findAllKeys - AWS CloudHSM
BenutzertypSyntaxBeispieleArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

findAllKeys

Mit dem Befehl findAllKeys in cloudhsm_mgmt_util, werden die Schlüssel abgerufen, die ein angegebener Crypto-Benutzer (CU) besitzt oder die für ihn freigegeben sind. Außerdem wird ein Hashwert der Benutzerdaten für die einzelnen HSMs abgerufen. Sie können mit dem Hashwert auf einen Blick feststellen, ob die Daten für Benutzer, Schlüsseleigentümer und -freigaben in allen HSMs des Clusters identisch sind. In der Ausgabe werden die Schlüssel, die dem Benutzer gehören, von (o) mit Anmerkungen versehen, und gemeinsam genutzte Schlüssel werden von (s) kommentiert.

findAllKeys gibt nur dann öffentliche Schlüssel zurück, wenn der angegebene CU den Schlüssel besitzt, auch wenn alle CUs im HSM jeden beliebigen öffentlichen Schlüssel verwenden können. Dieses Verhalten unterscheidet sich vom Befehl findKey in key_mgmt_util, der öffentliche Schlüssel für alle Crypto-Benutzer zurückgibt.

Nur Verschlüsselungsverantwortliche (COs und PCOs) und Appliance-Benutzer (AUs) können diesen Befehl verwenden. Crypto-Benutzer (CUs, Crypto Users) können die folgenden Befehle ausführen:

  • listUsers, um alle Benutzer zu suchen

  • findKey in key_mgmt_util, um die Schlüssel, die sie verwenden können, zu suchen

  • getKeyInfoin key_mgmt_util, um den Besitzer und die gemeinsamen Benutzer eines bestimmten Schlüssels zu finden, den sie besitzen oder teilen

Vor dem Ausführen eines CMU-Befehls müssen Sie die CMU starten und sich beim HSM anmelden. Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.

Wenn Sie HSMs hinzufügen oder löschen, aktualisieren Sie die Konfigurationsdateien für CMU. Andernfalls wirken sich die vorgenommenen Änderungen möglicherweise nicht auf alle HSMs im Cluster aus.

Benutzertyp

Die folgenden Benutzer können diesen Befehl ausführen.

  • Verschlüsselungsverantwortliche (CO, PCO)

  • Appliance-Benutzer (Appliance User, AU)

Syntax

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

findAllKeys <user id> <key hash (0/1)> [<output file>]

Beispiele

Diese Beispiele verdeutlichen, wie Sie mit findAllKeys alle Schlüssel für einen Benutzer und einen Hashwert der Schlüsselbenutzerdaten in den einzelnen HSMs suchen können.

Beispiel : Suchen der Schlüssel für einen CU

In diesem Beispiel wird findAllKeys verwendet, um die Schlüssel in den HSMs zu suchen, die Benutzer 4 besitzt und die für ihn freigegeben sind. Der Befehl verwendet den Wert 0 für das zweite Argument, um den Hashwert zu unterdrücken. Da der optionale Dateiname weggelassen wird, führt der Befehl Schreibvorgänge in der Standardausgabe (stdout) aus.

Die Ausgabe zeigt, dass Benutzer 4 6 Schlüssel verwenden kann: 8, 9, 17, 262162, 19 und 31. Die Ausgabe verwendet ein (s), um Schlüssel anzugeben, die explizit vom Benutzer freigegeben werden. Die Schlüssel, die der Benutzer besitzt, werden durch ein (o) gekennzeichnet und umfassen symmetrische und private Schlüssel, die der Benutzer nicht freigibt, sowie öffentliche Schlüssel, die für alle Crypto-Benutzer verfügbar sind. 

aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)
Beispiel : Sicherstellen, dass Benutzerdaten synchronisiert sind

Dieses Beispiel verwendet findAllKeys, um sicherzustellen, dass alle HSMs im Cluster dieselben Werte für Benutzer, Schlüsseleigentümer und gemeinsame Schlüsselverwendung enthalten. Zu diesem Zweck wird ein Hashwert der Schlüsselbenutzerdaten in jedem HSM abgerufen und die Hashwerte werden verglichen.

Zum Abrufen des Schlüsselhashwerts verwendet der Befehl den Wert 1 für das zweite Argument. Der optionale Dateiname wird weggelassen, sodass der Befehl den Schlüsselhashwert in die Standardausgabe (stdout) schreibt.

Das Beispiel gibt den Benutzer 6 an, aber der Hashwert ist für jeden Benutzer, der einen der Schlüssel in den HSMs besitzt oder gemeinsam verwendet, identisch. Wenn der angegebene Benutzer keine Schlüssel besitzt oder gemeinsam verwendet, z. B. ein Verschlüsselungsverantwortlicher (CO), gibt der Befehl keinen Hashwert zurück.

Die Ausgabe zeigt, dass der Schlüsselhashwert in beiden HSMs im Cluster identisch ist. Wenn eines der HSMs verschiedene Benutzer, unterschiedliche Schlüsselbesitzer oder verschiedene gemeinsame Benutzer hätte, wären die Schlüsselhashwerte nicht identisch.

aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Mit diesem Befehl wird gezeigt, dass der Hashwert die Benutzerdaten für alle Schlüssel im HSM darstellt. Der Befehl verwendet findAllKeys für Benutzer 3. Im Gegensatz zu Benutzer 6, der nur 3 Schlüssel besitzt oder gemeinsam verwendet, besitzt oder verwendet Benutzer 3 17 Schlüssel. Dennoch ist der Schlüsselhashwert identisch.

aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

Argumente

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

findAllKeys <user id> <key hash (0/1)> [<output file>]
<user id>

Ruft alle Schlüssel ab, die der Benutzer besitzt oder die für ihn freigegeben sind. Geben Sie die Benutzer-ID eines Benutzers in den HSMs ein. Verwenden Sie zur Suche der Benutzer-IDs aller Benutzer den Befehl listUsers.

Alle Benutzer-IDs sind gültig, jedoch gibt findAllKeys nur Schlüssel für Crypto-Benutzer (CUs) zurück.

Erforderlich: Ja

<key hash>

Umfasst (1) oder schließt (0) einen Hashwert des Benutzereigentums oder der Freigabedaten für alle Schlüssel in jedem HSM aus.

Wenn das Argument user id einen Benutzer darstellt, der Schlüssel besitzt oder gemeinsam verwendet, ist der Schlüsselhashwert ausgefüllt. Der Schlüsselhashwert ist für alle Benutzer, die Schlüssel besitzen oder im HSM gemeinsam verwenden, identisch, auch wenn sie verschiedene Schlüssel besitzen und gemeinsam verwenden. Wenn user id jedoch einen Benutzer darstellt, der keine Schlüssel besitzt oder gemeinsam verwendet, z. B. einen Verschlüsselungsverantwortlichen (CO), wird der Hashwert nicht angegeben.

Erforderlich: Ja

<output file>

Schreibt die Ausgabe in die angegebene Datei.

Erforderlich: Nein

Standard: Stdout

Verwandte Themen