使用 取得 AWS CloudHSM 金鑰屬性值 CMU - AWS CloudHSM
使用者類型語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 取得 AWS CloudHSM 金鑰屬性值 CMU

使用 AWS CloudHSM cloudhsm_mgmt_util (CMU) 中的 getAttribute命令,從 AWS CloudHSM 叢集中的所有硬體安全模組 (HSM) 取得金鑰的一個屬性值,並將其寫入 stdout (標準輸出) 或 檔案。只有加密使用者 (CUs) 才能執行此命令。

金鑰屬性是金鑰的屬性。其中包括的特性,例如金鑰類型、類別、標籤和 ID,以及代表您可對金鑰執行之動作的值,例如加密、解密、包裝、取消包裝和驗證。

您只可以對您擁有的金鑰和與您共用的金鑰使用 getAttribute。您可以在 key_mgmt_util 中執行此命令或命令,該getAttribute命令會將金鑰的一或多個屬性值寫入檔案。

若要取得屬性清單以及代表這些屬性的常數,請使用 listAttributes命令。若要變更現有金鑰的屬性值,setAttribute請在 key_mgmt_util 和 cloudhsm_mgmt_util setAttribute中使用 。如需金錀屬性的解譯說明,請參閱 AWS CloudHSM 的金鑰屬性參考 KMU

執行任何CMU命令之前,您必須先啟動CMU並登入 HSM。請確認您所登入的使用者帳戶類型能夠執行您要使用的命令。

如果您新增或刪除 HSMs,請更新 的組態檔案CMU。否則,您所做的變更可能對叢集HSMs中的所有 都無效。

使用者類型

下列使用者可以執行此命令。

  • 加密使用者 (CU)

語法

因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。

getAttribute <key handle> <attribute id> [<filename>]

範例

此範例會取得 中金鑰的可擷取屬性值HSMs。您可以使用像這樣的命令來判斷您是否可以從 匯出金鑰HSMs。

第一個命令使用 listAttributes 尋找代表可擷取屬性的常數。輸出顯示 OBJ_ATTR_EXTRACTABLE 的常數是 354。您也可以在AWS CloudHSM 的金鑰屬性參考 KMU中找到這項資訊以及屬性和其值的描述。

aws-cloudhsm> listAttributes

Following are the possible attribute values for getAttribute:

      OBJ_ATTR_CLASS                  = 0
      OBJ_ATTR_TOKEN                  = 1
      OBJ_ATTR_PRIVATE                = 2
      OBJ_ATTR_LABEL                  = 3
      OBJ_ATTR_TRUSTED                = 134
      OBJ_ATTR_KEY_TYPE               = 256
      OBJ_ATTR_ID                     = 258
      OBJ_ATTR_SENSITIVE              = 259
      OBJ_ATTR_ENCRYPT                = 260
      OBJ_ATTR_DECRYPT                = 261
      OBJ_ATTR_WRAP                   = 262
      OBJ_ATTR_UNWRAP                 = 263
      OBJ_ATTR_SIGN                   = 264
      OBJ_ATTR_VERIFY                 = 266
      OBJ_ATTR_DERIVE                 = 268
      OBJ_ATTR_LOCAL                  = 355
      OBJ_ATTR_MODULUS                = 288
      OBJ_ATTR_MODULUS_BITS           = 289
      OBJ_ATTR_PUBLIC_EXPONENT        = 290
      OBJ_ATTR_VALUE_LEN              = 353
      OBJ_ATTR_EXTRACTABLE            = 354
      OBJ_ATTR_NEVER_EXTRACTABLE      = 356
      OBJ_ATTR_ALWAYS_SENSITIVE       = 357
      OBJ_ATTR_DESTROYABLE            = 370
      OBJ_ATTR_KCV                    = 371
      OBJ_ATTR_WRAP_WITH_TRUSTED      = 528      
      OBJ_ATTR_WRAP_TEMPLATE          = 1073742353
      OBJ_ATTR_UNWRAP_TEMPLATE        = 1073742354
      OBJ_ATTR_ALL                    = 512

第二個 命令使用 getAttribute 來取得 金鑰的可擷取屬性值,並在 262170中使用金鑰控制碼HSMs。為了指定可擷取屬性,此命令使用 354,這是代表屬性的常數。因為此命令未指定檔案名稱,所以 getAttribute 會將輸出寫入 stdout。

輸出顯示所有 上可擷取屬性的值為 1HSM。這個值表示金鑰擁有者可以匯出金鑰。當值為 0 (0x0) 時,無法從 匯出HSMs。您在建立金鑰時會設定可擷取屬性的值,但無法變更。

aws-cloudhsm> getAttribute 262170 354

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_EXTRACTABLE
0x00000001

Attribute Value on server 1(10.0.1.12):
OBJ_ATTR_EXTRACTABLE
0x00000001

Attribute Value on server 2(10.0.1.7):
OBJ_ATTR_EXTRACTABLE
0x00000001

引數

因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。

getAttribute <key handle> <attribute id> [<filename>]
<key-handle>

指定目標金鑰的金鑰控制代碼。每一個命令中只能指定一個金鑰。若要取得金鑰的金鑰控制碼,請在 key_mgmt_util findKey中使用 。

您必須擁有或共用指定的金鑰。若要尋找金鑰的使用者,請在 key_mgmt_util getKeyInfo中使用 。

必要:是

<attribute id>

識別屬性。輸入代表屬性的常數,或輸入 512 來代表所有屬性。例如,若要取得金鑰類型,請輸入 256,此常數代表 OBJ_ATTR_KEY_TYPE 屬性。

若要列出屬性及其常數,請使用 listAttributes。如需金錀屬性的解譯說明,請參閱 AWS CloudHSM 的金鑰屬性參考 KMU

必要:是

<filename>

將輸出寫入指定的檔案。輸入檔案路徑。

如果指定的檔案已存在,getAttribute 會覆寫檔案且不會警告。

必要:否

預設:Stdout

相關主題