使用 共用 AWS CloudHSM 金鑰 CMU - AWS CloudHSM
使用者類型語法範例引數相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 共用 AWS CloudHSM 金鑰 CMU

使用 AWS CloudHSM cloudhsm_mgmt_util 中的 shareKey命令,與其他加密使用者共用和取消共用您擁有的金鑰。只有金鑰擁有者可以共用和取消共用金鑰。您也可以在建立金鑰時共用金鑰。

共用金鑰的使用者可在加密操作中使用此金鑰,但無法刪除、匯出、共用、取消共用此金鑰,或變更其屬性。對金鑰啟用規定人數身分驗證時,任何會共用或取消共用此金鑰的操作,都必須經過規定人數核准。

執行任何CMU命令之前,您必須先啟動CMU並登入 HSM。請確認您所登入的使用者帳戶類型能夠執行您要使用的命令。

如果您新增或刪除 HSMs,請更新 的組態檔案CMU。否則,您所做的變更可能對叢集HSMs中的所有 都無效。

使用者類型

下列類型的使用者可以執行此命令。

  • 加密使用者 (CU)

語法

因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。

使用者類型:加密使用者 (CU)

shareKey <key handle> <user id> <(share/unshare key?) 1/0>

範例

以下範例示範如何使用 shareKey,將您擁有的金鑰與其他加密使用者共用,也可以與其他加密使用者取消共用。

範例 :共用金鑰

此範例使用 shareKey與 上的另一個加密使用者共用目前使用者擁有的ECC私有金鑰HSMs。公有金鑰可供 的所有使用者使用HSM,因此您無法共用或取消共用。

第一個命令使用 getKeyInfo 來取得金鑰 的使用者資訊262177,這是 上的ECC私有金鑰HSMs。

輸出顯示金鑰 262177 由使用者 3 擁有,但不共用。

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

此命令會使用 2621774上的另一個加密使用者 使用者 shareKey共用金鑰HSMs。最後一個引數使用的值是 1,表示共用操作。

輸出顯示叢集HSMs中兩者的操作都成功。

aws-cloudhsm>shareKey 262177 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

為確認操作成功,範例會重複第一個 getKeyInfo 命令。

輸出顯示金鑰 262177 現在已共用給使用者 4

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
範例 :取消共用金鑰

此範例取消共用對稱金鑰,即:從金鑰的共用使用者清單中移除加密使用者。

此命令使用 shareKey 從金鑰 6 的共用使用者清單中移除使用者 4。最後一個引數使用的值是 0,表示取消共用操作。

輸出顯示命令在兩個 上都成功HSMs。因此,使用者 4 無法再於加密操作中使用金鑰 6

aws-cloudhsm>shareKey 6 4 0
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

引數

因為此命令未指明具體參數,所以您須依照語法圖表中指定的順序輸入引數。

shareKey <key handle> <user id> <(share/unshare key?) 1/0>
<key-handle>

指定您擁有金鑰的金鑰控制代碼。每一個命令中只能指定一個金鑰。若要取得金鑰的金鑰控制碼,請在 key_mgmt_util findKey中使用 。若要驗證您是否擁有金鑰,請使用 getKeyInfo

必要:是

<user id>

指定加密使用者 (CU) 的使用者 ID,表示您要將金鑰共用或取消共用給此使用者。若要尋找使用者的使用者 ID,請使用 listUsers

必要:是

<share 1 or unshare 0>

如要將金鑰共用給指定的使用者,請輸入 1。如要取消共用金鑰,即:從金鑰的共用使用者清單中移除指定的使用者,請輸入 0

必要:是

相關主題