Condivisione chiave

Il comando key share condivide una chiave con altri CU del cluster dell'AWS CloudHSM.

Solo il CU che ha creato la chiave e di conseguenza la possiede può condividere la chiave. Gli utenti con cui è condivisa la chiave possono utilizzarla in operazioni di crittografia, ma non possono eliminarla, esportarla, condividerla o annullarne la condivisione. Inoltre, questi utenti non possono modificare gli attributi della chiave.

Tipo di utente

I seguenti tipi di utenti possono eseguire questo comando.

• Utenti di crittografia (CU)

Requisiti

Per eseguire questo comando, è necessario aver effettuato l'accesso come CU.

Sintassi

aws-cloudhsm > help key share
Share a key in the HSM cluster with another user

Usage: key share --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for sharing

      --username <USERNAME>
          A username with which the key will be shared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

  -h, --help
          Print help (see a summary with '-h')

Esempio: condividere una chiave con un altro CU

L'esempio seguente mostra come utilizzare il comando key share per condividere una chiave con il CU alice.

1. Esegui il comando key share per condividere la chiave con alice.

   aws-cloudhsm > key share --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
   {
     "error_code": 0,
     "data": {
       "message": "Key shared successfully"
     }
   }

2. Esegui il comando key list.

   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
               {
                 "username": "alice",
                 "key-coverage": "full"
               }
             ],
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "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",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   

3. Nell'elenco precedente, la verifica alice è nell'elenco di shared-users

Argomenti

<FILTER>

Riferimento chiave (ad esempio,key-reference=0xabc) o elenco separato da spazi di attributi chiave sotto forma attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE di selezione di una chiave corrispondente da eliminare.

Per un elenco degli attributi delle chiavi supportati, vedi Attributi chiavi per la CLI di CloudHSM.

Campo obbligatorio: sì

<NOME UTENTE>

Specifica un nome intuitivo per l'utente. La lunghezza massima è 31 caratteri. L'unico carattere speciale consentito è il trattino basso (_). In questo comando il nome utente non è sensibile alle maiuscole e minuscole, il nome utente viene sempre visualizzato in minuscolo.

Campo obbligatorio: sì

<RUOLO>

Specifica il ruolo assegnato a questo utente. Questo parametro è obbligatorio. Per ottenere il ruolo dell'utente, utilizzare il comando lista utenti. Per informazioni dettagliate sui tipi di utente su un HSM, vedi Informazioni sugli utenti HSM.

Campo obbligatorio: sì

Argomenti correlati

• Utilizzare la CLI di CloudHSM per filtrare le chiavi

• Attributi chiavi per la CLI di CloudHSM