getAttribute

El comando getAttribute en cloudhsm_mgmt_util obtiene el valor de un atributo de una clave para todos los HSM del clúster y lo escribe en stdout (salida estándar) o en un archivo. Solo los usuarios de criptografía (CU) pueden ejecutar este comando.

Los atributos de la clave son las propiedades de una clave. Contienen características, como el tipo de clave, clase, etiqueta e ID y los valores que representan las acciones que puede desempeñar en la clave, como cifrar, descifrar, encapsular, firmar y verificar.

Solamente puede utilizar getAttribute en claves que sean de su propiedad y que hayan compartido con usted. Puede ejecutar este comando o el comando getAttribute en key_mgmt_util, que escribe uno o todos los valores de atributo de una clave en un archivo.

Para obtener una lista de los atributos y las constantes que los representan, ejecute el comando listAttributes. Para cambiar los valores de los atributos de las claves existentes, utilice setAttribute en key_mgmt_util y setAttribute en cloudhsm_mgmt_util. Para obtener ayuda para interpretar los atributos de clave, consulte la Referencia de los atributos de claves.

Para poder ejecutar cualquier comando de CMU, debe iniciar la CMU e iniciar sesión en el HSM. Asegúrese de que inicia sesión con un tipo de usuario que pueda ejecutar los comandos que planea utilizar.

Si agrega o elimina uno o varios HSM, actualice los archivos de configuración de la CMU. De lo contrario, es posible que los cambios que realice no se hagan efectivos para todos los HSM del clúster.

Tipo de usuario

Los usuarios siguientes pueden ejecutar este comando.

• Usuarios de criptografía (CU)

Sintaxis

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

getAttribute <key handle> <attribute id> [<filename>]

Ejemplo

En este ejemplo se obtiene el valor del atributo extraíble de una clave de los HSM. Puede utilizar un comando de este tipo para determinar si puede exportar una clave desde los HSM.

El primer comando utiliza listAttributes para encontrar la constante que representa el atributo extraíble. La salida muestra que la constante de OBJ_ATTR_EXTRACTABLE es 354. Encontrará también esta información con las descripciones de los atributos y sus valores, en la Referencia de los atributos de claves.

aws-cloudhsm> listAttributes

Following are the possible attribute values for getAttribute:

      OBJ_ATTR_CLASS                  = 0
      OBJ_ATTR_TOKEN                  = 1
      OBJ_ATTR_PRIVATE                = 2
      OBJ_ATTR_LABEL                  = 3
      OBJ_ATTR_TRUSTED                = 134
      OBJ_ATTR_KEY_TYPE               = 256
      OBJ_ATTR_ID                     = 258
      OBJ_ATTR_SENSITIVE              = 259
      OBJ_ATTR_ENCRYPT                = 260
      OBJ_ATTR_DECRYPT                = 261
      OBJ_ATTR_WRAP                   = 262
      OBJ_ATTR_UNWRAP                 = 263
      OBJ_ATTR_SIGN                   = 264
      OBJ_ATTR_VERIFY                 = 266
      OBJ_ATTR_DERIVE                 = 268
      OBJ_ATTR_LOCAL                  = 355
      OBJ_ATTR_MODULUS                = 288
      OBJ_ATTR_MODULUS_BITS           = 289
      OBJ_ATTR_PUBLIC_EXPONENT        = 290
      OBJ_ATTR_VALUE_LEN              = 353
      OBJ_ATTR_EXTRACTABLE            = 354
      OBJ_ATTR_NEVER_EXTRACTABLE      = 356
      OBJ_ATTR_ALWAYS_SENSITIVE       = 357
      OBJ_ATTR_DESTROYABLE            = 370
      OBJ_ATTR_KCV                    = 371
      OBJ_ATTR_WRAP_WITH_TRUSTED      = 528      
      OBJ_ATTR_WRAP_TEMPLATE          = 1073742353
      OBJ_ATTR_UNWRAP_TEMPLATE        = 1073742354
      OBJ_ATTR_ALL                    = 512
    

El segundo comando utiliza getAttribute para obtener el valor del atributo extraíble de la clave que tiene el identificador de clave 262170 en los HSM. Para especificar el atributo extraíble, el comando utiliza 354, la constante que representa el atributo. Como el comando no especifica el nombre de archivo, getAttribute escribe la salida en stdout.

La salida muestra que el valor del atributo extraíble es 1 en todos los HSM. Este valor indica que el propietario de la clave puede exportarla. Cuando el valor es 0 (0x0), no se puede exportar desde los HSM. El valor del atributo extraíble se establece al crear la clave, pero no se puede cambiar.

aws-cloudhsm> getAttribute 262170 354

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_EXTRACTABLE
0x00000001

Attribute Value on server 1(10.0.1.12):
OBJ_ATTR_EXTRACTABLE
0x00000001

Attribute Value on server 2(10.0.1.7):
OBJ_ATTR_EXTRACTABLE
0x00000001

Argumentos

Dado que estos comandos no tienen parámetros designados, debe introducir los argumentos en el orden especificado en los diagramas de sintaxis.

getAttribute <key handle> <attribute id> [<filename>]

<key-handle>

Especifica el identificador de la clave de destino. Puede especificar una única clave en cada comando. Para obtener el identificador de una clave, use findKey en key_mgmt_util.

Debe ser propietario de la clave especificada o esta debe compartirse con usted. Para encontrar los usuarios de una clave, utilice getKeyInfokey_mgmt_util.

Obligatorio: sí

<attribute id>

Identifica el atributo. Escriba una constante que represente un atributo o 512, que representa todos los atributos. Por ejemplo, para obtener el tipo de clave, especifique 256, que es la constante del atributo OBJ_ATTR_KEY_TYPE.

Para generar una lista de los atributos y sus constantes, utilice listAttributes. Para obtener ayuda para interpretar los atributos de clave, consulte la Referencia de los atributos de claves.

Obligatorio: sí

<filename>

Escribe la salida en el archivo especificado. Escriba una ruta de archivo.

Si el archivo especificado existe, getAttribute sobrescribe el archivo sin ningún tipo de advertencia.

Obligatorio: no

Valor predeterminado: stdout

Temas relacionados de

• getAttribute en key_mgmt_util

• listAttributes

• setAttribute en cloudhsm_mgmt_util

• setAttribute en key_mgmt_util

• Referencia de los atributos de claves