Attributs pris en charge Informations supplémentaires Rubriques en relation

Attributs de clé de la CLI CloudHSM

Cette rubrique décrit comment utiliser la CLI CloudHSM pour définir des attributs clés. Un attribut de clé de la CLI CloudHSM peut définir le type d'une clé, le mode de fonctionnement d'une clé ou le libellé d'une clé. Certains attributs définissent des caractéristiques uniques (le type d'une clé, par exemple). Les autres attributs peuvent être définis sur vrai ou faux. Leur modification active ou désactive une partie des fonctionnalités de la clé.

Pour des exemples montrant comment utiliser les attributs clés, consultez les commandes répertoriées sous la commande parent clé.

Attributs pris en charge

Il est conseillé de spécifier uniquement des valeurs pour les attributs que vous souhaitez restreindre. Si vous n'indiquez pas de valeur, la CLI CloudHSM utilise la valeur par défaut spécifiée dans le tableau ci-dessous.

Le tableau suivant répertorie les principaux attributs, les valeurs possibles, les valeurs par défaut et les remarques associées. Une cellule vide dans la colonne Valeur indique qu'il n'y a aucune valeur par défaut attribuée à l'attribut.

Attribut de la CLI CloudHSM	Valeur	Modifiable avec une clé set-attribute	Réglable lors de la création de la clé
`always-sensitive`	La valeur est `True` si `sensitive` a toujours été défini sur `True` et n'a jamais changé.	Non	Non
`check-value`	Valeur de contrôle de clé de la clé. Pour plus d'informations, consultez Informations supplémentaires.	Non	Non
`class`	Les valeurs possibles sont : `secret-key`, `public-key` et `private-key`.	Non	Oui
`curve`	Courbe elliptique utilisée pour générer la paire de clés EC. Valeurs valides : `secp224r1`, `secp256r1`, `prime256v1`, `secp384r1`, `secp256k1` et `secp521r1`	Non	Réglable avec RSA, non paramétrable avec EC
`decrypt`	Par défaut : `False`	Oui	Oui
`derive`	Par défaut : `False`	Oui	Oui
`destroyable`	Par défaut : `True`	Oui	Oui
`ec-point`	Pour les clés EC, codage DER de la valeur ECPoint ANSI X9.62 « Q » au format hexadécimal. Pour les autres types de clé, cet attribut n'existe pas.	Non	Non
`encrypt`	Par défaut : `False`	Oui	Oui
`extractable`	Par défaut : `True`	Non	Oui
`id`	Par défaut : Empty	Non	Oui
`key-length-bytes`	Nécessaire pour générer une clé AES. Valeurs valides : `16`,`24`, et `32` octets.	Non	Non
`key-type`	Les valeurs possibles sont : `aes`, `rsa` et `ec`	Non	Oui
`label`	Par défaut : Empty	Oui	Oui
`local`	Par défaut : `True` pour les clés générées dans le HSM, `False` pour les clés importées dans le HSM.	Non	Non
`modifiable`	Par défaut : `True`	Non	Non
`modulus`	Module qui a été utilisé pour générer une paire de clés RSA. Pour les autres types de clé, cet attribut n'existe pas.	Non	Non
`modulus-size-bits`	Requis pour générer une paire de clés RSA. La valeur minimale est `2048`.	Non	Réglable avec RSA, non paramétrable avec EC
`never-extractable`	La valeur est `True` si extractable n'a jamais été défini sur `False`. La valeur est `False` si extractable a déjà été défini sur `True`.	Non	Non
`private`	Par défaut : `True`	Non	Oui
`public-exponent`	Requis pour générer une paire de clés RSA. Valeurs valides : la valeur doit être un nombre impair supérieur ou égal à `65537`.	Non	Réglable avec RSA, non paramétrable avec EC
`sensitive`	Par défaut : La valeur est `True` pour les clés AES et les clés privées EC et RSA. La valeur est `False` pour les clés publiques EC et RSA.	Non	Paramétrable avec des clés privées, non paramétrable avec des clés publiques.
`sign`	Par défaut : La valeur est `True` pour les clés AES. La valeur est `False` pour les clés RSA et EC.	Oui	Oui
`token`	Par défaut : `False`	Non	Oui
`trusted`	Par défaut : `False`	Oui	Non
`unwrap`	Par défaut : `False`	Oui	Oui
`unwrap-template`	Les valeurs doivent utiliser le modèle d'attribut appliqué à toute clé désencapsulée à l'aide de cette clé d'encapsulage.	Oui	Non
`verify`	Par défaut : La valeur est `True` pour les clés AES. La valeur est `False` pour les clés RSA et EC.	Oui	Oui
`wrap`	Par défaut : `False`	Oui	Oui
`wrap-template`	Les valeurs doivent utiliser le modèle d'attribut pour correspondre à la clé encapsulée à l'aide de cette clé d'encapsulage.	Oui	Non
`wrap-with-trusted`	Par défaut : `False`	Oui	Oui

Informations supplémentaires

Valeur de contrôle

La valeur de contrôle est un hachage ou une somme de contrôle de 3 octets d'une clé générée lorsque le HSM importe ou génère une clé. Vous pouvez également calculer une valeur de contrôle en dehors du HSM, par exemple après avoir exporté une clé. Vous pouvez ensuite comparer les valeurs de contrôle pour confirmer l'identité et l'intégrité de la clé. Pour obtenir la valeur de contrôle d'une clé, utilisez la liste des clés avec l'indicateur détaillé.

AWS CloudHSM utilise les méthodes standard suivantes pour générer une valeur de contrôle :

Clés symétriques : les 3 premiers octets du résultat du chiffrement d'un bloc zéro avec la clé.
Paires de clés asymétriques : les 3 premiers octets du hachage SHA-1 de la clé publique.
Clés HMAC : la KCV pour les clés HMAC n'est pas prise en charge pour le moment.

Rubriques en relation

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Modes de commande interactifs et uniques

Migrer de la CMU et de la KMU vers la CLI CloudHSM