shareKey - AWS CloudHSM
用户类型语法示例参数相关 主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

shareKey

cloudhsm_mgmt_util 中的 shareKey 命令将与其他加密用户共享和取消共享您拥有的密钥。只有密钥所有者才能共享和取消共享密钥。您还可以在创建密钥时共享它。

共享密钥的用户可在加密操作中使用密钥,但他们无法删除、导出、共享或取消共享密钥,也无法更改密钥的属性。对某个密钥启用仲裁身份验证后,仲裁必须对共享或取消共享该密钥的任何操作进行审批。

在运行任何 CMU 命令之前,必须启动 CMU 并登录 HSM。请确保使用可运行您计划使用的命令的用户类型登录。

如果您要添加或删除 HSM,请更新 CMU 的配置文件。否则,您所做的更改可能不会对集群中的所有 HSM 生效。

用户类型

以下类型的用户均可运行此命令。

  • 加密用户 (CU)

语法

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

用户类型:加密用户 (CU)

shareKey <key handle> <user id> <(share/unshare key?) 1/0>

示例

以下示例说明如何使用 shareKey 与其他加密用户共享和取消共享您拥有的密钥。

例 :共享密钥

本示例使用 shareKey 与 HSM 上的另一个加密用户共享当前用户拥有的 ECC 私有密钥。公有密钥对 HSM 的所有用户都可用,因此您无法共享或取消共享它们。

第一个命令getKeyInfo用于获取密262177钥(HSM 上的 ECC 私钥)的用户信息。

输出表明密钥 262177 由用户 3 拥有但未共享。

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

此命令使用 shareKey 与用户 4(HSM 上的另一个加密用户)共享密钥 262177。最后一个参数使用值 1 来指示共享操作。

输出表明该操作在集群中的两个 HSM 上已成功执行。

aws-cloudhsm>shareKey 262177 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

为了验证该操作是否成功,本示例再次执行了第一个 getKeyInfo 命令。

输出表明密钥 262177 现在与用户 4 共享。

aws-cloudhsm>getKeyInfo 262177

Key Info on server 0(10.0.3.10):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
Key Info on server 1(10.0.3.6):

        Token/Flash Key,

        Owned by user 3

        also, shared to following 1 user(s):

                 4
例 :取消共享密钥

本示例将取消共享一个对称密钥,即从该密钥的共享用户列表中删除某个加密用户。

此命令使用 shareKey 从密钥 6 的共享用户列表中删除用户 4。最后一个参数使用值 0 来指示取消共享操作。

输出表明命令在两个 HSM 上都已成功执行。因此,用户 4 无法再在加密操作中使用密钥 6

aws-cloudhsm>shareKey 6 4 0
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************

Do you want to continue(y/n)?y
shareKey success on server 0(10.0.3.10)
shareKey success on server 1(10.0.3.6)

参数

由于此命令没有命名参数,因此您必须按语法图中指定的顺序输入参数。

shareKey <key handle> <user id> <(share/unshare key?) 1/0>
<key-handle>

指定您拥有的密钥的密钥句柄。您在每个命令中只能指定一个密钥。要获取密钥的密钥句柄,请使用 key_mgmt_util 中的 findKey。要验证您是否拥有密钥,请使用getKeyInfo

必需:是

<user id>

指定您要与之共享或取消共享密钥的加密用户 (CU) 的用户 ID。要查找某个用户的用户 ID,请使用 listUsers

必需:是

<share 1 or unshare 0>

要与指定用户共享密钥,请键入 1。要取消共享密钥,即从密钥的共享用户列表中删除指定用户,请键入 0

必需:是

相关 主题