Haga que los usuarios de una AWS CloudHSM clave usen KMU - AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Haga que los usuarios de una AWS CloudHSM clave usen KMU

Utilice el getKeyInfo comando de AWS CloudHSM key_mgmt_util para devolver el usuario del módulo de seguridad de hardware (HSM) de los usuarios que pueden usar la clave, incluidos el propietario y IDs los usuarios criptográficos (CU) con los que se comparte la clave. Cuando la autenticación de cuórum está habilitada en una clave, getKeyInfo también devuelve el número de usuarios que deben aprobar las operaciones criptográficas que utilizan la clave. Solamente puede ejecutar getKeyInfo en las claves que son de su propiedad y han compartido con usted.

Cuando se utiliza una getKeyInfo clave pública, getKeyInfo devuelve únicamente al propietario de la clave, aunque todos los usuarios de la HSM clave puedan utilizarla. Para encontrar el HSM usuario IDs de los usuarios que tieneHSMs, utilice listUsers. Para buscar las claves de un usuario concreto, utilice findKey-u.

Es propietario de las claves que crea. Puede compartir una clave con otros usuarios cuando la crea. Luego, para compartir o dejar de compartir una clave existente, usa shareKeycloudhsm_mgmt_util.

Antes de ejecutar cualquier comando key_mgmt_util, debe iniciar key_mgmt_util e iniciar sesión en ella como usuario criptográfico (CU). HSM

Sintaxis

getKeyInfo -h getKeyInfo -k <key-handle>

Ejemplos

En estos ejemplos, se muestra cómo se utiliza getKeyInfo para obtener información sobre los usuarios de una clave.

ejemplo : obtención de los usuarios para una clave simétrica

Este comando muestra los usuarios que pueden usar la clave (simétrica) con el identificador de teclas. AES 9 El resultado muestra que el usuario 3 es propietario de la clave y la comparte con el usuario 4.

Command: getKeyInfo -k 9 Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3 also, shared to following 1 user(s): 4
ejemplo : obtención de los usuarios para un par de claves asimétricas

Estos comandos se utilizan getKeyInfo para obtener los usuarios que pueden usar las teclas en un par de claves RSA (asimétricas). La clave pública tiene el identificador de clave 21. La clave privada tiene el identificador de clave 20.

Cuando se getKeyInfo ejecuta la clave privada (20), devuelve al propietario de la clave (3) y a los usuarios criptográficos (CUs) 4 y 5, con los que se comparte la clave.

Command: getKeyInfo -k 20 Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3 also, shared to following 2 user(s): 4 5

Cuando ejecuta getKeyInfo en la clave pública (21), solamente devuelve el propietario de la clave (3).

Command: getKeyInfo -k 21 Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3

Para confirmar que el usuario 4 puede usar la clave pública (y todas las claves públicas que HSM contiene), usa el -u parámetro de findKey.

El resultado muestra que el usuario 4 puede utilizar la clave pública (21) y la clave privada (20) en el par de claves. El usuario 4 también puede utilizar todas las demás claves públicas y cualquier clave privada creadas o que se hayan compartido con ellos.

Command: findKey -u 4 Total number of keys present 8 number of keys matched from start index 0::7 11, 12, 262159, 262161, 262162, 19, 20, 21 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
ejemplo : obtención del valor de autenticación de cuórum (m_value) para una clave

Este ejemplo muestra cómo obtener el m_value para una clave, esto es, el número de usuarios en el cuórum que debe aprobar las operaciones criptográficas que utilizan la clave.

Cuando la autenticación de cuórum está habilitada en una clave, un cuórum de usuarios debe aprobar cualquier operación criptográfica que utilice la clave. Para habilitar la autenticación de cuórum y establecer el tamaño de cuórum, utilice el parámetro -m_value al crear la clave.

Este comando usa genRSAKeyPair para crear un RSA key pair que se comparte con el usuario 4. Utiliza el parámetro m_value para habilitar la autenticación de cuórum en la clave privada en el par y establecer el tamaño de cuórum en dos usuarios. El número de usuarios debe ser lo suficientemente grande como para proporcionar las aprobaciones necesarias.

El resultado muestra que el comando creó la clave pública 27 y la clave privada 28.

Command: genRSAKeyPair -m 2048 -e 195193 -l rsa_mofn -id rsa_mv2 -u 4 -m_value 2 Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS Cfm3GenerateKeyPair: public key handle: 27 private key handle: 28 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Node id 1 and err state 0x00000000 : HSM Return: SUCCESS

Este comando utiliza getKeyInfo para obtener información sobre los usuarios de la clave privada. El resultado muestra que la clave es propiedad del usuario 3 y se comparte con el usuario 4. También muestra que un cuórum de dos usuarios debe aprobar todas las operaciones criptográficas que utilizan la clave.

Command: getKeyInfo -k 28 Cfm3GetKey returned: 0x00 : HSM Return: SUCCESS Owned by user 3 also, shared to following 1 user(s): 4 2 Users need to approve to use/manage this key

Parámetros

-h

Muestra la ayuda de la línea de comando para el comando.

Obligatorio: sí

-k

Especifica el identificador de clave de una tecla delHSM. Escriba el identificador de una clave de su propiedad o que comparte. Este parámetro es obligatorio.

Para encontrar los identificadores de las teclas, utilice el findKeycomando.

Obligatorio: sí

Temas relacionados de