本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 包裝金鑰 AES-GCM 使用 CloudHSM CLI
在 CloudHSM 中使用 key wrap aes-gcm命令CLI,在硬體安全模組 (HSM) 和包裝機制上使用 AES金鑰AES-GCM來包裝承載金鑰。承載金鑰的extractable屬性必須設定為 true。
只有建立金鑰的加密使用者 (CU) 金鑰擁有者,才能包裝金鑰。共用金鑰的使用者可以在密碼編譯操作中使用金鑰。
若要使用 key wrap aes-gcm命令,您必須先在 AWS CloudHSM 叢集中擁有 AES金鑰。您可以產生AES金鑰,以使用 使用 Cloud 產生對稱AES金鑰HSM CLI命令包裝,並將 wrap 屬性設定為 true。
使用者類型
下列類型的使用者可以執行此命令。
-
加密使用者 (CUs)
要求
-
若要執行此命令,必須以 CU 的身分登入。
語法
aws-cloudhsm >help key wrap aes-gcmUsage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits<TAG_LENGTH_BITS>Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --payload-filter [<PAYLOAD_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key --wrapping-filter [<WRAPPING_FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key --path<PATH>Path to the binary file where the wrapped key data will be saved --wrapping-approval<WRAPPING_APPROVALR>File path of signed quorum token file to approve operation for wrapping key --payload-approval<PAYLOAD_APPROVALR>File path of signed quorum token file to approve operation for payload key --aad<AAD>Aes GCM Additional Authenticated Data (AAD) value, in hex --tag-length-bits<TAG_LENGTH_BITS>Aes GCM tag length in bits -h, --help Print help
範例
此範例示範如何使用 AES 金鑰來使用 key wrap aes-gcm命令。
aws-cloudhsm >key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10{ "error_code": 0, "data": { "payload_key_reference": "0x00000000001c08f1", "wrapping_key_reference": "0x00000000001c08ea", "iv": "0xf90613bb8e337ec0339aad21", "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8" } }
引數
<CLUSTER_ID>-
要執行此操作的叢集 ID。
必要:如果已設定多個叢集。
<PAYLOAD_FILTER>-
索引鍵參考 (例如
key-reference=0xabc) 或以空格分隔的索引鍵屬性清單,以attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE選取承載索引鍵。必要:是
<PATH>-
二進位檔案的路徑,其中會儲存包裝的金鑰資料。
必要:否
<WRAPPING_FILTER>-
索引鍵參考 (例如
key-reference=0xabc) 或以 形式分隔的索引鍵屬性清單attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE,以選取包裝索引鍵。必要:是
<AAD>-
AES GCM 其他已驗證的資料 (AAD) 值,以十六進位表示。
必要:否
<TAG_LENGTH_BITS>-
AES GCM 位元的標籤長度。
必要:是
<WRAPPING_APPROVALR>-
指定已簽署規定人數字符檔案的檔案路徑,以核准包裝金鑰的操作。只有在包裝金鑰的金鑰管理服務規定人數值大於 1 時才需要。
<PAYLOAD_APPROVALR>-
指定已簽署規定人數字符檔案的檔案路徑,以核准承載金鑰的操作。只有在承載金鑰的金鑰管理服務規定人數值大於 1 時才需要。
相關主題
