Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
setAttribute
La commande setAttribute de cloudhsm_mgmt_util modifie la valeur de l'étiquette, chiffre et déchiffre, encapsule et désencapsule les attributs d'une clé dans les HSM. Vous pouvez également utiliser la commande setAttribute de key_mgmt_util pour convertir une clé de session en clé persistante. Vous pouvez uniquement modifier les attributs des clés qui vous appartiennent.
Avant d'exécuter une commande de CMU, vous devez démarrer l’utilitaire CMU et vous connecter au HSM. Veillez à ce que le type d'utilisateur du compte que vous utilisez pour vous connecter puisse exécuter les commandes que vous prévoyez d'utiliser.
Si vous ajoutez ou supprimez des HSM, mettez à jour les fichiers de configuration de l’utilitaire CMU. Sinon, les modifications que vous apportez peuvent ne pas être effectives sur tous les HSM du cluster.
Type utilisateur
Les utilisateurs suivants peuvent exécuter cette commande.
-
Utilisateurs de chiffrement (CU)
Syntaxe
Comme cette commande n'a pas de paramètres nommés, vous devez entrer les arguments dans l'ordre spécifié dans le diagramme de syntaxe.
setAttribute<key handle><attribute id>
Exemple
Cet exemple montre comment désactiver la fonction de déchiffrement d'une clé symétrique. Vous pouvez utiliser une commande comme celle-ci pour configurer une clé d'encapsulage, pour encapsuler et désencapsuler d'autres clés, mais pas pour chiffrer ou déchiffrer les données.
La première étape consiste à créer la clé d'encapsulage. Cette commande est utilisée genSymKeydans key_mgmt_util pour générer une clé symétrique AES 256 bits. La sortie indique que la nouvelle clé a le handle de clé 14.
$genSymKey -t 31 -s 32 -l aes256Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 14 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Ensuite, nous voulons confirmer la valeur actuelle de l'attribut de déchiffrement. Pour obtenir l'ID de l'attribut de déchiffrement, utilisez listAttributes. La sortie indique que la constante qui représente l'attribut OBJ_ATTR_DECRYPT est 261. Pour obtenir de l'aide sur l'interprétation des attributs de clés, consultez le Référence des attributs de clé.
aws-cloudhsm>listAttributesFollowing are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512
Pour obtenir la valeur actuelle de l'attribut de déchiffrement pour la clé 14, la commande suivante utilise getAttribute dans cloudhsm_mgmt_util.
La sortie indique que la valeur de l'attribut de déchiffrement est « vrai » (1) sur les deux HSM du cluster.
aws-cloudhsm>getAttribute 14 261Attribute Value on server 0(10.0.0.1): OBJ_ATTR_DECRYPT 0x00000001 Attribute Value on server 1(10.0.0.2): OBJ_ATTR_DECRYPT 0x00000001
Cette commande utilise setAttribute pour modifier la valeur de l'attribut de déchiffrement (attribut 261) de la clé 14 en 0. Cela permet de désactiver la fonction de déchiffrement sur la clé.
La sortie indique que la commande a abouti sur les deux HSM du cluster.
aws-cloudhsm>setAttribute 14 261 0*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?ysetAttribute success on server 0(10.0.0.1) setAttribute success on server 1(10.0.0.2)
La dernière commande répète la commande getAttribute. Là encore, elle obtient l'attribut de déchiffrement (attribut 261) de la clé 14.
Cette fois, la sortie indique que la valeur de l'attribut de déchiffrement est « faux » (0) sur les deux HSM du cluster.
aws-cloudhsm>getAttribute 14 261 Attribute Value on server 0(10.0.3.6): OBJ_ATTR_DECRYPT 0x00000000 Attribute Value on server 1(10.0.1.7): OBJ_ATTR_DECRYPT 0x00000000
Arguments
setAttribute<key handle><attribute id>
- <handle-clé>
-
Spécifie le handle de clé d'une clé symétrique qui vous appartient. Vous pouvez spécifier une seule clé dans chaque commande. Pour obtenir le handle d'une clé, utilisez findKey dans key_mgmt_util. Pour rechercher les utilisateurs d'une clé, utilisez getKeyInfo.
Obligatoire : oui
- <ID attribut>
-
Spécifie la constante qui représente l'attribut que vous souhaitez modifier. Vous pouvez spécifier un seul attribut dans chaque commande. Pour obtenir les attributs et leurs valeurs entières, utilisez listAttributes. Pour obtenir de l'aide sur l'interprétation des attributs de clé, consultez le Référence des attributs de clé.
Valeurs valides :
-
3 –
OBJ_ATTR_LABEL. -
134 –
OBJ_ATTR_TRUSTED. -
260 –
OBJ_ATTR_ENCRYPT. -
261 –
OBJ_ATTR_DECRYPT. -
262 –
OBJ_ATTR_WRAP. -
263 –
OBJ_ATTR_UNWRAP. -
264 –
OBJ_ATTR_SIGN. -
266 –
OBJ_ATTR_VERIFY. -
268 –
OBJ_ATTR_DERIVE. -
370 –
OBJ_ATTR_DESTROYABLE. -
528 –
OBJ_ATTR_WRAP_WITH_TRUSTED. -
1073742353 –
OBJ_ATTR_WRAP_TEMPLATE. -
1073742354 –
OBJ_ATTR_UNWRAP_TEMPLATE.
Obligatoire : oui
-
Rubriques en relation
setAttribute dans key_mgmt_util
