選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

使用 Cloud 產生對稱AES金鑰HSM CLI

焦點模式
使用 Cloud 產生對稱AES金鑰HSM CLI - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 CloudHSM 中使用 key generate-symmetric aes命令,在您的 AWS CloudHSM 叢集中CLI產生對稱AES金鑰。

使用者類型

下列類型的使用者可以執行此命令。

  • 加密使用者 (CUs)

要求

若要執行此命令,必須以 CU 的身分登入。

語法

aws-cloudhsm > help key generate-symmetric aes Generate an AES key Usage: key generate-symmetric aes [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES> Options: --cluster-id <CLUSTER_ID> Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --label <LABEL> Label for the key --session Creates a session key that exists only in the current session. The key cannot be recovered after the session ends --key-length-bytes <KEY_LENGTH_BYTES> Key length in bytes --attributes [<KEY_ATTRIBUTES>...] Space separated list of key attributes to set for the generated AES key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE --share-crypto-users [<SHARE_CRYPTO_USERS>...] Space separated list of Crypto User usernames to share the AES key with --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE> The quorum value for key management operations --use-key-quorum-value <USE_KEY_QUORUM_VALUE> The quorum value for key usage operations -h, --help Print help

範例

這些範例示範如何使用 key generate-symmetric aes命令來建立AES金鑰。

範例:建立AES金鑰
aws-cloudhsm > key generate-symmetric aes \ --label example-aes \ --key-length-bytes 24 { "error_code": 0, "data": { "key": { "key-reference": "0x00000000002e06bf", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "example-aes", "id": "", "check-value": "0x9b94bd", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 24 } } } }
範例:建立具有選用屬性的AES金鑰
aws-cloudhsm > key generate-symmetric aes \ --label example-aes \ --key-length-bytes 24 \ --attributes decrypt=true encrypt=true { "error_code": 0, "data": { "key": { "key-reference": "0x00000000002e06bf", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "example-aes", "id": "", "check-value": "0x9b94bd", "class": "secret-key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 24 } } } }
範例:建立具有規定人數值的AES金鑰

使用規定人數控制產生金鑰時,該金鑰必須與等於最大金鑰規定人數值的最小使用者數目相關聯。相關聯的使用者包括金鑰擁有者和與金鑰共用的加密使用者。若要判斷要共用金鑰的最小使用者數量,請取得金鑰使用量值與金鑰管理量值之間的最大規定人數值,並減去 1 以考慮金鑰擁有者,該擁有者預設與金鑰相關聯。若要與更多使用者共用金鑰,請使用 使用 Cloud 共用金鑰HSM CLI命令。

aws-cloudhsm > key generate-symmetric aes \ --label example-aes \ --key-length-bytes 24 \ --attributes decrypt=true encrypt=true --share-crypto-users cu2 cu3 cu4 \ --manage-key-quorum-value 4 \ --use-key-quorum-value 2 { "error_code": 0, "data": { "key": { "key-reference": "0x00000000002e06bf", "key-info": { "key-owners": [ { "username": "cu1", "key-coverage": "full" } ], "shared-users": [ { "username": "cu2", "key-coverage": "full" }, { "username": "cu3", "key-coverage": "full" }, { "username": "cu4", "key-coverage": "full" }, ], "key-quorum-values": { "manage-key-quorum-value": 4, "use-key-quorum-value": 2 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "example-aes", "id": "", "check-value": "0x9b94bd", "class": "secret-key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 24 } } } }

引數

<CLUSTER_ID>

要執行此操作的叢集 ID。

必要:如果已設定多個叢集。

<KEY_ATTRIBUTES>

指定要為產生的金鑰設定之AES金鑰屬性的空格分隔清單,格式為 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE(例如 sign=true)。

如需支援的金鑰屬性清單,請參閱 雲端的關鍵屬性HSM CLI

必要:否

<KEY-LENGTH-BYTES>

指金鑰長度 (以位元組為單位)。

有效值:

  • 16、24 和 32

必要:是

<LABEL>

指定AES金鑰的使用者定義標籤。用戶端 5.11 label 和更新版本允許的大小上限為 SDK 127 個字元。用戶端 SDK 5.10 和以前的 限制為 126 個字元。

必要:是

<SESSION>

建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。

當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。

根據預設,產生的金鑰是持久性 (權杖) 金鑰。傳入 <SESSION> 會變更此項目,確保使用此引數產生的金鑰是工作階段 (暫時性) 金鑰。

必要:否

<SHARE_CRYPTO_USERS>

指定要與之共用AES金鑰的加密使用者名稱的空格分隔清單

必要:否

<MANAGE_KEY_QUORUM_VALUE>

金鑰管理操作的規定人數值。此值必須小於或等於與金鑰相關聯的使用者數量。這包括與之共用金鑰的使用者,以及金鑰擁有者。最大值為 8。

必要:否

<USE_KEY_QUORUM_VALUE>

金鑰用量操作的規定人數值。此值必須小於或等於與金鑰相關聯的使用者數量。這包括與之共用金鑰的使用者,以及金鑰擁有者。最大值為 8。

必要:否

相關主題

下一個主題:

通用私密金錀

上一個主題:

產生對稱
隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。