使用共享 AWS CloudHSM 密钥 CMU - AWS CloudHSM
用户类型语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用共享 AWS CloudHSM 密钥 CMU

使用 c AWS CloudHSM loudhsm_mgmt_util 中的shareKey命令与其他加密用户共享和取消共享您拥有的密钥。只有密钥所有者才能共享和取消共享密钥。您还可以在创建密钥时共享它。

共享密钥的用户可在加密操作中使用密钥,但他们无法删除、导出、共享或取消共享密钥,也无法更改密钥的属性。对某个密钥启用仲裁身份验证后,仲裁必须对共享或取消共享该密钥的任何操作进行审批。

在运行任何CMU命令之前,必须启动CMU并登录HSM。请确保使用可运行您计划使用的命令的用户类型登录。

如果您添加或删除HSMs,请更新的配置文件CMU。否则,您所做的更改可能不会对集群HSMs中的所有人生效。

用户类型

以下类型的用户均可运行此命令。

  • 加密用户 (CU)

语法

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

用户类型:加密用户 (CU)

shareKey <key handle> <user id> <(share/unshare key?) 1/0>

示例

以下示例说明如何使用 shareKey 与其他加密用户共享和取消共享您拥有的密钥。

例 :共享密钥

此示例shareKey用于与上的另一个加密用户共享当前用户拥有的ECC私钥HSMs。的所有用户都可以使用公钥HSM,因此您无法共享或取消共享它们。

第一个命令getKeyInfo用于获取密钥的用户信息262177,密钥是上的ECC私钥HSMs。

输出表明密钥 262177 由用户 3 拥有但未共享。

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

此命令用于shareKey262177与用户(另一个加密用户4)共享密钥HSMs。最后一个参数使用值 1 来指示共享操作。

输出显示集群HSMs中的两个操作均成功。

aws-cloudhsm>shareKey 262177 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

为了验证该操作是否成功,本示例再次执行了第一个 getKeyInfo 命令。

输出表明密钥 262177 现在与用户 4 共享。

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
例 :取消共享密钥

本示例将取消共享一个对称密钥,即从该密钥的共享用户列表中删除某个加密用户。

此命令使用 shareKey 从密钥 6 的共享用户列表中删除用户 4。最后一个参数使用值 0 来指示取消共享操作。

输出显示命令对两者都成功执行HSMs。因此,用户 4 无法再在加密操作中使用密钥 6

aws-cloudhsm>shareKey 6 4 0
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

参数

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

shareKey <key handle> <user id> <(share/unshare key?) 1/0>
<key-handle>

指定您拥有的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请在 key_mgmt_util findKey中使用。要验证您是否拥有密钥,请使用getKeyInfo

必需:是

<user id>

指定您要与之共享或取消共享密钥的加密用户 (CU) 的用户 ID。要查找用户的用户 ID,请使用listUsers

必需:是

<share 1 or unshare 0>

要与指定用户共享密钥,请键入 1。要取消共享密钥,即从密钥的共享用户列表中删除指定用户,请键入 0

必需:是

相关 主题