本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
CloudHSM CLI 的金鑰屬性
本主題旨在說明如何使用 CloudHSM CLI 設定金鑰屬性。CloudHSM CLI 中的金鑰屬性可以定義金鑰的類型、金鑰的運作方式或金鑰的標記方式。某些屬性定義唯一的特性 (例如,金鑰的類型)。其他屬性可以設定為 true 或 false (變更它們會啟動或停用金鑰功能的一部分)。
如需展示如何使用金鑰屬性的範例,請參閱父命令 金錀 下列出的命令。
支援的屬性
最佳實務是,只為您希望更具有限制性的屬性設定值。如果您未指定值,CloudHSM CLI 會使用下表中指定的預設值。
下表列出金鑰屬性、可能值、預設值及相關註記。值欄位中的空白儲存格表示屬性沒有獲派指定預設值。
| CloudHSM CLI屬性 | Value | 可以使用密鑰集屬性進行修改 | 可在建立金鑰時設定 |
|---|---|---|---|
always-sensitive |
如果 |
否 | 否 |
check-value |
金鑰的金鑰檢查值。如需詳細資訊,請參閱其他詳細資訊。 | 否 | 否 |
class |
可能的值: |
否 | 是 |
curve |
用於產生 EC 金鑰對的橢圓曲線。 有效值: |
否 | 可使用 RSA 設定,而無法使用 EC 進行設定 |
decrypt |
預設: |
是 | 是 |
derive |
預設: |
是 | 是 |
destroyable |
預設: |
是 | 是 |
ec-point |
如果是 EC 金鑰,則以十六進位格式對 ANSI X9.62 ECPoint 值「Q」進行 DER 編碼。 對於其他金鑰類型,這個屬性不存在。 |
否 | 否 |
encrypt |
預設: |
是 | 是 |
extractable |
預設: |
否 | 是 |
id |
預設值:空 | 否 | 是 |
key-length-bytes |
產生 AES 密鑰所需。 有效值: |
否 | 否 |
key-type |
可能的值: |
否 | 是 |
label |
預設值:空 | 是 | 是 |
local |
預設值: |
否 | 否 |
modifiable |
預設: |
否 | 否 |
modulus |
用於產生 RSA 金鑰對的模數。對於其他金鑰類型,這個屬性不存在。 | 否 | 否 |
modulus-size-bits |
產生 RSA 金鑰對時需要。 最小值為 |
否 | 可使用 RSA 設定,而無法使用 EC 進行設定 |
never-extractable |
如果可擷取值從未設置為 如果可擷取值已被設置為 |
否 | 否 |
private |
預設: |
否 | 是 |
public-exponent |
產生 RSA 金鑰對時需要。 有效值:值必須為大於或等於 |
否 | 可使用 RSA 設定,而無法使用 EC 進行設定 |
sensitive |
預設:
|
否 | 可使用私有金鑰設定,而不能使用公有金鑰設定。 |
sign |
預設:
|
是 | 是 |
token |
預設: |
否 | 是 |
trusted |
預設: |
是 | 否 |
unwrap |
預設:False |
是 | 是 |
unwrap-template |
這些值應使用已套用於以此包裝金鑰取消包裝之任何金鑰的屬性範本。 | 是 | 否 |
verify |
預設:
|
是 | 是 |
wrap |
預設:False |
是 | 是 |
wrap-template |
這些值應使用屬性範本來匹配使用此包裝金鑰所包裝的金鑰。 | 是 | 否 |
wrap-with-trusted |
預設: |
是 | 是 |
其他詳細資訊
- 檢查值
-
檢查值是 HSM 匯入或產生金鑰時所產生之金鑰的 3 位元組雜湊或總和檢查碼。您也可以在 HSM 之外計算檢查值,例如在匯出金鑰之後。然後,您可以比較檢查值以確認金鑰的身分和完整性。如需獲取金鑰的檢查值,請使用帶有詳細標誌的金鑰列表。
AWS CloudHSM 使用下列標準方法來產生檢查值:
-
對稱密鑰:使用金鑰加密零塊的結果的前 3 個位元組。
-
非對稱金鑰配對:公有金鑰 SHA-1 雜湊的前 3 個位元組。
-
HMAC 金鑰:目前不支援 HMAC 金鑰的 KCV。
-
相關主題
