列出 AWS CloudHSM 加密使用者使用 擁有的金鑰 CMU - AWS CloudHSM
使用者類型語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

列出 AWS CloudHSM 加密使用者使用 擁有的金鑰 CMU

使用 AWS CloudHSM cloudhsm_mgmt_util (CMU) 中的 findAllKeys命令,取得指定加密使用者 (CU) AWS CloudHSM 擁有或共用的金鑰。命令也會在每個 上傳回使用者資料的雜湊HSMs。您可以使用雜湊一目了然地判斷叢集HSMs中所有的使用者、金鑰擁有權和金鑰共用資料是否相同。在輸出中,由使用者擁有的金鑰會由 (o) 註釋,且共佣金鑰會由 (s) 註釋。

findAllKeys 只有在指定的 CU 擁有金鑰時,才會傳回公有金鑰,即使 CUs上的所有 HSM 都可以使用任何公有金鑰。此行為與 findKey key_mgmt_util 不同,其會傳回所有 CU 使用者的公有金鑰。

只有加密管理員 (COs 和 PCOs) 和設備使用者 (AUs) 才能執行此命令。加密使用者 (CUs) 可以執行下列命令:

  • listUsers 尋找所有使用者

  • findKey 在 key_mgmt_util 中尋找他們可以使用的金鑰

  • getKeyInfo 在 key_mgmt_util 中尋找其擁有或共用的特定金鑰的擁有者和共用使用者

執行任何CMU命令之前,您必須先啟動CMU並登入 HSM。請確認您所登入的使用者帳戶類型能夠執行您要使用的命令。

如果您新增或刪除 HSMs,請更新 的組態檔案CMU。否則,您所做的變更可能對叢集HSMs中的所有 都無效。

使用者類型

下列使用者可以執行此命令。

  • 加密人員 (CO、PCO)

  • 設備使用者 (AU)

語法

因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。

findAllKeys <user id> <key hash (0/1)> [<output file>]

範例

這些範例示範如何使用 findAllKeys 尋找使用者的所有金鑰,並在每個 上取得金鑰使用者資訊的雜湊HSMs。

範例 :尋找 CU 的金鑰

此範例使用 findAllKeys 尋找HSMs使用者 4 擁有和共用的 金鑰。此命令使用 0 做為第二個引數的值,以隱藏雜湊值。由於省略選用的檔案名稱,此命令會寫入 stdout (標準輸出)。

輸出顯示使用者 4 可以使用 6 個金鑰:8、9、17、262162、19 和 31。輸出會使用 (s) 指出由使用者明確共用的金鑰。使用者擁有的金鑰由 (o) 指定,並包含使用者不共享的對稱和私有金鑰,以及可供所有加密使用者使用的公有金鑰。

aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)
範例 :驗證使用者資料已同步

此範例使用 findAllKeys 來驗證叢集HSMs中的所有 是否包含相同的使用者、金鑰擁有權和金鑰共用值。若要這麼做,它會取得每個 上關鍵使用者資料的雜湊值,HSM並比較雜湊值。

為了取得金鑰雜湊,此命令使用第二個引數中的 1 值。由於選用的檔案名稱已遭省略,此命令會將金鑰雜湊寫入 stdout。

此範例會指定使用者 6,但擁有或共用 上任何金鑰的任何使用者,其雜湊值都會相同HSMs。如果指定的使用者未擁有或共用任何金鑰,例如 CO,則此命令不會傳回雜湊值。

輸出顯示金鑰雜湊與叢集HSMs中的兩個 相同。如果其中一個 HSM具有不同的使用者、不同的金鑰擁有者或不同的共用使用者,則金鑰雜湊值不相等。

aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

此命令示範雜湊值代表 上所有金鑰的使用者資料HSM。此命令針對使用者 3 使用 findAllKeys。與使用者 6 不同 (只擁有或共用 3 個金鑰),使用者 3 擁有或共用 17 個金鑰,但金鑰雜湊值相同。

aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

引數

因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。

findAllKeys <user id> <key hash (0/1)> [<output file>]
<user id>

取得指定之使用者擁有或共用的所有金鑰。在 上輸入使用者的使用者 IDHSMs。若要尋找所有使用者IDs的使用者,請使用 listUsers

所有使用者IDs都是有效的,但只findAllKeys傳回加密使用者的金鑰 (CUs)。

必要:是

<key hash>

包含 (1) 或 排除 (0) 每個 中所有金鑰的使用者擁有權和共用資料的雜湊HSM。

user id 引數代表擁有或共用金鑰的使用者時,將會填入金鑰雜湊。對於在 上擁有或共用金鑰的所有使用者,即使他們擁有和共用不同的金鑰HSM,金鑰雜湊值也是相同的。不過,當 user id 代表未擁有或共用任何金鑰的使用者時 (例如 CO),就不會填入雜湊值。

必要:是

<output file>

將輸出寫入指定的檔案。

必要:否

預設:Stdout

相關主題