insertMaskedObject

key_mgmt_util 中的 insertMaskedObject 命令将文件的遮蔽对象插入到指定 HSM。遮蔽对象是使用 extractMaskedObject 命令从 HSM 中提取的克隆对象。它们只能在插回原始集群后使用。您只能将遮蔽对象插入到生成该对象的同一集群或克隆集群。这包括通过复制跨区域的备份生成的任何克隆版本的原始集群，并使用该备份来创建新的集群。

遮蔽对象是一种用来卸载和同步密钥的有效方式，包括不可提取密钥（即 OBJ_ATTR_EXTRACTABLE 值为 0 的密钥）。这样，无需更新 AWS CloudHSM 配置文件即可在不同区域的相关集群之间安全地同步密钥。

在运行任何 key_mgmt_util 命令之前，您必须启动 key_mgmt_util 并以加密用户（CU）身份登录到 HSM。

语法

insertMaskedObject -h

insertMaskedObject -f <filename>
                   [-min_srv <minimum-number-of-servers>]
                   [-timeout <number-of-seconds>]

示例

此示例显示了如何使用 insertMaskedObject 将遮蔽对象文件插入到 HSM。

例 ：插入遮蔽对象

此命令从名为 maskedObj 的文件将遮蔽对象插入到 HSM。如果命令成功，insertMaskedObject 将返回从遮蔽对象解密的密钥的密钥句柄和成功消息。

Command: insertMaskedObject -f maskedObj

Cfm3InsertMaskedObject returned: 0x00 : HSM Return: SUCCESS
        New Key Handle: 262433

        Cluster Error Status
        Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS

参数

此命令采用以下参数。

-h

显示该命令的命令行帮助。

必需：是

-f

指定遮蔽对象要插入的文件名。

必需：是

-min_srv

指定在 -timeout 参数的值到期之前，同步插入遮蔽对象的服务器的最小数量。如果对象在分配的时间内未同步到指定数量的服务器，则不会插入。

默认值：1

必需：否

-timeout

指定在包含 min-serv 参数时，等待密钥在服务器间同步的秒数。如果没有指定数字，轮询永远继续。

默认值：无限制

必需：否

相关 主题

• extractMaskedObject

• syncKey

• 跨区域复制备份

• 使用先前的 Backup 创建 AWS CloudHSM 集群