翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
クラウドの主要な属性HSM CLI
このトピックでは、 クラウドHSMを使用してキー属性CLIを設定する方法について説明します。CloudHSM のキー属性CLIは、キーのタイプ、キーの機能、またはキーのラベル付け方法を定義できます。一部の属性は固有の特性 (キーのタイプなど) を定義します。その他の属性は「true」または「false」に設定できます。これらの属性を変更すると、キーの機能の一部が有効または無効になります。
キー属性の使用方法を示す例については、親コマンド キー の下にリストされているコマンドを参照してください。
サポートされている属性
ベストプラクティスとして、制限する属性の値のみを設定してください。値を指定しない場合、CloudHSM は以下の表で指定されたデフォルト値CLIを使用します。
次の表は、キー属性、指定できる値、デフォルト、および関連する注意事項を示しています。Value 列のセルが空の場合は、属性に割り当てられている特定のデフォルト値がないことを示します。
クラウドHSMCLI属性 | 値 | key set-attributeで変更可能 | キー作成時に設定可能 |
---|---|---|---|
always-sensitive |
|
なし | なし |
check-value |
キーのチェック値。詳細については、「その他の詳細」を参照してください。 | なし | なし |
class |
想定される値: |
なし | あり |
curve |
EC キーペア生成に使用される楕円曲線。 有効な値: |
なし | EC で設定可能、 で設定不可 RSA |
decrypt |
デフォルト: |
あり | あり |
derive |
デフォルト: |
あり | あり |
destroyable |
デフォルト: |
あり | あり |
ec-point |
EC キーの場合、ANSIX9.62 DERECPoint値「Q」を 16 進数形式でエンコードします。 他のキータイプの場合、この属性は存在しません。 |
なし | なし |
encrypt |
デフォルト: |
あり | あり |
extractable |
デフォルト: |
なし | あり |
id |
デフォルト: 空 | なし | あり |
key-length-bytes |
AES キーの生成に必要です。 有効な値: |
なし | なし |
key-type |
想定される値: |
なし | あり |
label |
デフォルト: 空 | あり | あり |
local |
デフォルト: で生成されたキー |
なし | なし |
modifiable |
デフォルト: |
なし | なし |
modulus |
RSA キーペアの生成に使用されたモジュラス。他のキータイプの場合、この属性は存在しません。 | なし | なし |
modulus-size-bits |
RSA キーペアの生成に必要です。 最小値は |
なし | で設定可能RSA、EC で設定不可 |
never-extractable |
この値は、抽出可能が この値は、抽出可能が |
なし | なし |
private |
デフォルト: |
なし | あり |
public-exponent |
RSA キーペアの生成に必要です。 有効な値: 値は、 |
なし | で設定可能RSA、EC で設定不可 |
sensitive |
デフォルト:
|
なし | プライベートキーでは設定可能で、パブリックキーでは設定できません。 |
sign |
デフォルト:
|
あり | あり |
token |
デフォルト: |
なし | あり |
trusted |
デフォルト: |
あり | なし |
unwrap |
デフォルト: False |
あり | あり |
unwrap-template |
値は、このラッピングキーを使用してラップ解除されたキーに適用される属性テンプレートを使用する必要があります。 | あり | なし |
verify |
デフォルト:
|
あり | あり |
wrap |
デフォルト: False |
あり | あり |
wrap-template |
値は、属性テンプレートを使用し、このラッピングキーでラップされたキーと一致させる必要があります。 | あり | なし |
wrap-with-trusted |
デフォルト: |
あり | あり |
その他の詳細
- 値の確認
-
チェック値は、キーHSMをインポートまたは生成するときに生成されるキーの 3 バイトのハッシュまたはチェックサムです。キーをエクスポートした後などHSM、 の外部でチェック値を計算することもできます。次に、チェック値を比較して、キーのアイデンティティと整合性を確認できます。キーのチェック値を取得するには、キーリストに Verbose (詳細) フラグを付けて使用します。
AWS CloudHSM は、次の標準メソッドを使用してチェック値を生成します。
-
対称キー: ゼロブロックをキーで暗号化した結果の最初の 3 バイト。
-
非対称キーペア : パブリックキーの SHA-1 ハッシュの最初の 3 バイト。
-
HMAC キー: HMACキーKCVの は、現時点ではサポートされていません。
-