使用 取得金鑰的使用者 AWS CloudHSM 資訊 CMU - AWS CloudHSM

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 取得金鑰的使用者 AWS CloudHSM 資訊 CMU

使用 AWS CloudHSM key_mgmt_util (KMU) 中的 getKeyInfo命令,傳回可以使用金鑰IDs的使用者的硬體安全模組 (HSM) 使用者,包括共用金鑰的擁有者和加密使用者 (CU)。對金鑰啟用規定人數身分驗證時,getKeyInfo 也會傳回必須核准使用該金鑰的加密操作的使用者數量。您只可以對您擁有的金鑰以及與您共用的金鑰執行 getKeyInfo

當您getKeyInfo在公有金鑰上執行 時, 只會getKeyInfo傳回金鑰擁有者,即使 的所有使用者HSM都可以使用公有金鑰。若要在 中尋找HSMIDs使用者HSMs,請使用 listUsers。若要尋找特定使用者的金鑰,請在 key_mgmt_util findKey-u中使用 。Crypto 管理員可以在 cloudhsm_mgmt_util findAllKeys中使用。

您擁有您建立的金鑰。您可以在建立金鑰時與其他使用者共用金鑰。然後,若要共用或取消共用現有金鑰,請在 cloudhsm_mgmt_util shareKey中使用 。

執行任何CMU命令之前,您必須先啟動CMU並登入 HSM。請確認您所登入的使用者帳戶類型能夠執行您要使用的命令。

如果您新增或刪除 HSMs,請更新 的組態檔案CMU。否則,您所做的變更可能對叢集HSMs中的所有 都無效。

使用者類型

下列類型的使用者可以執行此命令。

  • 加密使用者 (CU)

語法

getKeyInfo -k <key-handle> [<output file>]

範例

這些範例顯示如何使用 getKeyInfo,以取得金鑰使用者的相關資訊。

範例 :取得非對稱金鑰的使用者

此命令會取得可以使用 AES(非對稱) 金鑰搭配金鑰控制碼 的使用者262162。輸出顯示使用者 3 擁有金鑰,並且已將它與使用者 4 和使用者 6 共用。

只有使用者 3、4 和 6 可以對金鑰 262162 執行 getKeyInfo

aws-cloudhsm>getKeyInfo 262162 Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 2 user(s): 4 6 Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 2 user(s): 4 6
範例 :取得對稱金鑰對的使用者

這些命令使用 getKeyInfo 來取得可在 ECC(對稱) 金鑰對 中使用金鑰的使用者。公有金鑰具有金鑰控制代碼 262179。私有金鑰具有金鑰控制代碼 262177

當您在私有金鑰 (262177getKeyInfo 上執行時,它會傳回金鑰擁有者 (3) 和加密使用者 (CUs) 4,與金鑰共用。

aws-cloudhsm>getKeyInfo -k 262177 Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4

對公有金鑰 (262179) 執行 getKeyInfo 時,只會傳回金鑰擁有者 (使用者 3)。

aws-cloudhsm>getKeyInfo -k 262179 Key Info on server 0(10.0.3.10): Token/Flash Key, Owned by user 3 Key Info on server 1(10.0.3.6): Token/Flash Key, Owned by user 3

若要確認使用者 4 可以使用公有金鑰 (以及 上的所有公有金鑰HSM),請使用 key_mgmt_util findKey中的 -u 參數。

輸出示範使用者 4 可以同時使用金鑰對中的公開 (262179) 與私密 (262177) 金鑰。使用者 4 也可以使用它們所建立或與其共用的所有其他公開金鑰和任何私密金鑰。

Command: findKey -u 4 Total number of keys present 8 number of keys matched from start index 0::7 11, 12, 262159, 262161, 262162, 19, 20, 21, 262177, 262179 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
範例 :取得金鑰的規定人數身分驗證值 (m_value)

此範例示範如何取得金鑰的 m_value。m_value 為規定人數中的使用者數量,這些使用者必須核准使用該金鑰的任何密碼編譯操作與共用和取消共用金鑰的操作。

對金鑰啟用了仲裁身分驗證時,必須有仲裁的使用者核准使用該金鑰的任何密碼編譯操作。若要啟用規定人數驗證並設定規定人數數量,建立金鑰時請使用 -m_value 參數。

此命令使用 genSymKey建立與使用者 4 共用的 256 位元AES金鑰。它會使用 m_value 參數來啟用規定人數驗證,並將仲裁大小設定為兩個使用者。必須有足夠多的使用者,才能提供所需的核准。

輸出顯示此命令建立了金鑰 10。

Command: genSymKey -t 31 -s 32 -l aes256m2 -u 4 -m_value 2 Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 10 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

此命令使用 cloudhsm_mgmt_util 中的 getKeyInfo 以取得金鑰 10 使用者的相關資訊。輸出顯示使用者 3 擁有該金鑰,並且將它與使用者 4 共用。它還示範兩個使用者的規定人數必須核准使用該金鑰的每個密碼編譯操作。

aws-cloudhsm>getKeyInfo 10 Key Info on server 0(10.0.0.1): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key Key Info on server 1(10.0.0.2): Token/Flash Key, Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key

引數

因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。

getKeyInfo -k <key-handle> <output file>
<key-handle>

在 中指定一個金鑰的金鑰控制碼HSM。輸入您擁有或共用的金鑰的金鑰控制代碼。此為必要參數。

必要:是

<output file>

將輸出寫入指定的檔案,而非 stdout。如果檔案存在,命令會覆寫檔案且不會有任何警告。

必要:否

預設:stdout

相關主題