使用列出 AWS CloudHSM 加密用户拥有的密钥 CMU - AWS CloudHSM
用户类型语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用列出 AWS CloudHSM 加密用户拥有的密钥 CMU

使用 c AWS CloudHSM loudhsm_mgmt_util (CMU) 中的findAllKeys命令获取指定加密用户 (CU) 拥有或共享的密钥。 AWS CloudHSM 该命令还会返回每个的用户数据的哈希值HSMs。您可以使用哈希值一目了然地确定集群HSMs中所有用户、密钥所有权和密钥共享数据是否相同。在输出中,用户拥有的密钥由 (o) 进行注释,而共享密钥由 (s) 进行注释。

findAllKeys仅当指定的 CU 拥有密钥时才会返回公钥,即使CUs上面的所有用户都HSM可以使用任何公钥。这种行为与 key_mgmt_util findKey中的行为不同,后者为所有 CU 用户返回公钥。

只有加密官员(COs和PCOs)和设备用户(AUs)才能运行此命令。加密用户 (CUs) 可以运行以下命令:

  • listUsers查找所有用户

  • findKey在 key_mgmt_util 中找到他们可以使用的密钥

  • getKeyInfo在 key_mgmt_util 中查找他们拥有或共享的特定密钥的所有者和共享用户

在运行任何CMU命令之前,必须启动CMU并登录HSM。请确保使用可运行您计划使用的命令的用户类型登录。

如果您添加或删除HSMs,请更新的配置文件CMU。否则,您所做的更改可能不会对集群HSMs中的所有人生效。

用户类型

以下用户均可运行此命令。

  • 加密官员 (CO,PCO)

  • 设备用户 (AU)

语法

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

findAllKeys <user id> <key hash (0/1)> [<output file>]

示例

这些示例说明findAllKeys如何使用查找用户的所有密钥并获取每个密钥的密钥用户信息的哈希值HSMs。

例 :查找 CU 的密钥

此示例findAllKeys用于在用户 4 拥有和共享HSMs的中查找密钥。该命令使用第二个参数的值 0 来隐藏哈希值。由于本示例忽略了可选的文件名,因此该命令将写入到 stdout(标准输出)。

输出表明用户 4 可使用 6 个密钥:8、9、17、262162、19 和 31。输出使用 (s) 指示用户显式共享的密钥。用户拥有的密钥由 (o) 表示,包含用户未共享的对称密钥和私有密钥,以及对所有加密用户可用的公有密钥。

aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)
例 :验证用户数据是否已同步

此示例findAllKeys用于验证集群HSMs中的所有用户是否都包含相同的用户、密钥所有权和密钥共享值。为此,它会获取每个关键用户数据的哈希值,HSM并比较哈希值。

为了获取密钥哈希,该命令在第二个参数中使用了值 1。由于可选文件名已忽略,因此该命令将密钥哈希写入到 stdout。

该示例指定了用户6,但是对于拥有或共享上任何密钥的任何用户,哈希值都将相同HSMs。如果指定的用户不拥有或共享任何密钥 (如 CO),则该命令不会返回哈希值。

输出显示密钥哈希值与集群HSMs中的两者相同。如果其中一个HSM具有不同的用户、不同的密钥所有者或不同的共享用户,则密钥哈希值将不相等。

aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

此命令演示哈希值代表上所有密钥的用户数据HSM。此命令对用户 3 使用了 findAllKeys。与仅拥有或共享 3 个密钥的用户 6 不同,用户 3 拥有或共享 17 个密钥,但它们的密钥哈希值是相同的。

aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

参数

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

findAllKeys <user id> <key hash (0/1)> [<output file>]
<user id>

获取指定用户拥有或共享的所有密钥。在上输入用户的用户 ID HSMs。要查找所有用户的IDs用户,请使用listUsers

所有用户IDs均有效,但仅findAllKeys返回加密用户的密钥 (CUs)。

必需:是

<key hash>

包含 (1) 或排除 (0) 用户所有权的哈希值,以及每个密钥中所有密钥的共享数据HSM。

user id 参数表示拥有或共享密钥的用户时,系统将填充密钥哈希。对于所有拥有或共享密钥的用户,即使他们拥有和共享不同的密钥HSM,其密钥哈希值也是相同的。但是,当 user id 表示不拥有或共享任何密钥的用户 (如 CO) 时,将不会填充哈希值。

必需:是

<output file>

将输出写入到指定文件。

必需:否

默认值:Stdout

相关 主题