本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 擷取 AWS CloudHSM 金鑰 KMU
使用 AWS CloudHSM key_mgmt_util 中的 extractMaskedObject命令,從硬體安全模組 (HSM) 中擷取金鑰,並將其儲存為遮罩物件的檔案。遮罩物件是「複製的」物件,僅可在使用 insertMaskedObject 命令將這些物件插回原始叢集後才可使用。您僅能將遮罩物件插入之前從中產生的相同叢集,或該叢集的複製品。這包括透過複製跨區域備份和使用該備份建立新叢集而產生之叢集的任何複製版本。
遮罩物件是卸載及同步金鑰的有效方式,包括無法擷取的金錀 (即:具有 0 的 OBJ_ATTR_EXTRACTABLE 值的金鑰)。如此一來,金鑰就可以在不同區域中安全地跨相關叢集同步,而不需要更新 AWS CloudHSM 設定檔案 。
重要
插入後,即將遮罩物件解密,並給予不同於原始金鑰之金鑰控制代碼的金鑰控制代碼。遮罩物件包括與原始金鑰關聯的所有中繼資料,包括屬性、所有權和分享資訊,以及仲裁設定。如果您需要在應用程式中跨叢集同步金鑰,請改為在 cloudhsm_mgmt_util syncKey中使用 。
在執行任何 key_mgmt_util 命令之前,您必須啟動 key_mgmt_util 並登入 HSM。擁有金鑰的 CU 或任何 CO 都可使用 extractMaskedObject 命令。
語法
extractMaskedObject -h extractMaskedObject -o<object-handle>-out<object-file>
範例
此範例示範如何使用 從 extractMaskedObject中擷取金鑰HSM作為遮罩物件。
範例 :擷取遮罩物件
此命令HSM會從具有 控點的金鑰中擷取遮罩的物件,524295並將其儲存為名為 的檔案maskedObj。當命令成功時,extractMaskedObject 會傳回成功訊息。
Command:extractMaskedObject -o 524295 -out maskedObjObject was masked and written to file "maskedObj" Cfm3ExtractMaskedObject returned: 0x00 : HSM Return: SUCCESS
參數
此命令會使用下列參數。
-h-
顯示命令的命令列說明。
必要:是
-o-
指定金鑰的控制代碼,以做為遮罩物件擷取。
必要:是
-out-
指定將儲存遮罩物件的檔案名稱。
必要:是
相關主題
