Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation de la CLI CloudHSM pour générer des clés
Avant de générer une clé, vous devez démarrer la CLI CloudHSM et vous connecter en tant qu'utilisateur de chiffrement (CU). Pour générer des clés sur le HSM, utilisez la commande qui correspond au type de clé que vous souhaitez générer.
Générer des clés symétriques
Utilisez les commandes répertoriées dans Clé generate-symmetric pour générer des clés symétriques. Pour consulter toutes les options disponibles, utilisez la commande help key generate-symmetric.
Générer une clé AES
Utilisez la commande key generate-symmetric aes pour générer des clés AES. Pour consulter toutes les options disponibles, utilisez la commande help key generate-symmetric aes.
L'exemple suivant génère une clé AES de 32 octets.
aws-cloudhsm >
key generate-symmetric aes \ --label aes-example \ --key-length-bytes 32
Arguments
<LABEL>
-
Spécifie l'étiquette définie par l'utilisateur pour la clé AES.
Obligatoire : oui
<KEY-LENGTH-BYTES>
-
Spécifie la taille de la clé en octets.
Valeurs valides :
16, 24 et 32
Obligatoire : oui
<KEY_ATTRIBUTES>
-
Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé AES générée sous la forme
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(par exemple,token=true
)Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.
Obligatoire : non
<SESSION>
-
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.
Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.
Par défaut, lorsque des clés sont générées, il s'agit de clés persistantes/de jeton. L’utilisation de <SESSION> modifie cela, pour garantir qu'une clé générée avec cet argument est une session/éphémère
Obligatoire : non
Générer une clé secrète générique
Utilisez la commande key generate-symmetric generic-secret pour générer des clés secrètes génériques. Pour consulter toutes les options disponibles, utilisez la commande help key generate-symmetric generic-secret.
L'exemple suivant génère une clé secrète générique de 32 octets.
aws-cloudhsm >
key generate-symmetric generic-secret \ --label generic-secret-example \ --key-length-bytes 32
Arguments
<LABEL>
-
Spécifie une étiquette définie par l'utilisateur pour la clé secrète générique.
Obligatoire : oui
<KEY-LENGTH-BYTES>
-
Spécifie la taille de la clé en octets.
Valeurs valides :
1 à 800
Obligatoire : oui
<KEY_ATTRIBUTES>
-
Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé secrète générique générée sous la forme
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(par exemple,token=true
)Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.
Obligatoire : non
<SESSION>
-
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.
Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.
Par défaut, lorsque des clés sont générées, il s'agit de clés persistantes/de jeton. L’utilisation de <SESSION> modifie cela, pour garantir qu'une clé générée avec cet argument est une session/éphémère
Obligatoire : non
Générer des clés asymétriques
Utilisez les commandes répertoriées dans clé generate-asymmetric-pair pour générer des paires de clés asymétriques.
Générer une clé RSA
Utilisez la commande key generate-asymmetric-pair rsa pour générer une paire de clés RSA. Pour consulter toutes les options disponibles, utilisez la commande help key generate-asymmetric-pair rsa.
L'exemple suivant génère une paire de clés RSA 2048 bits.
aws-cloudhsm >
key generate-asymmetric-pair rsa \ --public-exponent 65537 \ --modulus-size-bits 2048 \ --public-label rsa-public-example \ --private-label rsa-private-example
Arguments
<PUBLIC_LABEL>
-
Spécifie une étiquette définie par l'utilisateur pour la clé publique.
Obligatoire : oui
<PRIVATE_LABEL>
-
Spécifie l'étiquette définie par l'utilisateur pour la clé privée.
Obligatoire : oui
<MODULUS_SIZE_BITS>
-
Indique la longueur du module en bits. La valeur minimale est de 2048.
Obligatoire : oui
<PUBLIC_EXPONENT>
-
Spécifie l' exposant public. La valeur doit être un entier impair supérieur ou égal à 65 537.
Obligatoire : oui
<PUBLIC_KEY_ATTRIBUTES>
-
Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé publique RSA générée sous la forme
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(par exemple,token=true
).Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.
Obligatoire : non
<SESSION>
-
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.
Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.
Par défaut, lorsque des clés sont générées, il s'agit de clés persistantes/de jeton. L’utilisation de <SESSION> modifie cela, pour garantir qu'une clé générée avec cet argument est une session/éphémère
Obligatoire : non
Générez des paires de clés EC (Elliptic Curve Cryptography)
Utilisez la commande key generate-asymmetric-pair ec pour générer une paire de clés EC. Pour voir toutes les options disponibles, notamment une liste des courbes elliptiques prises en charge, utilisez la commande help key generate-asymmetric-pair ec.
L'exemple suivant génère une paire de clés EC à l'aide de la courbe elliptique Secp384r1.
aws-cloudhsm >
key generate-asymmetric-pair ec \ --curve secp384r1 \ --public-label ec-public-example \ --private-label ec-private-example
Arguments
<PUBLIC_LABEL>
-
Spécifie une étiquette définie par l'utilisateur pour la clé publique. La taille maximale autorisée
label
est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.Obligatoire : oui
<PRIVATE_LABEL>
-
Spécifie l'étiquette définie par l'utilisateur pour la clé privée. La taille maximale autorisée
label
est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.Obligatoire : oui
<CURVE>
-
Spécifie l'identifiant de la courbe elliptique.
Valeurs valides :
prime256v1
secp256r1
secp224r1
secp384r1
secp256k1
secp521r1
Obligatoire : oui
<PUBLIC_KEY_ATTRIBUTES>
-
Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé publique EC générée sous la forme
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(par exemple,token=true
).Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.
Obligatoire : non
<PRIVATE_KEY_ATTRIBUTES>
-
Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé privée EC générée sous la forme
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(par exemple,token=true
).Pour obtenir la liste des attributs AWS CloudHSM clés pris en charge, consultezAttributs de clé de la CLI CloudHSM.
Obligatoire : non
<SESSION>
-
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée. Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.
Pour remplacer une clé de session par une clé persistante (jeton), utilisez key set-attribute.
Par défaut, les clés générées sont des clés persistantes (jetons). La transmission vers <SESSION> change cela, garantissant qu'une clé générée avec cet argument est une clé de session (éphémère).
Obligatoire : non