Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Der Key Wrap-Befehl in der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap"></a>

Der **key wrap** Befehl in der CloudHSM-CLI exportiert eine verschlüsselte Kopie eines symmetrischen oder asymmetrischen privaten Schlüssels aus dem Hardware-Sicherheitsmodul (HSM) in eine Datei. Bei der Ausführung **key wrap** geben Sie zwei Dinge an: den zu exportierenden Schlüssel und die Ausgabedatei. Der zu exportierende Schlüssel ist ein Schlüssel auf dem HSM, der den Schlüssel, den Sie exportieren möchten, verschlüsselt (umhüllt).

Der **key wrap** Befehl entfernt den Schlüssel nicht aus dem HSM und verhindert auch nicht, dass Sie ihn für kryptografische Operationen verwenden. Sie können den gleichen Schlüssel mehrmals exportieren. Um den verschlüsselten Schlüssel wieder in das HSM zu importieren, verwenden Sie. [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md) Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, mit denen der Schlüssel gemeinsam genutzt wird, können den Schlüssel nur für kryptografische Operationen verwenden.

Der **key wrap** Befehl besteht aus den folgenden Unterbefehlen:
+ [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md)
+ [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md)
+ [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md)
+ [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md)
+ [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md)
+ [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md)
+ [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md)
+ [rsa-pkcs](cloudhsm_cli-key-wrap-rsa-pkcs.md)

# Umschließen eines Schlüssels mit AES-GCM mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-aes-gcm"></a>

Verwenden Sie den **key wrap aes-gcm** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-GCM` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-gcm** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können einen AES-Schlüssel zum Umschließen generieren, indem Sie den [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehl verwenden und das `wrap` Attribut auf gesetzt haben`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-gcm-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-gcm-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap aes-gcm
Usage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-gcm-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-gcm** Befehl mit einem AES-Schlüssel verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64  --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "iv": "0xf90613bb8e337ec0339aad21",
    "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<AAD>***  
AES-GCM-Wert für zusätzliche authentifizierte Daten (AAD) in Hexadezimalzahl.   
Erforderlich: Nein

***<TAG\$1LENGTH\$1BITS>***  
Länge des AES-GCM-Tags in Bit.  
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-gcm-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Einen Schlüssel AES-NO-PAD mithilfe der CloudHSM-CLI umschließen
<a name="cloudhsm_cli-key-wrap-aes-no-pad"></a>

Verwenden Sie den **key wrap aes-no-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-NO-PAD` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-no-pad** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können mithilfe des [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehls einen AES-Schlüssel für das Umschließen generieren, und das `wrap` Attribut ist auf gesetzt`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-no-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-no-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-no-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-no-pad
Usage: key wrap aes-no-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-no-pad-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-no-pad** Befehl mit einem AES-Schlüssel verwendet wird, dessen `wrap` Attributwert auf gesetzt ist`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-no-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "eXK3PMAOnKM9y3YX6brbhtMoC060EOH9"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-no-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-no-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen Sie einen Schlüssel mit AES- PKCS5 -PAD mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad"></a>

Verwenden Sie den **key wrap aes-pkcs5-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-PKCS5-PAD` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-pkcs5-pad** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können mithilfe des [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehls einen AES-Schlüssel für das Umschließen generieren, und das `wrap` Attribut ist auf gesetzt`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-pkcs5-pad
Usage: key wrap aes-pkcs5-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-pkcs5-pad** Befehl mit einem AES-Schlüssel verwendet wird, dessen `wrap` Attributwert auf gesetzt ist`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-pkcs5-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY="
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Einen Schlüssel AES-ZERO-PAD mithilfe der CloudHSM-CLI umschließen
<a name="cloudhsm_cli-key-wrap-aes-zero-pad"></a>

Verwenden Sie den **key wrap aes-zero-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-ZERO-PAD` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-zero-pad** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Mit dem [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehl, dessen `wrap` Attribut auf gesetzt ist, können Sie einen AES-Schlüssel für das Umschließen generieren`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-zero-pad
Usage: key wrap aes-zero-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-zero-pad ** Befehl mit einem AES-Schlüssel verwendet wird, dessen `wrap` Attributwert auf gesetzt ist`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-zero-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Einen Schlüssel CLOUDHSM-AES-GCM mithilfe der CloudHSM-CLI umschließen
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm"></a>

Verwenden Sie den **key wrap cloudhsm-aes-gcm** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `CLOUDHSM-AES-GCM` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap cloudhsm-aes-gcm** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können einen AES-Schlüssel zum Umschließen generieren, indem Sie den [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehl verwenden und das `wrap` Attribut auf gesetzt haben`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap cloudhsm-aes-gcm
Usage: key wrap cloudhsm-aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap cloudhsm-aes-gcm** Befehl mit einem AES-Schlüssel verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap cloudhsm-aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<AAD>***  
AES-GCM-Wert für zusätzliche authentifizierte Daten (AAD) in Hexadezimalzahl.   
Erforderlich: Nein

***<TAG\$1LENGTH\$1BITS>***  
Länge des AES-GCM-Tags in Bit.  
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen eines Schlüssels mit RSA-AES mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-rsa-aes"></a>

Verwenden Sie den **key wrap rsa-aes** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem RSA-AES-Wrapping-Mechanismus zu verpacken. Das Attribut des Payload-Schlüssels muss auf gesetzt sein. `extractable` `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap rsa-aes** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar mit dem [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl und dem auf `true` gesetzten `wrap` Attribut generieren.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-rsa-aes-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-rsa-aes-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-aes
Usage: key wrap rsa-aes [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-rsa-aes-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap rsa-ae** Befehl unter Verwendung eines öffentlichen RSA-Schlüssels mit dem `wrap` Attributwert auf `true` verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg=="
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<MGF>***  
Gibt die Funktion zur Maskengenerierung an.  
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-rsa-aes-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen eines Schlüssels mit RSA-OAEP mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-rsa-oaep"></a>

Verwenden Sie den **key wrap rsa-oaep** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu verpacken. `RSA-OAEP` Das Attribut des Payload-Schlüssels `extractable` muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap rsa-oaep** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar generieren, indem Sie den [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl verwenden und das `wrap` Attribut auf `true` setzen.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-rsa-aes-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-rsa-aes-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-unwrap-rsa-aes-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap rsa-oaep** Befehl unter Verwendung eines öffentlichen RSA-Schlüssels mit dem `wrap` Attributwert auf `true` verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<MGF>***  
Gibt die Funktion zur Maskengenerierung an.  
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-rsa-aes-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen eines Schlüssels mit RSA-PKCS mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-rsa-pkcs"></a>

Verwenden Sie den **key wrap rsa-pkcs** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu verpacken. `RSA-PKCS` Das Attribut des Payload-Schlüssels `extractable` muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap rsa-pkcs** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar mit dem [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl und dem auf `true` gesetzten `wrap` Attribut generieren.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap rsa-pkcs** Befehl mit einem öffentlichen RSA-Schlüssel verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000007008da",
    "wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
  }
```

## Argumente
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)