insertMaskedObject

key_mgmt_util 中的 insertMaskedObject 命令會從檔案將遮罩物件插入指定的 HSM。遮罩物件是使用 extractMaskedObject 命令從 HSM 擷取的複製物件。它們僅可在插回原先的叢集後使用。您僅能將遮罩物件插入之前從中產生的相同叢集，或該叢集的複製品。這包括透過複製跨區域備份和使用該備份建立新叢集而產生之原始叢集的任何複製版本。

遮罩物件是卸載及同步金鑰的有效方式，包括無法擷取的金錀 (即：具有 0 的 OBJ_ATTR_EXTRACTABLE 值的金鑰)。如此一來，您就可以在不同區域的相關叢集之間安全地同步金鑰，而不需要更新 AWS CloudHSM 設定檔案。

執行任何 key_mgmt_util 命令之前，您必須先啟動 key_mgmt_util 並以加密使用者 (CU) 的身分登入 HSM。

語法

insertMaskedObject -h

insertMaskedObject -f <filename>
                   [-min_srv <minimum-number-of-servers>]
                   [-timeout <number-of-seconds>]

範例

此範例顯示如何使用 insertMaskedObject 將遮罩物件檔案插入 HSM。

範例 ：插入遮罩物件

此命令會從名為 maskedObj 的檔案將遮罩物件插入 HSM。命令成功時，insertMaskedObject 會傳回從遮罩物件解密之金鑰的金鑰控制代碼，以及成功訊息。

Command: insertMaskedObject -f maskedObj

Cfm3InsertMaskedObject returned: 0x00 : HSM Return: SUCCESS
        New Key Handle: 262433

        Cluster Error Status
        Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS

參數

此命令會使用下列參數。

-h

顯示命令的命令列說明。

必要：是

-f

指定要插入之遮罩物件的檔案名稱。

必要：是

-min_srv

指定在 -timeout 參數值過期之前同步所插入遮罩物件所需的伺服器數量下限。如果未在規定時間內同步至指定數量的伺服器，物件就不會插入。

預設：1

必要：否

-timeout

指定當加入 min-serv 參數時要等待金鑰在伺服器之間同步的秒數。如果未指定秒數，將持續輪詢下去。

預設：無限制

必要：否

相關主題

• extractMaskedObject

• syncKey

• 跨區域複製備份

• 從先前的 Backup 建立 AWS CloudHSM 叢集