Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Die Schlüsselkategorie in CloudHSM CLI
<a name="cloudhsm_cli-key"></a>

In der CloudHSM-CLI **key** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen schlüsselspezifischen Befehl erstellen. Derzeit besteht diese Kategorie aus den folgenden Befehlen:
+ [delete](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [key generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
  + [Schlüssel rsa generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
  + [Schlüssel usw. generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
  + [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
  + [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [PEM importieren](cloudhsm_cli-key-import-pem.md)
+ [list](cloudhsm_cli-key-list.md)
+ [Replikat](cloudhsm_cli-key-replicate.md)
+ [set-attribute](cloudhsm_cli-key-set-attribute.md)
+ [share](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [auspacken](cloudhsm_cli-key-unwrap.md)
+ [umwickeln](cloudhsm_cli-key-wrap.md)

# Löschen Sie einen Schlüssel mit CloudHSM CLI
<a name="cloudhsm_cli-key-delete"></a>

Verwenden Sie den **key delete** Befehl in der CloudHSM-CLI, um einen Schlüssel aus einem AWS CloudHSM Cluster zu löschen. Sie können nur jeweils einen Schlüssel löschen. Das Löschen eines Schlüssels in einem Schlüsselpaar hat keine Auswirkungen auf den anderen Schlüssel in diesem Paar. 

Nur der CU, der den Schlüssel erstellt hat und somit Eigentümer des Schlüssels ist, kann den Schlüssel löschen. Benutzer, die den Schlüssel gemeinsam nutzen, ihn aber nicht besitzen, können den Schlüssel für kryptografische Operationen verwenden, ihn aber nicht löschen.

## Benutzertyp
<a name="key-delete-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="key-delete-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="key-delete-syntax"></a>

```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster

Usage: key delete [OPTIONS] --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>  Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]     Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
  -h, --help                     Print help
```

## Beispiel
<a name="key-delete-examples"></a>

```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
  "error_code": 0,
  "data": {
    "message": "Key deleted successfully"
  }
}
```

## Argumente
<a name="key-delete-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein passender Schlüssel zum Löschen ausgewählt werden soll.  
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)  
Erforderlich: Ja

## Verwandte Themen
<a name="key-delete-seealso"></a>
+ [Schlüssel für einen Benutzer mit CloudHSM CLI auflisten](cloudhsm_cli-key-list.md)
+ [Exportieren Sie einen asymmetrischen Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-file.md)
+ [Freigabe eines Schlüssels mithilfe der CloudHSM-CLI rückgängig machen](cloudhsm_cli-key-unshare.md)
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)

# Exportieren Sie einen asymmetrischen Schlüssel mit CloudHSM CLI
<a name="cloudhsm_cli-key-generate-file"></a>

Verwenden Sie den **key generate-file** Befehl in der CloudHSM-CLI, um einen asymmetrischen Schlüssel aus dem Hardware-Sicherheitsmodul (HSM) zu exportieren. Wenn das Ziel ein privater Schlüssel ist, wird der Verweis auf den privaten Schlüssel im gefälschten PEM-Format exportiert. Wenn das Ziel ein öffentlicher Schlüssel ist, werden die Bytes des öffentlichen Schlüssels im PEM-Format exportiert.

Die gefälschte PEM-Datei, die nicht das eigentliche Material des privaten Schlüssels enthält, sondern stattdessen auf den privaten Schlüssel im HSM verweist, kann verwendet werden, um die Übertragung von Ihrem SSL/TLS Webserver auf zu einrichten. AWS CloudHSM Weitere Informationen finden Sie unter [SSL/TLS-Offloading](ssl-offload.md).

## Benutzertyp
<a name="key-generate-file-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs

## Voraussetzungen
<a name="key-generate-file-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="key-generate-file-syntax"></a>

```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --encoding <ENCODING>
          Encoding format for the key file

          Possible values:
          - reference-pem: PEM formatted key reference (supports private keys)
          - pem:           PEM format (supports public keys)

      --path <PATH>
          Filepath where the key file will be written

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

  -h, --help
          Print help (see a summary with '-h')
```

## Beispiel
<a name="key-generate-file-examples"></a>

Dieses Beispiel zeigt, wie Sie **key generate-file** damit eine Schlüsseldatei in Ihrem AWS CloudHSM Cluster generieren können.

**Example**  

```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

## Argumente
<a name="key-generate-file-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein passender Schlüssel zum Löschen ausgewählt werden soll.  
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<ENCODING>***  
Gibt das Kodierungsformat für die Schlüsseldatei an  
Erforderlich: Ja

***<PATH>***  
Gibt den Dateipfad an, in den die Schlüsseldatei geschrieben wird  
Erforderlich: Ja

## Generieren von KSP-Schlüsselreferenzen (Windows)
<a name="key-generate-ksp-key-reference"></a>

**Anmerkung**  
Diese Funktion ist nur in SDK-Version 5.16.0 und höher verfügbar.

### Voraussetzungen
<a name="key-generate-ksp-key-reference-requirements"></a>
+ Sie können KSP-Schlüsselreferenzen nur auf Windows-Plattformen generieren.
+ Sie müssen sich als Crypto-Benutzer (CU) anmelden.

### Speicherort der Datei
<a name="key-generate-ksp-key-reference-options"></a>

Standardmäßig speichert AWS CloudHSM generierte Dateien in: `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`

Verwenden Sie den Parameter, um einen anderen Speicherort anzugeben. `--path`

### Syntax
<a name="key-generate-ksp-key-reference-syntax"></a>

```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference 
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --encoding <ENCODING>
        Encoding format for the key file

        Possible values:
        - reference-pem:     PEM formatted key reference (supports private keys)
        - pem:               PEM format (supports public keys)
        - ksp-key-reference: KSP key reference format

      --cluster-id <CLUSTER_ID>
        Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error

      --path <PATH>
        Directory path where the key file will be written

      --filter [<FILTER>...]
        Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

      --all
        Generate ksp key reference for all available key pairs in HSM

  -h, --help
        Print help (see a summary with '-h')
```

### Beispiel — Generieren Sie eine KSP-Schlüsselreferenz mithilfe eines Attributfilters für einen privaten Schlüssel
<a name="key-generate-ksp-key-reference-example1"></a>

Das folgende Beispiel generiert eine KSP-Schlüsselreferenz für einen privaten Schlüssel mit einer bestimmten Bezeichnung.

**Example**  

```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path  --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

### Beispiel — Generieren Sie KSP-Schlüsselreferenzen für alle Schlüsselpaare
<a name="key-generate-ksp-key-reference-example2"></a>

Im folgenden Beispiel werden KSP-Schlüsselreferenzen für alle Schlüsselpaare in Ihrem Cluster generiert.

**Example**  

```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

## Verwandte Themen
<a name="key-generate-file-seealso"></a>
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)
+ [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [Die Kategorie „Symmetrisch generieren“ in CloudHSM CLI](cloudhsm_cli-key-generate-symmetric.md)

# Die generate-asymmetric-pair Kategorie in CloudHSM CLI
<a name="cloudhsm_cli-key-generate-asymmetric-pair"></a>

In der CloudHSM-CLI **key generate-asymmetric-pair** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der asymmetrische Schlüsselpaare generiert. Derzeit besteht diese Kategorie aus den folgenden Befehlen:
+ [Schlüssel, ec generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [Schlüssel generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)

# Generieren Sie ein asymmetrisches EC-Schlüsselpaar mit CloudHSM CLI
<a name="cloudhsm_cli-key-generate-asymmetric-pair-ec"></a>

Verwenden Sie den **key asymmetric-pair ec** Befehl in der CloudHSM-CLI, um ein asymmetrisches EC-Schlüsselpaar (Elliptic Curve) in Ihrem Cluster zu generieren. AWS CloudHSM 

## Benutzertyp
<a name="key-generate-asymmetric-pair-ec-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs

## Voraussetzungen
<a name="key-generate-asymmetric-pair-ec-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="key-generate-asymmetric-pair-ec-syntax"></a>

```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair

Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label <PUBLIC_LABEL> --private-label <PRIVATE_LABEL> --curve <CURVE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --public-label <PUBLIC_LABEL>
          Label for the public key
      --private-label <PRIVATE_LABEL>
          Label for the private key
      --session
          Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
      --curve <CURVE>
          Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
      --public-attributes [<PUBLIC_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --private-attributes [<PRIVATE_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the EC private key with
      --manage-private-key-quorum-value <MANAGE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key management operations for the private key
      --use-private-key-quorum-value <USE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations for the private key
  -h, --help
          Print help
```

## Beispiele
<a name="key-generate-asymmetric-pair-ec-examples"></a>

Diese Beispiele zeigen, wie Sie mit diesem **key generate-asymmetric-pair ec**-Befehl ein EC-Schlüsselpaar erstellen.

**Example Beispiel: Ein EC-Schlüsselpaar erstellen**  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x000000000012000b",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    },
"private_key": {
      "key-reference": "0x000000000012000c",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    }
  }
}
```

**Example Beispiel: Erstellen Sie ein EC-Schlüsselpaar mit optionalen Attributen**  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example \
    --public-attributes encrypt=true \
    --private-attributes decrypt=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x00000000002806eb",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280c82",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    }
  }
}
```

**Example Beispiel: Erstellen Sie ein EC-Schlüsselpaar mit Quorumwerten**  
Bei der Generierung eines Schlüssels mit Quorumsteuerungen muss der Schlüssel einer Mindestanzahl von Benutzern zugeordnet werden, die dem größten Schlüsselquorumwert entspricht. Zu den assoziierten Benutzern gehören der Schlüsselinhaber und Crypto-Benutzer, mit denen der Schlüssel geteilt wird. Um die Mindestanzahl der Benutzer zu ermitteln, mit denen der Schlüssel geteilt werden soll, ermitteln Sie den größten Quorumwert zwischen dem Quorumwert für die Schlüsselnutzung und dem Quorumwert für die Schlüsselverwaltung und subtrahieren Sie 1, um den Schlüsselbesitzer zu berücksichtigen, der standardmäßig mit dem Schlüssel verknüpft ist. Verwenden Sie den Befehl, um den Schlüssel mit mehreren Benutzern zu teilen. **[Einen Schlüssel mit CloudHSM CLI teilen](cloudhsm_cli-key-share.md)**  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example \
    --public-attributes verify=true \
    --private-attributes sign=true
    --share-crypto-users cu2 cu3 cu4 \
    --manage-private-key-quorum-value 4 \
    --use-private-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x00000000002806eb",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280c82",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    }
  }
}
```

## Argumente
<a name="key-generate-asymmetric-pair-ec-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<CURVE>***  
Gibt die ID für die elliptische Kurve an.  
+ prime256v1
+ secp256r1
+ secp224r1
+ secp384r1
+ secp256k1
+ secp521r1
+ ed25519 (wird nur auf hsm2m.medium-Instances im Nicht-FIPS-Modus unterstützt)
Erforderlich: Ja

***<PUBLIC\$1KEY\$1ATTRIBUTES>***  
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten öffentlichen EC-Schlüssel festgelegt werden sollen, in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (z. B. `verify=true`)  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<PUBLIC\$1LABEL>***  
Gibt eine benutzerdefinierte Bezeichnung für den öffentlichen Schlüssel an. Die maximal zulässige Größe für Client SDK 5.11 und höher `label` beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.  
Erforderlich: Ja

***<PRIVATE\$1KEY\$1ATTRIBUTES>***  
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten privaten EC-Schlüssel festgelegt werden sollen, in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (z. B. `sign=true`)  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<PRIVATE\$1LABEL>***  
Gibt eine benutzerdefinierte Bezeichnung für den private-key an. Die maximal zulässige Größe für Client-SDK 5.11 und höher `label` beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.  
Standardmäßig handelt es sich bei den generierten Schlüsseln um persistente (Token-)Schlüssel. Das Übergeben von <SESSION> ändert dies und stellt sicher, dass es sich bei einem mit diesem Argument generierten Schlüssel um einen (kurzlebigen) Sitzungsschlüssel handelt.  
Erforderlich: Nein

***<SHARE\$1CRYPTO\$1USERS>***  
Gibt eine durch Leerzeichen getrennte Liste von Crypto-Benutzernamen an, mit denen der private EC-Schlüssel gemeinsam genutzt werden soll  
Erforderlich: Nein

***<MANAGE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für die Schlüsselverwaltungsvorgänge des privaten Schlüssels. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

***<USE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für die Schlüsselverwendungsvorgänge des privaten Schlüssels. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

## Verwandte Themen
<a name="key-generate-asymmetric-pair-ec-seealso"></a>
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)

# Generieren Sie ein asymmetrisches RSA-Schlüsselpaar mit CloudHSM CLI
<a name="cloudhsm_cli-key-generate-asymmetric-pair-rsa"></a>

Verwenden Sie den **key generate-asymmetric-pair rsa** Befehl in der CloudHSM-CLI, um ein asymmetrisches RSA-Schlüsselpaar in Ihrem Cluster zu generieren. AWS CloudHSM 

## Benutzertyp
<a name="key-generate-asymmetric-pair-rsa-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer () CUs

## Voraussetzungen
<a name="key-generate-asymmetric-pair-rsa-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="key-generate-asymmetric-pair-rsa-syntax"></a>

```
aws-cloudhsm > help key generate-asymmetric-pair rsa
Generate an RSA key pair

Usage: key generate-asymmetric-pair rsa [OPTIONS] --public-label <PUBLIC_LABEL> --private-label <PRIVATE_LABEL> --modulus-size-bits <MODULUS_SIZE_BITS> --public-exponent <PUBLIC_EXPONENT>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --public-label <PUBLIC_LABEL>
          Label for the public key
      --private-label <PRIVATE_LABEL>
          Label for the private key
      --session
          Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
      --modulus-size-bits <MODULUS_SIZE_BITS>
          Modulus size in bits used to generate the RSA key pair
      --public-exponent <PUBLIC_EXPONENT>
          Public exponent used to generate the RSA key pair
      --public-attributes [<PUBLIC_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated RSA public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --private-attributes [<PRIVATE_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated RSA private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the RSA key with
      --manage-private-key-quorum-value <MANAGE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key management operations for the private key
      --use-private-key-quorum-value <USE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations for the private key
  -h, --help
          Print help
```

## Beispiele
<a name="key-generate-asymmetric-pair-rsa-examples"></a>

Diese Beispiele verdeutlichen, wie mit `key generate-asymmetric-pair rsa` ein RSA-Schlüsselpaar erstellt wird.

**Example Beispiel: Ein RSA-Schlüsselpaar erstellen**  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000160010",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x498e1f",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xdfca0669dc8288ed3bad99509bd21c7e6192661407021b3f4cdf4a593d939dd24f4d641af8e4e73b04c847731c6dbdff3385818e08dd6efcbedd6e5b130344968c
e89a065e7d1a46ced96b46b909db2ab6be871ee700fd0a448b6e975bb64cae77c49008749212463e37a577baa57ce3e574cb057e9db131e119badf50c938f26e8a5975c61a8ba7ffe7a1115a
bcebb7d20bd6df1948ae336ae23b52d73b7f3b6acc2543edb6358e08d326d280ce489571f4d34e316a2ea1904d513ca12fa04075fc09ad005c81b7345d7804ff24c45117f0a1020dca7794df037a10aadec8653473b2088711f7b7d8b58431654e14e31af0e00511da641058fb7475ffdbe60f",
        "modulus-size-bits": 2048
      }
    },
"private_key": {
      "key-reference": "0x0000000000160011",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x498e1f",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

**Example Beispiel: Erstellen eines RSA-Schlüsselpaars mit optionalen Attributen**  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes encrypt=true \
--private-attributes decrypt=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

**Example Beispiel: Erstellen Sie ein RSA-Schlüsselpaar mit Quorumwerten**  
Beim Generieren eines Schlüssels mit Quorumsteuerelementen muss der Schlüssel einer Mindestanzahl von Benutzern zugeordnet werden, die dem größten Schlüsselquorumwert entspricht. Zu den assoziierten Benutzern gehören der Schlüsselinhaber und Crypto-Benutzer, mit denen der Schlüssel geteilt wird. Um die Mindestanzahl der Benutzer zu ermitteln, mit denen der Schlüssel geteilt werden soll, ermitteln Sie den größten Quorumwert zwischen dem Quorumwert für die Schlüsselnutzung und dem Quorumwert für die Schlüsselverwaltung und subtrahieren Sie 1, um den Schlüsselbesitzer zu berücksichtigen, der standardmäßig mit dem Schlüssel verknüpft ist. Verwenden Sie den Befehl, um den Schlüssel mit mehreren Benutzern zu teilen. **[Einen Schlüssel mit CloudHSM CLI teilen](cloudhsm_cli-key-share.md)**  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes verify=true \
--private-attributes sign=true
--share-crypto-users cu2 cu3 cu4 \
--manage-private-key-quorum-value 4 \
--use-private-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634df6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0acac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

## Argumente
<a name="key-generate-asymmetric-pair-rsa-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<MODULUS\$1SIZE\$1BITS>***  
 Gibt die Länge des Moduls in Bits an. Der minimale Wert beträgt 2048.   
Erforderlich: Ja

***<PRIVATE\$1KEY\$1ATTRIBUTES>***  
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten privaten RSA-Schlüssel festgelegt werden sollen, in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (z. B. `sign=true`)  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<PRIVATE\$1LABEL>***  
 Gibt eine benutzerdefinierte Bezeichnung für den private-key an. Die maximal zulässige Größe für Client SDK 5.11 und höher `label` beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.  
Erforderlich: Ja

***<PUBLIC\$1EXPONENT>***  
Gibt den öffentlichen Exponenten an. Bei diesem Wert muss es sich eine ungerade Zahl gleich oder größer als 65537 handeln.  
Erforderlich: Ja

***<PUBLIC\$1KEY\$1ATTRIBUTES>***  
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten öffentlichen RSA-Schlüssel festgelegt werden sollen, in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (z. B. `verify=true`)  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<PUBLIC\$1LABEL>***  
 Gibt eine benutzerdefinierte Bezeichnung für den öffentlichen Schlüssel an. Die maximal zulässige Größe für Client-SDK 5.11 und höher `label` beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.  
Standardmäßig handelt es sich bei den generierten Schlüsseln um persistente (Token-)Schlüssel. Das Übergeben von <SESSION> ändert dies und stellt sicher, dass es sich bei einem mit diesem Argument generierten Schlüssel um einen (kurzlebigen) Sitzungsschlüssel handelt.  
Erforderlich: Nein

***<SHARE\$1CRYPTO\$1USERS>***  
Gibt eine durch Leerzeichen getrennte Liste von Crypto-Benutzernamen an, mit denen der private RSA-Schlüssel gemeinsam genutzt werden soll  
Erforderlich: Nein

***<MANAGE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für die Schlüsselverwaltungsvorgänge des privaten Schlüssels. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

***<USE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für die Schlüsselverwendungsvorgänge des privaten Schlüssels. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

## Verwandte Themen
<a name="key-generate-asymmetric-pair-rsa-seealso"></a>
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)

# Die Kategorie „Symmetrisch generieren“ in CloudHSM CLI
<a name="cloudhsm_cli-key-generate-symmetric"></a>

In der CloudHSM-CLI **key generate-symmetric** ist dies eine übergeordnete Kategorie für eine Gruppe von Befehlen, die in Kombination mit der übergeordneten Kategorie einen Befehl erstellen, der symmetrische Schlüssel generiert. Derzeit besteht diese Kategorie aus den folgenden Befehlen:
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)

# Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI
<a name="cloudhsm_cli-key-generate-symmetric-aes"></a>

Verwenden Sie den **key generate-symmetric aes** Befehl in der CloudHSM-CLI, um einen symmetrischen AES-Schlüssel in Ihrem Cluster zu generieren. AWS CloudHSM 

## Benutzertyp
<a name="key-generate-symmetric-aes-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="key-generate-symmetric-aes-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="key-generate-symmetric-aes-syntax"></a>

```
aws-cloudhsm > help key generate-symmetric aes
Generate an AES key

Usage: key generate-symmetric aes [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated AES key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the AES key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE>
          The quorum value for key management operations
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations
  -h, --help
          Print help
```

## Beispiele
<a name="key-generate-symmetric-aes-examples"></a>

Diese Beispiele zeigen, wie Sie den **key generate-symmetric aes**-Befehl zum Erstellen eines AES-Schlüssels verwenden.

**Example Beispiel: Einen AES-Schlüssel erstellen**  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

**Example Beispiel: Erstellen eines AES-Schlüssels mit optionalen Attributen**  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24 \
--attributes decrypt=true encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

**Example Beispiel: Erstellen Sie einen AES-Schlüssel mit Quorumwerten**  
Beim Generieren eines Schlüssels mit Quorumsteuerungen muss der Schlüssel einer Mindestanzahl von Benutzern zugeordnet werden, die dem größten Schlüsselquorumwert entspricht. Zu den assoziierten Benutzern gehören der Schlüsselinhaber und Crypto-Benutzer, mit denen der Schlüssel geteilt wird. Um die Mindestanzahl der Benutzer zu ermitteln, mit denen der Schlüssel geteilt werden soll, ermitteln Sie den größten Quorumwert zwischen dem Quorumwert für die Schlüsselnutzung und dem Quorumwert für die Schlüsselverwaltung und subtrahieren Sie 1, um den Schlüsselbesitzer zu berücksichtigen, der standardmäßig mit dem Schlüssel verknüpft ist. Verwenden Sie den Befehl, um den Schlüssel mit mehreren Benutzern zu teilen. **[Einen Schlüssel mit CloudHSM CLI teilen](cloudhsm_cli-key-share.md)**  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24 \
--attributes decrypt=true encrypt=true
--share-crypto-users cu2 cu3 cu4 \
--manage-key-quorum-value 4 \
--use-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

## Argumente
<a name="key-generate-symmetric-aes-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<KEY\$1ATTRIBUTES>***  
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten AES-Schlüssel festgelegt werden sollen, in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (z. B. `sign=true`).  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<KEY-LENGTH-BYTES>***  
Gibt die Schlüssellänge in Byte an.  

Zulässige Werte:
+ 16, 24 und 32
Erforderlich: Ja

***<LABEL>***  
Gibt eine benutzerdefinierte Bezeichnung für den AES-Schlüssel an. Die maximal zulässige Größe für Client SDK 5.11 und höher `label` beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.  
Standardmäßig handelt es sich bei den generierten Schlüsseln um persistente (Token-)Schlüssel. Das Übergeben von <SESSION> ändert dies und stellt sicher, dass es sich bei einem mit diesem Argument generierten Schlüssel um einen (kurzlebigen) Sitzungsschlüssel handelt.  
Erforderlich: Nein

***<SHARE\$1CRYPTO\$1USERS>***  
Gibt eine durch Leerzeichen getrennte Liste von Crypto-Benutzernamen an, mit denen der AES-Schlüssel gemeinsam genutzt werden soll  
Erforderlich: Nein

***<MANAGE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für Schlüsselverwaltungsvorgänge. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

***<USE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für Operationen zur Verwendung von Schlüsseln. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

## Verwandte Themen
<a name="key-generate-symmetric-aes-seealso"></a>
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)

# Generieren Sie einen symmetrischen Generic Secret Key mit CloudHSM CLI
<a name="cloudhsm_cli-key-generate-symmetric-generic-secret"></a>

Verwenden Sie den **key generate-symmetric generic-secret** Befehl in der CloudHSM-CLI, um einen symmetrischen Generic Secret-Schlüssel in Ihrem Cluster zu generieren. AWS CloudHSM 

## Benutzertyp
<a name="key-generate-symmetric-generic-secret-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="key-generate-symmetric-generic-secret-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="key-generate-symmetric-generic-secret-syntax"></a>

```
aws-cloudhsm > key help generate-symmetric generic-secret
Generate a generic secret key

Usage: key generate-symmetric generic-secret [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated generic secret key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the generic secret key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE>
          The quorum value for key management operations
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations
  -h, --help
          Print help
```

## Beispiele
<a name="key-generate-symmetric-generic-secret-examples"></a>

Diese Beispiele zeigen, wie Sie den **key generate-symmetric generic-secret**-Befehl verwenden, um einen generischen geheimen Schlüssel zu erstellen.

**Example Beispiel: Erstellen Sie einen generischen geheimen Schlüssel**  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

**Example Beispiel: Erstellen Sie einen generischen geheimen Schlüssel mit optionalen Attributen**  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256 \
--attributes encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

**Example Beispiel: Erstellen Sie einen generischen geheimen Schlüssel mit Quorumwerten**  
Beim Generieren eines Schlüssels mit Quorumsteuerelementen muss der Schlüssel einer Mindestanzahl von Benutzern zugeordnet werden, die dem größten Schlüsselquorumwert entspricht. Zu den assoziierten Benutzern gehören der Schlüsselinhaber und Crypto-Benutzer, mit denen der Schlüssel geteilt wird. Um die Mindestanzahl der Benutzer zu ermitteln, mit denen der Schlüssel geteilt werden soll, ermitteln Sie den größten Quorumwert zwischen dem Quorumwert für die Schlüsselnutzung und dem Quorumwert für die Schlüsselverwaltung und subtrahieren Sie 1, um den Schlüsselbesitzer zu berücksichtigen, der standardmäßig mit dem Schlüssel verknüpft ist. Verwenden Sie den Befehl, um den Schlüssel mit mehreren Benutzern zu teilen. **[Einen Schlüssel mit CloudHSM CLI teilen](cloudhsm_cli-key-share.md)**  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256 \
--attributes encrypt=true
--share-crypto-users cu2 cu3 cu4 \
--manage-key-quorum-value 4 \
--use-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

## Argumente
<a name="key-generate-symmetric-generic-secret-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<KEY\$1ATTRIBUTES>***  
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den generierten AES-Schlüssel festgelegt werden sollen, in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (z. B. `sign=true`).  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<KEY-LENGTH-BYTES>***  
Gibt die Schlüssellänge in Byte an.  

Zulässige Werte:
+ 1 bis 800
Erforderlich: Ja

***<LABEL>***  
Gibt eine benutzerdefinierte Bezeichnung für den generischen geheimen Schlüssel an. Die maximal zulässige Größe für Client SDK 5.11 und höher `label` beträgt 127 Zeichen. Das Client-SDK 5.10 und früher ist auf 126 Zeichen begrenzt.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Schlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Verwenden Sie diesen Parameter, wenn Sie einen Schlüssel zum Packen nur für kurze Zeit benötigen, z. B. einen Schlüssel, der einen anderen Schlüssel verschlüsselt und dann schnell entschlüsselt. Verwenden Sie keinen Sitzungsschlüssel, um Daten zu verschlüsseln, die Sie nach dem Ende der Sitzung möglicherweise entschlüsseln müssen.  
Standardmäßig handelt es sich bei den generierten Schlüsseln um persistente (Token-)Schlüssel. Das Übergeben von <SESSION> ändert dies und stellt sicher, dass es sich bei einem mit diesem Argument generierten Schlüssel um einen (kurzlebigen) Sitzungsschlüssel handelt.  
Erforderlich: Nein

***<SHARE\$1CRYPTO\$1USERS>***  
Durch Leerzeichen getrennte Liste von Crypto-Benutzernamen, mit denen der generische geheime Schlüssel geteilt werden soll  
Erforderlich: Nein

***<MANAGE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für Schlüsselverwaltungsvorgänge. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

***<USE\$1KEY\$1QUORUM\$1VALUE>***  
Der Quorumwert für Operationen zur Verwendung von Schlüsseln. Dieser Wert muss kleiner oder gleich der Anzahl der Benutzer sein, denen der Schlüssel zugeordnet ist. Dazu gehören Benutzer, mit denen der Schlüssel geteilt wird, und der Schlüsselbesitzer. Maximaler Wert von 8.  
Erforderlich: Nein

## Verwandte Themen
<a name="key-generate-symmetric-generic-secret-seealso"></a>
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)

# Importieren Sie einen Schlüssel im PEM-Format mit der CloudHSM-CLI
<a name="cloudhsm_cli-key-import-pem"></a>

Verwenden Sie den **key import pem** Befehl in AWS CloudHSM , um einen Schlüssel im PEM-Format in ein Hardware-Sicherheitsmodul (HSM) zu importieren. Sie können ihn verwenden, um öffentliche und außerhalb des HSM erstellte Schlüssel zu importieren.

**Anmerkung**  
Verwenden Sie den [Exportieren Sie einen asymmetrischen Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-file.md) Befehl, um eine Standard-PEM-Datei aus einem öffentlichen Schlüssel oder eine Referenz-PEM-Datei aus einem privaten Schlüssel zu erstellen.

## Benutzertyp
<a name="cloudhsm_cli-key-import-pem-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-import-pem-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-import-pem-syntax"></a>

```
aws-cloudhsm > help key import pem
Import key from a PEM file

Usage: key import pem [OPTIONS] --path <PATH> --label <LABEL> --key-type-class <KEY_TYPE_CLASS>
Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --path <PATH>
          Path where the key is located in PEM format
      --label <LABEL>
          Label for the imported key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of the imported key [possible values: ec-public, rsa-public]
      --attributes [<IMPORT_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the imported key
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-import-pem-examples"></a>

Dieses Beispiel zeigt, wie der **key import pem** Befehl verwendet wird, um einen öffentlichen RSA-Schlüssel aus einer Datei im PEM-Format zu importieren.

**Example Beispiel: Importieren Sie einen öffentlichen RSA-Schlüssel**  

```
aws-cloudhsm > key import pem --path /home/example --label example-imported-key --key-type-class rsa-public
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001e08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",                                   
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "example-imported-key",
        "id": "0x",
        "check-value": "0x99fe93",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0x8e9c172c37aa22ed1ce25f7c3a7c936dadc532201400128b044ebb4b96│··3e4930ab910df5a2896eaeb8853cfea0e341227654a8337a7864cc8a87d136f006cfba9e68d0b329│··746c1ad60941668b18699fc8169ff1ec363d0d18292845b2454d6a0b8c5d111b79c047619d460cdf│··be59debbacb66b7abeaf3f3d35dd2b9cfa6b6b7b1258b6866cb4085ac749e9d8552b3a4509e1b86c│··828cc794e22767b4f6b5bc6ff5c96f4b7e60eab305d669cfa2197e85379cb35c659bb58fcd246d48│··d9f6a7f36063b42da025459275aa8e3abedad775387086bd6c198ded868403f4b87ffda5a2d455ac│··aa6cbd00003c31d8d2f51d10cd272b31cf0c4037791f48ad51fb35",
        "modulus-size-bits": 2048
      }
    },
    "message": "Successfully imported key"
  }
}
```

**Example Beispiel: Importieren Sie einen öffentlichen RSA-Schlüssel mit optionalen Attributen**  

```
aws-cloudhsm > key import pem --path /home/example --label example-imported-key-with-attributes --key-type-class rsa-public --attributes verify=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001e08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",                                      
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "example-imported-key-with-attributes",
        "id": "0x",
        "check-value": "0x99fe93",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0x8e9c172c37aa22ed1ce25f7c3a7c936dadc532201400128b044ebb4b96│··3e4930ab910df5a2896eaeb8853cfea0e341227654a8337a7864cc8a87d136f006cfba9e68d0b329│··746c1ad60941668b18699fc8169ff1ec363d0d18292845b2454d6a0b8c5d111b79c047619d460cdf│··be59debbacb66b7abeaf3f3d35dd2b9cfa6b6b7b1258b6866cb4085ac749e9d8552b3a4509e1b86c│··828cc794e22767b4f6b5bc6ff5c96f4b7e60eab305d669cfa2197e85379cb35c659bb58fcd246d48│··d9f6a7f36063b42da025459275aa8e3abedad775387086bd6c198ded868403f4b87ffda5a2d455ac│··aa6cbd00003c31d8d2f51d10cd272b31cf0c4037791f48ad51fb35",
        "modulus-size-bits": 2048
      }
    },
    "message": "Successfully imported key"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-import-pem-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PATH>***  
Gibt den Dateipfad an, in dem sich die Schlüsseldatei befindet.  
Erforderlich: Ja

***<LABEL>***  
Gibt eine benutzerdefinierte Bezeichnung für den importierten Schlüssel an. Die maximal zulässige Größe für `label` beträgt 126 Zeichen.  
Erforderlich: Ja

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels.  
Mögliche Werte:  
+ ec-public
+ rsa-öffentlich
Erforderlich: Ja

***<IMPORT\$1KEY\$1ATTRIBUTES>***  
Gibt eine durch Leerzeichen getrennte Liste von Schlüsselattributen an, die für den importierten Schlüssel festgelegt werden sollen, in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (z. B.`sign=true`). Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

## Verwandte Themen
<a name="cloudhsm_cli-key-import-pem-seealso"></a>
+ [Die Kategorie Kryptozeichen in CloudHSM CLI](cloudhsm_cli-crypto-sign.md)
+ [Die Kategorie Crypto Verify in CloudHSM CLI](cloudhsm_cli-crypto-verify.md)

# Schlüssel für einen Benutzer mit CloudHSM CLI auflisten
<a name="cloudhsm_cli-key-list"></a>

Verwenden Sie den **key list** Befehl in der CloudHSM-CLI, um alle Schlüssel für den aktuellen Benutzer in Ihrem AWS CloudHSM Cluster zu finden. Die Ausgabe umfasst Schlüssel, die der Benutzer besitzt und die für ihn freigegeben sind, sowie alle öffentlichen Schlüssel im CloudHSM-Cluster.

## Benutzertyp
<a name="chsm-cli-key-list-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Administratoren () COs
+ Krypto-Benutzer () CUs

## Syntax
<a name="chsm-cli-key-list-syntax"></a>

```
aws-cloudhsm > help key list
List the keys the current user owns, shares, and all public keys in the HSM cluster

Usage: key list [OPTIONS]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key(s) to list
      --max-items <MAX_ITEMS>
          The total number of items to return in the command's output. If the total number of items available is more than the value specified, a next-token is provided in the command's output. To resume pagination, provide the next-token value in the starting-token argument of a subsequent command [default: 10]
      --starting-token <STARTING_TOKEN>
          A token to specify where to start paginating. This is the next-token from a previously truncated response
  -v, --verbose
          If included, prints all attributes and key information for each matched key. By default each matched key only displays its key-reference and label attribute. This flag when used by Admins has no effect
  -h, --help
          Print help
```

## Beispiele
<a name="chsm-cli-key-list-examples"></a>

Die folgenden Beispiele zeigen die verschiedenen Möglichkeiten, wie Sie den **key list**-Befehl ausführen. Die folgenden Beispiele zeigen die Ausgaben eines Krypto-Benutzers.

**Example Beispiel: Finde alle Schlüssel — Standard**  
Dieser Befehl listet die Schlüssel des angemeldeten Benutzers auf, der sich im AWS CloudHSM Cluster befindet.  
Standardmäßig werden nur 10 Schlüssel des aktuell angemeldeten Benutzers angezeigt, und nur die Schlüssel `key-reference` und `label` werden als Ausgabe angezeigt. Verwenden Sie die entsprechenden Paginierungsoptionen, um mehr oder weniger Schlüssel als Ausgabe anzuzeigen.

```
aws-cloudhsm > key list
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x00000000000003d5",
        "attributes": {
          "label": "test_label_1"
        }
      },
      {
        "key-reference": "0x0000000000000626",
        "attributes": {
          "label": "test_label_2"
        }
      },.
      ...8 keys later...
    ],
    "total_key_count": 56,
    "returned_key_count": 10,
    "next_token": "10"
  }
}
```

**Example Beispiel: Finde alle Schlüssel — ausführlich**  
Die Ausgabe enthält Schlüssel, die der Benutzer besitzt und mit anderen teilt, sowie alle öffentlichen Schlüssel in der HSMs.  
Hinweis: Standardmäßig werden nur 10 Schlüssel des aktuell angemeldeten Benutzers angezeigt. Verwenden Sie die entsprechenden Paginierungsoptionen, um mehr oder weniger Schlüssel als Ausgabe anzuzeigen.

```
aws-cloudhsm > key list --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x000000000012000c",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "ec",
          "label": "ec-test-private-key",
          "id": "",
          "check-value": "0x2a737d",
          "class": "private-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": false,
          "verify": false,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 122,
          "ec-point": "0x0442d53274a6c0ec1a23c165dcb9ccdd72c64e98ae1a9594bb5284e752c746280667e11f1e983493c1c605e0a8071ede47ca280f94c6b2aa33",
          "curve": "secp224r1"
        }
      },
      {
        "key-reference": "0x000000000012000d",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "ec",
          "label": "ec-test-public-key",
          "id": "",
          "check-value": "0x2a737d",
          "class": "public-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": false,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": false,
          "sign": false,
          "trusted": false,
          "unwrap": false,
          "verify": false,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 57,
          "ec-point": "0x0442d53274a6c0ec1a23c165dcb9ccdd72c64e98ae1a9594bb5284e752c746280667e11f1e983493c1c605e0a8071ede47ca280f94c6b2aa33",
          "curve": "secp224r1"
        }
      }
    ],
      ...8 keys later...
    "total_key_count": 1580,
    "returned_key_count": 10
  }
}
```

**Example Beispiel: Paginated return**  
Das folgende Beispiel zeigt eine paginierte Teilmenge der Schlüssel, die nur zwei Schlüssel enthält. Das Beispiel bietet dann einen nachfolgenden Aufruf, um die nächsten beiden Schlüssel anzuzeigen.  

```
aws-cloudhsm > key list --verbose --max-items 2
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000030",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "98a6688d1d964ed7b45b9cec5c4b1909",
          "id": "",
          "check-value": "0xb28a46",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      },
      {
        "key-reference": "0x0000000000000042",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "4ad6cdcbc02044e09fa954143efde233",
          "id": "",
          "check-value": "0xc98104",
          "class": "secret-key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": true,
          "verify": true,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 16
        }
      }
    ],
    "total_key_count": 1580,
    "returned_key_count": 2,
    "next_token": "2"
  }
}
```
Um die nächsten 2 Schlüssel anzuzeigen, kann ein nachfolgender Aufruf getätigt werden:  

```
aws-cloudhsm > key list --verbose --max-items 2 --starting-token 2
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000081",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "6793b8439d044046982e5b895791e47f",
          "id": "",
          "check-value": "0x3f986f",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      },
      {
        "key-reference": "0x0000000000000089",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "56b30fa05c6741faab8f606d3b7fe105",
          "id": "",
          "check-value": "0xe9201a",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1580,
    "returned_key_count": 2,
    "next_token": "4"
  }
}
```
Weitere Beispiele, die zeigen, wie der wichtige Filtrationsmechanismus in der CloudHSM-CLI funktioniert, finden Sie unter [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md).

## Argumente
<a name="key-list-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass übereinstimmende Schlüssel für die Liste ausgewählt werden sollen.  
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<MAX\$1ITEMS>***  
Die Gesamtzahl der Elemente, die in der Ausgabe des Befehls zurückgegeben werden sollen. Ist die Gesamtzahl der verfügbaren Elemente größer als der angegebene Wert, wird ein next-token in der Ausgabe des Befehls bereitgestellt. Um die Seitennummerierung fortzusetzen, geben Sie den next-token-Wert im starting-token-Argument eines nachfolgenden Befehls an.  
Erforderlich: Nein

***<STARTING\$1TOKEN>***  
Ein Token für den Beginn der Seitennummerierung. Dies ist das next-token aus einer zuvor abgeschnittenen Antwort.  
Erforderlich: Nein

***<VERBOSE>***  
Falls enthalten, werden alle Attribute und Schlüsselinformationen für jeden übereinstimmenden Schlüssel gedruckt. Standardmäßig zeigt jeder übereinstimmende Schlüssel nur seine Schlüsselreferenz und sein Labelattribut an. Wenn diese Markierung von Admins verwendet wird, hat sie keine Wirkung.  
Erforderlich: Nein

## Verwandte Themen
<a name="chsm-key-list-seealso"></a>
+ [Löschen Sie einen Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-delete.md)
+ [Exportieren Sie einen asymmetrischen Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-file.md)
+ [Freigabe eines Schlüssels mithilfe der CloudHSM-CLI rückgängig machen](cloudhsm_cli-key-unshare.md)
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)

# Einen Schlüssel mit CloudHSM CLI replizieren
<a name="cloudhsm_cli-key-replicate"></a>

Verwenden Sie den **key replicate** Befehl in der CloudHSM-CLI, um einen Schlüssel von einem AWS CloudHSM Quellcluster auf einen Zielcluster zu replizieren. AWS CloudHSM 

## Benutzertyp
<a name="chsm-cli-key-replicate-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Administratoren () COs
+ Krypto-Benutzer () CUs
**Anmerkung**  
Crypto-Benutzer müssen den Schlüssel besitzen, um diesen Befehl verwenden zu können.

## Voraussetzungen
<a name="cloudhsm_cli-key-replicate-requirements"></a>
+ Die Quell- und Zielcluster müssen Klone sein. Das bedeutet, dass einer aus einem Backup des anderen erstellt wurde oder dass beide aus einem gemeinsamen Backup erstellt wurden. Weitere Informationen finden Sie unter [Cluster aus Sicherungen erstellen](create-cluster-from-backup.md).
+ Der Besitzer des Schlüssels muss auf dem Zielcluster vorhanden sein. Wenn der Schlüssel mit anderen Benutzern geteilt wird, müssen diese Benutzer außerdem auch auf dem Zielcluster vorhanden sein.
+ Um diesen Befehl ausführen zu können, müssen Sie sowohl im Quell- als auch im Zielcluster als Crypto-Benutzer oder Administrator angemeldet sein.
  +  Im Einzelbefehlsmodus verwendet der Befehl die Umgebungsvariablen CLOUDHSM\$1PIN und CLOUDHSM\$1ROLE, um sich im Quellcluster zu authentifizieren. Weitere Informationen finden Sie unter [Einzelbefehlsmodus](cloudhsm_cli-modes.md#cloudhsm_cli-mode-single-command). Um Anmeldeinformationen für den Zielcluster bereitzustellen, müssen Sie zwei zusätzliche Umgebungsvariablen festlegen: DESTINATION\$1CLOUDHSM\$1PIN und DESTINATION\$1CLOUDHSM\$1ROLE:

    ```
    $ export DESTINATION_CLOUDHSM_ROLE=<role>
    ```

    ```
    $ export DESTINATION_CLOUDHSM_PIN=<username:password>
    ```
  +  Im interaktiven Modus müssen sich Benutzer explizit sowohl beim Quell- als auch beim Zielcluster anmelden.

## Syntax
<a name="chsm-cli-key-replicate-syntax"></a>

```
aws-cloudhsm > help key replicate
Replicate a key from a source to a destination cluster

Usage: key replicate --filter [<FILTER>...] --source-cluster-id <SOURCE_CLUSTER_ID> --destination-cluster-id <DESTINATION_CLUSTER_ID>

Options:
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key on the source cluster
      --source-cluster-id <SOURCE_CLUSTER_ID>
          Source cluster ID
      --destination-cluster-id <DESTINATION_CLUSTER_ID>
          Destination cluster ID
  -h, --help
          Print help
```

## Beispiele
<a name="chsm-cli-key-replicate-examples"></a>

**Example Beispiel: Schlüssel replizieren**  
Dieser Befehl repliziert einen Schlüssel von einem Quellcluster auf einen geklonten Zielcluster. Das folgende Beispiel zeigt die Ausgabe, wenn Sie als Crypto-Benutzer auf beiden Clustern angemeldet sind.  

```
crypto-user-1@cluster-1234abcdefg > key replicate \
      --filter attr.label=example-key \
      --source-cluster-id cluster-1234abcdefg \
      --destination-cluster-id cluster-2345bcdefgh
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x0000000000300006",
      "key-info": {
        "key-owners": [
          {
            "username": "crypto-user-1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-key",
        "id": "0x",
        "check-value": "0x5e118e",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": true,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    },
    "message": "Successfully replicated key"
  }
}
```

## Argumente
<a name="key-replicate-arguments"></a>

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` zur Auswahl eines passenden Schlüssels auf dem Quellcluster.  
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Ja

***<SOURCE\$1CLUSTER\$1ID>***  
Die Quellcluster-ID.  
Erforderlich: Ja

***<DESTINATION\$1CLUSTER\$1ID>***  
Die Zielcluster-ID.  
Erforderlich: Ja

## Verwandte Themen
<a name="chsm-key-replicate-seealso"></a>
+ [Verbindung zu mehreren Clustern mit CloudHSM CLI herstellen](cloudhsm_cli-configs-multi-cluster.md)

# Legen Sie die Attribute von Schlüsseln mit der CloudHSM-CLI fest
<a name="cloudhsm_cli-key-set-attribute"></a>

Verwenden Sie den **key set-attribute** Befehl in der CloudHSM-CLI, um die Attribute der Schlüssel in Ihrem AWS CloudHSM Cluster festzulegen. Nur der CU, der den Schlüssel erstellt hat und folglich Eigentümer des Schlüssels ist, kann die Attribute des Schlüssels ändern.

Eine Liste der wichtigsten Attribute, die in der CloudHSM-CLI verwendet werden können, finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).

## Benutzertyp
<a name="chsm-cli-key-set-attribute-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs) können diesen Befehl ausführen.
+ Administratoren können das vertrauenswürdige Attribut festlegen.

## Voraussetzungen
<a name="chsm-cli-key-set-attribute-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein. Um das vertrauenswürdige Attribut festzulegen, müssen Sie als Admin-Benutzer angemeldet sein.

## Syntax
<a name="chsm-cli-key-set-attribute-syntax"></a>

```
aws-cloudhsm > help key set-attribute
Set an attribute for a key in the HSM cluster

Usage: cloudhsm-cli key set-attribute [OPTIONS] --filter [<FILTER>...] --name <KEY_ATTRIBUTE> --value <KEY_ATTRIBUTE_VALUE>

Options:
      --cluster-id <CLUSTER_ID>         Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]            Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key to modify
      --name <KEY_ATTRIBUTE>            Name of attribute to be set
      --value <KEY_ATTRIBUTE_VALUE>...  Attribute value to be set
      --approval <APPROVAL>            Filepath of signed quorum token file to approve operation
  -h, --help                            Print help
```

## Beispiel: Einstellung eines identifizierenden Attributs
<a name="chsm-cli-key-set-attribute-examples"></a>

Das folgende Beispiel demonstriert, wie Sie mit dem **key set-attribute**-Befehl das Label setzen.

**Example**  

1. Verwenden Sie den Schlüssel mit dem Label `my_key`, wie hier gezeigt:

   ```
   aws-cloudhsm > key set-attribute --filter attr.label=my_key --name encrypt --value false
   {
     "error_code": 0,
     "data": {
       "message": "Attribute set successfully"
     }
   }
   ```

1. Bestätigen Sie mit dem **key list**-Befehl, dass sich das `encrypt`-Attribut geändert hat:

   ```
   aws-cloudhsm > key list --filter attr.label=my_key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000006400ec",
           "key-info": {
             "key-owners": [
               {
                 "username": "bob",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [],
           "key-quorum-values": {
             "manage-key-quorum-value": 0,
             "use-key-quorum-value": 0
           },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "aes",
             "label": "my_key",
             "id": "",
             "check-value": "0x6bd9f7",
             "class": "secret-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": true,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": true,
             "unwrap": true,
             "verify": true,
             "wrap": true,
             "wrap-with-trusted": false,
             "key-length-bytes": 32
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

## Argumente
<a name="chsm-cli-key-set-attribute-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<KEY\$1ATTRIBUTE>***  
Gibt den Namen des Attributs des Schlüssels an.  
Erforderlich: Ja

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein passender Schlüssel zum Löschen ausgewählt werden soll.  
Eine Liste der unterstützten CloudHSM-CLI-Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Nein

***<KEY\$1ATTRIBUTE\$1VALUE>***  
Gibt den Wert des Attributs des Schlüssels an.  
Erforderlich: Ja

***<KEY\$1REFERENCE>***  
Eine hexadezimale oder dezimale Darstellung des Schlüssels. (z. B. ein Tastenkürzel).  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Schlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="chsm-cli-key-set-attribute-see-also"></a>
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)

# Einen Schlüssel mit CloudHSM CLI teilen
<a name="cloudhsm_cli-key-share"></a>

Verwenden Sie den **key share** Befehl in der CloudHSM-CLI, um einen Schlüssel mit anderen CUs in Ihrem AWS CloudHSM Cluster zu teilen.

Nur der CU, der den Schlüssel erstellt hat und somit Eigentümer des Schlüssels ist, kann den Schlüssel teilen. Benutzer, mit denen ein Schlüssel geteilt wird, können den Schlüssel für kryptografische Operationen verwenden, aber sie können den Schlüssel nicht löschen, exportieren, teilen oder das Teilen aufheben. Darüber hinaus können diese Benutzer [Schlüsselattribute](cloudhsm_cli-key-attributes.md) nicht ändern.

## Benutzertyp
<a name="chsm-cli-key-share-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="chsm-cli-key-share-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="chsm-cli-key-share-syntax"></a>

```
aws-cloudhsm > help key share
Share a key in the HSM cluster with another user

Usage: key share --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for sharing

      --username <USERNAME>
          A username with which the key will be shared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

  -h, --help
          Print help (see a summary with '-h')
```

## Beispiel: Teilen Sie sich einen Schlüssel mit einem anderen CU
<a name="chsm-cli-key-share-examples"></a>

Das folgende Beispiel zeigt, wie Sie den **key share**-Befehl verwenden, um einen Schlüssel mit CU `alice` zu teilen.

**Example**  

1. Führen Sie den **key share**-Befehl aus, um den Schlüssel mit `alice` zu teilen.

   ```
   aws-cloudhsm > key share --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
   {
     "error_code": 0,
     "data": {
       "message": "Key shared successfully"
     }
   }
   ```

1. Führen Sie den Befehl **key list** aus.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
               {
                 "username": "alice",
                 "key-coverage": "full"
               }
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "0xa8855cba933cec0c21a4df0450ec31675c024f3e65b2b215a53d2bda6dcd191f75729150b59b4d86df58254c8f518f7d000cc04d8e958e7502c7c33098e28da4d94378ef34fb57d1cc7e042d9119bd79be0df728421a980a397095157da24cf3cc2b6dab12225d33fdca11f0c6ed1a5127f12488cda9a556814b39b06cd8373ff5d371db2212887853621b8510faa7b0779fbdec447e1f1d19f343acb02b22526487a31f6c704f8f003cb4f7013136f90cc17c2c20e414dc1fc7bcfb392d59c767900319679fc3307388633485657ce2e1a3deab0f985b0747ef4ed339de78147d1985d14fdd8634219321e49e3f5715e79c298f18658504bab04086bfbdcd3b",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. Überprüfen Sie in der obigen Liste, ob `alice` in der Liste von `shared-users` ist.

## Argumente
<a name="chsm-cli-key-share-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein passender Schlüssel zum Löschen ausgewählt werden soll.  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Ja

***<USERNAME>***  
Gibt einen Anzeigenamen für den Benutzer an. Die maximale Länge beträgt 31 Zeichen. Das einzige zulässige Sonderzeichen ist ein Unterstrich (\$1). Beim Benutzernamen wird in diesem Befehl nicht zwischen Groß- und Kleinschreibung unterschieden, der Benutzername wird immer in Kleinbuchstaben angezeigt.  
Erforderlich: Ja

***<ROLE>***  
Gibt die diesem Benutzer zugewiesene Rolle an. Dieser Parameter muss angegeben werden. Um die Rolle des Benutzers zu erfahren, verwenden Sie den Befehl user list. Ausführliche Informationen zu den Benutzertypen in einem HSM finden Sie unter [HSM-Benutzertypen für CloudHSM CLI](understanding-users.md).  
Erforderlich: Ja

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Schlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="chsm-cli-key-share-see-also"></a>
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)

# Freigabe eines Schlüssels mithilfe der CloudHSM-CLI rückgängig machen
<a name="cloudhsm_cli-key-unshare"></a>

Verwenden Sie den **key unshare** Befehl in der CloudHSM-CLI, um die gemeinsame Nutzung eines Schlüssels mit anderen CUs in Ihrem Cluster aufzuheben. AWS CloudHSM 

Nur der CU, der den Schlüssel erstellt hat und somit Eigentümer des Schlüssels ist, kann das Teilen des Schlüssels aufheben. Benutzer, mit denen ein Schlüssel geteilt wird, können den Schlüssel für kryptografische Operationen verwenden, aber sie können den Schlüssel nicht löschen, exportieren, teilen oder das Teilen aufheben. Darüber hinaus können diese Benutzer [Schlüsselattribute](cloudhsm_cli-key-attributes.md) nicht ändern.

## Benutzertyp
<a name="chsm-cli-key-unshare-user-type"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="chsm-cli-key-unshare-requirements"></a>

Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="chsm-cli-key-unshare-syntax"></a>

```
aws-cloudhsm > help key unshare
Unshare a key in the HSM cluster with another user

Usage: key unshare --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for unsharing

      --username <USERNAME>
          A username with which the key will be unshared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

  -h, --help
          Print help (see a summary with '-h')
```

## Beispiel: Die gemeinsame Nutzung eines Schlüssels mit einer anderen CU rückgängig machen
<a name="chsm-cli-key-share-examples"></a>

Das folgende Beispiel zeigt, wie Sie den **key unshare**-Befehl verwenden, um einen Schlüssel mit CU `alice` nicht mehr zu teilen.

**Example**  

1. Führen Sie den **key list**-Befehl aus und filtern Sie nach dem bestimmten Schlüssel, mit dem Sie das Teilen mit `alice` beenden möchten.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
               {
                 "username": "alice",
                 "key-coverage": "full"
               }
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "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",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. Bestätigen Sie, dass `alice` in der `shared-users`-Ausgabe enthalten ist, und führen Sie den folgenden **key unshare**-Befehl aus, um das Teilen des Schlüssels mit `alice` aufzuheben.

   ```
   aws-cloudhsm > key unshare --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
   {
     "error_code": 0,
     "data": {
       "message": "Key unshared successfully"
     }
   }
   ```

1. Führen Sie den `key list`-Befehl erneut aus, um zu bestätigen, dass das Teilen des Schlüssels mit `alice` aufgehoben wurde.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "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",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

## Argumente
<a name="chsm-cli-key-unshare-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein passender Schlüssel zum Löschen ausgewählt werden soll.  
Eine Liste der unterstützten Schlüsselattribute finden Sie unter [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md).  
Erforderlich: Ja

***<USERNAME>***  
Gibt einen Anzeigenamen für den Benutzer an. Die maximale Länge beträgt 31 Zeichen. Das einzige zulässige Sonderzeichen ist ein Unterstrich (\$1). Beim Benutzernamen wird in diesem Befehl nicht zwischen Groß- und Kleinschreibung unterschieden, der Benutzername wird immer in Kleinbuchstaben angezeigt.  
Erforderlich: Ja

***<ROLE>***  
Gibt die diesem Benutzer zugewiesene Rolle an. Dieser Parameter muss angegeben werden. Um die Rolle des Benutzers zu erfahren, verwenden Sie den Befehl user list. Ausführliche Informationen zu den Benutzertypen in einem HSM finden Sie unter [HSM-Benutzertypen für CloudHSM CLI](understanding-users.md).  
Erforderlich: Ja

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Schlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="chsm-cli-key-unshare-see-also"></a>
+ [Schlüssel mithilfe der CloudHSM-CLI filtern](manage-keys-cloudhsm-cli-filtering.md)
+ [Schlüsselattribute für CloudHSM-CLI](cloudhsm_cli-key-attributes.md)

# Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap"></a>

Der **key unwrap** übergeordnete Befehl in der CloudHSM-CLI importiert einen verschlüsselten (verpackten) symmetrischen oder asymmetrischen privaten Schlüssel aus einer Datei in das HSM. Dieser Befehl dient zum Import verschlüsselter Schlüssel, die durch den [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md) Befehl umschlossen wurden. Er kann aber auch zum Entpacken von Schlüsseln verwendet werden, die mit anderen Tools umschlossen wurden. In diesen Situationen empfehlen wir jedoch, die Softwarebibliotheken PKCS\$111 oder JCE zu verwenden, um den Schlüssel zu entpacken.
+ [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md)
+ [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md)
+ [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md)
+ [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md)
+ [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md)
+ [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md)
+ [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md)
+ [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md)

# Entpacken Sie einen Schlüssel mit AES-GCM mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-aes-gcm"></a>

Verwenden Sie den **key unwrap aes-gcm** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den Cluster zu entpacken. `AES-GCM`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den **key unwrap aes-gcm** Befehl verwenden zu können, müssen Sie den AES-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben und sein `unwrap` Attribut muss auf gesetzt sein`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-aes-gcm-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-aes-gcm-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-gcm
Usage: key unwrap aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> --iv <IV> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --iv <IV>
          Initial value used to wrap the key, in hex
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-unwrap-aes-gcm-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap aes-gcm** Befehl mithilfe eines AES-Schlüssels verwendet wird, dessen `unwrap` Attributwert auf gesetzt ist`true`.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten verpackten Schlüsseldaten**  

```
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data xvslgrtg8kHzrvekny97tLSIeokpPwV8
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<AAD>***  
AES GCM-Wert für zusätzliche authentifizierte Daten (AAD) in Hexadezimalzahl.  
Erforderlich: Nein

***<TAG\$1LENGTH\$1BITS>***  
Länge des Aes GCM-Tags in Bit.  
Erforderlich: Ja

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte:`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Erforderlich: Ja

***<LABEL>***  
Bezeichnung für den entpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<IV>***  
Anfangswert, der zum Umschließen des Schlüssels verwendet wird, in Hexadezimalform.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Entpackungsschlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-aes-gcm-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Entpacken Sie einen Schlüssel AES-NO-PAD mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-aes-no-pad"></a>

Verwenden Sie den **key unwrap aes-no-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den AWS CloudHSM Cluster zu entpacken. `AES-NO-PAD`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den **key unwrap aes-no-pad** Befehl verwenden zu können, müssen Sie den AES-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben und sein `unwrap` Attribut muss auf gesetzt sein`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-no-pad
Usage: key unwrap aes-no-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap aes-no-pad** Befehl mithilfe eines AES-Schlüssels verwendet wird, dessen `unwrap` Attributwert auf gesetzt ist`true`.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten umschlossenen Schlüsseldaten**  

```
aws-cloudhsm > key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data eXK3PMAOnKM9y3YX6brbhtMoC060EOH9
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ec",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ec",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte: `aes``des3`,`ec-private`,`generic-secret`,,`rsa-private`].  
Erforderlich: Ja

***<LABEL>***  
Bezeichnung für den entpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Entpackungsschlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Entpacken Sie einen Schlüssel mit AES- PKCS5 -PAD mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad"></a>

Verwenden Sie den **key unwrap aes-pkcs5-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus zu entpacken. `AES-PKCS5-PAD`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den **key unwrap aes-pkcs5-pad** Befehl verwenden zu können, müssen Sie den AES-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben und sein `unwrap` Attribut muss auf gesetzt sein`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-pkcs5-pad
Usage: key unwrap aes-pkcs5-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap aes-pkcs5-pad** Befehl mithilfe eines AES-Schlüssels verwendet wird, dessen `unwrap` Attributwert auf gesetzt ist`true`.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten umschlossenen Schlüsseldaten**  

```
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY=
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte: `aes``des3`,`ec-private`,`generic-secret`,,`rsa-private`].  
Erforderlich: Ja

***<LABEL>***  
Bezeichnung für den entpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Entpackungsschlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Entpacken Sie einen Schlüssel AES-ZERO-PAD mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad"></a>

Verwenden Sie den **key unwrap aes-zero-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den AWS CloudHSM Cluster zu entpacken. `AES-ZERO-PAD`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den **key unwrap aes-no-pad** Befehl verwenden zu können, müssen Sie den AES-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben und sein `unwrap` Attribut muss auf gesetzt sein`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-zero-pad
Usage: key unwrap aes-zero-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap aes-zero-pad** Befehl mithilfe eines AES-Schlüssels verwendet wird, dessen `unwrap` Attributwert auf gesetzt ist`true`.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten umschlossenen Schlüsseldaten**  

```
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte: `aes``des3`,`ec-private`,`generic-secret`,,`rsa-private`].  
Erforderlich: Ja

***<LABEL>***  
Bezeichnung für den entpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Entpackungsschlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Entpacken Sie einen Schlüssel CLOUDHSM-AES-GCM mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm"></a>

Verwenden Sie den **key unwrap cloudhsm-aes-gcm** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe des AES-Wrapping-Schlüssels und des Entpackungsmechanismus in den AWS CloudHSM Cluster zu entpacken. `CLOUDHSM-AES-GCM`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den **key unwrap cloudhsm-aes-gcm** Befehl verwenden zu können, müssen Sie den AES-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben und sein `unwrap` Attribut muss auf gesetzt sein`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Krypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key unwrap cloudhsm-aes-gcm
Usage: key unwrap cloudhsm-aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap cloudhsm-aes-gcm** Befehl mithilfe eines AES-Schlüssels verwendet wird, dessen `unwrap` Attributwert auf gesetzt ist`true`.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten umschlossenen Schlüsseldaten**  

```
aws-cloudhsm > key unwrap cloudhsm-aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --data 6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001408e8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap cloudhsm-aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001408e8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<AAD>***  
AES GCM-Wert für zusätzliche authentifizierte Daten (AAD) in Hexadezimalzahl.  
Erforderlich: Nein

***<TAG\$1LENGTH\$1BITS>***  
Länge des Aes GCM-Tags in Bit.  
Erforderlich: Ja

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte:`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Erforderlich: Ja

***<LABEL>***  
Bezeichnung für den entpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Entpackungsschlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Entpacken Sie einen Schlüssel mit RSA-AES mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-rsa-aes"></a>

Verwenden Sie den **key unwrap rsa-aes** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines privaten RSA-Schlüssels und des Entpackungsmechanismus zu entpacken. `RSA-AES`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den verwenden zu können**key unwrap rsa-aes**, müssen Sie den privaten RSA-Schlüssel oder den öffentlichen RSA-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben, und sein `unwrap` Attribut muss auf gesetzt sein. `true` 

**Anmerkung**  
Dieser Befehl ist nur mit CloudHSM CLI 5.11\$1 verfügbar.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-rsa-aes-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-rsa-aes-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-aes
Usage: key unwrap rsa-aes [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-unwrap-rsa-aes-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap rsa-aes** Befehl unter Verwendung des privaten RSA-Schlüssels mit dem `unwrap` Attributwert auf `true` verwendet wird.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten verpackten Schlüsseldaten**  

```
aws-cloudhsm > key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg==
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e2",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e2",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte: `aes``des3`,`ec-private`,`generic-secret`,,`rsa-private`].  
Erforderlich: Ja

***<HASH\$1FUNCTION>***  
Spezifiziert die Hash-Funktion.  
Zulässige Werte:  
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja

***<MGF>***  
Gibt die Funktion zur Maskengenerierung an.   
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte:  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja

***<LABEL>***  
Etikett für den unverpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Entpackungsschlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-rsa-aes-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Entpacken Sie einen Schlüssel mit RSA-OAEP mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-rsa-oaep"></a>

Verwenden Sie den **key unwrap rsa-oaep** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe des privaten RSA-Schlüssels und des Entpackungsmechanismus zu entpacken. `RSA-OAEP`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den **key unwrap rsa-oaep** Befehl verwenden zu können, müssen Sie den privaten RSA-Schlüssel oder den öffentlichen RSA-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben, und sein `unwrap` Attribut muss auf gesetzt sein. `true`

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-oaep
Usage: key unwrap rsa-oaep [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap rsa-oaep** Befehl unter Verwendung des privaten RSA-Schlüssels mit dem `unwrap` Attributwert auf `true` verwendet wird.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten verpackten Schlüsseldaten**  

```
aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw==
{
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte: `aes``des3`,`ec-private`,`generic-secret`,,`rsa-private`].  
Erforderlich: Ja

***<HASH\$1FUNCTION>***  
Spezifiziert die Hash-Funktion.  
Zulässige Werte:  
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Erforderlich: Ja

***<MGF>***  
Gibt die Funktion zur Maskengenerierung an.   
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte:  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja

***<LABEL>***  
Etikett für den unverpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Entpackungsschlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Entpacken Sie einen Schlüssel mit RSA-PKCS mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs"></a>

Verwenden Sie den **key unwrap rsa-pkcs** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe des privaten RSA-Schlüssels und des Entpackungsmechanismus zu entpacken. `RSA-PKCS`

Unverpackte Schlüssel können auf die gleiche Weise verwendet werden wie die Schlüssel, die von generiert wurden. AWS CloudHSM Um anzuzeigen, dass sie nicht lokal generiert wurden, ist ihr `local` Attribut auf `false` gesetzt.

Um den **unwrap rsa-pkcs** Befehl key verwenden zu können, müssen Sie den privaten RSA-Schlüssel oder den öffentlichen RSA-Wrapping-Schlüssel in Ihrem AWS CloudHSM Cluster haben, und sein `unwrap` Attribut muss auf gesetzt sein. `true`

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-pkcs
Usage: key unwrap rsa-pkcs [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Beispiele
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-examples"></a>

Diese Beispiele zeigen, wie der **key unwrap rsa-oaep** Befehl mithilfe eines AES-Schlüssels verwendet wird, dessen `unwrap` Attributwert auf gesetzt ist`true`.

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel aus Base64-kodierten umschlossenen Schlüsseldaten**  

```
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg==
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ef",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Beispiel: Entpacken Sie einen Payload-Schlüssel, der über einen Datenpfad bereitgestellt wird**  

```
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ef",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`, dass ein Schlüssel zum Entpacken ausgewählt werden soll.  
Erforderlich: Ja

***<DATA\$1PATH>***  
Pfad zur Binärdatei, die die umschlossenen Schlüsseldaten enthält.  
Erforderlich: Ja (sofern nicht über Base64-kodierte Daten bereitgestellt)

***<DATA>***  
Base64-kodierte umhüllte Schlüsseldaten.  
Erforderlich: Ja (sofern nicht über den Datenpfad angegeben)

***<ATTRIBUTES>***  
Durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form von `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` für den umschlossenen Schlüssel.  
Erforderlich: Nein

***<KEY\$1TYPE\$1CLASS>***  
Schlüsseltyp und Klasse des umschlossenen Schlüssels [mögliche Werte: `aes``des3`,`ec-private`,`generic-secret`,,`rsa-private`].  
Erforderlich: Ja

***<LABEL>***  
Bezeichnung für den entpackten Schlüssel.  
Erforderlich: Ja

***<SESSION>***  
Erstellt einen Sitzungsschlüssel, der nur in der aktuellen Sitzung existiert. Der Schlüssel kann nach Ende der Sitzung nicht wiederhergestellt werden.  
Erforderlich: Nein

***<APPROVAL>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zu genehmigen. Nur erforderlich, wenn der Quorumwert des Entpackungsschlüssels für den Schlüsselverwaltungsdienst größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Der Key Wrap-Befehl in der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap"></a>

Der **key wrap** Befehl in der CloudHSM-CLI exportiert eine verschlüsselte Kopie eines symmetrischen oder asymmetrischen privaten Schlüssels aus dem Hardware-Sicherheitsmodul (HSM) in eine Datei. Bei der Ausführung **key wrap** geben Sie zwei Dinge an: den zu exportierenden Schlüssel und die Ausgabedatei. Der zu exportierende Schlüssel ist ein Schlüssel auf dem HSM, der den Schlüssel, den Sie exportieren möchten, verschlüsselt (umhüllt).

Der **key wrap** Befehl entfernt den Schlüssel nicht aus dem HSM und verhindert auch nicht, dass Sie ihn für kryptografische Operationen verwenden. Sie können den gleichen Schlüssel mehrmals exportieren. Um den verschlüsselten Schlüssel wieder in das HSM zu importieren, verwenden Sie. [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md) Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, mit denen der Schlüssel gemeinsam genutzt wird, können den Schlüssel nur für kryptografische Operationen verwenden.

Der **key wrap** Befehl besteht aus den folgenden Unterbefehlen:
+ [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md)
+ [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md)
+ [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md)
+ [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md)
+ [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md)
+ [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md)
+ [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md)
+ [rsa-pkcs](cloudhsm_cli-key-wrap-rsa-pkcs.md)

# Umschließen eines Schlüssels mit AES-GCM mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-aes-gcm"></a>

Verwenden Sie den **key wrap aes-gcm** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-GCM` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-gcm** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können einen AES-Schlüssel zum Umschließen generieren, indem Sie den [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehl verwenden und das `wrap` Attribut auf gesetzt haben`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-gcm-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-gcm-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap aes-gcm
Usage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-gcm-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-gcm** Befehl mit einem AES-Schlüssel verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64  --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "iv": "0xf90613bb8e337ec0339aad21",
    "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<AAD>***  
AES-GCM-Wert für zusätzliche authentifizierte Daten (AAD) in Hexadezimalzahl.   
Erforderlich: Nein

***<TAG\$1LENGTH\$1BITS>***  
Länge des AES-GCM-Tags in Bit.  
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-gcm-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Einen Schlüssel AES-NO-PAD mithilfe der CloudHSM-CLI umschließen
<a name="cloudhsm_cli-key-wrap-aes-no-pad"></a>

Verwenden Sie den **key wrap aes-no-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-NO-PAD` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-no-pad** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können mithilfe des [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehls einen AES-Schlüssel für das Umschließen generieren, und das `wrap` Attribut ist auf gesetzt`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-no-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-no-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-no-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-no-pad
Usage: key wrap aes-no-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-no-pad-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-no-pad** Befehl mit einem AES-Schlüssel verwendet wird, dessen `wrap` Attributwert auf gesetzt ist`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-no-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "eXK3PMAOnKM9y3YX6brbhtMoC060EOH9"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-no-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-no-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen Sie einen Schlüssel mit AES- PKCS5 -PAD mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad"></a>

Verwenden Sie den **key wrap aes-pkcs5-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-PKCS5-PAD` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-pkcs5-pad** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können mithilfe des [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehls einen AES-Schlüssel für das Umschließen generieren, und das `wrap` Attribut ist auf gesetzt`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-pkcs5-pad
Usage: key wrap aes-pkcs5-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-pkcs5-pad** Befehl mit einem AES-Schlüssel verwendet wird, dessen `wrap` Attributwert auf gesetzt ist`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-pkcs5-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY="
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Einen Schlüssel AES-ZERO-PAD mithilfe der CloudHSM-CLI umschließen
<a name="cloudhsm_cli-key-wrap-aes-zero-pad"></a>

Verwenden Sie den **key wrap aes-zero-pad** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `AES-ZERO-PAD` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap aes-zero-pad** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Mit dem [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehl, dessen `wrap` Attribut auf gesetzt ist, können Sie einen AES-Schlüssel für das Umschließen generieren`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-zero-pad
Usage: key wrap aes-zero-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap aes-zero-pad ** Befehl mit einem AES-Schlüssel verwendet wird, dessen `wrap` Attributwert auf gesetzt ist`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-zero-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Einen Schlüssel CLOUDHSM-AES-GCM mithilfe der CloudHSM-CLI umschließen
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm"></a>

Verwenden Sie den **key wrap cloudhsm-aes-gcm** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines AES-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu umschließen. `CLOUDHSM-AES-GCM` Das `extractable` Attribut des Payload-Schlüssels muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap cloudhsm-aes-gcm** Befehl verwenden zu können, benötigen Sie zunächst einen AES-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können einen AES-Schlüssel zum Umschließen generieren, indem Sie den [Generieren Sie einen symmetrischen AES-Schlüssel mit CloudHSM CLI](cloudhsm_cli-key-generate-symmetric-aes.md) Befehl verwenden und das `wrap` Attribut auf gesetzt haben`true`.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer (CUs)

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap cloudhsm-aes-gcm
Usage: key wrap cloudhsm-aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap cloudhsm-aes-gcm** Befehl mit einem AES-Schlüssel verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap cloudhsm-aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ"
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<AAD>***  
AES-GCM-Wert für zusätzliche authentifizierte Daten (AAD) in Hexadezimalzahl.   
Erforderlich: Nein

***<TAG\$1LENGTH\$1BITS>***  
Länge des AES-GCM-Tags in Bit.  
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen eines Schlüssels mit RSA-AES mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-rsa-aes"></a>

Verwenden Sie den **key wrap rsa-aes** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem RSA-AES-Wrapping-Mechanismus zu verpacken. Das Attribut des Payload-Schlüssels muss auf gesetzt sein. `extractable` `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap rsa-aes** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar mit dem [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl und dem auf `true` gesetzten `wrap` Attribut generieren.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-rsa-aes-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-rsa-aes-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-aes
Usage: key wrap rsa-aes [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-rsa-aes-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap rsa-ae** Befehl unter Verwendung eines öffentlichen RSA-Schlüssels mit dem `wrap` Attributwert auf `true` verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg=="
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-wrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<MGF>***  
Gibt die Funktion zur Maskengenerierung an.  
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-rsa-aes-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen eines Schlüssels mit RSA-OAEP mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-rsa-oaep"></a>

Verwenden Sie den **key wrap rsa-oaep** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu verpacken. `RSA-OAEP` Das Attribut des Payload-Schlüssels `extractable` muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap rsa-oaep** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar generieren, indem Sie den [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl verwenden und das `wrap` Attribut auf `true` setzen.

## Benutzertyp
<a name="cloudhsm_cli-key-unwrap-rsa-aes-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-unwrap-rsa-aes-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-unwrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-unwrap-rsa-aes-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap rsa-oaep** Befehl unter Verwendung eines öffentlichen RSA-Schlüssels mit dem `wrap` Attributwert auf `true` verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}
```

## Argumente
<a name="cloudhsm_cli-key-unwrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<MGF>***  
Gibt die Funktion zur Maskengenerierung an.  
Die Hash-Funktion der Maskengenerierungsfunktion muss mit der Hash-Funktion des Signaturmechanismus übereinstimmen.
Zulässige Werte  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-unwrap-rsa-aes-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)

# Umschließen eines Schlüssels mit RSA-PKCS mithilfe der CloudHSM-CLI
<a name="cloudhsm_cli-key-wrap-rsa-pkcs"></a>

Verwenden Sie den **key wrap rsa-pkcs** Befehl in der CloudHSM-CLI, um einen Payload-Schlüssel mithilfe eines öffentlichen RSA-Schlüssels auf dem Hardware-Sicherheitsmodul (HSM) und dem Wrapping-Mechanismus zu verpacken. `RSA-PKCS` Das Attribut des Payload-Schlüssels `extractable` muss auf gesetzt sein. `true`

Nur der Besitzer eines Schlüssels, d. h. der Crypto-Benutzer (CU), der den Schlüssel erstellt hat, kann den Schlüssel umschließen. Benutzer, die den Schlüssel gemeinsam nutzen, können den Schlüssel für kryptografische Operationen verwenden.

Um den **key wrap rsa-pkcs** Befehl verwenden zu können, benötigen Sie zunächst einen RSA-Schlüssel in Ihrem AWS CloudHSM Cluster. Sie können ein RSA-Schlüsselpaar mit dem [Die generate-asymmetric-pair Kategorie in CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) Befehl und dem auf `true` gesetzten `wrap` Attribut generieren.

## Benutzertyp
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-userType"></a>

Die folgenden Benutzertypen können diesen Befehl ausführen.
+ Crypto-Benutzer () CUs

## Voraussetzungen
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-requirements"></a>
+ Um diesen Befehl auszuführen, müssen Sie als CU angemeldet sein.

## Syntax
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Beispiel
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-examples"></a>

Dieses Beispiel zeigt, wie der **key wrap rsa-pkcs** Befehl mit einem öffentlichen RSA-Schlüssel verwendet wird.

**Example**  

```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000007008da",
    "wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
  }
```

## Argumente
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-arguments"></a>

***<CLUSTER\$1ID>***  
Die ID des Clusters, auf dem dieser Vorgang ausgeführt werden soll.  
Erforderlich: Wenn mehrere Cluster [konfiguriert wurden.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Payload-Schlüssels“.  
Erforderlich: Ja

***<PATH>***  
Pfad zur Binärdatei, in der die verpackten Schlüsseldaten gespeichert werden.  
Erforderlich: Nein

***<WRAPPING\$1FILTER>***  
Schlüsselreferenz (z. B.`key-reference=0xabc`) oder durch Leerzeichen getrennte Liste von Schlüsselattributen in der Form „`attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`Zur Auswahl eines Umbruchschlüssels“.   
Erforderlich: Ja

***<WRAPPING\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang zum Umschließen des Schlüssels zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst beim Umschließen des Schlüssels größer als 1 ist.

***<PAYLOAD\$1APPROVALR>***  
Gibt den Dateipfad zu einer signierten Quorum-Token-Datei an, um den Vorgang für den Payload-Schlüssel zu genehmigen. Nur erforderlich, wenn der Quorumwert für den Schlüsselverwaltungsdienst des Payload-Schlüssels größer als 1 ist.

## Verwandte Themen
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-seealso"></a>
+ [Der Key Wrap-Befehl in der CloudHSM-CLI](cloudhsm_cli-key-wrap.md)
+ [Der Befehl zum Entpacken von Schlüsseln in der CloudHSM-CLI](cloudhsm_cli-key-unwrap.md)