintes comandos:
+ [sign](cloudhsm_cli-crypto-sign.md)
+ [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
+ [verificar](cloudhsm_cli-crypto-verify.md)
+ [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
# A categoria de assinatura criptográfica na CLI do CloudHSM
Na CLI do CloudHSM, **crypto sign** é uma categoria principal de um grupo de comandos que, quando combinados com a categoria principal, usam uma chave privada escolhida no seu cluster do AWS CloudHSM para gerar uma assinatura. O comando **crypto sign** tem os seguintes subcomandos:
+ [Gerar uma assinatura com o mecanismo ECDSA na CloudHSM CLI](cloudhsm_cli-crypto-sign-ecdsa.md)
+ [Gere uma assinatura com o mecanismo HashEd DSA na CLI do CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
+ [Gerar uma assinatura com o mecanismo RSA-PKCS na CloudHSM CLI](cloudhsm_cli-crypto-sign-rsa-pkcs.md)
+ [Gere uma assinatura com o RSA-PKCS-PSS mecanismo na CLI do CloudHSM](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md)
Para usar o **crypto sign**, primeiro você deve ter uma chave privada no HSM. Você pode gerar uma chave privada com os seguintes comandos:
+ [chave, generate-asymmetric-pair etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [chave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Gerar uma assinatura com o mecanismo ECDSA na CloudHSM CLI
Use o comando **crypto sign ecdsa** na CloudHSM CLI para gerar uma assinatura usando uma chave privada EC e o mecanismo de assinatura ECDSA.
Para usar o **crypto sign ecdsa** comando, primeiro você deve ter uma chave privada EC em seu AWS CloudHSM cluster. Você pode gerar uma chave privada EC usando o comando [Gerar um par de chaves EC assimétricas com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) com o atributo `sign` definido como `true`.
A assinatura ECDSA resultante é gerada no formato`r||s`, em que os componentes r e s são concatenados como dados binários brutos e retornados no formato codificado em base64.
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto sign ecdsa
Sign with the ECDSA mechanism
Usage: crypto sign ecdsa --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto sign ecdsa** para gerar uma assinatura usando o mecanismo de assinatura ECDSA e a função hash `SHA256`. Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign ecdsa --key-filter attr.label=ec-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007808dd",
"signature": "4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE para selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Gere uma assinatura com o mecanismo HashEd DSA na CLI do CloudHSM
**Importante**
HashEdAs operações de assinatura de DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
Use o **crypto sign ed25519ph** comando na CLI do CloudHSM para gerar uma assinatura usando uma chave privada Ed25519 e o mecanismo de assinatura do DSA. HashEd Para obter informações adicionais sobre o HashEd DSA, consulte [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Seção 7.8.
Para usar o **crypto sign ed25519ph** comando, primeiro você deve ter uma chave privada Ed25519 em seu cluster. AWS CloudHSM Você pode gerar uma chave privada Ed25519 usando o [Gerar um par de chaves EC assimétricas com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando com o `curve` parâmetro definido como `ed25519` e o `sign` atributo definido como. `true`
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
+ HashEdAs operações de assinatura de DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
## Sintaxe
```
aws-cloudhsm > help crypto sign ed25519ph
Sign with the Ed25519ph mechanism
Usage: crypto sign ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto sign ed25519ph** para gerar uma assinatura usando o mecanismo de assinatura ED25519ph e a função hash. `sha512` Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data YWJj
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign ed25519ph \
--key-filter attr.label=ed25519-private \
--data-type raw \
--hash-function sha512 \
--data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x0000000000401cdf",
"signature": "mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: Sim (a menos que seja fornecido por meio do parâmetro de dados)
******
Especifica a função hash. O ED25519ph suporta apenas. SHA512
Valores válidos:
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de attr.KEY\$1ATTRIBUTE\$1NAME=KEY\$1ATTRIBUTE\$1VALUE para selecionar uma chave correspondente.
Para obter uma lista dos principais atributos da CLI do CloudHSM compatíveis, consulte. [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
Obrigatório: Sim
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Gerar uma assinatura com o mecanismo RSA-PKCS na CloudHSM CLI
Use o comando **crypto sign rsa-pkcs** na CloudHSM CLI para gerar uma assinatura usando uma chave privada RSA e o mecanismo de assinatura RSA-PKCS.
Para usar o **crypto sign rsa-pkcs** comando, primeiro você deve ter uma chave privada RSA em seu AWS CloudHSM cluster. Você pode gerar uma chave privada RSA usando o comando [Gerar um par de chaves assimétricas RSA com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) com o atributo `sign` definido como `true`.
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs
Sign with the RSA-PKCS mechanism
Usage: crypto sign rsa-pkcs --key-filter [>...] --hash-function <--data-path |--data >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be signed
--data
Base64 Encoded data to be signed
--approval
Filepath of signed quorum token file to approve operation
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto sign rsa-pkcs** para gerar uma assinatura usando o mecanismo de assinatura RSA-PKCS e a função hash `SHA256`. Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign rsa-pkcs --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Em relação a RSA-PKCS, os dados devem ser passados no formato codificado DER, conforme especificado na [RFC 8017, Seção 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Gere uma assinatura com o RSA-PKCS-PSS mecanismo na CLI do CloudHSM
Use o comando **crypto sign rsa-pkcs-pss** na CloudHSM CLI para gerar uma assinatura usando uma chave privada RSA e o mecanismo de assinatura `RSA-PKCS-PSS`.
Para usar o **crypto sign rsa-pkcs-pss** comando, primeiro você deve ter uma chave privada RSA em seu AWS CloudHSM cluster. Você pode gerar uma chave privada RSA usando o comando [Gerar um par de chaves assimétricas RSA com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) com o atributo `sign` definido como `true`.
**nota**
As assinaturas podem ser verificadas AWS CloudHSM com [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md) subcomandos.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto sign rsa-pkcs-pss
Sign with the RSA-PKCS-PSS mechanism
Usage: crypto sign rsa-pkcs-pss [OPTIONS] --key-filter [...] --hash-function --mgf --salt-length <--data-path |--data >
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function [possible values: sha1, sha224, sha256, sha384, sha512]
--data-path The path to the file containing the data to be signed
--data Base64 Encoded data to be signed
--mgf The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length The salt length
--approval Filepath of signed quorum token file to approve operation
--data-type The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto sign rsa-pkcs-pss** para gerar uma assinatura usando o mecanismo de assinatura `RSA-PKCS-PSS` e a função hash `SHA256`. Esse comando usa uma chave privada no HSM.
**Example Exemplo: gerar uma assinatura para dados codificados em base 64**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
**Example Exemplo: gerar uma assinatura para um arquivo de dados**
```
aws-cloudhsm > crypto sign rsa-pkcs-pss --key-filter attr.label=rsa-private --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256
{
"error_code": 0,
"data": {
"key-reference": "0x00000000007008db",
"signature": "H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg=="
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica a função de geração da máscara.
A função hash da função de geração de máscara deve corresponder à função hash do mecanismo de assinatura.
Valores válidos:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obrigatório: Sim
******
Especifica o comprimento do sal.
Obrigatório: Sim
******
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de uso da chave privada for maior que 1.
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
## Tópicos relacionados
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# A categoria de verificação de criptografia na CLI do CloudHSM
Na CLI do CloudHSM, **crypto verify** é uma categoria principal de um grupo de comandos que, quando combinados com a categoria principal, confirmam se um arquivo foi assinado por uma determinada chave. O comando **crypto verify** tem os seguintes subcomandos:
+ [crypto verify ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md)
+ [verificação criptográfica ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md)
+ [crypto verify rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md)
+ [verificação criptográfica rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md)
O comando **crypto verify** compara um arquivo assinado com um arquivo de origem e analisa se eles estão criptograficamente relacionados com base em uma determinada chave pública e no mecanismo de assinatura.
**nota**
Os arquivos podem ser conectados AWS CloudHSM com a [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md) operação.
# Verifique uma assinatura assinada com o mecanismo ECDSA na CloudHSM CLI
Use o comando **crypto verify ecdsa** na CloudHSM CLI para concluir as seguintes operações:
+ Confirme se um arquivo foi assinado no HSM por uma determinada chave pública.
+ Verifique se a assinatura foi gerada usando o mecanismo de assinatura ECDSA.
+ Compare um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública ecdsa e em um mecanismo de assinatura.
+ A função de verificação do ECDSA espera a assinatura no formato`r||s`, em que os componentes r e s são concatenados como dados binários brutos.
Para usar o **crypto verify ecdsa** comando, primeiro você deve ter uma chave pública EC em seu AWS CloudHSM cluster. Você pode importar uma chave pública EC usando o comando [Importar uma chave no formato PEM com a CLI do CloudHSM](cloudhsm_cli-key-import-pem.md) com o atributo `verify` definido como `true`.
**nota**
Você pode gerar uma assinatura na CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto verify ecdsa
Verify with the ECDSA mechanism
Usage: crypto verify ecdsa --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar o **crypto verify ecdsa** para verificar uma assinatura que foi gerada usando o mecanismo de assinatura ECDSA e a função hash `SHA256`. Esse comando usa uma chave pública no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data YWJjMTIz --signature 4zki+FzjhP7Z/KqoQvh4ueMAxQQVp7FQguZ2wOS3Q5bzk+Hc5irV5iTkuxQbropPttVFZ8V6FgR2fz+sPegwCw==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: provar relacionamento de assinatura falso**
Esse comando verifica se os dados localizados em `/home/data` foram assinados por uma chave pública com o rótulo `ecdsa-public` usando o mecanismo de assinatura ECDSA para produzir a assinatura localizada em `/home/signature`. Como os argumentos fornecidos não formam um relacionamento de assinatura verdadeiro, o comando retorna uma mensagem de erro.
```
aws-cloudhsm > crypto verify ecdsa --hash-function sha256 --key-filter attr.label=ec-public --data aW52YWxpZA== --signature +ogk7M7S3iTqFg3SndJfd91dZFr5Qo6YixJl8JwcvqqVgsVuO6o+VKvTRjz0/V05kf3JJbBLr87Q+wLWcMAJfA==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Verifique uma assinatura assinada com o mecanismo HashEd DSA na CLI do CloudHSM
**Importante**
HashEdAs operações de verificação de assinatura do DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
Use o comando **crypto verify ed25519ph** na CloudHSM CLI para concluir as seguintes operações:
+ Verifique as assinaturas de dados ou arquivos usando uma determinada chave pública Ed25519.
+ Confirme se a assinatura foi gerada usando o mecanismo de assinatura HashEd DSA. Para obter informações adicionais sobre o HashEd DSA, consulte [NIST SP 186-5](https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.186-5.pdf), Seção 7.8.
Para usar o **crypto verify ed25519ph** comando, primeiro você deve ter uma chave pública Ed25519 em seu cluster. AWS CloudHSM Você pode gerar um par de chaves Ed25519 usando o [Gerar um par de chaves EC assimétricas com a CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) comando com o `curve` parâmetro definido como `ed25519` e o `verify` atributo definido como`true`, ou importar uma chave pública Ed25519 usando o [Importar uma chave no formato PEM com a CLI do CloudHSM](cloudhsm_cli-key-import-pem.md) comando com o atributo definido como. `verify` `true`
**nota**
Você pode gerar uma assinatura na CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
+ HashEdAs operações de verificação de assinatura do DSA só são suportadas em instâncias hsm2m.medium no modo não FIPS.
## Sintaxe
```
aws-cloudhsm > help crypto verify ed25519ph
Verify with the Ed25519ph mechanism
Usage: crypto verify ed25519ph [OPTIONS] --key-filter [...] --data-type --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--hash-function
Hash function [possible values: sha512]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto verify ed25519ph** para verificar uma assinatura que foi gerada usando o mecanismo de assinatura ED25519ph e a função hash. `sha512` Esse comando usa uma chave pública Ed25519 no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data YWJj \
--signature mKcCIvC4Ehqp0w+BPWg/gJ5GK0acf/h2OUmbuU5trkEx+FBCRjwqNVogA9BirfWqoQuMYeY2Biqq0RwqJgg0Bg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify ed25519ph \
--hash-function sha512 \
--key-filter attr.label=ed25519-public \
--data-type raw \
--data-path data.txt \
--signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem verificados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a localização dos dados a serem verificados.
Obrigatório: Sim (a menos que seja fornecido por meio do parâmetro de dados)
******
Especifica a função hash. O ED25519ph suporta apenas. SHA512
Valores válidos:
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos principais atributos da CLI do CloudHSM compatíveis, consulte. [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: Sim (a menos que seja fornecido por meio do parâmetro de assinatura)
******
Especifica se o valor do parâmetro de dados deve ser codificado como parte do algoritmo de verificação. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
Obrigatório: Sim
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
+ [Gere uma assinatura com o mecanismo HashEd DSA na CLI do CloudHSM](cloudhsm_cli-crypto-sign-ed25519ph.md)
# Verificar uma assinatura assinada com o mecanismo RSA-PKCS na CloudHSM CLI
Use o comando **crypto verify rsa-pkcs** na CloudHSM CLI para concluir as seguintes operações:
+ Confirme se um arquivo foi assinado no HSM por uma determinada chave pública.
+ Verifique se a assinatura foi gerada usando o mecanismo de assinatura `RSA-PKCS`.
+ Compare um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública RSA e em um mecanismo de assinatura.
Para usar o **crypto verify rsa-pkcs** comando, primeiro você deve ter uma chave pública RSA em seu AWS CloudHSM cluster.
**nota**
Você pode gerar uma assinatura usando a CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs
Verify with the RSA-PKCS mechanism
Usage: crypto verify rsa-pkcs --key-filter [...] --hash-function <--data-path |--data > <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto verify rsa-pkcs** para verificar uma assinatura que foi gerada usando o mecanismo de assinatura RSA-PKCS e a função hash `SHA256`. Esse comando usa uma chave pública no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data YWJjMTIz --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data-path data.txt --signature-path signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: provar relacionamento de assinatura falso**
Esse comando verifica se os dados inválidos foram assinados por uma chave pública com o rótulo `rsa-public` usando o mecanismo de assinatura RSAPKCS para produzir a assinatura localizada em `/home/signature`. Como os argumentos fornecidos não formam um relacionamento de assinatura verdadeiro, o comando retorna uma mensagem de erro.
```
aws-cloudhsm > crypto verify rsa-pkcs --hash-function sha256 --key-filter attr.label=rsa-public --data aW52YWxpZA== --signature XJ7mRyHnDRYrDWTQuuNb+5mhoXx7VTsPMjgOQW4iMN7E42eNHj2Q0oovMmBdHUEH0F4HYG8FBJOBhvGuM8J/z6y41GbowVpUT6WzjnIQs79K9i7i6oR1TYjLnIS3r/zkimuXcS8/ZxyDzru+GO9BUT9FFU/of9cvu4Oyn6a5+IXuCbKNQs19uASuFARUTZ0a0Ny1CB1MulxUpqGTmI91J6evlP7k/2khwDmJ5E8FEar5/Cvbn9t21p3Uj561ngTXrYbIZ2KHpef9jQh/cEIvFLG61sexJjQi8EdTxeDA+I3ITO0qrvvESvA9+Sj7kdG2ceIicFS8/8LwyxiIC31UHQ==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Em relação a RSA-PKCS, os dados devem ser passados no formato codificado DER, conforme especificado na [RFC 8017, Seção 9.2](https://www.rfc-editor.org/rfc/rfc8017#section-9.2)
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# Verifique uma assinatura assinada com o RSA-PKCS-PSS mecanismo na CLI do CloudHSM
Use o comando **crypto sign rsa-pkcs-pss** na CloudHSM CLI para concluir as operações a seguir.
+ Confirme se um arquivo foi assinado no HSM por uma determinada chave pública.
+ Verifique se a assinatura foi gerada usando o mecanismo de assinatura RSA-PKCS-PSS.
+ Compare um arquivo assinado com um arquivo de origem e determina se os dois estão criptograficamente relacionados com base em uma determinada chave pública RSA e em um mecanismo de assinatura.
Para usar o **crypto verify rsa-pkcs-pss** comando, primeiro você deve ter uma chave pública RSA em seu AWS CloudHSM cluster. Você pode importar uma chave pública RSA usando o comando key import pem (ADD UNWRAP LINK HERE) com o atributo `verify` definido como `true`.
**nota**
Você pode gerar uma assinatura usando a CloudHSM CLI com os subcomandos contidos em [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help crypto verify rsa-pkcs-pss
Verify with the RSA-PKCS-PSS mechanism
Usage: crypto verify rsa-pkcs-pss --key-filter [...] --hash-function --mgf --salt-length >SALT_LENGTH< <--data-path |--data <--signature-path |--signature >
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--key-filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key
--hash-function
[possible values: sha1, sha224, sha256, sha384, sha512]
--data-path
The path to the file containing the data to be verified
--data
Base64 encoded data to be verified
--signature-path
The path to where the signature is located
--signature
Base64 encoded signature to be verified
--data-type
The type of data passed in, either raw or digest [possible values: raw, digest]
--mgf
The mask generation function [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
--salt-length
The salt length
-h, --help
Print help
```
## Exemplo
Esses exemplos mostram como usar **crypto verify rsa-pkcs-pss** para verificar uma assinatura que foi gerada usando o mecanismo de RSA-PKCS-PSS assinatura e a função `SHA256` hash. Esse comando usa uma chave pública no HSM.
**Example Exemplo: verificar uma assinatura codificada em Base64 com dados codificados em Base64**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data YWJjMTIz --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: verificar um arquivo de assinatura com um arquivo de dados**
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data-path data.txt --salt-length 10 --mgf mgf1-sha256 --signature signature-file
{
"error_code": 0,
"data": {
"message": "Signature verified successfully"
}
}
```
**Example Exemplo: provar relacionamento de assinatura falso**
Esse comando verifica se os dados inválidos foram assinados por uma chave pública com o rótulo `rsa-public` usando o mecanismo de assinatura RSAPKCSPSS para produzir a assinatura localizada em `/home/signature`. Como os argumentos fornecidos não formam um relacionamento de assinatura verdadeiro, o comando retorna uma mensagem de erro.
```
aws-cloudhsm > crypto verify rsa-pkcs-pss --key-filter attr.label=rsa-public --hash-function sha256 --data aW52YWxpZA== --salt-length 10 --mgf mgf1-sha256 --signature H/z1rYVMzNAa31K4amE5MTiwGxDdCTgQXCJXRBKVOVm7ZuyI0fGE4sT/BUN+977mQEV2TqtWpTsiF2IpwGM1VfSBRt7h/g4o6YERm1tTQLl7q+AJ7uGGK37zCsWQrAo7Vy8NzPShxekePo/ZegrB1aHWN1fE8H3IPUKqLuMDI9o1Jq6kM986ExS7YmeOIclcZkyykTWqHLQVL2C3+A2bHJZBqRcM5XoIpk8HkPypjpN+m4FNUds30GAemoOMl6asSrEJSthaZWV53OBsDOqzA8Rt8JdhXS+GZp3vNLdL1OTBELDPweXVgAu4dBX0FOvpw/gg6sNvuaDK4YOBv2fqKg==
{
"error_code": 1,
"data": "Signature verification failed"
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Dados codificados em Base64 a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica o local dos dados a serem assinados.
Obrigatório: sim (a menos que seja fornecido por meio do caminho de dados)
******
Especifica a função hash.
Valores válidos:
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obrigatório: Sim
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` selecionar uma chave correspondente.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Obrigatório: Sim
******
Especifica a função de geração da máscara.
A função hash da função de geração de máscara deve corresponder à função hash do mecanismo de assinatura.
Valores válidos:
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obrigatório: Sim
******
Assinatura codificada em Base64.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica o local da assinatura.
Obrigatório: sim (a menos que seja fornecido por meio do caminho da assinatura)
******
Especifica se o valor do parâmetro de dados deve ser criptografado com hash como parte do algoritmo de assinatura. Use `raw` para dados sem hash; use `digest` para resumos, que já estão criptografados com hash.
Valores válidos:
+ bruto
+ resumo
## Tópicos relacionados
+ [A categoria de assinatura criptográfica na CLI do CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [A categoria de verificação de criptografia na CLI do CloudHSM](cloudhsm_cli-crypto-verify.md)
# A key na CLI do CloudHSM
Na CLI do CloudHSM, **key** é uma categoria principal para um grupo de comandos que, quando combinado com a categoria principal, cria um comando específico para chaves. Atualmente, essa categoria consiste nos seguintes comandos:
+ [excluir](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [chave generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [chave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [chave, generate-asymmetric-pair etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [importar pem](cloudhsm_cli-key-import-pem.md)
+ [listar](cloudhsm_cli-key-list.md)
+ [replicar](cloudhsm_cli-key-replicate.md)
+ [set-attribute](cloudhsm_cli-key-set-attribute.md)
+ [compartilhar](cloudhsm_cli-key-share.md)
+ [cancelar compartilhamento](cloudhsm_cli-key-unshare.md)
+ [unwrap](cloudhsm_cli-key-unwrap.md)
+ [wrap](cloudhsm_cli-key-wrap.md)
# Excluir uma chave com a CLI do CloudHSM
Use o **key delete** comando na CLI do CloudHSM para excluir uma chave de um cluster. AWS CloudHSM Você só pode excluir uma chave por vez. A exclusão de uma chave em um par de chaves não tem efeito na outra chave do par.
Somente o CU que criou a chave e, consequentemente, a possui pode excluir a chave. Os usuários que compartilham a chave, mas não a possuem, podem usá-la em operações criptográficas, mas não podem excluí-la.
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
+ Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## Exemplo
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para selecionar uma chave correspondente para exclusão.
Para obter uma lista dos atributos de chave da CLI do CloudHSM com suporte, consulte [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md).
Obrigatório: Sim
## Tópicos relacionados
+ [Listar chaves para um usuário com a CloudHSM CLI](cloudhsm_cli-key-list.md)
+ [Exportar uma chave assimétrica com a CloudHSM CLI](cloudhsm_cli-key-generate-file.md)
+ [Cancelar o compartilhamento de uma chave usando a CloudHSM CLI](cloudhsm_cli-key-unshare.md)
+ [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md)
+ [Filtrar chaves usando a CLI do CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
# Exportar uma chave assimétrica com a CloudHSM CLI
Use o comando **key generate-file** na CloudHSM CLI para exportar uma chave assimétrica do módulo de segurança de hardware (HSM). Se o destino for uma chave privada, a referência à chave privada será exportada no formato PEM falso. Se o destino for uma chave pública, os bytes da chave pública serão exportados no formato PEM.
O arquivo PEM falso, que não contém o material real da chave privada, mas faz referência à chave privada no HSM, pode ser usado para estabelecer o SSL/TLS descarregamento do seu servidor web para o. AWS CloudHSM Para obter mais informações, consulte [Descarregamento de SSL/TLS](ssl-offload.md).
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## Exemplo
Este exemplo mostra como usar **key generate-file** para gerar um arquivo de chave em seu AWS CloudHSM cluster.
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Argumentos
******
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido [configurados.](cloudhsm_cli-configs-multi-cluster.md)
******
Referência de chave (por exemplo, `key-reference=0xabc`) ou lista separada por espaços de atributos de chave na forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para selecionar uma chave correspondente para exclusão.
Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md)
Obrigatório: não
******
Especifica o formato de codificação para o arquivo de chave
Obrigatório: Sim
******
Especifica o caminho do arquivo em que o arquivo de chave será gravado
Obrigatório: Sim
## Gerar referências de chave KSP (Windows)
**nota**
Esse atributo só está disponível no SDK versão 5.16.0 e posterior.
### Pré-requisitos
+ Você pode gerar referências de chave KSP somente em plataformas Windows.
+ Você deve fazer login como usuário de criptografia (CU).
### Local do arquivo
Por padrão, o AWS CloudHSM armazena arquivos gerados em: `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`
Para especificar uma localização diferente, use o parâmetro `--path`.
### Sintaxe
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### Exemplo: gerar uma referência de chave KSP usando um filtro de atributos de uma chave privada
O exemplo a seguir gera uma referência de chave KSP para uma chave privada com um rótulo específico.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### Exemplo: gerar referências de chave KSP para todos os pares de chaves
O exemplo a seguir gera referências de chave KSP para todos os pares de chaves em seu cluster.
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## Tópicos relacionados
+ [Atributos de chave da CloudHSM CLI](cloudhsm_cli-key-attributes.md)
+ [Filtrar chaves usando a CLI do CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [A generate-asymmetric-pair categoria na CLI do CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [A categoria generate-symmetric na CLI do CloudHSM](cloudhsm_cli-key-generate-symmetric.md)
# A generate-asymmetric-pair categoria na CLI do CloudHSM
Na CLI do CloudHSM, **key generate-asymmetric-pair** é uma categoria principal para um grupo de comandos que, quando combinados com a categoria principal, criam um comando que gera pares de chaves assimétricas. Atualmente, essa categoria consiste nos seguintes comandos:
+ [chave generate-asymmetric-pair etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [chave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# Gerar um par de chaves EC assimétricas com a CloudHSM CLI
Use o **key asymmetric-pair ec** comando na CLI do CloudHSM para gerar um par de chaves de curva elíptica (EC) assimétrica em seu cluster. AWS CloudHSM
## Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
+ Usuários de criptomoedas (CUs)
## Requisitos
Para executar esse comando, você deve estar registrado(a) como um CU.
## Sintaxe
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value