CloudHSM CLI を使用してキーを生成します - AWS CloudHSM
対称キーの生成非対称キーの生成 関連トピック

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudHSM CLI を使用してキーを生成します

キーを生成する前に、CloudHSM CLI を起動し、Crypto User (CU) としてログインする必要があります。HSM でキーを生成するには、生成したいキーと対応するタイプのコマンドを使用します。

対称キーの生成

key generate-symmetric に記載されているコマンドを使用して対称キーを生成します。利用可能なオプションをすべて確認するには、help key generate-symmetric コマンドを使用します。

AES キーの生成

key generate-symmetric aes コマンドを使用して AES キーを生成します。利用可能なオプションをすべて確認するには、help key generate-symmetric aes コマンドを使用します。

次の例では 32 バイトの AES キーを生成します。

aws-cloudhsm > key generate-symmetric aes \
    --label aes-example \
    --key-length-bytes 32

引数

<LABEL>

AES キーのユーザー定義ラベルを指定します。

必須: はい

<KEY-LENGTH-BYTES>

キーの長さをバイト単位で指定します。

有効値:

  • 16、24、32

必須: はい

<KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式で生成された AES キーに設定するキー属性のスペース区切りリストを指定します (例: token=true)。

サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいCloudHSM CLI のキー属性

必須: いいえ

<SESSION>

現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。

セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。

デフォルトでは、生成されるキーは永続/トークンキーです。<SESSION> を使用するとこれは変更され、この引数で生成されたキーがセッション/エフェメラルであることが保証されます

必須: いいえ

汎用シークレットキーを生成します

key generate-symmetric generic-secret コマンドを使用して汎用シークレットキーを生成します。利用可能なオプションをすべて確認するには、help key generate-symmetric generic-secret コマンドを使用します。

次の例では、32 バイトの汎用シークレットキーを生成します。

aws-cloudhsm > key generate-symmetric generic-secret \
    --label generic-secret-example \
    --key-length-bytes 32
引数
<LABEL>

汎用シークレットキーのユーザー定義ラベルを指定します。

必須: はい

<KEY-LENGTH-BYTES>

キーの長さをバイト単位で指定します。

有効値:

  • 1~800

必須: はい

<KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式で生成された汎用シークレットキーに設定するキー属性のスペース区切りリストを指定します (例: token=true)。

サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいCloudHSM CLI のキー属性

必須: いいえ

<SESSION>

現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。

セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。

デフォルトでは、生成されるキーは永続/トークンキーです。<SESSION> を使用するとこれは変更され、この引数で生成されたキーがセッション/エフェメラルであることが保証されます

必須: いいえ

非対称キーの生成

キー generate-asymmetric-pair に記載されているコマンドを使用して非対称キーペアを生成します。

RSA キーの生成

key generate-asymmetric-pair rsa コマンドを使用して RSA キーペアを生成します 利用可能なオプションをすべて確認するには、help key generate-asymmetric-pair rsa コマンドを使用します。

次の例では、RSA 2048 ビットのキーペアが生成されます。

aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

引数

<PUBLIC_LABEL>

パブリックキーのユーザー定義ラベルを指定します。

必須: はい

<PRIVATE_LABEL>

プライベートキーのユーザー定義ラベルを指定します。

必須: はい

<MODULUS_SIZE_BITS>

モジュラスの長さをビット単位で指定します。最小値は 2048 です。

必須: はい

<PUBLIC_EXPONENT>

パブリック指数を指定します。値は、65537 以上の奇数にする必要があります

必須: はい

<PUBLIC_KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式で生成された RSA パブリックキーに設定するキー属性のスペース区切りリストを指定します (例: token=true)。

サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいCloudHSM CLI のキー属性

必須: いいえ

<SESSION>

現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。

セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。

デフォルトでは、生成されるキーは永続/トークンキーです。<SESSION> を使用するとこれは変更され、この引数で生成されたキーがセッション/エフェメラルであることが保証されます

必須: いいえ

EC (楕円曲線暗号) キーペアの生成

key generate-asymmetric-pair ec コマンドを使用して EC キーペアを生成します。サポートされている楕円曲線のリストを含め、利用可能なオプションをすべて確認するには、help key generate-asymmetric-pair ec コマンドを使用します。

次の例では、Secp384r1 楕円曲線 を使用して EC キーペアを生成します。

aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example
引数
<PUBLIC_LABEL>

パブリックキーのユーザー定義ラベルを指定します。で使用できる最大サイズlabelは、クライアント SDK 5.11 以降では 127 文字です。Client SDK 5.10 以前では、126 文字に制限されています。

必須: はい

<PRIVATE_LABEL>

プライベートキーのユーザー定義ラベルを指定します。で使用できる最大サイズlabelは、クライアント SDK 5.11 以降では 127 文字です。Client SDK 5.10 以前では、126 文字に制限されています。

必須: はい

<CURVE>

楕円曲線の識別子を指定します。

有効値:

  • prime256v1

  • secp256r1

  • secp224r1

  • secp384r1

  • secp256k1

  • secp521r1

必須: はい

<PUBLIC_KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式で生成された EC パブリックキーに設定するキー属性のスペース区切りリストを指定します (例: token=true)。

サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいCloudHSM CLI のキー属性

必須: いいえ

<PRIVATE_KEY_ATTRIBUTES>

KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE 形式で生成された EC プライベートキーに設定するキー属性のスペース区切りリストを指定します (例: token=true)。

サポートされている AWS CloudHSM キー属性のリストについては、「」を参照してくださいCloudHSM CLI のキー属性

必須: いいえ

<SESSION>

現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。

セッションキーを永続(トークン)キーに変更するには、key set-attribute を使用します。

デフォルトでは、生成されるキーは永続 (トークン) キーです。<SESSION> で渡すことでこれが変わり、この引数で生成されたキーがセッション (エフェメラル) キーであることが保証されます。

必須: いいえ

関連トピック