使用 CloudHSM CLI 通过 AES-ZERO-PAD 解包密钥
使用 CloudHSM CLI 中的 key wrap aes-zero-pad 命令通过硬件安全模块(HSM)上的 AES 密钥和 AES-ZERO-PAD
包装机制包装有效载荷密钥。有效载荷密钥的 extractable
属性必须设置为 true
。
只有密钥的所有者(即创建密钥的加密用户(CU))才能包装密钥。共享密钥的用户可以使用该密钥进行加密操作。
要使用 key wrap aes-zero-pad 命令,您的 AWS CloudHSM 集群中必须首先有一个 AES 密钥。您可以使用 使用 CloudHSM CLI 生成对称 AES 密钥 命令并将 wrap
属性设置为 true
来生成用于包装的 AES 密钥。
用户类型
以下类型的用户均可运行此命令。
-
加密用户(CU)
要求
-
要运行此命令,必须以 CU 身份登录。
语法
aws-cloudhsm >
help key wrap aes-zero-pad
Usage: key wrap aes-zero-pad [OPTIONS] --payload-filter [
<PAYLOAD_FILTER>
...] --wrapping-filter [<WRAPPING_FILTER>
...] Options: --cluster-id<CLUSTER_ID>
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>
...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path<PATH>
Path to the binary file where the wrapped key data will be saved -h, --help Print help
示例
此示例展示了如何通过 AES 密钥使用 key wrap aes-zero-pad 命令并将 wrap
属性值设置为 true
。
aws-cloudhsm >
key wrap aes-zero-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{ "error_code": 0, "data": { "payload_key_reference": "0x00000000001c08f1", "wrapping_key_reference": "0x00000000001c08ea", "wrapped_key_data": "L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt" } }
参数
<CLUSTER_ID>
-
要运行此操作的集群的 ID。
必需:如果已配置多个集群。
<PAYLOAD_FILTER>
-
密钥引用(例如
key-reference=0xabc
)或空格分隔的密钥属性列表,采用attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
形式,可选择有效载荷密钥。必需:是
<PATH>
-
保存包装密钥数据的二进制文件的路径。
必需:否
<WRAPPING_FILTER>
-
密钥引用(例如
key-reference=0xabc
)或空格分隔的密钥属性列表,采用attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
形式,可选择包装密钥。必需:是