Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# La categoría de clave en la CLI de CloudHSM
<a name="cloudhsm_cli-key"></a>

En la CLI de CloudHSM, **key** es una categoría principal para un grupo de comandos que, en combinación con la categoría principal, crea un comando específico para las claves. Actualmente, esta categoría consta de los siguientes comandos:
+ [eliminar](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [clave generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
  + [clave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
  + [clave generate-asymmetric-pair, etc.](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
  + [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
  + [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [import pem](cloudhsm_cli-key-import-pem.md)
+ [list](cloudhsm_cli-key-list.md)
+ [replicación](cloudhsm_cli-key-replicate.md)
+ [set-attribute](cloudhsm_cli-key-set-attribute.md)
+ [compartir](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [unwrap](cloudhsm_cli-key-unwrap.md)
+ [wrap](cloudhsm_cli-key-wrap.md)

# Eliminación de una clave con la CLI de CloudHSM
<a name="cloudhsm_cli-key-delete"></a>

Use el **key delete** comando de la CLI de CloudHSM para eliminar una clave AWS CloudHSM de un clúster. Solo puede eliminar las claves de una en una. La eliminación de una clave de un par de claves no influye en la otra clave del par. 

Solo el CU que creó la clave y, por tanto, es su propietario, puede borrarla. Los usuarios que comparten la clave, pero no la poseen, pueden utilizarla en operaciones criptográficas, pero no pueden borrarla.

## Tipo de usuario
<a name="key-delete-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="key-delete-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="key-delete-syntax"></a>

```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster

Usage: key delete [OPTIONS] --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>  Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]     Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
  -h, --help                     Print help
```

## Ejemplo
<a name="key-delete-examples"></a>

```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
  "error_code": 0,
  "data": {
    "message": "Key deleted successfully"
  }
}
```

## Argumentos
<a name="key-delete-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente por eliminar.  
Para obtener una lista de los atributos de clave CLI de CloudHSM admitidos, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatorio: sí

## Temas relacionados
<a name="key-delete-seealso"></a>
+ [Enumeración de claves de un usuario con la CLI de CloudHSM](cloudhsm_cli-key-list.md)
+ [Exportación de una clave asimétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-file.md)
+ [Dejar de compartir una clave mediante la CLI de CloudHSM](cloudhsm_cli-key-unshare.md)
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Exportación de una clave asimétrica con la CLI de CloudHSM
<a name="cloudhsm_cli-key-generate-file"></a>

Use el comando **key generate-file** de la CLI de CloudHSM para exportar una clave asimétrica del módulo de seguridad de hardware (HSM). Si el destino es una clave privada, la referencia a la clave privada se exportará en un formato PEM falso. Si el destino es una clave pública, los bytes de la clave pública se exportarán en formato PEM.

El archivo PEM falso, que no contiene el material de la clave privada propiamente dicha, sino que hace referencia a la clave privada del HSM, se puede utilizar para establecer la SSL/TLS descarga de datos desde el servidor web hacia. AWS CloudHSM Para obtener más información, consulte [Descarga de SSL/TLS](ssl-offload.md).

## Tipo de usuario
<a name="key-generate-file-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs

## Requisitos
<a name="key-generate-file-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="key-generate-file-syntax"></a>

```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --encoding <ENCODING>
          Encoding format for the key file

          Possible values:
          - reference-pem: PEM formatted key reference (supports private keys)
          - pem:           PEM format (supports public keys)

      --path <PATH>
          Filepath where the key file will be written

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

  -h, --help
          Print help (see a summary with '-h')
```

## Ejemplo
<a name="key-generate-file-examples"></a>

En este ejemplo, se muestra cómo **key generate-file** se utiliza para generar un archivo de claves en el AWS CloudHSM clúster.

**Example**  

```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

## Argumentos
<a name="key-generate-file-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente por eliminar.  
Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatorio: no

***<ENCODING>***  
Especifica el formato de codificación del archivo de claves.  
Obligatorio: sí

***<PATH>***  
Especifica la ruta del archivo en la que se escribirá el archivo de claves.  
Obligatorio: sí

## Generación de referencias de claves KSP (Windows)
<a name="key-generate-ksp-key-reference"></a>

**nota**  
Esta característica está disponible únicamente en las versiones 5.16.0 y posteriores del SDK.

### Requisitos previos
<a name="key-generate-ksp-key-reference-requirements"></a>
+ Puede generar referencias de claves KSP solo en plataformas Windows.
+ Debe iniciar sesión como usuario de criptografía (CU).

### Ubicación del archivo
<a name="key-generate-ksp-key-reference-options"></a>

De forma predeterminada, AWS CloudHSM almacena en `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition` los archivos generados

Para especificar una ubicación diferente, utilice el parámetro `--path`.

### Sintaxis
<a name="key-generate-ksp-key-reference-syntax"></a>

```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference 
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --encoding <ENCODING>
        Encoding format for the key file

        Possible values:
        - reference-pem:     PEM formatted key reference (supports private keys)
        - pem:               PEM format (supports public keys)
        - ksp-key-reference: KSP key reference format

      --cluster-id <CLUSTER_ID>
        Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error

      --path <PATH>
        Directory path where the key file will be written

      --filter [<FILTER>...]
        Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

      --all
        Generate ksp key reference for all available key pairs in HSM

  -h, --help
        Print help (see a summary with '-h')
```

### Ejemplo: generación de una referencia de clave KSP mediante un filtro de atributos de una clave privada
<a name="key-generate-ksp-key-reference-example1"></a>

El siguiente ejemplo genera una referencia de clave KSP para una clave privada con una etiqueta específica.

**Example**  

```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path  --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

### Ejemplo: generación de referencias de claves KSP para todos los pares de claves
<a name="key-generate-ksp-key-reference-example2"></a>

El siguiente ejemplo genera referencias de claves KSP para todos los pares de claves del clúster.

**Example**  

```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

## Temas relacionados
<a name="key-generate-file-seealso"></a>
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [La generate-asymmetric-pair categoría en CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [La categoría generate-symmetric en la CLI de CloudHSM](cloudhsm_cli-key-generate-symmetric.md)

# La generate-asymmetric-pair categoría en CloudHSM CLI
<a name="cloudhsm_cli-key-generate-asymmetric-pair"></a>

En la CLI de CloudHSM, **key generate-asymmetric-pair** es una categoría principal de un grupo de comandos que, cuando se combinan con la categoría principal, crea un comando que genera pares de claves asimétricas. Actualmente, esta categoría consta de los siguientes comandos:
+ [clave, etc. generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [clave generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)

# Generación de un par de claves EC asimétricas con la CLI de CloudHSM
<a name="cloudhsm_cli-key-generate-asymmetric-pair-ec"></a>

Utilice el **key asymmetric-pair ec** comando de la CLI de CloudHSM para generar un par de claves de curva elíptica (EC) asimétrica en el clúster. AWS CloudHSM 

## Tipo de usuario
<a name="key-generate-asymmetric-pair-ec-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs

## Requisitos
<a name="key-generate-asymmetric-pair-ec-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="key-generate-asymmetric-pair-ec-syntax"></a>

```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair

Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label <PUBLIC_LABEL> --private-label <PRIVATE_LABEL> --curve <CURVE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --public-label <PUBLIC_LABEL>
          Label for the public key
      --private-label <PRIVATE_LABEL>
          Label for the private key
      --session
          Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
      --curve <CURVE>
          Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
      --public-attributes [<PUBLIC_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --private-attributes [<PRIVATE_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the EC private key with
      --manage-private-key-quorum-value <MANAGE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key management operations for the private key
      --use-private-key-quorum-value <USE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations for the private key
  -h, --help
          Print help
```

## Ejemplos
<a name="key-generate-asymmetric-pair-ec-examples"></a>

Estos ejemplos muestran cómo utilizar el comando **key generate-asymmetric-pair ec** para crear un par de claves EC.

**Example Ejemplo: creación de un par de claves CE**  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x000000000012000b",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    },
"private_key": {
      "key-reference": "0x000000000012000c",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    }
  }
}
```

**Example Ejemplo: creación de un par de claves CE con atributos opcionales**  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example \
    --public-attributes encrypt=true \
    --private-attributes decrypt=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x00000000002806eb",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280c82",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    }
  }
}
```

**Example Ejemplo: creación de un par de claves EC con valores de quórum**  
Al generar una clave con controles de quórum, la clave se debe asociar a un número mínimo de usuarios igual al valor de quórum de clave más alto. Los usuarios asociados incluyen al propietario de la clave y a los usuarios de criptografía con quienes se comparte la clave. Para determinar el número mínimo de usuarios con los que se debe compartir la clave, obtenga el mayor valor entre el valor de quórum de uso de la clave y el valor de quórum de administración de la clave, y reste 1 para tener en cuenta al propietario de la clave, que está asociado de forma predeterminada a la clave. Para compartir la clave con más usuarios, utilice el comando **[Compartir una clave mediante la CLI de CloudHSM](cloudhsm_cli-key-share.md)**.  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example \
    --public-attributes verify=true \
    --private-attributes sign=true
    --share-crypto-users cu2 cu3 cu4 \
    --manage-private-key-quorum-value 4 \
    --use-private-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x00000000002806eb",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280c82",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    }
  }
}
```

## Argumentos
<a name="key-generate-asymmetric-pair-ec-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<CURVE>***  
Especifica el identificador de la curva elíptica.  
+ prime256v1
+ secp256r1
+ secp224r1
+ secp384r1
+ secp256k1
+ secp521r1
+ ed25519 (solo se admite en instancias hsm2m.medium en modo que no sea FIPS)
Obligatorio: sí

***<PUBLIC\$1KEY\$1ATTRIBUTES>***  
Especifica una lista de atributos de clave separados por espacios para establecer la clave pública EC generada en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (por ejemplo, `verify=true`)  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: no

***<PUBLIC\$1LABEL>***  
Especifica una etiqueta definida por el usuario para la clave pública. El tamaño máximo permitido para `label` es de 127 caracteres para Client SDK 5.11 de y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.  
Obligatorio: sí

***<PRIVATE\$1KEY\$1ATTRIBUTES>***  
Especifica una lista de atributos de clave separados por espacios para establecer la clave privada EC generada en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (por ejemplo, `sign=true`).  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: no

***<PRIVATE\$1LABEL>***  
Especifica la etiqueta de clave privada definida por el usuario. El tamaño máximo permitido para `label` es de 127 caracteres para Client SDK 5.11 y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.  
Obligatorio: sí

***<SESSION>***  
Crea una clave que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Utilice este parámetro cuando necesite una clave solo brevemente, por ejemplo, una clave de encapsulamiento que cifre y, a continuación, descifre rápidamente otra clave. No utilice una clave de sesión para cifrar los datos que pueda necesitar descifrar una vez finalizada la sesión.  
De forma predeterminada, las claves que se generan son claves persistentes (token). La transferencia a <SESSION> cambia este estado, lo que garantiza que la clave generada con este argumento sea una clave de sesión (efímera).  
Obligatorio: no

***<SHARE\$1CRYPTO\$1USERS>***  
Especifica una lista separada por espacios de nombres de usuario de usuarios criptográficos con quienes se comparte la clave privada EC  
Obligatorio: no

***<MANAGE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de administración de la clave privada. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

***<USE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de uso de la clave privada. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

## Temas relacionados
<a name="key-generate-asymmetric-pair-ec-seealso"></a>
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Generación de un par de claves RSA asimétricas con la CLI de CloudHSM
<a name="cloudhsm_cli-key-generate-asymmetric-pair-rsa"></a>

Utilice el **key generate-asymmetric-pair rsa** comando de la CLI de CloudHSM para generar un key pair de claves RSA asimétrico en el clúster. AWS CloudHSM 

## Tipo de usuario
<a name="key-generate-asymmetric-pair-rsa-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="key-generate-asymmetric-pair-rsa-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="key-generate-asymmetric-pair-rsa-syntax"></a>

```
aws-cloudhsm > help key generate-asymmetric-pair rsa
Generate an RSA key pair

Usage: key generate-asymmetric-pair rsa [OPTIONS] --public-label <PUBLIC_LABEL> --private-label <PRIVATE_LABEL> --modulus-size-bits <MODULUS_SIZE_BITS> --public-exponent <PUBLIC_EXPONENT>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --public-label <PUBLIC_LABEL>
          Label for the public key
      --private-label <PRIVATE_LABEL>
          Label for the private key
      --session
          Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
      --modulus-size-bits <MODULUS_SIZE_BITS>
          Modulus size in bits used to generate the RSA key pair
      --public-exponent <PUBLIC_EXPONENT>
          Public exponent used to generate the RSA key pair
      --public-attributes [<PUBLIC_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated RSA public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --private-attributes [<PRIVATE_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated RSA private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the RSA key with
      --manage-private-key-quorum-value <MANAGE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key management operations for the private key
      --use-private-key-quorum-value <USE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations for the private key
  -h, --help
          Print help
```

## Ejemplos
<a name="key-generate-asymmetric-pair-rsa-examples"></a>

En estos ejemplos, se muestra cómo se utiliza `key generate-asymmetric-pair rsa` para crear un par de claves de RSA.

**Example Ejemplo: creación de un par de claves RSA**  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000160010",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x498e1f",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xdfca0669dc8288ed3bad99509bd21c7e6192661407021b3f4cdf4a593d939dd24f4d641af8e4e73b04c847731c6dbdff3385818e08dd6efcbedd6e5b130344968c
e89a065e7d1a46ced96b46b909db2ab6be871ee700fd0a448b6e975bb64cae77c49008749212463e37a577baa57ce3e574cb057e9db131e119badf50c938f26e8a5975c61a8ba7ffe7a1115a
bcebb7d20bd6df1948ae336ae23b52d73b7f3b6acc2543edb6358e08d326d280ce489571f4d34e316a2ea1904d513ca12fa04075fc09ad005c81b7345d7804ff24c45117f0a1020dca7794df037a10aadec8653473b2088711f7b7d8b58431654e14e31af0e00511da641058fb7475ffdbe60f",
        "modulus-size-bits": 2048
      }
    },
"private_key": {
      "key-reference": "0x0000000000160011",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x498e1f",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

**Example Ejemplo: creación de un par de claves RSA con atributos opcionales**  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes encrypt=true \
--private-attributes decrypt=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

**Example Ejemplo: creaciónn de un par de claves RSA con valores de quórum**  
Al generar una clave con controles de quórum, la clave se debe asociar a un número mínimo de usuarios igual al valor de quórum de clave más alto. Los usuarios asociados incluyen al propietario de la clave y a los usuarios de criptografía con quienes se comparte la clave. Para determinar el número mínimo de usuarios con los que se debe compartir la clave, obtenga el mayor valor entre el valor de quórum de uso de la clave y el valor de quórum de administración de la clave, y reste 1 para tener en cuenta al propietario de la clave, que está asociado de forma predeterminada a la clave. Para compartir la clave con más usuarios, utilice el comando **[Compartir una clave mediante la CLI de CloudHSM](cloudhsm_cli-key-share.md)**.  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes verify=true \
--private-attributes sign=true
--share-crypto-users cu2 cu3 cu4 \
--manage-private-key-quorum-value 4 \
--use-private-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

## Argumentos
<a name="key-generate-asymmetric-pair-rsa-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<MODULUS\$1SIZE\$1BITS>***  
 Especifica la longitud del módulo en bits. El valor mínimo es 2048.   
Obligatorio: sí

***<PRIVATE\$1KEY\$1ATTRIBUTES>***  
Especifica una lista de atributos de clave separados por espacios para establecer la clave privada RSA generada en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (por ejemplo, `sign=true`).  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: no

***<PRIVATE\$1LABEL>***  
 Especifica la etiqueta de clave privada definida por el usuario. El tamaño máximo permitido para `label` es de 127 caracteres para Client SDK 5.11 y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.  
Obligatorio: sí

***<PUBLIC\$1EXPONENT>***  
Especifica el exponente público. El valor debe ser un número impar superior o igual a 65537.  
Obligatorio: sí

***<PUBLIC\$1KEY\$1ATTRIBUTES>***  
Especifica una lista de atributos de clave separados por espacios para establecer la clave pública RSA generada en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (por ejemplo, `verify=true`).  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: no

***<PUBLIC\$1LABEL>***  
 Especifica una etiqueta definida por el usuario para la clave pública. El tamaño máximo permitido para `label` es de 127 caracteres para Client SDK 5.11 de y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.  
Obligatorio: sí

***<SESSION>***  
Crea una clave que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Utilice este parámetro cuando necesite una clave solo brevemente, por ejemplo, una clave de encapsulamiento que cifre y, a continuación, descifre rápidamente otra clave. No utilice una clave de sesión para cifrar los datos que pueda necesitar descifrar una vez finalizada la sesión.  
De forma predeterminada, las claves que se generan son claves persistentes (token). La transferencia a <SESSION> cambia este estado, lo que garantiza que la clave generada con este argumento sea una clave de sesión (efímera).  
Obligatorio: no

***<SHARE\$1CRYPTO\$1USERS>***  
Especifica una lista separada por espacios de nombres de usuario de usuarios criptográficos con quienes se comparte la clave privada RSA  
Obligatorio: no

***<MANAGE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de administración de la clave privada. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

***<USE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de uso de la clave privada. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

## Temas relacionados
<a name="key-generate-asymmetric-pair-rsa-seealso"></a>
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# La categoría generate-symmetric en la CLI de CloudHSM
<a name="cloudhsm_cli-key-generate-symmetric"></a>

En la CLI de CloudHSM, **key generate-symmetric** es una categoría principal de un grupo de comandos que, cuando se combinan con la categoría principal, crea un comando que genera claves simétricas. Actualmente, esta categoría consta de los siguientes comandos:
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)

# Generación de una clave AES simétrica con la CLI de CloudHSM
<a name="cloudhsm_cli-key-generate-symmetric-aes"></a>

Utilice el **key generate-symmetric aes** comando de la CLI de CloudHSM para generar una clave AES simétrica en el clúster. AWS CloudHSM 

## Tipo de usuario
<a name="key-generate-symmetric-aes-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="key-generate-symmetric-aes-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="key-generate-symmetric-aes-syntax"></a>

```
aws-cloudhsm > help key generate-symmetric aes
Generate an AES key

Usage: key generate-symmetric aes [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated AES key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the AES key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE>
          The quorum value for key management operations
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations
  -h, --help
          Print help
```

## Ejemplos
<a name="key-generate-symmetric-aes-examples"></a>

En estos ejemplos se muestra cómo utilizar el comando **key generate-symmetric aes** para crear una clave AES.

**Example Ejemplo: creación de una clave AES**  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

**Example Ejemplo: creación de una clave AES con atributos opcionales**  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24 \
--attributes decrypt=true encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

**Example Ejemplo: creación de una clave AES con valores de quórum**  
Al generar una clave con controles de quórum, la clave se debe asociar a un número mínimo de usuarios igual al valor de quórum de clave más alto. Los usuarios asociados incluyen al propietario de la clave y a los usuarios de criptografía con quienes se comparte la clave. Para determinar el número mínimo de usuarios con los que se debe compartir la clave, obtenga el mayor valor entre el valor de quórum de uso de la clave y el valor de quórum de administración de la clave, y reste 1 para tener en cuenta al propietario de la clave, que está asociado de forma predeterminada a la clave. Para compartir la clave con más usuarios, utilice el comando **[Compartir una clave mediante la CLI de CloudHSM](cloudhsm_cli-key-share.md)**.  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24 \
--attributes decrypt=true encrypt=true
--share-crypto-users cu2 cu3 cu4 \
--manage-key-quorum-value 4 \
--use-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

## Argumentos
<a name="key-generate-symmetric-aes-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<KEY\$1ATTRIBUTES>***  
Especifica una lista de atributos de clave separados por espacios que se debe configurar para la clave AES generada en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (por ejemplo, `sign=true`).  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: no

***<KEY-LENGTH-BYTES>***  
Especifica la longitud de la clave en bytes.  

Valores válidos:
+ 16, 24 y 32
Obligatorio: sí

***<LABEL>***  
Especifica la etiqueta de clave AES definida por el usuario. El tamaño máximo permitido para `label` es de 127 caracteres para Client SDK 5.11 y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.  
Obligatorio: sí

***<SESSION>***  
Crea una clave que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Utilice este parámetro cuando necesite una clave solo brevemente, por ejemplo, una clave de encapsulamiento que cifre y, a continuación, descifre rápidamente otra clave. No utilice una clave de sesión para cifrar los datos que pueda necesitar descifrar una vez finalizada la sesión.  
De forma predeterminada, las claves que se generan son claves persistentes (token). La transferencia a <SESSION> cambia este estado, lo que garantiza que la clave generada con este argumento sea una clave de sesión (efímera).  
Obligatorio: no

***<SHARE\$1CRYPTO\$1USERS>***  
Especifica una lista separada por espacios de nombres de usuarios de criptografía con quienes se comparte la clave AES  
Obligatorio: no

***<MANAGE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de administración de claves. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

***<USE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de uso de claves. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

## Temas relacionados
<a name="key-generate-symmetric-aes-seealso"></a>
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Generación de una clave secreta, genérica y simétrica con la CLI de CloudHSM
<a name="cloudhsm_cli-key-generate-symmetric-generic-secret"></a>

Utilice el **key generate-symmetric generic-secret** comando de la CLI de CloudHSM para generar una clave secreta genérica simétrica en el clúster. AWS CloudHSM 

## Tipo de usuario
<a name="key-generate-symmetric-generic-secret-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="key-generate-symmetric-generic-secret-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="key-generate-symmetric-generic-secret-syntax"></a>

```
aws-cloudhsm > key help generate-symmetric generic-secret
Generate a generic secret key

Usage: key generate-symmetric generic-secret [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated generic secret key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the generic secret key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE>
          The quorum value for key management operations
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations
  -h, --help
          Print help
```

## Ejemplos
<a name="key-generate-symmetric-generic-secret-examples"></a>

En estos ejemplos se muestra cómo usar el comando **key generate-symmetric generic-secret** para crear una clave secreta genérica.

**Example Ejemplo: crear una clave secreta genérica**  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

**Example Ejemplo: cree una clave secreta genérica con atributos opcionales**  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256 \
--attributes encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

**Example Ejemplo: creación de una clave secreta genérica con valores de quórum**  
Al generar una clave con controles de quórum, la clave se debe asociar a un número mínimo de usuarios igual al valor de quórum de clave más alto. Los usuarios asociados incluyen al propietario de la clave y a los usuarios de criptografía con quienes se comparte la clave. Para determinar el número mínimo de usuarios con los que se debe compartir la clave, obtenga el mayor valor entre el valor de quórum de uso de la clave y el valor de quórum de administración de la clave, y reste 1 para tener en cuenta al propietario de la clave, que está asociado de forma predeterminada a la clave. Para compartir la clave con más usuarios, utilice el comando **[Compartir una clave mediante la CLI de CloudHSM](cloudhsm_cli-key-share.md)**.  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256 \
--attributes encrypt=true
--share-crypto-users cu2 cu3 cu4 \
--manage-key-quorum-value 4 \
--use-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

## Argumentos
<a name="key-generate-symmetric-generic-secret-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<KEY\$1ATTRIBUTES>***  
Especifica una lista de atributos de clave separados por espacios que se debe configurar para la clave AES generada en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (por ejemplo, `sign=true`).  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: no

***<KEY-LENGTH-BYTES>***  
Especifica la longitud de la clave en bytes.  

Valores válidos:
+ 1 a 800
Obligatorio: sí

***<LABEL>***  
Especifica una etiqueta definida del usuario para la clave secreta genérica. El tamaño máximo permitido para `label` es de 127 caracteres para Client SDK 5.11 y versiones posteriores. Client SDK 5.10 y versiones anteriores tienen un límite de 126 caracteres.  
Obligatorio: sí

***<SESSION>***  
Crea una clave que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Utilice este parámetro cuando necesite una clave solo brevemente, por ejemplo, una clave de encapsulamiento que cifre y, a continuación, descifre rápidamente otra clave. No utilice una clave de sesión para cifrar los datos que pueda necesitar descifrar una vez finalizada la sesión.  
De forma predeterminada, las claves que se generan son claves persistentes (token). La transferencia a <SESSION> cambia este estado, lo que garantiza que la clave generada con este argumento sea una clave de sesión (efímera).  
Obligatorio: no

***<SHARE\$1CRYPTO\$1USERS>***  
Lista separada por espacios de nombres de usuarios de criptografía con quienes se comparte la clave secreta genérica  
Obligatorio: no

***<MANAGE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de administración de claves. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

***<USE\$1KEY\$1QUORUM\$1VALUE>***  
El valor de quórum para las operaciones de uso de claves. Este valor debe ser menor o igual que el número de usuarios con los que la clave está asociada. Esto incluye a los usuarios con quienes se comparte la clave y al propietario de la clave. Valor máximo: 8.  
Obligatorio: no

## Temas relacionados
<a name="key-generate-symmetric-generic-secret-seealso"></a>
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Importación de una clave en formato PEM con la CLI de CloudHSM
<a name="cloudhsm_cli-key-import-pem"></a>

Utilice el **key import pem** comando in AWS CloudHSM para importar una clave de formato PEM a un módulo de seguridad de hardware (HSM). Puede utilizarlo para importar claves públicas que se han generado fuera del HSM.

**nota**  
Use el comando [Exportación de una clave asimétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-file.md) para crear un archivo PEM estándar a partir de una clave pública o para crear un archivo PEM de referencia a partir de una clave privada.

## Tipo de usuario
<a name="cloudhsm_cli-key-import-pem-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas () CUs

## Requisitos
<a name="cloudhsm_cli-key-import-pem-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-import-pem-syntax"></a>

```
aws-cloudhsm > help key import pem
Import key from a PEM file

Usage: key import pem [OPTIONS] --path <PATH> --label <LABEL> --key-type-class <KEY_TYPE_CLASS>
Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --path <PATH>
          Path where the key is located in PEM format
      --label <LABEL>
          Label for the imported key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of the imported key [possible values: ec-public, rsa-public]
      --attributes [<IMPORT_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the imported key
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-import-pem-examples"></a>

En este ejemplo, se muestra cómo usar el comando **key import pem** para importar una clave pública RSA desde un archivo en formato PEM.

**Example Ejemplo: importe una clave pública RSA**  

```
aws-cloudhsm > key import pem --path /home/example --label example-imported-key --key-type-class rsa-public
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001e08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",                                   
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "example-imported-key",
        "id": "0x",
        "check-value": "0x99fe93",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0x8e9c172c37aa22ed1ce25f7c3a7c936dadc532201400128b044ebb4b96│··3e4930ab910df5a2896eaeb8853cfea0e341227654a8337a7864cc8a87d136f006cfba9e68d0b329│··746c1ad60941668b18699fc8169ff1ec363d0d18292845b2454d6a0b8c5d111b79c047619d460cdf│··be59debbacb66b7abeaf3f3d35dd2b9cfa6b6b7b1258b6866cb4085ac749e9d8552b3a4509e1b86c│··828cc794e22767b4f6b5bc6ff5c96f4b7e60eab305d669cfa2197e85379cb35c659bb58fcd246d48│··d9f6a7f36063b42da025459275aa8e3abedad775387086bd6c198ded868403f4b87ffda5a2d455ac│··aa6cbd00003c31d8d2f51d10cd272b31cf0c4037791f48ad51fb35",
        "modulus-size-bits": 2048
      }
    },
    "message": "Successfully imported key"
  }
}
```

**Example Ejemplo: importe una clave pública RSA con atributos opcionales**  

```
aws-cloudhsm > key import pem --path /home/example --label example-imported-key-with-attributes --key-type-class rsa-public --attributes verify=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001e08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",                                      
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "example-imported-key-with-attributes",
        "id": "0x",
        "check-value": "0x99fe93",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0x8e9c172c37aa22ed1ce25f7c3a7c936dadc532201400128b044ebb4b96│··3e4930ab910df5a2896eaeb8853cfea0e341227654a8337a7864cc8a87d136f006cfba9e68d0b329│··746c1ad60941668b18699fc8169ff1ec363d0d18292845b2454d6a0b8c5d111b79c047619d460cdf│··be59debbacb66b7abeaf3f3d35dd2b9cfa6b6b7b1258b6866cb4085ac749e9d8552b3a4509e1b86c│··828cc794e22767b4f6b5bc6ff5c96f4b7e60eab305d669cfa2197e85379cb35c659bb58fcd246d48│··d9f6a7f36063b42da025459275aa8e3abedad775387086bd6c198ded868403f4b87ffda5a2d455ac│··aa6cbd00003c31d8d2f51d10cd272b31cf0c4037791f48ad51fb35",
        "modulus-size-bits": 2048
      }
    },
    "message": "Successfully imported key"
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-import-pem-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PATH>***  
Especifica la ruta del archivo en la que se encuentra el archivo de claves.  
Obligatorio: sí

***<LABEL>***  
Especifica una etiqueta definida por el usuario para la clave importada. El tamaño máximo permitido para `label` es de 126 caracteres.  
Obligatorio: sí

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de llave empaquetada.  
Valores posibles:  
+ ec-public
+ rsa-public
Obligatorio: sí

***<IMPORT\$1KEY\$1ATTRIBUTES>***  
Especifica una lista de atributos de clave separados por espacios que se debe configurar para la clave importada en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (por ejemplo, `sign=true`). Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: no

## Temas relacionados
<a name="cloudhsm_cli-key-import-pem-seealso"></a>
+ [La categoría de firma criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La categoría de verificación criptográfica en la CLI de CloudHSM](cloudhsm_cli-crypto-verify.md)

# Enumeración de claves de un usuario con la CLI de CloudHSM
<a name="cloudhsm_cli-key-list"></a>

Utilice el **key list** comando de la CLI de CloudHSM para buscar todas las claves del usuario actual presentes AWS CloudHSM en el clúster. El resultado incluye claves que el usuario posee y comparte, así como todas las claves públicas en el clúster de CloudHSM.

## Tipo de usuario
<a name="chsm-cli-key-list-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Administradores () COs
+ Usuarios criptográficos () CUs

## Sintaxis
<a name="chsm-cli-key-list-syntax"></a>

```
aws-cloudhsm > help key list
List the keys the current user owns, shares, and all public keys in the HSM cluster

Usage: key list [OPTIONS]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key(s) to list
      --max-items <MAX_ITEMS>
          The total number of items to return in the command's output. If the total number of items available is more than the value specified, a next-token is provided in the command's output. To resume pagination, provide the next-token value in the starting-token argument of a subsequent command [default: 10]
      --starting-token <STARTING_TOKEN>
          A token to specify where to start paginating. This is the next-token from a previously truncated response
  -v, --verbose
          If included, prints all attributes and key information for each matched key. By default each matched key only displays its key-reference and label attribute. This flag when used by Admins has no effect
  -h, --help
          Print help
```

## Ejemplos
<a name="chsm-cli-key-list-examples"></a>

Los siguientes ejemplos muestran las diferentes formas de ejecutar el comando **key list**. En los siguientes ejemplos, se muestran los resultados como usuario criptográfico.

**Example Ejemplo: búsqueda de todas las claves - predeterminado**  
Este comando muestra las claves del usuario que ha iniciado sesión y que están presentes en el AWS CloudHSM clúster.  
De forma predeterminada, solo se muestran 10 claves del usuario que ha iniciado sesión y solo se muestran las `key-reference` y `label`. Utilice las opciones de paginación adecuadas para mostrar más o menos claves.

```
aws-cloudhsm > key list
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x00000000000003d5",
        "attributes": {
          "label": "test_label_1"
        }
      },
      {
        "key-reference": "0x0000000000000626",
        "attributes": {
          "label": "test_label_2"
        }
      },.
      ...8 keys later...
    ],
    "total_key_count": 56,
    "returned_key_count": 10,
    "next_token": "10"
  }
}
```

**Example Ejemplo: búsqueda de todas las claves - detallado**  
El resultado incluye las claves que el usuario posee y comparte, así como todas las claves públicas del HSMs.  
Nota: de forma predeterminada, solo se muestran 10 claves del usuario que ha iniciado sesión. Utilice las opciones de paginación adecuadas para mostrar más o menos claves.

```
aws-cloudhsm > key list --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x000000000012000c",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "ec",
          "label": "ec-test-private-key",
          "id": "",
          "check-value": "0x2a737d",
          "class": "private-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": false,
          "verify": false,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 122,
          "ec-point": "0x0442d53274a6c0ec1a23c165dcb9ccdd72c64e98ae1a9594bb5284e752c746280667e11f1e983493c1c605e0a8071ede47ca280f94c6b2aa33",
          "curve": "secp224r1"
        }
      },
      {
        "key-reference": "0x000000000012000d",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "ec",
          "label": "ec-test-public-key",
          "id": "",
          "check-value": "0x2a737d",
          "class": "public-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": false,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": false,
          "sign": false,
          "trusted": false,
          "unwrap": false,
          "verify": false,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 57,
          "ec-point": "0x0442d53274a6c0ec1a23c165dcb9ccdd72c64e98ae1a9594bb5284e752c746280667e11f1e983493c1c605e0a8071ede47ca280f94c6b2aa33",
          "curve": "secp224r1"
        }
      }
    ],
      ...8 keys later...
    "total_key_count": 1580,
    "returned_key_count": 10
  }
}
```

**Example Ejemplo: devolución paginada**  
El siguiente ejemplo muestra un subconjunto paginado de claves que muestra solo dos claves. A continuación, el ejemplo proporciona una llamada posterior para mostrar las dos claves siguientes.  

```
aws-cloudhsm > key list --verbose --max-items 2
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000030",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "98a6688d1d964ed7b45b9cec5c4b1909",
          "id": "",
          "check-value": "0xb28a46",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      },
      {
        "key-reference": "0x0000000000000042",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "4ad6cdcbc02044e09fa954143efde233",
          "id": "",
          "check-value": "0xc98104",
          "class": "secret-key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": true,
          "verify": true,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 16
        }
      }
    ],
    "total_key_count": 1580,
    "returned_key_count": 2,
    "next_token": "2"
  }
}
```
Para mostrar las dos claves siguientes, se puede realizar una llamada posterior:  

```
aws-cloudhsm > key list --verbose --max-items 2 --starting-token 2
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000081",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "6793b8439d044046982e5b895791e47f",
          "id": "",
          "check-value": "0x3f986f",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      },
      {
        "key-reference": "0x0000000000000089",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "56b30fa05c6741faab8f606d3b7fe105",
          "id": "",
          "check-value": "0xe9201a",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1580,
    "returned_key_count": 2,
    "next_token": "4"
  }
}
```
Para ver más ejemplos que demuestran cómo funciona el mecanismo de filtrado de claves en la CLI de CloudHSM, consulte [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md).

## Argumentos
<a name="key-list-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar clave coincidentes por enumerar.  
Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatorio: no

***<MAX\$1ITEMS>***  
El número total de elementos que se devuelven en la salida del comando. Si el número total de elementos disponible es mayor que el valor especificado, se proporciona un next-token en la salida del comando. Para reanudar la paginación, proporcione el valor del next-token en el argumento starting-token de un comando posterior.  
Obligatorio: no

***<STARTING\$1TOKEN>***  
Un token destinado a especificar dónde iniciar la paginación. Este es el next-token de una respuesta previamente truncada.  
Obligatorio: no

***<VERBOSE>***  
Si se incluye, muestra todos los atributos y la información clave de cada clave de coincidencia. De forma predeterminada, cada clave de coincidencia solo muestra su referencia clave y su atributo de etiqueta. Esta marca no tiene ningún efecto cuando la usan los administradores.  
Obligatorio: no

## Temas relacionados
<a name="chsm-key-list-seealso"></a>
+ [Eliminación de una clave con la CLI de CloudHSM](cloudhsm_cli-key-delete.md)
+ [Exportación de una clave asimétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-file.md)
+ [Dejar de compartir una clave mediante la CLI de CloudHSM](cloudhsm_cli-key-unshare.md)
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Replicación de una clave con la CLI de CloudHSM
<a name="cloudhsm_cli-key-replicate"></a>

Utilice el **key replicate** comando de la CLI de CloudHSM para replicar una clave de un clúster de origen a AWS CloudHSM AWS CloudHSM un clúster de destino.

## Tipo de usuario
<a name="chsm-cli-key-replicate-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Administradores () COs
+ Usuarios criptográficos () CUs
**nota**  
Los usuarios criptográficos deben poseer la clave para usar este comando.

## Requisitos
<a name="cloudhsm_cli-key-replicate-requirements"></a>
+ Los clústeres de origen y destino deben ser clones. Esto significa que uno se creó a partir de una copia de seguridad del otro o que ambos se crearon a partir de una copia de seguridad común. Para obtener más información, consulte [Creación de clústeres a partir de las copias de seguridad](create-cluster-from-backup.md).
+ El propietario de la clave debe existir en el clúster de destino. Además, si la clave se comparte con algún usuario, este también debe existir en el clúster de destino.
+ Para ejecutar este comando, debe iniciar sesión como usuario criptográfico o administrador en los clústeres de origen y de destino.
  +  En el modo de comando único, el comando usará las variables de entorno CLOUDHSM\$1PIN y CLOUDHSM\$1ROLE para autenticarse en el clúster de origen. Para obtener más información, consulte [Modo de comando único](cloudhsm_cli-modes.md#cloudhsm_cli-mode-single-command). Para proporcionar las credenciales del clúster de destino, debe configurar dos variables de entorno adicionales: DESTINATION\$1CLOUDHSM\$1PIN y DESTINATION\$1CLOUDHSM\$1ROLE:

    ```
    $ export DESTINATION_CLOUDHSM_ROLE=<role>
    ```

    ```
    $ export DESTINATION_CLOUDHSM_PIN=<username:password>
    ```
  +  En el modo interactivo, los usuarios deberán iniciar sesión de forma explícita en los clústeres de origen y de destino.

## Sintaxis
<a name="chsm-cli-key-replicate-syntax"></a>

```
aws-cloudhsm > help key replicate
Replicate a key from a source to a destination cluster

Usage: key replicate --filter [<FILTER>...] --source-cluster-id <SOURCE_CLUSTER_ID> --destination-cluster-id <DESTINATION_CLUSTER_ID>

Options:
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key on the source cluster
      --source-cluster-id <SOURCE_CLUSTER_ID>
          Source cluster ID
      --destination-cluster-id <DESTINATION_CLUSTER_ID>
          Destination cluster ID
  -h, --help
          Print help
```

## Ejemplos
<a name="chsm-cli-key-replicate-examples"></a>

**Example Ejemplo: replicar clave**  
Este comando replica una clave de un clúster de origen a un clúster de destino clonado. En el siguiente ejemplo, se muestra el resultado cuando se inicia sesión como usuario criptográfico en ambos clústeres.  

```
crypto-user-1@cluster-1234abcdefg > key replicate \
      --filter attr.label=example-key \
      --source-cluster-id cluster-1234abcdefg \
      --destination-cluster-id cluster-2345bcdefgh
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x0000000000300006",
      "key-info": {
        "key-owners": [
          {
            "username": "crypto-user-1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-key",
        "id": "0x",
        "check-value": "0x5e118e",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": true,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    },
    "message": "Successfully replicated key"
  }
}
```

## Argumentos
<a name="key-replicate-arguments"></a>

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente en el clúster de origen.  
Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatorio: sí

***<SOURCE\$1CLUSTER\$1ID>***  
El ID del clúster de origen.  
Obligatorio: sí

***<DESTINATION\$1CLUSTER\$1ID>***  
El ID del clúster de destino.  
Obligatorio: sí

## Temas relacionados
<a name="chsm-key-replicate-seealso"></a>
+ [Conexión a varios clústeres con la CLI de CloudHSM](cloudhsm_cli-configs-multi-cluster.md)

# Establecimiento de los atributos de las claves con la CLI de CloudHSM
<a name="cloudhsm_cli-key-set-attribute"></a>

Utilice el **key set-attribute** comando de la CLI de CloudHSM para establecer los atributos de las claves AWS CloudHSM del clúster. Solamente el CU que creó la clave y que, por lo tanto, es su propietario, puede cambiar los atributos de la clave.

Para obtener una lista de los atributos clave que se pueden usar en la CLI de CloudHSM, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).

## Tipo de usuario
<a name="chsm-cli-key-set-attribute-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Los usuarios criptográficos (CUs) pueden ejecutar este comando.
+ Los administradores pueden establecer el atributo de confianza.

## Requisitos
<a name="chsm-cli-key-set-attribute-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU. Para establecer el atributo de confianza, debe iniciar sesión como usuario administrador.

## Sintaxis
<a name="chsm-cli-key-set-attribute-syntax"></a>

```
aws-cloudhsm > help key set-attribute
Set an attribute for a key in the HSM cluster

Usage: cloudhsm-cli key set-attribute [OPTIONS] --filter [<FILTER>...] --name <KEY_ATTRIBUTE> --value <KEY_ATTRIBUTE_VALUE>

Options:
      --cluster-id <CLUSTER_ID>         Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]            Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key to modify
      --name <KEY_ATTRIBUTE>            Name of attribute to be set
      --value <KEY_ATTRIBUTE_VALUE>...  Attribute value to be set
      --approval <APPROVAL>            Filepath of signed quorum token file to approve operation
  -h, --help                            Print help
```

## Ejemplo: configuración de un atributo clave
<a name="chsm-cli-key-set-attribute-examples"></a>

El siguiente ejemplo muestra cómo utilizar el comando **key set-attribute** para establecer la etiqueta.

**Example**  

1. Utilice la clave con la etiqueta `my_key`, como se muestra a continuación:

   ```
   aws-cloudhsm > key set-attribute --filter attr.label=my_key --name encrypt --value false
   {
     "error_code": 0,
     "data": {
       "message": "Attribute set successfully"
     }
   }
   ```

1. Utilice el comando **key list** para confirmar que el atributo `encrypt` ha cambiado:

   ```
   aws-cloudhsm > key list --filter attr.label=my_key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000006400ec",
           "key-info": {
             "key-owners": [
               {
                 "username": "bob",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [],
           "key-quorum-values": {
             "manage-key-quorum-value": 0,
             "use-key-quorum-value": 0
           },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "aes",
             "label": "my_key",
             "id": "",
             "check-value": "0x6bd9f7",
             "class": "secret-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": true,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": true,
             "unwrap": true,
             "verify": true,
             "wrap": true,
             "wrap-with-trusted": false,
             "key-length-bytes": 32
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

## Argumentos
<a name="chsm-cli-key-set-attribute-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<KEY\$1ATTRIBUTE>***  
Especifica el nombre del atributo de la clave.  
Obligatorio: sí

***<FILTER>***  
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente por eliminar.  
Para obtener una lista de los atributos clave de la CLI de CloudHSM compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatorio: no

***<KEY\$1ATTRIBUTE\$1VALUE>***  
Especifica el valor del atributo de la clave.  
Obligatorio: sí

***<KEY\$1REFERENCE>***  
Representación hexadecimal o decimal de la clave (como el identificador de una clave).  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave es mayor que 1.

## Temas relacionados
<a name="chsm-cli-key-set-attribute-see-also"></a>
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)

# Compartir una clave mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-share"></a>

Utilice el **key share** comando de la CLI de CloudHSM para compartir una clave CUs con otras AWS CloudHSM personas del clúster.

Solo el CU que ha creado la clave (y, por tanto, la posee) puede compartirla. Los usuarios con quien se comparte la clave pueden utilizar la clave en operaciones criptográficas, pero no pueden exportarla ni eliminarla ni tampoco pueden compartirla o dejar de compartirla con otros usuarios. Además, estos usuarios no pueden cambiar los [atributos de clave](cloudhsm_cli-key-attributes.md).

## Tipo de usuario
<a name="chsm-cli-key-share-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="chsm-cli-key-share-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="chsm-cli-key-share-syntax"></a>

```
aws-cloudhsm > help key share
Share a key in the HSM cluster with another user

Usage: key share --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for sharing

      --username <USERNAME>
          A username with which the key will be shared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

  -h, --help
          Print help (see a summary with '-h')
```

## Ejemplo: compartir una clave con otro CU
<a name="chsm-cli-key-share-examples"></a>

El siguiente ejemplo muestra cómo usar el comando **key share** para compartir una clave con el CU `alice`.

**Example**  

1. Ejecute el comando **key share** para compartir la clave con `alice`.

   ```
   aws-cloudhsm > key share --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
   {
     "error_code": 0,
     "data": {
       "message": "Key shared successfully"
     }
   }
   ```

1. Ejecute el comando **key list**.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
               {
                 "username": "alice",
                 "key-coverage": "full"
               }
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "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",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. En la lista anterior, compruebe que `alice` aparece en la lista de `shared-users`

## Argumentos
<a name="chsm-cli-key-share-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente por eliminar.  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: sí

***<USERNAME>***  
Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (\$1). En este comando, el nombre de usuario no distingue entre mayúsculas y minúsculas; el nombre de usuario siempre se muestra en minúsculas.  
Obligatorio: sí

***<ROLE>***  
Especifica el rol asignado a este usuario. Este parámetro es obligatorio. Para obtener el rol del usuario, ejecute el comando user list. Para obtener información detallada sobre los tipos de usuario en un HSM, consulte [Tipos de usuario del HSM para la CLI de CloudHSM](understanding-users.md).  
Obligatorio: sí

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave es mayor que 1.

## Temas relacionados
<a name="chsm-cli-key-share-see-also"></a>
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)

# Dejar de compartir una clave mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unshare"></a>

Utilice el **key unshare** comando de la CLI de CloudHSM para dejar de compartir una clave CUs con otras del clúster. AWS CloudHSM 

Solo el CU que ha creado la clave (y, por tanto, la posee) puede dejar de compartirla. Los usuarios con quien se comparte la clave pueden utilizar la clave en operaciones criptográficas, pero no pueden exportarla ni eliminarla ni tampoco pueden compartirla o dejar de compartirla con otros usuarios. Además, estos usuarios no pueden cambiar los [atributos de clave](cloudhsm_cli-key-attributes.md).

## Tipo de usuario
<a name="chsm-cli-key-unshare-user-type"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="chsm-cli-key-unshare-requirements"></a>

Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="chsm-cli-key-unshare-syntax"></a>

```
aws-cloudhsm > help key unshare
Unshare a key in the HSM cluster with another user

Usage: key unshare --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for unsharing

      --username <USERNAME>
          A username with which the key will be unshared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

  -h, --help
          Print help (see a summary with '-h')
```

## Ejemplo: dejar de compartir una clave con otro CU
<a name="chsm-cli-key-share-examples"></a>

El siguiente ejemplo muestra cómo usar el comando **key unshare** para dejar de compartir una clave con el CU `alice`.

**Example**  

1. Ejecute el comando **key list** y filtre la clave específica que desea dejar de compartir con `alice`.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
               {
                 "username": "alice",
                 "key-coverage": "full"
               }
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "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",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. Confirme que `alice` aparece en los resultados de `shared-users` y ejecute el comando **key unshare** para dejar de compartir la clave con `alice`.

   ```
   aws-cloudhsm > key unshare --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
   {
     "error_code": 0,
     "data": {
       "message": "Key unshared successfully"
     }
   }
   ```

1. Vuelva a ejecutar el comando `key list` para confirmar que la clave ha dejado de compartirse con `alice`.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "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",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

## Argumentos
<a name="chsm-cli-key-unshare-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave coincidente por eliminar.  
Para obtener una lista de los atributos de clave compatibles, consulte [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatorio: sí

***<USERNAME>***  
Especifica un nombre fácil de recordar para el usuario. La longitud máxima es de 31 caracteres. El único carácter especial permitido es un guion bajo (\$1). En este comando, el nombre de usuario no distingue entre mayúsculas y minúsculas; el nombre de usuario siempre se muestra en minúsculas.  
Obligatorio: sí

***<ROLE>***  
Especifica el rol asignado a este usuario. Este parámetro es obligatorio. Para obtener el rol del usuario, ejecute el comando user list. Para obtener información detallada sobre los tipos de usuario en un HSM, consulte [Tipos de usuario del HSM para la CLI de CloudHSM](understanding-users.md).  
Obligatorio: sí

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave es mayor que 1.

## Temas relacionados
<a name="chsm-cli-key-unshare-see-also"></a>
+ [Filtrar claves mediante la CLI de CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [Atributos de clave de la CLI de CloudHSM](cloudhsm_cli-key-attributes.md)

# El comando de desempaquetado de clave en la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap"></a>

El comando principal **key unwrap** en la CLI de CloudHSM importa una clave privada, simétrica o asimétrica (empaquetada) de un archivo hacia la HSM. Este comando está diseñado para importar claves cifradas que se empaquetaron con el comando [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md), pero también se puede usar para desempaquetar claves empaquetadas con otras herramientas. Sin embargo, en esas situaciones, le recomendamos que utilice las bibliotecas de software de PKCS \$111 o JCE para desencapsular la clave.
+ [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md)
+ [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md)
+ [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md)
+ [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md)
+ [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md)
+ [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md)
+ [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md)
+ [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md)

# Desempaquetar una clave con AES-GCM mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-gcm"></a>

Use el comando **key unwrap aes-gcm** en la CLI de CloudHSM para desempaquetar una clave de carga útil en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado `AES-GCM`.

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por AWS CloudHSM. Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para usar el **key unwrap aes-gcm** comando, debe tener la clave de empaquetado AES en su AWS CloudHSM clúster y su `unwrap` atributo debe estar `true` establecido en.

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-aes-gcm-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos (CUs)

## Requisitos
<a name="cloudhsm_cli-key-unwrap-aes-gcm-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-gcm
Usage: key unwrap aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> --iv <IV> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --iv <IV>
          Initial value used to wrap the key, in hex
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-unwrap-aes-gcm-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap aes-gcm** mediante una clave AES con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data xvslgrtg8kHzrvekny97tLSIeokpPwV8
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<AAD>***  
Valor de datos autenticados adicionales (AAD) de Aes GCM, en hexadecimal.  
Obligatorio: no

***<TAG\$1LENGTH\$1BITS>***  
Longitud de la etiqueta Aes GCM en bits.  
Obligatorio: sí

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<IV>***  
Valor inicial usado para envolver la clave, en hexadecimal.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-aes-gcm-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Desempaquetar una clave AES-NO-PAD mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-no-pad"></a>

Utilice el **key unwrap aes-no-pad** comando de la CLI de CloudHSM para desempaquetar una clave de carga útil AWS CloudHSM en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado. `AES-NO-PAD`

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por. AWS CloudHSM Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para usar el **key unwrap aes-no-pad** comando, debe tener la clave de empaquetado AES en su AWS CloudHSM clúster y su `unwrap` atributo debe estar `true` establecido en.

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos (CUs)

## Requisitos
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-no-pad
Usage: key unwrap aes-no-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap aes-no-pad** mediante una clave AES con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data eXK3PMAOnKM9y3YX6brbhtMoC060EOH9
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ec",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ec",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Desempaquetar una clave con AES- PKCS5 -PAD mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad"></a>

Use el comando **key unwrap aes-pkcs5-pad** en la CLI de CloudHSM para desempaquetar una clave de carga útil mediante la clave de empaquetado AES y el mecanismo de desempaquetado `AES-PKCS5-PAD`.

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por. AWS CloudHSM Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para usar el **key unwrap aes-pkcs5-pad** comando, debe tener la clave de empaquetado AES en su AWS CloudHSM clúster y su `unwrap` atributo debe estar `true` establecido en.

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos (CUs)

## Requisitos
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-pkcs5-pad
Usage: key unwrap aes-pkcs5-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap aes-pkcs5-pad** mediante una clave AES con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY=
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Desempaquetar una clave AES-ZERO-PAD mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad"></a>

Utilice el **key unwrap aes-zero-pad** comando de la CLI de CloudHSM para desempaquetar una clave de carga útil AWS CloudHSM en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado. `AES-ZERO-PAD`

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por. AWS CloudHSM Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para usar el **key unwrap aes-no-pad** comando, debe tener la clave de empaquetado AES en su AWS CloudHSM clúster y su `unwrap` atributo debe estar `true` establecido en.

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos (CUs)

## Requisitos
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-zero-pad
Usage: key unwrap aes-zero-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap aes-zero-pad** mediante una clave AES con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Desempaquetar una clave CLOUDHSM-AES-GCM mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm"></a>

Utilice el **key unwrap cloudhsm-aes-gcm** comando de la CLI de CloudHSM para desempaquetar una clave de carga útil AWS CloudHSM en el clúster mediante la clave de empaquetado AES y el mecanismo de desempaquetado. `CLOUDHSM-AES-GCM`

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por. AWS CloudHSM Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para usar el **key unwrap cloudhsm-aes-gcm** comando, debe tener la clave de empaquetado AES en su AWS CloudHSM clúster y su `unwrap` atributo debe estar `true` establecido en.

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas (CUs)

## Requisitos
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key unwrap cloudhsm-aes-gcm
Usage: key unwrap cloudhsm-aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap cloudhsm-aes-gcm** mediante una clave AES con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap cloudhsm-aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --data 6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001408e8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap cloudhsm-aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001408e8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<AAD>***  
Valor de datos autenticados adicionales (AAD) de Aes GCM, en hexadecimal.  
Obligatorio: no

***<TAG\$1LENGTH\$1BITS>***  
Longitud de la etiqueta Aes GCM en bits.  
Obligatorio: sí

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Desempaquetar una clave con RSA-AES mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-rsa-aes"></a>

Use el comando **key unwrap rsa-aes** en la CLI de CloudHSM para desempaquetar una clave de carga útil mediante la clave privada RSA y el mecanismo de desempaquetado `RSA-AES`.

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por AWS CloudHSM. Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para utilizarlas**key unwrap rsa-aes**, debe tener la clave privada RSA de la clave de empaquetado pública de RSA en su AWS CloudHSM clúster y su `unwrap` atributo debe estar establecido en. `true` 

**nota**  
Este comando solo está disponible con la CLI de CloudHSM 5.11 o posterior.

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-rsa-aes-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="cloudhsm_cli-key-unwrap-rsa-aes-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-aes
Usage: key unwrap rsa-aes [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-unwrap-rsa-aes-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap rsa-aes** mediante la clave privada RSA con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg==
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e2",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e2",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<HASH\$1FUNCTION>***  
Especifica la función hash.  
Valores válidos:  
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí

***<MGF>***  
Especifica la función de generación de máscaras.   
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos:  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-rsa-aes-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Desempaquetar una clave con RSA-OAEP mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-rsa-oaep"></a>

Use el comando **key unwrap rsa-oaep** en la CLI de CloudHSM para desempaquetar la clave de carga útil mediante la clave privada RSA y el mecanismo de desempaquetado `RSA-OAEP`.

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por AWS CloudHSM. Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para usar el **key unwrap rsa-oaep** comando, debe tener la clave privada RSA de la clave de empaquetado pública de RSA en su AWS CloudHSM clúster y su `unwrap` atributo debe estar establecido en. `true`

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-oaep
Usage: key unwrap rsa-oaep [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap rsa-oaep** mediante la clave privada RSA con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw==
{
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<HASH\$1FUNCTION>***  
Especifica la función hash.  
Valores válidos:  
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatorio: sí

***<MGF>***  
Especifica la función de generación de máscaras.   
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos:  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Desempaquetar una clave con RSA-PKCS mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs"></a>

Use el comando **key unwrap rsa-pkcs** en la CLI de CloudHSM para desempaquetar la clave de carga útil mediante la clave privada RSA y el mecanismo de desempaquetado `RSA-PKCS`.

Las claves no empaquetadas se pueden usar de la misma manera que las claves generadas por AWS CloudHSM. Para indicar que no se generaron localmente, su atributo `local` se establece en `false`.

Para usar el **unwrap rsa-pkcs** comando key, debe tener la clave privada RSA de la clave de empaquetado pública de RSA en su AWS CloudHSM clúster y su `unwrap` atributo debe estar establecido en. `true`

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-pkcs
Usage: key unwrap rsa-pkcs [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Ejemplos
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-examples"></a>

En estos ejemplos, se muestra cómo usar el comando **key unwrap rsa-oaep** mediante una clave AES con el valor del atributo `unwrap` establecido en `true`.

**Example Ejemplo: desempaquete una clave de carga útil de los datos clave empaquetados y codificados en Base64**  

```
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg==
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ef",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Ejemplo: desempaquete una clave de carga útil proporcionada a través de una ruta de datos**  

```
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ef",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave con la que se desempaquetará.  
Obligatorio: sí

***<DATA\$1PATH>***  
Ruta al archivo binario que contiene los datos clave empaquetados.  
Obligatorio: Sí (a menos que se proporcione mediante datos codificados en Base64)

***<DATA>***  
Datos clave empaquetados y codificados en Base64.  
Obligatorio: Sí (a menos que se proporcione por la ruta de datos)

***<ATTRIBUTES>***  
Lista de atributos clave separados por espacios en forma de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para la clave empaquetada.  
Obligatorio: no

***<KEY\$1TYPE\$1CLASS>***  
Tipo de clave y clase de clave empaquetada [valores posibles: `aes`, `des3`, `ec-private`, `generic-secret`, `rsa-private`].  
Obligatorio: sí

***<LABEL>***  
Etiqueta para la clave desempaquetada.  
Obligatorio: sí

***<SESSION>***  
Crea una clave de sesión que solo existe en la sesión actual. La clave no se podrá recuperar una vez finalizada la sesión.  
Obligatorio: no

***<APPROVAL>***  
Especifica la ruta de archivo de token de cuórum firmado para aprobar la operación. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de desencapsulado es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# El comando de empaquetado de claves en la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap"></a>

El comando **key wrap** en la CLI de CloudHSM exporta una copia cifrada de una clave privada, simétrica o asimétrica desde el módulo de seguridad de hardware (HSM) a un archivo. Cuando se ejecuta **key wrap**, se especifican dos cosas: la clave para exportar y el archivo de salida. La clave para exportar es una clave del HSM que cifrará (empaquetará) la clave que desee exportar.

El comando **key wrap** no elimina la clave del HSM ni le impide a usted usar la clave en operaciones criptográficas. Puede exportar la misma clave varias veces. Para volver a importar la clave cifrada al HSM, use [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md). Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave solo pueden usarla en operaciones criptográficas.

El comando **key wrap** consiste en los siguientes subcomandos:
+ [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md)
+ [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md)
+ [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md)
+ [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md)
+ [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md)
+ [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md)
+ [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md)
+ [rsa-pkcs](cloudhsm_cli-key-wrap-rsa-pkcs.md)

# Empaquetar una clave con AES-GCM mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-aes-gcm"></a>

Use el comando **key wrap aes-gcm** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave AES en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `AES-GCM`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap aes-gcm** comando, primero debe tener una clave AES en su AWS CloudHSM clúster. Puede generar una clave AES para empaquetado mediante el comando [Generación de una clave AES simétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) con el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-aes-gcm-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas (CUs)

## Requisitos
<a name="cloudhsm_cli-key-wrap-aes-gcm-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap aes-gcm
Usage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-aes-gcm-examples"></a>

En el ejemplo, se muestra cómo usar el comando **key wrap aes-gcm** mediante una clave AES.

**Example**  

```
aws-cloudhsm > key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64  --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "iv": "0xf90613bb8e337ec0339aad21",
    "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8"
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<AAD>***  
Valor de datos autenticados adicionales (AAD) de AES GCM, en hexadecimal.   
Obligatorio: no

***<TAG\$1LENGTH\$1BITS>***  
Longitud de la etiqueta AES GCM en bits.  
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-aes-gcm-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Empaquetar una clave AES-NO-PAD mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-aes-no-pad"></a>

Use el comando **key wrap aes-no-pad** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave AES en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `AES-NO-PAD`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap aes-no-pad** comando, primero debe tener una clave AES en el clúster AWS CloudHSM . Puede generar una clave AES para empaquetado mediante el comando [Generación de una clave AES simétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) con el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-aes-no-pad-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas (CUs)

## Requisitos
<a name="cloudhsm_cli-key-wrap-aes-no-pad-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-aes-no-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-no-pad
Usage: key wrap aes-no-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-aes-no-pad-examples"></a>

En este ejemplo, se muestra cómo usar el comando **key wrap aes-no-pad** mediante una clave AES con el valor del atributo `wrap` establecido en `true`.

**Example**  

```
aws-cloudhsm > key wrap aes-no-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "eXK3PMAOnKM9y3YX6brbhtMoC060EOH9"
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-aes-no-pad-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-aes-no-pad-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Empaque una clave con AES- PKCS5 -PAD mediante CloudHSM CLI
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad"></a>

Use el comando **key wrap aes-pkcs5-pad** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave AES en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `AES-PKCS5-PAD`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap aes-pkcs5-pad** comando, primero debe tener una clave AES en su clúster. AWS CloudHSM Puede generar una clave AES para empaquetado mediante el comando [Generación de una clave AES simétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) con el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas (CUs)

## Requisitos
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-pkcs5-pad
Usage: key wrap aes-pkcs5-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-examples"></a>

En este ejemplo, se muestra cómo usar el comando **key wrap aes-pkcs5-pad** mediante una clave AES con el valor del atributo `wrap` establecido en `true`.

**Example**  

```
aws-cloudhsm > key wrap aes-pkcs5-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY="
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Empaquetar una clave AES-ZERO-PAD mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-aes-zero-pad"></a>

Use el comando **key wrap aes-zero-pad** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave AES en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `AES-ZERO-PAD`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap aes-zero-pad** comando, primero debe tener una clave AES en el clúster AWS CloudHSM . Puede generar una clave AES para empaquetado mediante el comando [Generación de una clave AES simétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) con el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas (CUs)

## Requisitos
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-zero-pad
Usage: key wrap aes-zero-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-examples"></a>

En este ejemplo, se muestra cómo usar el comando **key wrap aes-zero-pad ** mediante una clave AES con el valor del atributo `wrap` establecido en `true`.

**Example**  

```
aws-cloudhsm > key wrap aes-zero-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt"
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Empaquetar una clave CLOUDHSM-AES-GCM mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm"></a>

Use el comando **key wrap cloudhsm-aes-gcm** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave AES en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `CLOUDHSM-AES-GCM`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap cloudhsm-aes-gcm** comando, primero debe tener una clave AES en el clúster AWS CloudHSM . Puede generar una clave AES para empaquetado mediante el comando [Generación de una clave AES simétrica con la CLI de CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) con el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios de criptomonedas (CUs)

## Requisitos
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap cloudhsm-aes-gcm
Usage: key wrap cloudhsm-aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-examples"></a>

En el ejemplo, se muestra cómo usar el comando **key wrap cloudhsm-aes-gcm** mediante una clave AES.

**Example**  

```
aws-cloudhsm > key wrap cloudhsm-aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ"
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<AAD>***  
Valor de datos autenticados adicionales (AAD) de AES GCM, en hexadecimal.   
Obligatorio: no

***<TAG\$1LENGTH\$1BITS>***  
Longitud de la etiqueta AES GCM en bits.  
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Empaquetar una clave con RSA-AES mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-rsa-aes"></a>

Use el comando **key wrap rsa-aes** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave pública RSA en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado RSA-AES. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap rsa-aes** comando, primero debe tener una clave RSA en el AWS CloudHSM clúster. Puede generar un par de claves de RSA con el comando [La generate-asymmetric-pair categoría en CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) y el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-rsa-aes-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="cloudhsm_cli-key-wrap-rsa-aes-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-aes
Usage: key wrap rsa-aes [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-rsa-aes-examples"></a>

En este ejemplo, se muestra cómo usar el comando **key wrap rsa-ae** mediante una clave pública RSA con el valor del atributo `wrap` establecido en `true`.

**Example**  

```
aws-cloudhsm > key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg=="
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<MGF>***  
Especifica la función de generación de máscaras.  
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-rsa-aes-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Empaquetar una clave con RSA-OAEP mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-rsa-oaep"></a>

Use el comando **key wrap rsa-oaep** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave pública RSA en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `RSA-OAEP`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap rsa-oaep** comando, primero debe tener una clave RSA en el AWS CloudHSM clúster. Puede generar un par de claves de RSA con el comando [La generate-asymmetric-pair categoría en CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) y el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-unwrap-rsa-aes-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="cloudhsm_cli-key-unwrap-rsa-aes-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-unwrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-unwrap-rsa-aes-examples"></a>

En este ejemplo, se muestra cómo usar el comando **key wrap rsa-oaep** mediante una clave pública RSA con el valor del atributo `wrap` establecido en `true`.

**Example**  

```
aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-unwrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<MGF>***  
Especifica la función de generación de máscaras.  
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-unwrap-rsa-aes-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)

# Empaquetar una clave con RSA-PKCS mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-rsa-pkcs"></a>

Use el comando **key wrap rsa-pkcs** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave pública RSA en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado `RSA-PKCS`. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap rsa-pkcs** comando, primero debe tener una clave RSA en el AWS CloudHSM clúster. Puede generar un par de claves de RSA con el comando [La generate-asymmetric-pair categoría en CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) y el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-examples"></a>

En el ejemplo, se muestra cómo usar el comando **key wrap rsa-pkcs** mediante una clave pública RSA.

**Example**  

```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000007008da",
    "wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
  }
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)