使用 CloudHSM CLI 產生金鑰 - AWS CloudHSM
產生對稱金鑰產生非對稱金鑰相關主題

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 CloudHSM CLI 產生金鑰

您必須先啟動 CloudHSM CLI 並以加密使用者 (CU) 身分登入,才能產生金鑰。若要在 HSM 中產生金鑰,請使用與您想產生之金鑰類型對應的命令。

產生對稱金鑰

使用 產生對稱金錀 中列出的命令產生對稱金鑰。若要查看所有可用的選項,請使用 help key generate-symmetric 命令。

產生 AES 金鑰

使用 key generate-symmetric aes 命令產生 AES 金鑰。若要查看所有可用的選項,請使用 help key generate-symmetric aes 命令。

下列範例會產生 32 位元組 AES 金鑰。

aws-cloudhsm > key generate-symmetric aes \
    --label aes-example \
    --key-length-bytes 32

引數

<LABEL>

指使用者定義的 AES 金鑰標籤。

必要:是

<KEY-LENGTH-BYTES>

指金鑰長度 (以位元組為單位)。

有效值:

  • 16、24 和 32

必要:是

<KEY_ATTRIBUTES>

指定一個空格分隔的金鑰屬性清單,對產生的 AES 金鑰進行設定,格式為 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (例如,token=true)

如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性

必要:否

<SESSION>

建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。

如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性

根據預設,產生的金鑰是持久性/權杖金鑰。使用 <SESSION> 改變這一點,確保用此參數產生的金鑰是工作階段/臨時金鑰

必要:否

產生一般私密金鑰

使用 key generate-symmetric generic-secret 命令產生一般私密金鑰。若要查看所有可用的選項,請使用 help key generate-symmetric generic-secret 命令。

下列範例會產生 32 位元組的一般私密金鑰。

aws-cloudhsm > key generate-symmetric generic-secret \
    --label generic-secret-example \
    --key-length-bytes 32
引數
<LABEL>

為一般私密金鑰指定使用者定義的標籤。

必要:是

<KEY-LENGTH-BYTES>

指金鑰長度 (以位元組為單位)。

有效值:

  • 1 到 800

必要:是

<KEY_ATTRIBUTES>

指一個空格分隔的金鑰屬性清單,以 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (例如,token=true) 的形式為產生的一般私密金鑰設定

如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性

必要:否

<SESSION>

建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。

如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性

根據預設,產生的金鑰是持久性/權杖金鑰。使用 <SESSION> 改變這一點,確保用此參數產生的金鑰是工作階段/臨時金鑰

必要:否

產生非對稱金鑰

使用 關鍵 generate-asymmetric-pair 中列出的命令產生非對稱金鑰對。

產生 RSA 金鑰

使用 key generate-asymmetric-pair rsa 命令來產生 RSA 金鑰對。若要查看所有可用的選項,請使用 help key generate-asymmetric-pair rsa 命令。

以下範例會產生 RSA 2048 位元金鑰對。

aws-cloudhsm > key generate-asymmetric-pair rsa \
    --public-exponent 65537 \
    --modulus-size-bits 2048 \
    --public-label rsa-public-example \
    --private-label rsa-private-example

引數

<PUBLIC_LABEL>

指使用者定義的公有金鑰標籤。

必要:是

<PRIVATE_LABEL>

指使用者定義的私有金鑰標籤。

必要:是

<MODULUS_SIZE_BITS>

指模數的長度 (以位元為單位)。最小值為 2048。

必要:是

<PUBLIC_EXPONENT>

指公有指數。值必須為大於或等於 65537 的奇數。

必要:是

<PUBLIC_KEY_ATTRIBUTES>

指以空格分隔的金鑰屬性清單,以 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (例如,token=true) 的形式為產生的 RSA 公有金鑰設定。

如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性

必要:否

<SESSION>

建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。

如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性

根據預設,產生的金鑰是持久性/權杖金鑰。使用 <SESSION> 改變這一點,確保用此參數產生的金鑰是工作階段/臨時金鑰

必要:否

產生 EC (橢圓曲線密碼編譯) 金鑰對

使用 key generate-asymmetric-pair ec 命令來產生金鑰對。若要查看所有可用的選項,包括支援的橢圓曲線清單,請使用 help key generate-asymmetric-pair ec 命令。

下列範例會使用 Secp384r1 橢圓曲線產生 EC 金鑰對。

aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp384r1 \
    --public-label ec-public-example \
    --private-label ec-private-example
引數
<PUBLIC_LABEL>

指使用者定義的公有金鑰標籤。用戶端 SDK 5.11 及之後允許的大小上限為 127 個字元。label用戶端 SDK 5.10 及之前版本的限制為 126 個字元。

必要:是

<PRIVATE_LABEL>

指使用者定義的私有金鑰標籤。用戶端 SDK 5.11 及之後允許的大小上限為 127 個字元。label用戶端 SDK 5.10 及之前版本的限制為 126 個字元。

必要:是

<CURVE>

指橢圓曲線的識別符。

有效值:

  • prime256v1

  • secp256r1

  • secp224r1

  • secp384r1

  • secp256k1

  • secp521r1

必要:是

<PUBLIC_KEY_ATTRIBUTES>

指以空格分隔的金鑰屬性清單,以 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (例如,token=true) 的形式為產生的 EC 公開金鑰設定。

如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性

必要:否

<PRIVATE_KEY_ATTRIBUTES>

指以空格分隔的金鑰屬性清單,以 KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE (例如,token=true) 的形式為產生的 EC 私有金鑰設定。

如需支援的 AWS CloudHSM 索引鍵屬性清單,請參閱CloudHSM CLI 的金鑰屬性

必要:否

<SESSION>

建立只在目前工作階段中存在的金鑰。工作階段結束後,金鑰無法復原。當您僅短暫需要金鑰 (例如,加密後快速解密另一個金鑰的包裝金鑰) 時,請使用此參數。請勿使用工作階段金鑰來加密工作階段結束後可能需要解密的資料。

如要將工作階段金鑰更改為永久 (權杖) 金鑰,請使用金鑰設定屬性

根據預設,產生的金鑰是持久性 (權杖) 金鑰。在 <SESSION> 傳遞會變更此情況,確保使用此參數生成的金鑰是工作階段 (臨時) 金鑰。

必要:否

相關主題