extractMaskedObject

key_mgmt_util 中的 extractMaskedObject 命令會從 HSM 擷取金鑰，並將金鑰做為遮罩物件，儲存至檔案。遮罩物件是「複製的」物件，僅可在使用 insertMaskedObject 命令將這些物件插回原始叢集後才可使用。您僅能將遮罩物件插入之前從中產生的相同叢集，或該叢集的複製品。這包括透過複製跨區域備份和使用該備份建立新叢集而產生之叢集的任何複製版本。

遮罩物件是卸載及同步金鑰的有效方式，包括無法擷取的金錀 (即：具有 0 的 OBJ_ATTR_EXTRACTABLE 值的金鑰)。如此一來，您就可以在不同區域的相關叢集之間安全地同步金鑰，而不需要更新 AWS CloudHSM 設定檔案。

重要

插入後，即將遮罩物件解密，並給予不同於原始金鑰之金鑰控制代碼的金鑰控制代碼。遮罩物件包括與原始金鑰關聯的所有中繼資料，包括屬性、所有權和分享資訊，以及仲裁設定。如您需要同步處理應用程式中叢集間的金鑰，請改用 cloudhsm_mgmt_util 中的 syncKey。

執行任何 key_mgmt_util 命令之前，您必須先啟動 key_mgmt_util 並登入 HSM。擁有金鑰的 CU 或任何 CO 都可使用 extractMaskedObject 命令。

語法

extractMaskedObject -h

extractMaskedObject -o <object-handle>
                    -out <object-file>

範例

此範例顯示如何使用 extractMaskedObject 命令從 HSM 擷取做為遮罩物件的金鑰。

範例 ：擷取遮罩物件

此命令從包含控制代碼 524295 的金鑰，自 HSM 擷取遮罩物件，並另存為稱為 maskedObj 的檔案。當命令成功時，extractMaskedObject 會傳回成功訊息。

Command: extractMaskedObject -o 524295 -out maskedObj

Object was masked and written to file "maskedObj"

        Cfm3ExtractMaskedObject returned: 0x00 : HSM Return: SUCCESS

參數

此命令會使用下列參數。

-h

顯示命令的命令列說明。

必要：是

-o

指定金鑰的控制代碼，以做為遮罩物件擷取。

必要：是

-out

指定將儲存遮罩物件的檔案名稱。

必要：是

相關主題

• insertMaskedObject

• syncKey

• 跨區域複製備份

• 從先前的 Backup 建立 AWS CloudHSM 叢集