使用 Cloud 產生對稱AES金鑰HSM CLI - AWS CloudHSM
使用者類型要求語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Cloud 產生對稱AES金鑰HSM CLI

使用 CloudHSM 中的 key generate-symmetric aes命令在 AWS CloudHSM 叢集中CLI產生對稱AES金鑰。

使用者類型

下列類型的使用者可以執行此命令。

  • 加密使用者 (CUs)

要求

若要執行此命令,必須以 CU 的身分登入。

語法

aws-cloudhsm > help key generate-symmetric aes
Generate an AES key

Usage: key generate-symmetric aes [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated AES key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
  -h, --help
          Print help

範例

這些範例示範如何使用 key generate-symmetric aes命令來建立AES金鑰。

範例:建立AES金鑰
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": false,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
範例:建立具有選用屬性的AES金鑰
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24 \
--attributes decrypt=true encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "session"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}

引數

<CLUSTER_ID>

執行此操作的叢集 ID。

必要:如果已設定多個叢集。

<KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE(例如,) 的形式指定要為產生的AES金鑰設定的金鑰屬性空格分隔清單token=true

如需支援的金鑰屬性清單,請參閱 Cloud 的關鍵屬性HSM CLI

必要:否

<KEY-LENGTH-BYTES>

指金鑰長度 (以位元組為單位)。

有效值:

  • 16、24 和 32

必要:是

<LABEL>

指定AES金鑰的使用者定義標籤。對於 Client 5.11 label 和更新版本,允許的大小上限為 SDK 127 個字元。用戶端 SDK 5.10 和以前的 限制為 126 個字元。

必要:是

<SESSION>

建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。

當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。

根據預設,產生的金鑰是持久性 (權杖) 金鑰。傳入 <SESSION> 會變更此項目,確保使用此引數產生的金鑰是工作階段 (暫時) 金鑰。

必要:否

相關主題