使用 AES- GCM使用 Cloud 包裝金鑰HSM CLI - AWS CloudHSM
使用者類型要求語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AES- GCM使用 Cloud 包裝金鑰HSM CLI

在 CloudHSM 中使用 key wrap aes-gcm命令CLI,在硬體安全模組 (HSM) 和包裝機制上使用 AES 金鑰AES-GCM來包裝承載金鑰。承載金鑰的extractable屬性必須設定為 true

只有建立金鑰的加密使用者 (CU) 金鑰擁有者可以包裝金鑰。共用金鑰的使用者可在密碼編譯操作中使用金鑰。

若要使用 key wrap aes-gcm命令,您必須先在 AWS CloudHSM 叢集中擁有 AES金鑰。您可以產生AES金鑰,以使用 使用 Cloud 產生對稱AES金鑰HSM CLI命令包裝,並將 wrap 屬性設定為 true

使用者類型

下列類型的使用者可以執行此命令。

  • 加密使用者 (CUs)

要求

  • 若要執行此命令,必須以 CU 的身分登入。

語法

aws-cloudhsm > help key wrap aes-gcm
Usage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help

範例

此範例示範如何使用 AES 金鑰來使用 key wrap aes-gcm 命令。

aws-cloudhsm > key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64  --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "iv": "0xf90613bb8e337ec0339aad21",
    "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8"
  }
}

引數

<CLUSTER_ID>

執行此操作的叢集 ID。

必要:如果已設定多個叢集。

<PAYLOAD_FILTER>

索引鍵參考 (例如 key-reference=0xabc) 或以 形式分隔的索引鍵屬性清單attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE,以選取承載索引鍵。

必要:是

<PATH>

儲存封裝金鑰資料的二進位檔案路徑。

必要:否

<WRAPPING_FILTER>

索引鍵參考 (例如 key-reference=0xabc) 或以 形式分隔的索引鍵屬性清單attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE,以選取包裝索引鍵。

必要:是

<AAD>

AES GCM 其他已驗證的資料 (AAD) 值,以十六進位表示。

必要:否

<TAG_LENGTH_BITS>

AES GCM 位元的標籤長度。

必要:是

相關主題