Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Exportación de una AWS CloudHSM clave mediante KMU
<a name="key_mgmt_util-wrapKey"></a>

Utilice el **wrapKey** comando del AWS CloudHSM key\$1mgmt\$1util para exportar una copia cifrada de una clave simétrica o privada del módulo de seguridad de hardware (HSM) a un archivo. Cuando ejecute **wrapKey**, debe especificar la clave que va a exportar, una clave del HSM para cifrar (encapsular) la clave que se va a exportar y el archivo de salida.

El comando `wrapKey` escribe la clave cifrada en el archivo especificado, pero no la elimina del HSM ni le impide utilizarla en operaciones criptográficas. Puede exportar la misma clave varias veces. 

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede exportarla. Los usuarios que comparten la clave pueden utilizarla en operaciones criptográficas, pero no pueden exportarla.

Para volver a importar la clave cifrada al HSM, use [unWrapKey](key_mgmt_util-unwrapKey.md). Para exportar una clave de texto sin formato desde un HSM, utilice o según proceda. [exSymKey[exportPrivateKey](key_mgmt_util-exportPrivateKey.md)](key_mgmt_util-exSymKey.md) El [aesWrapUnwrap](key_mgmt_util-aesWrapUnwrap.md)comando no puede descifrar (desempaquetar) las claves que cifran. **wrapKey**

Antes de ejecutar cualquier comando de key\$1mgmt\$1util, debe [iniciar key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) e [lniciar sesión](key_mgmt_util-log-in.md) en el HSM como usuario de criptografía (CU). 

## Sintaxis
<a name="wrapKey-syntax"></a>

```
wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]
```

## Ejemplo
<a name="wrapKey-examples"></a>

**Example**  
Este comando exporta una clave simétrica Triple DES (3DES) de 192 bits (identificador de clave `7`). Utiliza una clave AES de 256 bits en el HSM (identificador de clave `14`) para encapsular la clave `7`. A continuación, escribe la clave 3DES cifrada en el archivo `3DES-encrypted.key`.  
La salida muestra que la clave `7` (la clave 3DES) se ha encapsulado correctamente y que se ha escrito en el archivo especificado. La clave cifrada tiene 307 bytes de largo.  

```
        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
```

## Parameters
<a name="wrapKey-params"></a>

**-h**  
Muestra ayuda para el comando.   
Obligatorio: sí

**-k**  
Identificador de la clave que desea exportar. Escriba el identificador de una clave simétrica o privada de su propiedad. Para buscar identificadores de clave, use el comando [findKey](key_mgmt_util-findKey.md).  
Para verificar que se puede exportar una clave, ejecute el comando [getAttribute](key_mgmt_util-getAttribute.md) para obtener el valor del atributo `OBJ_ATTR_EXTRACTABLE`, que se representa con la constante `354`. Para obtener ayuda para interpretar los atributos de clave, consulte la [AWS CloudHSM referencia de atributo clave para KMU](key-attribute-table.md).  
Además, únicamente puede exportar las claves que son de su propiedad. Para encontrar el propietario de una clave, utilice el comando. [getKeyInfo](key_mgmt_util-getKeyInfo.md)  
Obligatorio: sí

**-w**  
Especifica la clave de encapsulamiento. Introduzca el identificador de clave de una clave AES o RSA en el HSM. Este parámetro es obligatorio. Para buscar identificadores de clave, use el comando [findKey](key_mgmt_util-findKey.md).  
Para crear una clave de empaquetado, [genSymKey](key_mgmt_util-genSymKey.md)utilícela para generar una clave AES (tipo 31) o [gen RSAKey Pair](key_mgmt_util-genRSAKeyPair.md) para generar un par de claves RSA (tipo 0). Si utiliza un par de claves RSA, asegúrese de encapsular la clave con una de las claves y desencapsularla con la otra. Para verificar si una clave se puede utilizar como clave de encapsulamiento, utilice [getAttribute](key_mgmt_util-getAttribute.md) para obtener el valor del atributo `OBJ_ATTR_WRAP`, que se representa con la constante `262`.  
Obligatorio: sí

**-out**  
Ruta y nombre del archivo de salida. Cuando el comando se ejecuta correctamente, este archivo contiene una copia cifrada de la clave exportada. Si el archivo ya existe, el comando lo sobrescribe sin ningún tipo de advertencia.  
Obligatorio: sí

**-m**  
Valor que representa el mecanismo de encapsulamiento. CloudHSM admite los siguientes mecanismos:       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Obligatorio: sí  
Cuando se utiliza el mecanismo de `RSA_OAEP` empaquetado, el tamaño máximo de clave que se puede empaquetar viene determinado por el módulo de la clave RSA y la longitud del hash especificado de la siguiente manera: Tamaño máximo de clave = (modulusLengthInbytes-2\$1 hashLengthIn bytes-2).  
Cuando se utiliza el mecanismo de empaquetado RSA\$1PKCS, el tamaño máximo de clave que se puede empaquetar viene determinado por el módulo de la clave RSA de la siguiente manera: Tamaño máximo de clave = (bytes -11). modulusLengthIn

**-t**  
Valor que representa el algoritmo hash. CloudHSM admite los siguientes algoritmos:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Obligatorio: no

**-aad**  
Nombre del archivo que contiene `AAD`.  
Válido solo para los mecanismos `AES_GCM` y `CLOUDHSM_AES_GCM`.
Obligatorio: no

**-noheader**  
Omite el encabezado que especifica los [atributos de clave](key_mgmt_util-reference.md) específicos de CloudHSM. Utilice este parámetro *solo* si tiene previsto desencapsular la clave con herramientas distintas de key\$1mgmt\$1util.  
Obligatorio: no

**-i**  
Vector de inicialización (IV) (valor hexadecimal).  
Solo es válido cuando se pasa con el parámetro `-noheader` de los mecanismos `CLOUDHSM_AES_KEY_WRAP` y `NIST_AES_WRAP`.
Obligatorio: no

**-iv\$1file**  
Archivo en el que va a escribir el valor del IV obtenido como respuesta.  
Solo es válido cuando se pasa con el parámetro `-noheader` del mecanismo `AES_GCM`.
Obligatorio: no

**-tag\$1size**  
Tamaño de la etiqueta que se va a guardar junto con el blob encapsulado.  
Solo es válido cuando se pasa con el parámetro `-noheader` de los mecanismos `AES_GCM` y `CLOUDHSM_AES_GCM`. El tamaño mínimo de la etiqueta es ocho.
Obligatorio: no

[1] De acuerdo con las directrices del NIST, esto no se permite en los clústeres en modo FIPS después de 2023. En el caso de los clústeres en modo no FIPS, seguirá siendo posible después de 2023. Para obtener más información, consulte [Cumplimiento de la normativa FIPS 140: anulación de mecanismo 2024](compliance-dep-notif.md#compliance-dep-notif-1).

## Temas relacionados
<a name="wrapKey-seealso"></a>
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)