Obter informações de usuário do AWS CloudHSM sobre uma chave usando CMU - AWS CloudHSM
Tipo de usuárioSintaxeExemplosArgumentosTópicos relacionados da

Obter informações de usuário do AWS CloudHSM sobre uma chave usando CMU

Use o comando getKeyInfo no key_mgmt_util (KMU) do AWS CloudHSM para retornar os IDs de usuário do módulo de segurança de hardware (HSM) dos usuários que podem usar a chave, incluindo o proprietário e os usuários de criptografia com quem a chave é compartilhada. Quando a autenticação de quorum está habilitada em uma chave, getKeyInfo também retorna o número de usuários que devem aprovar as operações criptográficas que usam essa chave. Você pode executar getKeyInfo somente nas chaves que possui e em chaves que são compartilhadas com você.

Quando você executa getKeyInfo em chaves públicas, getKeyInfo retorna apenas o proprietário da chave, mesmo que todos os usuários do HSM possam usar a chave pública. Para localizar os IDs de usuário do HSM nos seus HSMs, use listUsers. Para encontrar as chaves de um usuário específico, use findKey -u na key_mgmt_util. Os responsáveis pela criptografia podem usar findAllKeys em cloudhsm_mgmt_util.

Você possui as chaves que cria. Você pode compartilhar uma chave com outros usuários ao criá-la. Em seguida, para compartilhar ou descompartilhar uma chave existente, use shareKey em cloudhsm_mgmt_util.

Antes de executar qualquer comando da CMU, você deve iniciar a CMU e fazer login no HSM. Certifique-se de fazer login com o tipo de conta de usuário que possa executar os comandos que você planeja usar.

Se adicionar ou excluir HSMs, atualize os arquivos de configuração do CMU. Caso contrário, as alterações que você fizer podem não ser efetivas em todos os HSMs no cluster.

Tipo de usuário

Os seguintes tipos de usuários podem executar este comando.

  • Usuários de criptografia (CU)

Sintaxe

getKeyInfo -k <key-handle> [<output file>]

Exemplos

Esses exemplos mostram como usar getKeyInfo para obter informações sobre os usuários de uma chave.

exemplo : Obter os usuários para uma chave assimétrica

Esse comando obtém os usuários que podem usar a chave AES (assimétrica) com o identificador de chave 262162. A saída mostra que o usuário 3 possui a chave e a compartilhou com os usuários 4 e 6.

Somente os usuários 3, 4 e 6 podem executar getKeyInfo na chave 262162. 

aws-cloudhsm>getKeyInfo 262162
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 2 user(s):

                 4
                 6
exemplo : Obter usuários para um par de chaves simétricas

Esses comandos usam getKeyInfo para obter os usuários que podem usar as chaves em um par de chaves ECC (simétrico). A chave pública possui o identificador de chave 262179. A chave privada possui o identificador de chave 262177.

Quando você executa getKeyInfo na chave privada (262177), ele retorna o proprietário da chave (3) e os usuários de criptografia (CUs) 4, com quem a chave é compartilhada. 

aws-cloudhsm>getKeyInfo -k 262177
Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4

Quando você executa getKeyInfo na chave pública (262179), ele retorna apenas o proprietário da chave, o usuário 3. 

aws-cloudhsm>getKeyInfo -k 262179
Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

Para confirmar que o usuário 4 pode usar a chave pública (e todas as chaves públicas no HSM), use o parâmetro -u de findKey em key_mgmt_util.

A saída mostra que o usuário 4 pode usar tanto a chave pública (262179) quanto a privada (262177) no par de chaves. O Usuário 4 também pode usar todas as outras chaves públicas e quaisquer chaves privadas que ele tenha criado ou que tenha sido compartilhada com ele. 

Command:  findKey -u 4

Total number of keys present 8

 number of keys matched from start index 0::7
11, 12, 262159, 262161, 262162, 19, 20, 21, 262177, 262179

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
exemplo : Obter o valor de autenticação de quorum (m_value) para uma chave

Este exemplo mostra como obter o m_value para uma chave. O m_value é o número de usuários no quorum que deve aprovar todas as operações criptográficas que usam a chave e as operações para compartilhar e descompartilhar a chave.

Quando a autenticação de quorum está habilitada em uma chave, um quorum de usuários deve aprovar todas as operações criptográficas que usam essa chave. Para habilitar a autenticação de quorum e definir o tamanho do quorum, use o parâmetro -m_value ao criar a chave.

Este comando usa genSymKey para criar uma chave AES de 256 bits compartilhada com o usuário 4. Ele usa o parâmetro m_value para habilitar a autenticação de quorum e definir o tamanho do quorum para dois usuários. O número de usuários deve ser grande o suficiente para fornecer as aprovações necessárias.

A saída mostra que o comando criou a chave 10.

 Command:  genSymKey -t 31 -s 32 -l aes256m2 -u 4 -m_value 2

        Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 10

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Este comando usa getKeyInfo na cloudhsm_mgmt_util para obter informações sobre os usuários da chave 10. A saída mostra que a chave é de propriedade do usuário 3 e compartilhada com o usuário 4. Também mostra que um quorum de dois usuários deve aprovar todas as operações criptográficas que usam a chave.

aws-cloudhsm>getKeyInfo 10

Key Info on server 0(10.0.0.1):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key
Key Info on server 1(10.0.0.2):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
         2 Users need to approve to use/manage this key

Argumentos

Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.

getKeyInfo -k <key-handle> <output file>
<key-handle>

Especifica o identificador da chave no HSM. Insira o identificador de uma chave que você possui ou compartilha. Esse parâmetro é obrigatório.

Obrigatório: Sim

<output file>

Grava a saída no arquivo especificado, em vez de em stdout. Se o arquivo existir, o comando o substituirá sem aviso prévio.

Obrigatório: Não

Padrão: stdout

Tópicos relacionados da