本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 插入遮罩的物件 AWS CloudHSM KMU
使用 AWS CloudHSM key_mgmt_util 中的 insertMaskedObject命令,將遮罩的物件從檔案插入指定的硬體安全模組 (HSM)。遮罩的物件是HSM使用 extractMaskedObject命令從 擷取的複製物件。它們僅可在插回原先的叢集後使用。您僅能將遮罩物件插入之前從中產生的相同叢集,或該叢集的複製品。這包括透過複製跨區域備份和使用該備份建立新叢集而產生之原始叢集的任何複製版本。
遮罩物件是卸載及同步金鑰的有效方式,包括無法擷取的金錀 (即:具有 0
的 OBJ_ATTR_EXTRACTABLE 值的金鑰)。如此一來,金鑰就可以在不同區域中安全地跨相關叢集同步,而不需要更新 AWS CloudHSM 設定檔案 。
在執行任何 key_mgmt_util 命令之前,您必須啟動 key_mgmt_util,並以加密使用者 (CU) HSM身分登入 。
語法
insertMaskedObject -h insertMaskedObject -f
<filename>
[-min_srv<minimum-number-of-servers>
] [-timeout<number-of-seconds>
]
範例
此範例示範如何使用 insertMaskedObject將遮罩的物件檔案插入 HSM。
範例 :插入遮罩物件
此命令HSM會從名為 的檔案將遮罩的物件插入 maskedObj
。命令成功時,insertMaskedObject 會傳回從遮罩物件解密之金鑰的金鑰控制代碼,以及成功訊息。
Command:
insertMaskedObject -f maskedObj
Cfm3InsertMaskedObject returned: 0x00 : HSM Return: SUCCESS New Key Handle: 262433 Cluster Error Status Node id 2 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
參數
此命令會使用下列參數。
-h
-
顯示命令的命令列說明。
必要:是
-f
-
指定要插入之遮罩物件的檔案名稱。
必要:是
-min_srv
-
指定在
-timeout
參數值過期之前同步所插入遮罩物件所需的伺服器數量下限。如果未在規定時間內同步至指定數量的伺服器,物件就不會插入。預設:1
必要:否
-timeout
-
指定當加入
min-serv
參數時要等待金鑰在伺服器之間同步的秒數。如果未指定秒數,將持續輪詢下去。預設:無限制
必要:否