使用 Cloud 複寫金鑰HSM CLI - AWS CloudHSM
使用者類型要求語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Cloud 複寫金鑰HSM CLI

使用 CloudHSM 中的 key replicate命令CLI,將金鑰從來源 AWS CloudHSM 叢集複寫到目的地 AWS CloudHSM 叢集。

使用者類型

下列類型的使用者可以執行此命令。

  • 管理員 (COs)

  • 加密使用者 (CUs)

    注意

    Crypto 使用者必須擁有 金鑰才能使用此命令。

要求

  • 來源和目的地叢集必須是複製。這表示其中一個是從另一個備份建立的,或者兩者都是從一般備份建立的。如需更多資訊,請參閱從備份建立叢集

  • 金鑰的擁有者必須存在於目的地叢集上。此外,如果與任何使用者共用金鑰,這些使用者也必須存在於目的地叢集上。

  • 若要執行此命令,您必須以加密使用者或來源和目的地叢集上的管理員身分登入。

    • 在單一命令模式中,命令將使用 CLOUDHSM_PIN 和 CLOUDHSM_ROLE 環境變數在來源叢集上進行身分驗證。如需更多資訊,請參閱單一命令模式。若要提供目的地叢集的憑證,您需要設定兩個額外的環境變數:DESTINATION_CLOUDHSM_PIN 和 DESTINATION_CLOUDHSM_ROLE:

      $ export DESTINATION_CLOUDHSM_ROLE=role
      $ export DESTINATION_CLOUDHSM_PIN=username:password

    • 在互動式模式中,使用者將需要明確登入來源和目的地叢集。

語法

aws-cloudhsm > help key replicate
Replicate a key from a source to a destination cluster

Usage: key replicate --filter [<FILTER>...] --source-cluster-id <SOURCE_CLUSTER_ID> --destination-cluster-id <DESTINATION_CLUSTER_ID>

Options:
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key on the source cluster
      --source-cluster-id <SOURCE_CLUSTER_ID>
          Source cluster ID
      --destination-cluster-id <DESTINATION_CLUSTER_ID>
          Destination cluster ID
  -h, --help
          Print help

範例

範例:複寫金鑰

此命令會將金鑰從來源叢集與 複寫至複製的目的地叢集。以下範例示範在兩個叢集上以加密使用者身分登入時的輸出。

crypto-user-1@cluster-1234abcdefg > key replicate \
      --filter attr.label=example-key \
      --source-cluster-id cluster-1234abcdefg \
      --destination-cluster-id cluster-2345bcdefgh
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x0000000000300006",
      "key-info": {
        "key-owners": [
          {
            "username": "crypto-user-1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-key",
        "id": "0x",
        "check-value": "0x5e118e",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": true,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    },
    "message": "Successfully replicated key"
  }
}

引數

<FILTER>

索引鍵參考 (例如 key-reference=0xabc) 或以 形式分隔的索引鍵屬性清單attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE,以選取來源叢集上的相符索引鍵。

如需支援的 CloudHSM CLI金鑰屬性清單,請參閱 Cloud 的關鍵屬性HSM CLI

必要:是

<SOURCE_CLUSTER_ID>

來源叢集 ID。

必要:是

<DESTINATION_CLUSTER_ID>

目的地叢集 ID。

必要:是

相關主題