findAllKeys - AWS CloudHSM
ユーザーのタイプ構文引数 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

findAllKeys

cloudhsm_mgmt_util の findAllKeys コマンドで、指定した Crypto User (CU) が所有または共有しているキーを取得します。HSM のそれぞれのユーザーデータのハッシュも返されます。ハッシュを使用して、ユーザー、キーの所有権、およびキー共有データがクラスター内のすべての HSM で同じかどうかを一目で判断できます。出力では、ユーザーが所有するキーは (o) によって注釈が付けられ、共有キーは (s) によって注釈が付けられます。

HSM のすべての CU が任意のパブリックキーを使用できますが、findAllKeys がパブリックキーを返すのは、指定した CU がそのキーを所有している場合のみです。この動作は、すべての CU ユーザーに公開キーを返す key_mgmt_util の findKey とは異なります。

Crypto Officer (CO および PCO) と Appliance User (AU) のみがこのコマンドを実行できます。Crypto User (CU) は、次のコマンドを実行することができます。

  • listUsers – すべてのユーザーを検索する

  • key_mgmt_util の findKey で、使用できるキーを見つけます。

  • getKeyInfo key_mgmt_util で、所有または共有する特定のキーの所有者と共有ユーザーを検索する

CMU コマンドを実行する前に CMU を起動し、HSM にログインする必要があります。ログインに使用するユーザータイプで、使用するコマンドを実行できることを確認してください。

HSM を追加または削除する場合は、CMU の設定ファイルを更新します。さもないと、クラスター内のすべての HSM で変更が有効にならない場合があります。

ユーザーのタイプ

このコマンドは、次のユーザーが実行できます。

  • Crypto Officer (CO、PCO)

  • Appliance User (AU)

構文

このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。

findAllKeys <user id> <key hash (0/1)> [<output file>]

以下の例では、findAllKeys を使用してユーザーのすべてのキーを検索し、HSM のそれぞれのキーユーザー情報のハッシュを取得する方法を示します。

例 : CU のキーを検索する

次の例では、findAllKeys を使用して、ユーザー 4 が所有および共有している HSM のキーを検索します。このコマンドでは、2 番目の引数に値 0 を使用してハッシュ値を抑制します。オプションのファイル名が省略されるため、コマンドは stdout に書き込みを行います (標準出力)。

出力は、ユーザー 4 が 6 つのキー (8、9、17、262162、19、および 31) を使用できることを示しています。出力では、(s) を使用して、ユーザーが明示的に共有するキーが示されます。ユーザーが所有するキーは (o) によって示され、ユーザが共有しない対称キーとプライベートキー、およびすべての Crypto User が使用できる公開キーが含まれます。

aws-cloudhsm> findAllKeys 4 0
Keys on server 0(10.0.0.1):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.2)

Keys on server 1(10.0.0.3):
Number of keys found 6
number of keys matched from start index 0::6
8(s),9(s),17,262162(s),19(o),31(o)
findAllKeys success on server 1(10.0.0.3)
例 : ユーザーデータが同期されていることを検証する

次の例では findAllKeys を使用して、クラスター内の HSM のすべてが同じユーザー、キーの所有者、およびキー共有の値を含んでいることを検証します。これを行うため、各 HSM のキーユーザーデータのハッシュを取得し、ハッシュ値を比較します。

キーハッシュを取得するため、このコマンドでは 2 番目の引数に値 1 を使用します。オプションのファイル名が省略されるため、コマンドはキーハッシュを stdout に書き込みます。

この例ではユーザー 6 を指定しますが、HSM のキーを所有または共有するどのユーザーに対してもハッシュ値は同じです。指定したユーザーが CO などのキーを所有または共有していない場合、コマンドはハッシュ値を返しません。

出力は、キーハッシュがクラスター内の両方の HSM と同じであることを示しています。HSM の 1 つに異なるユーザー、異なるキー所有者、または異なる共有ユーザーがいた場合、キーハッシュ値は同じにはなりません。

aws-cloudhsm> findAllKeys 6 1
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11,17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 3
number of keys matched from start index 0::3
8(s),9(s),11(o),17(s)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

次のコマンドは、ハッシュ値が HSM のすべてのキーのユーザーデータを表すことを示しています。このコマンドでは、ユーザー 3 に対して findAllKeys を使用します。3 つのキーだけを所有または共有しているユーザー 6 とは異なり、ユーザー 3 は 17 個のキーを所有または共有していますが、キーハッシュ値は同じです。

aws-cloudhsm> findAllKeys 3 1
Keys on server 0(10.0.0.1):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 0(10.0.0.1)
Keys on server 1(10.0.0.2):
Number of keys found 17
number of keys matched from start index 0::17
6(o),7(o),8(s),11(o),12(o),14(o),262159(o),262160(o),17(s),262162(s),19(s),20(o),21(o),262177(o),262179(o),262180(o),262181(o)
Key Hash:
55655676c95547fd4e82189a072ee1100eccfca6f10509077a0d6936a976bd49

findAllKeys success on server 1(10.0.0.2)

引数

このコマンドには名前付きパラメータがないため、引数は図表で指定された順序で入力する必要があります。

findAllKeys <user id> <key hash (0/1)> [<output file>]
<user id>

指定したユーザーが所有または共有しているすべてのキーを取得します。HSM のユーザーのユーザー ID を入力します。すべてのユーザーのユーザー ID を検索するには、listUsers を使用します。

すべてのユーザー ID が有効ですが、findAllKeys は Crypto User (CU) のキーのみを返します。

必須: はい

<key hash>

各 HSM のすべてのキーのユーザーの所有権とデータ共有のハッシュを含める (1) か除外 (0) します。

user id 引数がキーを所有または共有しているユーザーを表す場合、キーハッシュが入力されます。異なるキーを所有または共有していても、キーハッシュ値は、HSM でキーを所有または共有しているすべてのユーザーで同じです。ただし、user id が CO などのキーを所有または共有していないユーザーを表す場合、ハッシュ値は入力されません。

必須: はい

<output file>

指定したファイルに出力を書き込みます。

必須: いいえ

デフォルト: Stdout

関連トピック