キーの共有と共有解除

では AWS CloudHSM、キーを作成する CU がキーを所有します。所有者はキーを管理し、エクスポートおよび削除し、また、暗号化オペレーションでキーを使用できます。また、所有者は、他の CU ユーザーとキーを共有することもできます。キーを共有するユーザーは、暗号化オペレーションでキーを使用することはできますが、そのキーのエクスポート、削除、または他のユーザーとの共有はできません。

キーの作成時に、 genSymKeyや genRSA コマンドの -uパラメータを使用するなどして、他の CU ユーザーとキーを共有できます。 genRSAKeyPair 別の HSM ユーザーと既存のキーを共有するには、cloudhsm_mgmt_util コマンドラインツールを使用します。これは、このセクションで説明しているほとんどのタスク (key_mgmt_util コマンドラインツールを使用するもの) とは異なります。

キーを共有する前に、cloudhsm_mgmt_util を起動し、暗号化を有効に end-to-endして、HSMsにログインする必要があります。キーを共有するには、キーを所有する crypto user (CU) として HSM にログインします。キーの所有者のみがキーを共有することができます。

shareKey コマンドを使用してキーを共有または共有解除します。キーのハンドルと、ユーザーの ID を指定します。複数のユーザーと共有または共有解除するには、ユーザー ID のカンマ区切りのリストを指定します。キーを共有するには、次の例のように、コマンドの最後のパラメーターとして 1 を使用します。共有解除するには、0 を使用します。

aws-cloudhsm>shareKey 524295 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.2.9)
shareKey success on server 1(10.0.3.11)
shareKey success on server 2(10.0.1.12)

shareKey コマンドの構文を次に示します。

aws-cloudhsm>shareKey <key handle> <user ID> <Boolean: 1 for share, 0 for unshare>