setAttribute - AWS CloudHSM
BenutzertypSyntaxBeispielArgumenteVerwandte Themen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

setAttribute

Der Befehl setAttribute in cloudhsm_mgmt_util ändert den Wert der Attribute label, encrypt, decrypt, wrap und unwrap eines Schlüssels in den HSMs. Sie können auch den Befehl setAttribute in key_mgmt_util verwenden, um einen Sitzungsschlüssel in einen dauerhaften Schlüssel umzuwandeln. Sie können nur die Attribute der Schlüssel ändern, deren Eigentümer Sie sind.

Vor dem Ausführen eines CMU-Befehls müssen Sie die CMU starten und sich beim HSM anmelden. Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.

Wenn Sie HSMs hinzufügen oder löschen, aktualisieren Sie die Konfigurationsdateien für CMU. Andernfalls wirken sich die vorgenommenen Änderungen möglicherweise nicht auf alle HSMs im Cluster aus.

Benutzertyp

Die folgenden Benutzer können diesen Befehl ausführen.

  • Crypto-Benutzer (Crypto User, CU)

Syntax

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

setAttribute <key handle> <attribute id>

Beispiel

Das folgende Beispiel zeigt, wie die Entschlüsselungsfunktionen eines symmetrischen Schlüssels deaktiviert werden. Sie können einen Befehl wie diesen verwenden, um einen Verpackungsschlüssel zu konfigurieren, der andere Schlüssel verpacken und entpacken, aber nicht Daten verschlüsseln oder entschlüsseln kann.

Der erste Schritt ist das Erstellen des Verpackungsschlüssels. Dieser Befehl verwendet genSymKeyin key_mgmt_util, um einen symmetrischen 256-Bit-AES-Schlüssel zu generieren. Die Ausgabe zeigt, dass der neue Schlüssel das Schlüssel-Handle 14 aufweist.

$  genSymKey -t 31 -s 32 -l aes256

Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS

        Symmetric Key Created.  Key Handle: 14

        Cluster Error Status
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

Als nächstes werden wir den aktuellen Wert des Entschlüsselungsattributs bestätigen. Um die Attribut-ID des Entschlüsselungsattributs abzurufen, verwenden Sie listAttributes. Die Ausgabe zeigt, dass die Konstante, die das OBJ_ATTR_DECRYPT-Attribut darstellt, 261 lautet. Hilfe zur Interpretation der Schlüsselattribute finden Sie unter Schlüsselattributreferenz.

aws-cloudhsm> listAttributes

Following are the possible attribute values for getAttribute:

      OBJ_ATTR_CLASS                  = 0
      OBJ_ATTR_TOKEN                  = 1
      OBJ_ATTR_PRIVATE                = 2
      OBJ_ATTR_LABEL                  = 3
      OBJ_ATTR_TRUSTED                = 134
      OBJ_ATTR_KEY_TYPE               = 256
      OBJ_ATTR_ID                     = 258
      OBJ_ATTR_SENSITIVE              = 259
      OBJ_ATTR_ENCRYPT                = 260
      OBJ_ATTR_DECRYPT                = 261
      OBJ_ATTR_WRAP                   = 262
      OBJ_ATTR_UNWRAP                 = 263
      OBJ_ATTR_SIGN                   = 264
      OBJ_ATTR_VERIFY                 = 266
      OBJ_ATTR_DERIVE                 = 268
      OBJ_ATTR_LOCAL                  = 355
      OBJ_ATTR_MODULUS                = 288
      OBJ_ATTR_MODULUS_BITS           = 289
      OBJ_ATTR_PUBLIC_EXPONENT        = 290
      OBJ_ATTR_VALUE_LEN              = 353
      OBJ_ATTR_EXTRACTABLE            = 354
      OBJ_ATTR_NEVER_EXTRACTABLE      = 356
      OBJ_ATTR_ALWAYS_SENSITIVE       = 357
      OBJ_ATTR_DESTROYABLE            = 370
      OBJ_ATTR_KCV                    = 371
      OBJ_ATTR_WRAP_WITH_TRUSTED      = 528
      OBJ_ATTR_WRAP_TEMPLATE          = 1073742353
      OBJ_ATTR_UNWRAP_TEMPLATE        = 1073742354
      OBJ_ATTR_ALL                    = 512

Um den aktuellen Wert des Entschlüsselungsattributs für Schlüssel 14 aufzurufen, verwendet der nächste Befehl getAttribute in cloudhsm_mgmt_util.

Die Ausgabe zeigt, dass der Wert des Entschlüsselungsattributs auf beiden HSMs im Cluster true (1) beträgt.

aws-cloudhsm> getAttribute 14 261
      
Attribute Value on server 0(10.0.0.1):
OBJ_ATTR_DECRYPT
0x00000001

Attribute Value on server 1(10.0.0.2):
OBJ_ATTR_DECRYPT
0x00000001

Dieser Befehl verwendet setAttribute, um den Wert des Entschlüsselungsattributs (Attribut 261) des Schlüssels 14 auf 0 zu ändern. Dies deaktiviert die Entschlüsselungsfunktion des Schlüssels.

Die Ausgabe zeigt, dass der Befehl in beiden HSMs im Cluster erfolgreich ausgeführt wurde.

aws-cloudhsm> setAttribute 14 261 0
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)? y
setAttribute success on server 0(10.0.0.1)
setAttribute success on server 1(10.0.0.2)

Der letzte Befehl wiederholt den Befehl getAttribute. Es wird wieder das Entschlüsselungsattribut (Attribut 261) des Schlüssels 14 abgerufen.

Dieses Mal zeigt die Ausgabe, dass der Wert des Entschlüsselungsattributs auf beiden HSMs im Cluster false (0) beträgt.

aws-cloudhsm>getAttribute 14 261
Attribute Value on server 0(10.0.3.6):
OBJ_ATTR_DECRYPT
0x00000000

Attribute Value on server 1(10.0.1.7):
OBJ_ATTR_DECRYPT
0x00000000

Argumente

setAttribute <key handle> <attribute id>
<key-handle>

Gibt das Schlüssel-Handle eines Schlüssels an, dessen Eigentümer Sie sind. Sie können nur jeweils einen Schlüssel in den einzelnen Befehlen angeben. Um das Schlüsselhandle eines Schlüssels zu erhalten, verwenden Sie findKey in key_mgmt_util. Um die Benutzer eines Schlüssels zu finden, verwenden Sie. getKeyInfo

Erforderlich: Ja

<attribute id>

Gibt die Konstante an, die das Attribut darstellt, das Sie ändern möchten. Sie können nur jeweils ein Attribut in den einzelnen Befehlen angeben. Verwenden Sie listAttributes, um die Attribute und deren Ganzzahlwerte abzurufen. Hilfe zur Interpretation der Schlüsselattribute finden Sie unter Schlüsselattributreferenz.

Zulässige Werte:

  • 3OBJ_ATTR_LABEL.

  • 134OBJ_ATTR_TRUSTED.

  • 260OBJ_ATTR_ENCRYPT.

  • 261OBJ_ATTR_DECRYPT.

  • 262OBJ_ATTR_WRAP.

  • 263OBJ_ATTR_UNWRAP.

  • 264OBJ_ATTR_SIGN.

  • 266OBJ_ATTR_VERIFY.

  • 268OBJ_ATTR_DERIVE.

  • 370OBJ_ATTR_DESTROYABLE.

  • 528OBJ_ATTR_WRAP_WITH_TRUSTED.

  • 1073742353OBJ_ATTR_WRAP_TEMPLATE.

  • 1073742354OBJ_ATTR_UNWRAP_TEMPLATE.

Erforderlich: Ja

Verwandte Themen