shareKey

Mit dem Befehl shareKey in cloudhsm_mgmt_util werden Schlüssel, die Sie besitzen, für andere Crypto-Benutzer freigegeben bzw. deren Freigabe wird aufgehoben. Nur der Schlüsselbesitzer kann einen Schlüssel freigeben und die Freigabe aufheben. Sie können einen Schlüssel auch freigeben, wenn Sie ihn erstellen.

Benutzer, für die der Schlüssel freigegeben ist, können ihn in kryptografischen Vorgänge verwenden, ihn jedoch nicht löschen, exportieren, freigeben bzw. seine Freigabe aufheben oder seine Attribute ändern. Wenn die Quorum-Authentifizierung für einen Schlüssel aktiviert ist, muss das Quorum alle Operationen genehmigen, die den Schlüssel freigeben bzw. seine Freigabe aufheben.

Vor dem Ausführen eines CMU-Befehls müssen Sie die CMU starten und sich beim HSM anmelden. Stellen Sie sicher, dass Sie sich mit einem Benutzertyp anmelden, der die Befehle ausführen kann, die Sie verwenden möchten.

Wenn Sie HSMs hinzufügen oder löschen, aktualisieren Sie die Konfigurationsdateien für CMU. Andernfalls wirken sich die vorgenommenen Änderungen möglicherweise nicht auf alle HSMs im Cluster aus.

Benutzertyp

Die folgenden Benutzertypen können diesen Befehl ausführen.

• Crypto-Benutzer (Crypto User, CU)

Syntax

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

Benutzertyp: Crypto-Benutzer (CU)

shareKey <key handle> <user id> <(share/unshare key?) 1/0>

Beispiel

Die folgenden Beispiele zeigen, wie Sie mit shareKey-Schlüssel, die Sie besitzen, für andere Crypto-Benutzer freigeben bzw. ihre Freigabe aufheben.

Beispiel : Freigeben eines Schlüssels

Dieses Beispiel verwendet shareKey, um einen privaten ECC-Schlüssel, den der aktuelle Benutzer besitzt, für andere Crypto-Benutzer in den HSMs freizugeben. Öffentliche Schlüssel stehen allen Benutzern des HSM zur Verfügung, sodass Sie diese weder freigeben noch deren Freigabe aufheben können.

Der erste Befehl verwendet getKeyInfo, um die Benutzerinformationen für den Schlüssel abzurufen262177, einen privaten ECC-Schlüssel auf den HSMs.

Die Ausgabe zeigt, dass der Schlüssel 262177 im Besitz des Benutzers 3, aber nicht freigegeben ist.

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

In diesem Beispiel wird shareKey verwendet, um den Schlüssel 262177 mit dem Benutzer 4 zu teilen, einem anderen Crypto-Benutzer auf den HSMs. Das letzte Argument verwendet den Wert 1, um eine Freigabeoperation anzugeben.

Die Ausgabe zeigt, dass die Operation in beiden HSMs im Cluster erfolgreich ausgeführt wurde.

aws-cloudhsm>shareKey 262177 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

Um zu überprüfen, ob die Operation erfolgreich war, wird im Beispiel der erste Befehl getKeyInfo wiederholt.

Die Ausgabe zeigt, dass der Schlüssel 262177 jetzt für den Benutzer 4 freigegeben ist.

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4

Beispiel : Aufheben der Freigabe eines Schlüssels

In diesem Beispiel wird gezeigt, wie die Freigabe für einen symmetrischen Schlüssel aufgehoben wird, d. h., ein Crypto-Benutzer wird aus der Liste der für den Schlüssel freigegebenen Benutzer entfernt.

Dieser Befehl verwendet shareKey, um den Benutzer 4 aus der Liste der für den Schlüssel 6 freigegebenen Benutzer zu entfernen. Das letzte Argument verwendet den Wert 0, um eine Operation zum Aufheben der Freigabe anzugeben.

Die Ausgabe zeigt, dass der Befehl in beiden HSMs erfolgreich ausgeführt wurde. Dies hat zur Folge, dass der Benutzer 4 den Schlüssel 6 nicht mehr in kryptografischen Operationen verwenden kann.

aws-cloudhsm>shareKey 6 4 0
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

Argumente

Da dieser Befehl keine benannten Parameter hat, müssen Sie die Argumente in der im Syntaxdiagramm angegebenen Reihenfolge eingeben.

shareKey <key handle> <user id> <(share/unshare key?) 1/0>

<key-handle>

Gibt das Schlüssel-Handle eines Schlüssels an, dessen Eigentümer Sie sind. Sie können nur jeweils einen Schlüssel in den einzelnen Befehlen angeben. Um das Schlüsselhandle eines Schlüssels zu erhalten, verwenden Sie findKey in key_mgmt_util. Um zu überprüfen, ob Sie einen Schlüssel besitzen, verwenden Sie. getKeyInfo

Erforderlich: Ja

<user id>

Gibt die Benutzer-ID des Crypto-Benutzers (CU) an, für den Sie den Schlüssel freigeben bzw. dessen Freigabe aufheben. Verwenden Sie zur Suche nach der Benutzer-ID eines Benutzers den Befehl listUsers.

Erforderlich: Ja

<share 1 or unshare 0>

Geben Sie zum Freigeben des Schlüssels für den angegebenen Benutzer 1 ein. Um die Freigabe des Schlüssels aufzuheben, d. h. zum Entfernen des angegebenen Benutzers aus der Liste der gemeinsamen Benutzer für den Schlüssel, geben Sie 0 ein.

Erforderlich: Ja

Verwandte Themen

• getKeyInfo