As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
setAttribute
O comando setAttribute na cloudhsm_mgmt_util altera o valor dos atributos de rótulo, criptografia, descriptografia, agrupamento e desagrupamento de uma chave nos HSMs. Você também pode usar o comando setAttribute na key_mgmt_util para converter uma chave de sessão em uma chave persistente. Você só pode alterar os atributos das chaves que possui.
Antes de executar qualquer comando da CMU, você deve iniciar a CMU e fazer login no HSM. Certifique-se de fazer login com o tipo de conta de usuário que possa executar os comandos que você planeja usar.
Se adicionar ou excluir HSMs, atualize os arquivos de configuração do CMU. Caso contrário, as alterações que você fizer podem não ser efetivas em todos os HSMs no cluster.
Tipo de usuário
Os usuários a seguir podem executar este comando.
-
Usuários de criptografia (CU)
Sintaxe
Como esses comandos não têm parâmetros específicos, insira os argumentos na ordem especificada nos diagramas de sintaxe.
setAttribute<key handle><attribute id>
Exemplo
Esse exemplo mostra como desabilitar a funcionalidade de descriptografia de uma chave simétrica. É possível usar um comando como esse para configurar uma chave de encapsulamento, que deve ser capaz de encapsular e desencapsular outras chaves, mas não de criptografar ou descriptografar dados.
A primeira etapa é criar a chave de encapsulamento. Esse comando é usado genSymKeyem key_mgmt_util para gerar uma chave simétrica AES de 256 bits. A saída mostra que a nova chave tem o identificador de chave 14.
$genSymKey -t 31 -s 32 -l aes256Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS Symmetric Key Created. Key Handle: 14 Cluster Error Status Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Em seguida, queremos confirmar o valor atual do atributo de descriptografia. Para obter o ID do atributo de descriptografia, use listAttributes. A saída mostra que a constante que representa o atributo OBJ_ATTR_DECRYPT é 261. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributos de chave.
aws-cloudhsm>listAttributesFollowing are the possible attribute values for getAttribute: OBJ_ATTR_CLASS = 0 OBJ_ATTR_TOKEN = 1 OBJ_ATTR_PRIVATE = 2 OBJ_ATTR_LABEL = 3 OBJ_ATTR_TRUSTED = 134 OBJ_ATTR_KEY_TYPE = 256 OBJ_ATTR_ID = 258 OBJ_ATTR_SENSITIVE = 259 OBJ_ATTR_ENCRYPT = 260 OBJ_ATTR_DECRYPT = 261 OBJ_ATTR_WRAP = 262 OBJ_ATTR_UNWRAP = 263 OBJ_ATTR_SIGN = 264 OBJ_ATTR_VERIFY = 266 OBJ_ATTR_DERIVE = 268 OBJ_ATTR_LOCAL = 355 OBJ_ATTR_MODULUS = 288 OBJ_ATTR_MODULUS_BITS = 289 OBJ_ATTR_PUBLIC_EXPONENT = 290 OBJ_ATTR_VALUE_LEN = 353 OBJ_ATTR_EXTRACTABLE = 354 OBJ_ATTR_NEVER_EXTRACTABLE = 356 OBJ_ATTR_ALWAYS_SENSITIVE = 357 OBJ_ATTR_DESTROYABLE = 370 OBJ_ATTR_KCV = 371 OBJ_ATTR_WRAP_WITH_TRUSTED = 528 OBJ_ATTR_WRAP_TEMPLATE = 1073742353 OBJ_ATTR_UNWRAP_TEMPLATE = 1073742354 OBJ_ATTR_ALL = 512
Para obter o valor atual do atributo de descriptografia para a chave 14, o próximo comando getAttribute na cloudhsm_mgmt_util.
A saída mostra que o valor do atributo decrypt é true (1) em ambos os HSMs no cluster.
aws-cloudhsm>getAttribute 14 261Attribute Value on server 0(10.0.0.1): OBJ_ATTR_DECRYPT 0x00000001 Attribute Value on server 1(10.0.0.2): OBJ_ATTR_DECRYPT 0x00000001
Esse comando usa setAttribute para alterar o valor do atributo de descriptografia (atributo 261) da chave 14 para 0. Isso desabilita a funcionalidade de descriptografia na chave.
A saída mostra que o comando foi bem-sucedido em ambos HSMs no cluster.
aws-cloudhsm>setAttribute 14 261 0*************************CAUTION******************************** This is a CRITICAL operation, should be done on all nodes in the cluster. AWS does NOT synchronize these changes automatically with the nodes on which this operation is not executed or failed, please ensure this operation is executed on all nodes in the cluster. **************************************************************** Do you want to continue(y/n)?ysetAttribute success on server 0(10.0.0.1) setAttribute success on server 1(10.0.0.2)
O comando final repete o comando getAttribute. Novamente, ele obtém o atributo de descriptografia (atributo 261) da chave 14.
Dessa vez, a saída mostra que o valor do atributo de descriptografia é false (0) em ambos os HSMs no cluster.
aws-cloudhsm>getAttribute 14 261 Attribute Value on server 0(10.0.3.6): OBJ_ATTR_DECRYPT 0x00000000 Attribute Value on server 1(10.0.1.7): OBJ_ATTR_DECRYPT 0x00000000
Argumentos
setAttribute<key handle><attribute id>
- <key-handle>
-
Especifica o identificador de uma chave que você possui. Você pode especificar apenas uma chave em cada comando. Para obter o identificador de chave de uma chave, use findKey na key_mgmt_util. Para encontrar os usuários de uma chave, use getKeyInfo.
Obrigatório: Sim
- <attribute id>
-
Especifica a constante que representa o atributo que você deseja alterar. Você pode especificar apenas uma atributo em cada comando. Para obter os atributos e seus valores inteiros, use listAttributes. Para obter ajuda sobre a interpretação dos principais atributos, consulte Referência de atributos de chave.
Valores válidos:
-
3 –
OBJ_ATTR_LABEL. -
134 –
OBJ_ATTR_TRUSTED. -
260 –
OBJ_ATTR_ENCRYPT. -
261 –
OBJ_ATTR_DECRYPT. -
262 –
OBJ_ATTR_WRAP. -
263 –
OBJ_ATTR_UNWRAP. -
264 –
OBJ_ATTR_SIGN. -
266 –
OBJ_ATTR_VERIFY. -
268 –
OBJ_ATTR_DERIVE. -
370 –
OBJ_ATTR_DESTROYABLE. -
528 –
OBJ_ATTR_WRAP_WITH_TRUSTED. -
1073742353 –
OBJ_ATTR_WRAP_TEMPLATE. -
1073742354 –
OBJ_ATTR_UNWRAP_TEMPLATE.
Obrigatório: Sim
-
Tópicos relacionados da
setAttribute em key_mgmt_util
