Inserir um objeto mascarado usando o KMU do AWS CloudHSM
Use o comando insertMaskedObject no key_mgmt_util do AWS CloudHSM para inserir um objeto mascarado de um arquivo em um módulo de segurança de hardware (HSM) designado. Objetos mascarados são objetos clonados que são extraídos de um HSM usando o comando extractMaskedObject. Eles só podem ser usados após inseri-los novamente no cluster original. Você só pode inserir um objeto mascarado no mesmo cluster do qual ele foi gerado ou em um clone desse cluster. Isso inclui quaisquer versões clonadas do cluster original geradas ao copiar um backup entre regiões e usar esse backup para criar um novo cluster.
Objetos mascarados são uma maneira eficiente de descarregar e sincronizar chaves, incluindo chaves nonextractable (isto é, chaves que têm um OBJ_ATTR_EXTRACTABLE valor de 0
). Dessa forma, as chaves podem ser sincronizadas com segurança entre clusters relacionados em diferentes regiões sem a necessidade de atualizar o arquivo de configuração do AWS CloudHSM.
Antes de executar um comando key_mgmt_util, você deve iniciar key_mgmt_util e fazer login no HSM como um usuário de criptografia (CU).
Sintaxe
insertMaskedObject -h insertMaskedObject -f
<filename>
[-min_srv<minimum-number-of-servers>
] [-timeout<number-of-seconds>
]
Exemplos
Este exemplo mostra como usar insertMaskedObject para inserir um arquivo de objeto mascarado em um HSM.
exemplo : Insert a Masked Object
Esse comando insere um objeto mascarado em um HSM de um arquivo denominado maskedObj
. Quando o comando for bem-sucedido, insertMaskedObject retornará um identificador de chave para a chave descriptografada do objeto mascarado e uma mensagem de êxito.
Command:
insertMaskedObject -f maskedObj
Cfm3InsertMaskedObject returned: 0x00 : HSM Return: SUCCESS New Key Handle: 262433 Cluster Error Status Node id 2 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Parâmetros
Esse comando usa os seguintes parâmetros.
-h
-
Exibe a ajuda da linha de comando para o comando.
Obrigatório: Sim
-f
-
Especifica o nome do arquivo do objeto mascarado a ser inserido.
Obrigatório: Sim
-min_srv
-
Especifica o número mínimo de servidores nos quais o objeto mascarado inserido é sincronizado antes da expiração do valor do parâmetro
-timeout
. Se o objeto não for sincronizado com o número especificado de servidores na hora alocada, ela não será inserido.Padrão: 1
Obrigatório: Não
-timeout
-
Especifica o número de segundos a aguardar a sincronização da chave entre os servidores quando o parâmetro
min-serv
é incluído. Se nenhum número for especificado, a sondagem continuará para sempre.Padrão: sem limite
Obrigatório: Não