本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudHSM CLI 產生金鑰
您必須先啟動 CloudHSM CLI 並以加密使用者 (CU) 身分登入,才能產生金鑰。若要在 HSM 中產生金鑰,請使用與您想產生之金鑰類型對應的命令。
產生對稱金鑰
使用 產生對稱金錀 中列出的命令產生對稱金鑰。若要查看所有可用的選項,請使用 help key generate-symmetric 命令。
產生 AES 金鑰
使用 key generate-symmetric aes 命令產生 AES 金鑰。若要查看所有可用的選項,請使用 help key generate-symmetric aes 命令。
下列範例會產生 32 位元組 AES 金鑰。
aws-cloudhsm >
key generate-symmetric aes \ --label aes-example \ --key-length-bytes 32
引數
<LABEL>
-
指使用者定義的 AES 金鑰標籤。
必要:是
<KEY-LENGTH-BYTES>
-
指金鑰長度 (以位元組為單位)。
有效值:
16、24 和 32
必要:是
<KEY_ATTRIBUTES>
-
指定一個空格分隔的金鑰屬性清單,對產生的 AES 金鑰進行設定,格式為
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(例如,token=true
)如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性。
必要:否
<SESSION>
-
建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。
如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性。
根據預設,產生的金鑰是持久性/權杖金鑰。使用 <SESSION> 改變這一點,確保用此參數產生的金鑰是工作階段/臨時金鑰
必要:否
產生一般私密金鑰
使用 key generate-symmetric generic-secret 命令產生一般私密金鑰。若要查看所有可用的選項,請使用 help key generate-symmetric generic-secret 命令。
下列範例會產生 32 位元組的一般私密金鑰。
aws-cloudhsm >
key generate-symmetric generic-secret \ --label generic-secret-example \ --key-length-bytes 32
引數
<LABEL>
-
為一般私密金鑰指定使用者定義的標籤。
必要:是
<KEY-LENGTH-BYTES>
-
指金鑰長度 (以位元組為單位)。
有效值:
1 到 800
必要:是
<KEY_ATTRIBUTES>
-
指一個空格分隔的金鑰屬性清單,以
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(例如,token=true
) 的形式為產生的一般私密金鑰設定如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性。
必要:否
<SESSION>
-
建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。
如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性。
根據預設,產生的金鑰是持久性/權杖金鑰。使用 <SESSION> 改變這一點,確保用此參數產生的金鑰是工作階段/臨時金鑰
必要:否
產生非對稱金鑰
使用 關鍵 generate-asymmetric-pair 中列出的命令產生非對稱金鑰對。
產生 RSA 金鑰
使用 key generate-asymmetric-pair rsa 命令來產生 RSA 金鑰對。若要查看所有可用的選項,請使用 help key generate-asymmetric-pair rsa 命令。
以下範例會產生 RSA 2048 位元金鑰對。
aws-cloudhsm >
key generate-asymmetric-pair rsa \ --public-exponent 65537 \ --modulus-size-bits 2048 \ --public-label rsa-public-example \ --private-label rsa-private-example
引數
<PUBLIC_LABEL>
-
指使用者定義的公有金鑰標籤。
必要:是
<PRIVATE_LABEL>
-
指使用者定義的私有金鑰標籤。
必要:是
<MODULUS_SIZE_BITS>
-
指模數的長度 (以位元為單位)。最小值為 2048。
必要:是
<PUBLIC_EXPONENT>
-
指公有指數。值必須為大於或等於 65537 的奇數。
必要:是
<PUBLIC_KEY_ATTRIBUTES>
-
指以空格分隔的金鑰屬性清單,以
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(例如,token=true
) 的形式為產生的 RSA 公有金鑰設定。如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性。
必要:否
<SESSION>
-
建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。
如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性。
根據預設,產生的金鑰是持久性/權杖金鑰。使用 <SESSION> 改變這一點,確保用此參數產生的金鑰是工作階段/臨時金鑰
必要:否
產生 EC (橢圓曲線密碼編譯) 金鑰對
使用 key generate-asymmetric-pair ec 命令來產生金鑰對。若要查看所有可用的選項,包括支援的橢圓曲線清單,請使用 help key generate-asymmetric-pair ec 命令。
下列範例會使用 Secp384r1 橢圓曲線產生 EC 金鑰對。
aws-cloudhsm >
key generate-asymmetric-pair ec \ --curve secp384r1 \ --public-label ec-public-example \ --private-label ec-private-example
引數
<PUBLIC_LABEL>
-
指使用者定義的公有金鑰標籤。用戶端 SDK 5.11 及之後允許的大小上限為 127 個字元。
label
用戶端 SDK 5.10 及之前版本的限制為 126 個字元。必要:是
<PRIVATE_LABEL>
-
指使用者定義的私有金鑰標籤。用戶端 SDK 5.11 及之後允許的大小上限為 127 個字元。
label
用戶端 SDK 5.10 及之前版本的限制為 126 個字元。必要:是
<CURVE>
-
指橢圓曲線的識別符。
有效值:
prime256v1
secp256r1
secp224r1
secp384r1
secp256k1
secp521r1
必要:是
<PUBLIC_KEY_ATTRIBUTES>
-
指以空格分隔的金鑰屬性清單,以
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(例如,token=true
) 的形式為產生的 EC 公開金鑰設定。如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性。
必要:否
<PRIVATE_KEY_ATTRIBUTES>
-
指以空格分隔的金鑰屬性清單,以
KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
(例如,token=true
) 的形式為產生的 EC 私有金鑰設定。如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性。
必要:否
<SESSION>
-
建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。
如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性。
根據預設,產生的金鑰是持久性 (權杖) 金鑰。在 <SESSION> 傳遞會變更此情況,確保使用此參數生成的金鑰是工作階段 (臨時) 金鑰。
必要:否