Obter um valor de atributo de chave do AWS CloudHSM usando o CMU
Use o comando getAttribute na cloudhsm_mgmt_util do AWS CloudHSM para obter um valor de atributo para uma chave de todos os módulos de segurança de hardware (HSM) no cluster do AWS CloudHSM e grava-o na stdout (saída padrão) ou em um arquivo. Somente usuários de criptografia (CUs) podem executar esse comando.
Atributos de chave são propriedades de uma chave. Eles incluem características, como o tipo de chave, a classe, o rótulo e o ID, e valores que representam ações que você pode realizar na chave, como criptografar, descriptografar, encapsular, assinar e verificar.
Você só pode usar getAttribute nas chaves que você possui e em chaves que são compartilhadas com você. Você pode executar esse comando ou o comando getAttribute na key_mgmt_util, que grava um ou todos os valores de atributos de uma chave em um arquivo.
Para obter uma lista de atributos e das constantes que os representam, use o comando listAttributes. Para alterar os valores de atributo de chaves existentes, use setAttribute na key_mgmt_util e setAttribute na cloudhsm_mgmt_util. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributo de chaves do AWS CloudHSM para KMU.
Antes de executar qualquer comando da CMU, você deve iniciar a CMU e fazer login no HSM. Certifique-se de fazer login com o tipo de conta de usuário que possa executar os comandos que você planeja usar.
Se adicionar ou excluir HSMs, atualize os arquivos de configuração do CMU. Caso contrário, as alterações que você fizer podem não ser efetivas em todos os HSMs no cluster.
Tipo de usuário
Os usuários a seguir podem executar este comando.
-
Usuários de criptografia (CU)
Sintaxe
Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.
getAttribute
<key handle>
<attribute id>
[<filename>
]
Exemplo
Esse exemplo obtém o valor do atributo extraível para uma chave nos HSMs. É possível usar um comando como esse para determinar se você pode exportar uma chave dos HSMs.
O primeiro comando usa listAttributes para encontrar a constante que representa o atributo extraível. A saída mostra que a constante de OBJ_ATTR_EXTRACTABLE
é 354
. Também é possível encontrar essas informações com as descrições dos atributos e seus valores em Referência de atributo de chaves do AWS CloudHSM para KMU.
aws-cloudhsm>
listAttributes
Following are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512
O segundo comando usa getAttribute para obter o valor do atributo extraível da chave com o identificador de chave 262170
nos HSMs. Para especificar o atributo extraível, o comando usa 354
, a constante que representa o atributo. Como o comando não especifica um nome de arquivo, getAttribute grava a saída em stdout.
A saída mostra que o valor do atributo extraível é 1 em todos os HSMs. Esse valor indica que o proprietário da chave pode exportá-la. Quando o valor é 0 (0x0), ele não pode ser exportado dos HSMs. Você define o valor do atributo extraível ao criar uma chave, mas não pode alterá-la.
aws-cloudhsm>
getAttribute 262170 354
Attribute Value on server 0(10.0.1.10): OBJ_ATTR_EXTRACTABLE 0x00000001 Attribute Value on server 1(10.0.1.12): OBJ_ATTR_EXTRACTABLE 0x00000001 Attribute Value on server 2(10.0.1.7): OBJ_ATTR_EXTRACTABLE 0x00000001
Argumentos
Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.
getAttribute
<key handle>
<attribute id>
[<filename>
]
- <key-handle>
-
Especifica o identificador da chave de destino. Você pode especificar apenas uma chave em cada comando. Para obter o identificador de chave de uma chave, use findKey na key_mgmt_util.
Você deve ter a chave especificada ou ela deve ser compartilhada com você. Para encontrar os usuários de uma chave, use getKeyInfo em key_mgmt_util.
Obrigatório: Sim
- <attribute id>
-
Identifica o atributo. Insira uma constante que represente um atributo, ou
512
, que represente todos os atributos. Por exemplo, para obter o tipo de chave, insira256
, que é a constante para o atributoOBJ_ATTR_KEY_TYPE
.Para listar os atributos e suas constantes, use listAttributes. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributo de chaves do AWS CloudHSM para KMU.
Obrigatório: Sim
- <filename>
-
Grava a saída no arquivo especificado. Insira um caminho de arquivo.
Se o arquivo especificado existir, getAttribute substitui o arquivo sem aviso prévio.
Obrigatório: Não
Padrão: Stdout
Tópicos relacionados da
-
getAttribute em key_mgmt_util
-
setAttribute em cloudhsm_mgmt_util
-
setAttribute em key_mgmt_util