Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# La catégorie clé de la CLI CloudHSM
<a name="cloudhsm_cli-key"></a>

Dans la **key** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande spécifique aux touches. Actuellement, cette catégorie comprend les commandes suivantes :
+ [supprimer](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [key generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
  + [clé generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
  + [clé generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
  + [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
  + [clé generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [importer un fichier pem](cloudhsm_cli-key-import-pem.md)
+ [liste](cloudhsm_cli-key-list.md)
+ [répliquer](cloudhsm_cli-key-replicate.md)
+ [set-attribute](cloudhsm_cli-key-set-attribute.md)
+ [partager](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [déballer](cloudhsm_cli-key-unwrap.md)
+ [envelopper](cloudhsm_cli-key-wrap.md)

# Supprimer une clé à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-delete"></a>

Utilisez la **key delete** commande de la CLI CloudHSM pour supprimer une clé AWS CloudHSM d'un cluster. Vous pouvez supprimer une seule clé à la fois. La suppression d'une clé dans une paire de clés n'a aucun effet sur l'autre clé de la paire. 

Seul le CU qui a créé la clé et qui en est donc propriétaire peut supprimer la clé. Les utilisateurs qui partagent la clé, sans la posséder, peuvent l'utiliser dans des opérations de chiffrement, mais pas la supprimer.

## Type utilisateur
<a name="key-delete-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="key-delete-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="key-delete-syntax"></a>

```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster

Usage: key delete [OPTIONS] --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>  Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]     Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
  -h, --help                     Print help
```

## Exemple
<a name="key-delete-examples"></a>

```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
  "error_code": 0,
  "data": {
    "message": "Key deleted successfully"
  }
}
```

## Arguments
<a name="key-delete-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante à supprimer.  
Pour obtenir la liste des attributs de clé de la CLI CloudHSM pris en charge, voir [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : oui

## Rubriques en relation
<a name="key-delete-seealso"></a>
+ [Répertorier les clés d'un utilisateur avec la CLI CloudHSM](cloudhsm_cli-key-list.md)
+ [Exporter une clé asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-file.md)
+ [Annuler le partage d'une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-unshare.md)
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Exporter une clé asymétrique avec la CLI CloudHSM
<a name="cloudhsm_cli-key-generate-file"></a>

Utilisez la **key generate-file** commande de la CLI CloudHSM pour exporter une clé asymétrique depuis le module de sécurité matérielle (HSM). Si la cible est une clé privée, la référence à la clé privée sera exportée au faux format PEM. Si la cible est une clé publique, les octets de la clé publique seront exportés au format PEM.

Le faux fichier PEM, qui ne contient pas le contenu de la clé privée mais fait référence à la clé privée dans le HSM, peut être utilisé pour établir un SSL/TLS déchargement de votre serveur Web vers. AWS CloudHSM Pour plus d'informations, consultez la section [Déchargement SSL/TLS](ssl-offload.md).

## Type utilisateur
<a name="key-generate-file-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="key-generate-file-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="key-generate-file-syntax"></a>

```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --encoding <ENCODING>
          Encoding format for the key file

          Possible values:
          - reference-pem: PEM formatted key reference (supports private keys)
          - pem:           PEM format (supports public keys)

      --path <PATH>
          Filepath where the key file will be written

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

  -h, --help
          Print help (see a summary with '-h')
```

## Exemple
<a name="key-generate-file-examples"></a>

Cet exemple montre comment **key generate-file** générer un fichier clé dans votre AWS CloudHSM cluster.

**Example**  

```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

## Arguments
<a name="key-generate-file-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante à supprimer.  
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, voir [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : non

***<ENCODING>***  
Spécifie le format de codage pour le fichier clé  
Obligatoire : oui

***<PATH>***  
Spécifie le chemin du fichier dans lequel le fichier clé sera écrit  
Obligatoire : oui

## Génération de références clés KSP (Windows)
<a name="key-generate-ksp-key-reference"></a>

**Note**  
Cette fonctionnalité n'est disponible que dans les versions 5.16.0 et ultérieures du SDK.

### Conditions préalables
<a name="key-generate-ksp-key-reference-requirements"></a>
+ Vous pouvez générer des références clés KSP uniquement sur les plateformes Windows.
+ Vous devez vous connecter en tant qu'utilisateur cryptographique (CU).

### Emplacement du fichier
<a name="key-generate-ksp-key-reference-options"></a>

Par défaut, AWS CloudHSM stocke les fichiers générés dans : `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition`

Pour spécifier un autre emplacement, utilisez le `--path` paramètre.

### Syntaxe
<a name="key-generate-ksp-key-reference-syntax"></a>

```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference 
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM

Usage: key generate-file --encoding <ENCODING> --path <PATH> --filter [<FILTER>...]

Options:
      --encoding <ENCODING>
        Encoding format for the key file

        Possible values:
        - reference-pem:     PEM formatted key reference (supports private keys)
        - pem:               PEM format (supports public keys)
        - ksp-key-reference: KSP key reference format

      --cluster-id <CLUSTER_ID>
        Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error

      --path <PATH>
        Directory path where the key file will be written

      --filter [<FILTER>...]
        Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation

      --all
        Generate ksp key reference for all available key pairs in HSM

  -h, --help
        Print help (see a summary with '-h')
```

### Exemple — Génération d'une référence de clé KSP à l'aide d'un filtre d'attribut d'une clé privée
<a name="key-generate-ksp-key-reference-example1"></a>

L'exemple suivant génère une référence de clé KSP pour une clé privée avec une étiquette spécifique.

**Example**  

```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path  --filter attr.label="ec-test-private-key"
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

### Exemple — Génération de références de clés KSP pour toutes les paires de clés
<a name="key-generate-ksp-key-reference-example2"></a>

L'exemple suivant génère des références de clé KSP pour toutes les paires de clés de votre cluster.

**Example**  

```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
  "error_code": 0,
  "data": {
    "message": "Successfully generated key file"
  }
}
```

## Rubriques en relation
<a name="key-generate-file-seealso"></a>
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [La generate-asymmetric-pair catégorie dans la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [La catégorie generate-symetric dans la CLI CloudHSM](cloudhsm_cli-key-generate-symmetric.md)

# La generate-asymmetric-pair catégorie dans la CLI CloudHSM
<a name="cloudhsm_cli-key-generate-asymmetric-pair"></a>

Dans la **key generate-asymmetric-pair** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande qui génère des paires de clés asymétriques. Actuellement, cette catégorie comprend les commandes suivantes :
+ [clé generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [clé generate-asymmetric-pair RSA](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)

# Génération d'une paire de clés EC asymétriques à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-generate-asymmetric-pair-ec"></a>

Utilisez la **key asymmetric-pair ec** commande de la CLI CloudHSM pour générer une paire de clés à courbe elliptique asymétrique (EC) dans votre cluster. AWS CloudHSM 

## Type utilisateur
<a name="key-generate-asymmetric-pair-ec-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="key-generate-asymmetric-pair-ec-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="key-generate-asymmetric-pair-ec-syntax"></a>

```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair

Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label <PUBLIC_LABEL> --private-label <PRIVATE_LABEL> --curve <CURVE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --public-label <PUBLIC_LABEL>
          Label for the public key
      --private-label <PRIVATE_LABEL>
          Label for the private key
      --session
          Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
      --curve <CURVE>
          Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
      --public-attributes [<PUBLIC_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --private-attributes [<PRIVATE_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the EC private key with
      --manage-private-key-quorum-value <MANAGE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key management operations for the private key
      --use-private-key-quorum-value <USE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations for the private key
  -h, --help
          Print help
```

## Exemples
<a name="key-generate-asymmetric-pair-ec-examples"></a>

Ces exemples montrent comment utiliser la commande **key generate-asymmetric-pair ec** pour créer une paire de clés EC.

**Example Exemple : créer une paire de clés EC**  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x000000000012000b",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    },
"private_key": {
      "key-reference": "0x000000000012000c",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xd7c1a7",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
        "curve": "secp224r1"
      }
    }
  }
}
```

**Example Exemple : créer une paire de clés EC avec des attributs facultatifs**  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example \
    --public-attributes encrypt=true \
    --private-attributes decrypt=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x00000000002806eb",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280c82",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    }
  }
}
```

**Example Exemple : créer une paire de clés EC avec des valeurs de quorum**  
Lors de la génération d'une clé avec des contrôles de quorum, la clé doit être associée à un nombre minimum d'utilisateurs égal à la plus grande valeur de quorum clé. Les utilisateurs associés incluent le propriétaire de la clé et les utilisateurs cryptographiques avec lesquels la clé est partagée. Pour déterminer le nombre minimum d'utilisateurs avec lesquels partager la clé, obtenez la valeur de quorum la plus élevée entre la valeur du quorum d'utilisation de la clé et la valeur du quorum de gestion des clés, puis soustrayez 1 pour tenir compte du propriétaire de la clé, qui est associé par défaut à la clé. Pour partager la clé avec un plus grand nombre d'utilisateurs, utilisez la **[Partager une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-share.md)** commande.  

```
aws-cloudhsm > key generate-asymmetric-pair ec \
    --curve secp224r1 \
    --public-label ec-public-key-example \
    --private-label ec-private-key-example \
    --public-attributes verify=true \
    --private-attributes sign=true
    --share-crypto-users cu2 cu3 cu4 \
    --manage-private-key-quorum-value 4 \
    --use-private-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x00000000002806eb",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-public-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 57,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280c82",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "ec",
        "label": "ec-private-key-example",
        "id": "",
        "check-value": "0xedef86",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 122,
        "ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
        "curve": "secp224r1"
      }
    }
  }
}
```

## Arguments
<a name="key-generate-asymmetric-pair-ec-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<CURVE>***  
Spécifie l'identifiant de la courbe elliptique.  
+ prime256v1
+ secp256r1
+ secp224r1
+ secp384r1
+ secp256k1
+ secp521r1
+ ed25519 (uniquement pris en charge sur les instances hsm2m.medium en mode non FIPS)
Obligatoire : oui

***<PUBLIC\$1KEY\$1ATTRIBUTES>***  
Spécifie une liste séparée par des espaces d'attributs clés à définir pour la clé publique EC générée sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (par exemple, `verify=true`)  
Pour obtenir la liste des attributs de clés pris en charge, consultez [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatoire : non

***<PUBLIC\$1LABEL>***  
Spécifie une étiquette définie par l'utilisateur pour public-key. La taille maximale autorisée `label` est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.  
Obligatoire : oui

***<PRIVATE\$1KEY\$1ATTRIBUTES>***  
Spécifie une liste séparée par des espaces d'attributs clés à définir pour la clé privée EC générée sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (par exemple, `sign=true`)  
Pour obtenir la liste des attributs de clés pris en charge, consultez [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatoire : non

***<PRIVATE\$1LABEL>***  
Spécifie l'étiquette définie par l'utilisateur pour private-key. La taille maximale autorisée `label` est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.  
Obligatoire : oui

***<SESSION>***  
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.  
Par défaut, les clés générées sont des clés persistantes (jetons). La transmission vers <SESSION> change cela, garantissant qu'une clé générée avec cet argument est une clé de session (éphémère).  
Obligatoire : non

***<SHARE\$1CRYPTO\$1USERS>***  
Spécifie une liste séparée par des espaces de noms d'utilisateur Crypto User avec lesquels partager la clé privée EC  
Obligatoire : non

***<MANAGE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations de gestion des clés de la clé privée. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

***<USE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations d'utilisation des clés privées. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

## Rubriques en relation
<a name="key-generate-asymmetric-pair-ec-seealso"></a>
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Génération d'une paire de clés RSA asymétrique avec la CLI CloudHSM
<a name="cloudhsm_cli-key-generate-asymmetric-pair-rsa"></a>

Utilisez la **key generate-asymmetric-pair rsa** commande de la CLI CloudHSM pour générer une paire de clés RSA asymétrique dans votre cluster. AWS CloudHSM 

## Type utilisateur
<a name="key-generate-asymmetric-pair-rsa-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="key-generate-asymmetric-pair-rsa-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="key-generate-asymmetric-pair-rsa-syntax"></a>

```
aws-cloudhsm > help key generate-asymmetric-pair rsa
Generate an RSA key pair

Usage: key generate-asymmetric-pair rsa [OPTIONS] --public-label <PUBLIC_LABEL> --private-label <PRIVATE_LABEL> --modulus-size-bits <MODULUS_SIZE_BITS> --public-exponent <PUBLIC_EXPONENT>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --public-label <PUBLIC_LABEL>
          Label for the public key
      --private-label <PRIVATE_LABEL>
          Label for the private key
      --session
          Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
      --modulus-size-bits <MODULUS_SIZE_BITS>
          Modulus size in bits used to generate the RSA key pair
      --public-exponent <PUBLIC_EXPONENT>
          Public exponent used to generate the RSA key pair
      --public-attributes [<PUBLIC_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated RSA public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --private-attributes [<PRIVATE_KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated RSA private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the RSA key with
      --manage-private-key-quorum-value <MANAGE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key management operations for the private key
      --use-private-key-quorum-value <USE_PRIVATE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations for the private key
  -h, --help
          Print help
```

## Exemples
<a name="key-generate-asymmetric-pair-rsa-examples"></a>

Ces exemples montrent comment utiliser `key generate-asymmetric-pair rsa` pour créer une paire de clés RSA.

**Example Exemple : créer une paire de clés RSA**  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000160010",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x498e1f",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xdfca0669dc8288ed3bad99509bd21c7e6192661407021b3f4cdf4a593d939dd24f4d641af8e4e73b04c847731c6dbdff3385818e08dd6efcbedd6e5b130344968c
e89a065e7d1a46ced96b46b909db2ab6be871ee700fd0a448b6e975bb64cae77c49008749212463e37a577baa57ce3e574cb057e9db131e119badf50c938f26e8a5975c61a8ba7ffe7a1115a
bcebb7d20bd6df1948ae336ae23b52d73b7f3b6acc2543edb6358e08d326d280ce489571f4d34e316a2ea1904d513ca12fa04075fc09ad005c81b7345d7804ff24c45117f0a1020dca7794df037a10aadec8653473b2088711f7b7d8b58431654e14e31af0e00511da641058fb7475ffdbe60f",
        "modulus-size-bits": 2048
      }
    },
"private_key": {
      "key-reference": "0x0000000000160011",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x498e1f",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

**Example Exemple : créer une paire de clés RSA avec des attributs facultatifs**  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes encrypt=true \
--private-attributes decrypt=true
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

**Example Exemple : créer une paire de clés RSA avec des valeurs de quorum**  
Lors de la génération d'une clé avec des contrôles de quorum, la clé doit être associée à un nombre minimum d'utilisateurs égal à la plus grande valeur de quorum clé. Les utilisateurs associés incluent le propriétaire de la clé et les utilisateurs cryptographiques avec lesquels la clé est partagée. Pour déterminer le nombre minimum d'utilisateurs avec lesquels partager la clé, obtenez la valeur de quorum la plus élevée entre la valeur du quorum d'utilisation de la clé et la valeur du quorum de gestion des clés, puis soustrayez 1 pour tenir compte du propriétaire de la clé, qui est associé par défaut à la clé. Pour partager la clé avec un plus grand nombre d'utilisateurs, utilisez la **[Partager une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-share.md)** commande.  

```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes verify=true \
--private-attributes sign=true
--share-crypto-users cu2 cu3 cu4 \
--manage-private-key-quorum-value 4 \
--use-private-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "public_key": {
      "key-reference": "0x0000000000280cc8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-public-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
        "modulus-size-bits": 2048
      }
    },
    "private_key": {
      "key-reference": "0x0000000000280cc7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "rsa-private-key-example",
        "id": "",
        "check-value": "0x01fe6e",
        "class": "private-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 1217,
        "public-exponent": "0x010001",
        "modulus": "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",
        "modulus-size-bits": 2048
      }
    }
  }
}
```

## Arguments
<a name="key-generate-asymmetric-pair-rsa-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<MODULUS\$1SIZE\$1BITS>***  
 Indique la longueur du module en bits. La valeur minimale est de 2048.   
Obligatoire : oui

***<PRIVATE\$1KEY\$1ATTRIBUTES>***  
Spécifie une liste séparée par des espaces d'attributs clés à définir pour la clé privée RSA générée sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (par exemple, `sign=true`)  
Pour obtenir la liste des attributs de clés pris en charge, consultez [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatoire : non

***<PRIVATE\$1LABEL>***  
 Spécifie l'étiquette définie par l'utilisateur pour private-key. La taille maximale autorisée `label` est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.  
Obligatoire : oui

***<PUBLIC\$1EXPONENT>***  
Spécifie l' exposant public. La valeur doit être un entier impair supérieur ou égal à 65 537.  
Obligatoire : oui

***<PUBLIC\$1KEY\$1ATTRIBUTES>***  
Spécifie une liste séparée par des espaces d'attributs clés à définir pour la clé publique RSA générée sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (par exemple, `verify=true`)  
Pour obtenir la liste des attributs de clés pris en charge, consultez .[Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : non

***<PUBLIC\$1LABEL>***  
 Spécifie une étiquette définie par l'utilisateur pour public-key. La taille maximale autorisée `label` est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.  
Obligatoire : oui

***<SESSION>***  
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.  
Par défaut, les clés générées sont des clés persistantes (jetons). La transmission vers <SESSION> change cela, garantissant qu'une clé générée avec cet argument est une clé de session (éphémère).  
Obligatoire : non

***<SHARE\$1CRYPTO\$1USERS>***  
Spécifie une liste séparée par des espaces de noms d'utilisateur Crypto avec lesquels partager la clé privée RSA  
Obligatoire : non

***<MANAGE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations de gestion des clés de la clé privée. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

***<USE\$1PRIVATE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations d'utilisation des clés privées. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

## Rubriques en relation
<a name="key-generate-asymmetric-pair-rsa-seealso"></a>
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# La catégorie generate-symetric dans la CLI CloudHSM
<a name="cloudhsm_cli-key-generate-symmetric"></a>

Dans la **key generate-symmetric** CLI CloudHSM, il s'agit d'une catégorie parent pour un groupe de commandes qui, lorsqu'elles sont combinées avec la catégorie parent, créent une commande qui génère des clés symétriques. Actuellement, cette catégorie comprend les commandes suivantes :
+ [clé generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [clé generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)

# Génération d'une clé AES symétrique avec la CLI CloudHSM
<a name="cloudhsm_cli-key-generate-symmetric-aes"></a>

Utilisez la **key generate-symmetric aes** commande de la CLI CloudHSM pour générer une clé AES symétrique dans votre cluster. AWS CloudHSM 

## Type utilisateur
<a name="key-generate-symmetric-aes-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="key-generate-symmetric-aes-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="key-generate-symmetric-aes-syntax"></a>

```
aws-cloudhsm > help key generate-symmetric aes
Generate an AES key

Usage: key generate-symmetric aes [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated AES key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the AES key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE>
          The quorum value for key management operations
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations
  -h, --help
          Print help
```

## Exemples
<a name="key-generate-symmetric-aes-examples"></a>

Ces exemples montrent comment utiliser la commande **key generate-symmetric aes** pour créer une clé AES.

**Example Exemple : création d'une clé AES**  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

**Example Exemple : création d'une clé AES avec des attributs facultatifs**  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24 \
--attributes decrypt=true encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

**Example Exemple : créer une clé AES avec des valeurs de quorum**  
Lors de la génération d'une clé avec des contrôles de quorum, la clé doit être associée à un nombre minimum d'utilisateurs égal à la plus grande valeur de quorum clé. Les utilisateurs associés incluent le propriétaire de la clé et les utilisateurs cryptographiques avec lesquels la clé est partagée. Pour déterminer le nombre minimum d'utilisateurs avec lesquels partager la clé, obtenez la valeur de quorum la plus élevée entre la valeur du quorum d'utilisation de la clé et la valeur du quorum de gestion des clés, puis soustrayez 1 pour tenir compte du propriétaire de la clé, qui est associé par défaut à la clé. Pour partager la clé avec un plus grand nombre d'utilisateurs, utilisez la **[Partager une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-share.md)** commande.  

```
aws-cloudhsm > key generate-symmetric aes \
--label example-aes \
--key-length-bytes 24 \
--attributes decrypt=true encrypt=true
--share-crypto-users cu2 cu3 cu4 \
--manage-key-quorum-value 4 \
--use-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e06bf",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-aes",
        "id": "",
        "check-value": "0x9b94bd",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": true,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 24
      }
    }
  }
}
```

## Arguments
<a name="key-generate-symmetric-aes-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<KEY\$1ATTRIBUTES>***  
Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé AES générée sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (par exemple, `sign=true`).  
Pour obtenir la liste des attributs de clés pris en charge, consultez .[Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : non

***<KEY-LENGTH-BYTES>***  
Spécifie la taille de la clé en octets.  

Valeurs valides :
+ 16, 24 et 32
Obligatoire : oui

***<LABEL>***  
Spécifie une étiquette définie par l'utilisateur pour la clé AES. La taille maximale autorisée `label` est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et les versions antérieures sont limités à 126 caractères.  
Obligatoire : oui

***<SESSION>***  
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.  
Par défaut, les clés générées sont des clés persistantes (jetons). La transmission vers <SESSION> change cela, garantissant qu'une clé générée avec cet argument est une clé de session (éphémère).  
Obligatoire : non

***<SHARE\$1CRYPTO\$1USERS>***  
Spécifie une liste séparée par des espaces de noms d'utilisateur Crypto avec lesquels partager la clé AES  
Obligatoire : non

***<MANAGE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations de gestion clés. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

***<USE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations d'utilisation des clés. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

## Rubriques en relation
<a name="key-generate-symmetric-aes-seealso"></a>
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Génération d'une clé secrète générique symétrique avec la CLI CloudHSM
<a name="cloudhsm_cli-key-generate-symmetric-generic-secret"></a>

Utilisez la **key generate-symmetric generic-secret** commande de la CLI CloudHSM pour générer une clé secrète générique symétrique dans votre cluster. AWS CloudHSM 

## Type utilisateur
<a name="key-generate-symmetric-generic-secret-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="key-generate-symmetric-generic-secret-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="key-generate-symmetric-generic-secret-syntax"></a>

```
aws-cloudhsm > key help generate-symmetric generic-secret
Generate a generic secret key

Usage: key generate-symmetric generic-secret [OPTIONS] --label <LABEL> --key-length-bytes <KEY_LENGTH_BYTES>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --label <LABEL>
          Label for the key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --key-length-bytes <KEY_LENGTH_BYTES>
          Key length in bytes
      --attributes [<KEY_ATTRIBUTES>...]
          Space separated list of key attributes to set for the generated generic secret key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
      --share-crypto-users [<SHARE_CRYPTO_USERS>...]
          Space separated list of Crypto User usernames to share the generic secret key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE>
          The quorum value for key management operations
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE>
          The quorum value for key usage operations
  -h, --help
          Print help
```

## Exemples
<a name="key-generate-symmetric-generic-secret-examples"></a>

Ces exemples montrent comment utiliser la commande **key generate-symmetric generic-secret** pour créer une clé secrète générique.

**Example Exemple : création d'une clé secrète générique**  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

**Example Exemple : création d'une clé secrète générique avec des attributs facultatifs**  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256 \
--attributes encrypt=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

**Example Exemple : créer une clé secrète générique avec des valeurs de quorum**  
Lors de la génération d'une clé avec des contrôles de quorum, la clé doit être associée à un nombre minimum d'utilisateurs égal à la plus grande valeur de quorum clé. Les utilisateurs associés incluent le propriétaire de la clé et les utilisateurs cryptographiques avec lesquels la clé est partagée. Pour déterminer le nombre minimum d'utilisateurs avec lesquels partager la clé, obtenez la valeur de quorum la plus élevée entre la valeur du quorum d'utilisation de la clé et la valeur du quorum de gestion des clés, puis soustrayez 1 pour tenir compte du propriétaire de la clé, qui est associé par défaut à la clé. Pour partager la clé avec un plus grand nombre d'utilisateurs, utilisez la **[Partager une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-share.md)** commande.  

```
aws-cloudhsm > key generate-symmetric generic-secret \
--label example-generic-secret \
--key-length-bytes 256 \
--attributes encrypt=true
--share-crypto-users cu2 cu3 cu4 \
--manage-key-quorum-value 4 \
--use-key-quorum-value 2
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000002e08fd",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [
          {
            "username": "cu2",
            "key-coverage": "full"
          },
          {
            "username": "cu3",
            "key-coverage": "full"
          },
          {
            "username": "cu4",
            "key-coverage": "full"
          },
        ],
        "key-quorum-values": {
          "manage-key-quorum-value": 4,
          "use-key-quorum-value": 2
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "generic-secret",
        "label": "example-generic-secret",
        "id": "",
        "class": "secret-key",
        "encrypt": true,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 256
      }
    }
  }
}
```

## Arguments
<a name="key-generate-symmetric-generic-secret-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<KEY\$1ATTRIBUTES>***  
Spécifie une liste séparée par des espaces d'attributs de clés à définir pour la clé AES générée sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (par exemple, `sign=true`).  
Pour obtenir la liste des attributs de clés pris en charge, consultez .[Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : non

***<KEY-LENGTH-BYTES>***  
Spécifie la taille de la clé en octets.  

Valeurs valides :
+ 1 à 800
Obligatoire : oui

***<LABEL>***  
Spécifie une étiquette définie par l'utilisateur pour la clé secrète générique. La taille maximale autorisée `label` est de 127 caractères pour le SDK client 5.11 et versions ultérieures. Le SDK client 5.10 et versions antérieures est limité à 126 caractères.  
Obligatoire : oui

***<SESSION>***  
Crée une clé qui existe uniquement dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Utilisez ce paramètre lorsque vous n'avez besoin que brièvement d'une clé, par exemple une clé d'encapsulage qui chiffre, puis déchiffre rapidement, une autre clé. N'utilisez pas de clé de session pour chiffrer les données que vous pourriez avoir besoin de déchiffrer après la fin de la session.  
Par défaut, les clés générées sont des clés persistantes (jetons). La transmission vers <SESSION> change cela, garantissant qu'une clé générée avec cet argument est une clé de session (éphémère).  
Obligatoire : non

***<SHARE\$1CRYPTO\$1USERS>***  
Liste séparée par des espaces de noms d'utilisateur Crypto avec lesquels partager la clé secrète générique  
Obligatoire : non

***<MANAGE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations de gestion clés. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

***<USE\$1KEY\$1QUORUM\$1VALUE>***  
La valeur du quorum pour les opérations d'utilisation des clés. Cette valeur doit être inférieure ou égale au nombre d'utilisateurs auxquels la clé est associée. Cela inclut les utilisateurs avec lesquels la clé est partagée et le propriétaire de la clé. Valeur maximale de 8.  
Obligatoire : non

## Rubriques en relation
<a name="key-generate-symmetric-generic-secret-seealso"></a>
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Importer une clé au format PEM avec la CLI CloudHSM
<a name="cloudhsm_cli-key-import-pem"></a>

Utilisez la **key import pem** commande in AWS CloudHSM pour importer une clé au format PEM dans un module de sécurité matérielle (HSM). Vous pouvez l'utiliser pour importer des clés publiques générées hors du HSM.

**Note**  
Utilisez la [Exporter une clé asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-file.md) commande pour créer un fichier PEM standard à partir d'une clé publique ou pour créer un fichier PEM de référence à partir d'une clé privée.

## Type utilisateur
<a name="cloudhsm_cli-key-import-pem-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-import-pem-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-import-pem-syntax"></a>

```
aws-cloudhsm > help key import pem
Import key from a PEM file

Usage: key import pem [OPTIONS] --path <PATH> --label <LABEL> --key-type-class <KEY_TYPE_CLASS>
Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --path <PATH>
          Path where the key is located in PEM format
      --label <LABEL>
          Label for the imported key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of the imported key [possible values: ec-public, rsa-public]
      --attributes [<IMPORT_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the imported key
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-import-pem-examples"></a>

Cet exemple montre comment utiliser la **key import pem** commande pour importer une clé publique RSA à partir d'un fichier au format PEM.

**Example Exemple : importation d'une clé publique RSA**  

```
aws-cloudhsm > key import pem --path /home/example --label example-imported-key --key-type-class rsa-public
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001e08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",                                   
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "example-imported-key",
        "id": "0x",
        "check-value": "0x99fe93",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": false,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0x8e9c172c37aa22ed1ce25f7c3a7c936dadc532201400128b044ebb4b96│··3e4930ab910df5a2896eaeb8853cfea0e341227654a8337a7864cc8a87d136f006cfba9e68d0b329│··746c1ad60941668b18699fc8169ff1ec363d0d18292845b2454d6a0b8c5d111b79c047619d460cdf│··be59debbacb66b7abeaf3f3d35dd2b9cfa6b6b7b1258b6866cb4085ac749e9d8552b3a4509e1b86c│··828cc794e22767b4f6b5bc6ff5c96f4b7e60eab305d669cfa2197e85379cb35c659bb58fcd246d48│··d9f6a7f36063b42da025459275aa8e3abedad775387086bd6c198ded868403f4b87ffda5a2d455ac│··aa6cbd00003c31d8d2f51d10cd272b31cf0c4037791f48ad51fb35",
        "modulus-size-bits": 2048
      }
    },
    "message": "Successfully imported key"
  }
}
```

**Example Exemple : importation d'une clé publique RSA avec des attributs facultatifs**  

```
aws-cloudhsm > key import pem --path /home/example --label example-imported-key-with-attributes --key-type-class rsa-public --attributes verify=true
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001e08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",                                      
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "rsa",
        "label": "example-imported-key-with-attributes",
        "id": "0x",
        "check-value": "0x99fe93",
        "class": "public-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": false,
        "sign": false,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 512,
        "public-exponent": "0x010001",
        "modulus": "0x8e9c172c37aa22ed1ce25f7c3a7c936dadc532201400128b044ebb4b96│··3e4930ab910df5a2896eaeb8853cfea0e341227654a8337a7864cc8a87d136f006cfba9e68d0b329│··746c1ad60941668b18699fc8169ff1ec363d0d18292845b2454d6a0b8c5d111b79c047619d460cdf│··be59debbacb66b7abeaf3f3d35dd2b9cfa6b6b7b1258b6866cb4085ac749e9d8552b3a4509e1b86c│··828cc794e22767b4f6b5bc6ff5c96f4b7e60eab305d669cfa2197e85379cb35c659bb58fcd246d48│··d9f6a7f36063b42da025459275aa8e3abedad775387086bd6c198ded868403f4b87ffda5a2d455ac│··aa6cbd00003c31d8d2f51d10cd272b31cf0c4037791f48ad51fb35",
        "modulus-size-bits": 2048
      }
    },
    "message": "Successfully imported key"
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-import-pem-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PATH>***  
Spécifie le chemin du fichier où se trouve le fichier clé.  
Obligatoire : oui

***<LABEL>***  
Spécifie une étiquette définie par l'utilisateur pour la clé importée. La taille maximale autorisée pour `label` est de 126 caractères.  
Obligatoire : oui

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée.  
Valeurs possibles :  
+ ec-public
+ rsa-public
Obligatoire : oui

***<IMPORT\$1KEY\$1ATTRIBUTES>***  
Spécifie une liste séparée par des espaces d'attributs clés à définir pour la clé importée sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` (par exemple,`sign=true`). Pour obtenir la liste des attributs de clés pris en charge, consultez [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md).  
Obligatoire : non

## Rubriques en relation
<a name="cloudhsm_cli-key-import-pem-seealso"></a>
+ [La catégorie de signes cryptographiques dans la CLI CloudHSM](cloudhsm_cli-crypto-sign.md)
+ [La catégorie de vérification cryptographique dans la CLI CloudHSM](cloudhsm_cli-crypto-verify.md)

# Répertorier les clés d'un utilisateur avec la CLI CloudHSM
<a name="cloudhsm_cli-key-list"></a>

Utilisez la **key list** commande de la CLI CloudHSM pour rechercher toutes les clés de l'utilisateur actuel présent AWS CloudHSM dans votre cluster. La sortie inclut les clés que l'utilisateur possède et partage, ainsi que toutes les clés publiques des HSM dans le cluster CloudHSM.

## Type utilisateur
<a name="chsm-cli-key-list-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Administrateurs () COs
+ Utilisateurs de cryptomonnaies (CUs)

## Syntaxe
<a name="chsm-cli-key-list-syntax"></a>

```
aws-cloudhsm > help key list
List the keys the current user owns, shares, and all public keys in the HSM cluster

Usage: key list [OPTIONS]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key(s) to list
      --max-items <MAX_ITEMS>
          The total number of items to return in the command's output. If the total number of items available is more than the value specified, a next-token is provided in the command's output. To resume pagination, provide the next-token value in the starting-token argument of a subsequent command [default: 10]
      --starting-token <STARTING_TOKEN>
          A token to specify where to start paginating. This is the next-token from a previously truncated response
  -v, --verbose
          If included, prints all attributes and key information for each matched key. By default each matched key only displays its key-reference and label attribute. This flag when used by Admins has no effect
  -h, --help
          Print help
```

## Exemples
<a name="chsm-cli-key-list-examples"></a>

Les exemples suivants montrent les différentes manières d'exécuter la commande **key list**. Les exemples suivants montrent les sorties en tant qu'utilisateur cryptographique.

**Example Exemple : Rechercher toutes les clés — valeur par défaut**  
Cette commande répertorie les clés de l'utilisateur connecté présent dans le AWS CloudHSM cluster.  
Par défaut, seules 10 touches de l'utilisateur actuellement connecté sont affichées, et seules les touches `key-reference` et `label` sont affichées en sortie. Utilisez les options de pagination appropriées pour afficher plus ou moins de clés en sortie.

```
aws-cloudhsm > key list
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x00000000000003d5",
        "attributes": {
          "label": "test_label_1"
        }
      },
      {
        "key-reference": "0x0000000000000626",
        "attributes": {
          "label": "test_label_2"
        }
      },.
      ...8 keys later...
    ],
    "total_key_count": 56,
    "returned_key_count": 10,
    "next_token": "10"
  }
}
```

**Example Exemple : Rechercher toutes les clés — détaillé**  
La sortie inclut les clés que l'utilisateur possède et partage, ainsi que toutes les clés publiques du HSMs.  
Remarque : Par défaut, seules 10 clés de l'utilisateur actuellement connecté sont affichées. Utilisez les options de pagination appropriées pour afficher plus ou moins de clés en sortie.

```
aws-cloudhsm > key list --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x000000000012000c",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "ec",
          "label": "ec-test-private-key",
          "id": "",
          "check-value": "0x2a737d",
          "class": "private-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": false,
          "verify": false,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 122,
          "ec-point": "0x0442d53274a6c0ec1a23c165dcb9ccdd72c64e98ae1a9594bb5284e752c746280667e11f1e983493c1c605e0a8071ede47ca280f94c6b2aa33",
          "curve": "secp224r1"
        }
      },
      {
        "key-reference": "0x000000000012000d",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "ec",
          "label": "ec-test-public-key",
          "id": "",
          "check-value": "0x2a737d",
          "class": "public-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": false,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": false,
          "sign": false,
          "trusted": false,
          "unwrap": false,
          "verify": false,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 57,
          "ec-point": "0x0442d53274a6c0ec1a23c165dcb9ccdd72c64e98ae1a9594bb5284e752c746280667e11f1e983493c1c605e0a8071ede47ca280f94c6b2aa33",
          "curve": "secp224r1"
        }
      }
    ],
      ...8 keys later...
    "total_key_count": 1580,
    "returned_key_count": 10
  }
}
```

**Example Exemple : retour paginé**  
L'exemple suivant affiche un sous-ensemble paginé des clés qui ne montre que deux clés. L'exemple fournit ensuite un appel suivant pour afficher les deux touches suivantes.  

```
aws-cloudhsm > key list --verbose --max-items 2
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000030",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "98a6688d1d964ed7b45b9cec5c4b1909",
          "id": "",
          "check-value": "0xb28a46",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      },
      {
        "key-reference": "0x0000000000000042",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "4ad6cdcbc02044e09fa954143efde233",
          "id": "",
          "check-value": "0xc98104",
          "class": "secret-key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": true,
          "verify": true,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 16
        }
      }
    ],
    "total_key_count": 1580,
    "returned_key_count": 2,
    "next_token": "2"
  }
}
```
Pour afficher les 2 touches suivantes, un appel suivant peut être effectué :  

```
aws-cloudhsm > key list --verbose --max-items 2 --starting-token 2
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000081",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "6793b8439d044046982e5b895791e47f",
          "id": "",
          "check-value": "0x3f986f",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      },
      {
        "key-reference": "0x0000000000000089",
        "key-info": {
          "key-owners": [
            {
              "username": "cu1",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "56b30fa05c6741faab8f606d3b7fe105",
          "id": "",
          "check-value": "0xe9201a",
          "class": "secret-key",
          "encrypt": false,
          "decrypt": false,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": true,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": true,
          "trusted": false,
          "unwrap": false,
          "verify": true,
          "wrap": false,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1580,
    "returned_key_count": 2,
    "next_token": "4"
  }
}
```
Pour d'autres exemples illustrant le fonctionnement du mécanisme de filtration des clés dans la CLI CloudHSM, consultez [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md).

## Arguments
<a name="key-list-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner les clés correspondantes à répertorier.  
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, voir [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : non

***<MAX\$1ITEMS>***  
Le nombre total d'éléments à renvoyer dans la sortie de la commande. Si le nombre total d'éléments disponibles est supérieur à la valeur spécifiée, un jeton NextToken est fourni dans la sortie de la commande. Pour reprendre la pagination, fournissez la valeur de next-token dans l'argument starting-token d'une commande suivante.  
Obligatoire : non

***<STARTING\$1TOKEN>***  
Jeton permettant de spécifier où commencer la pagination. Il s'agit du jeton next-token d'une réponse tronquée précédemment.  
Obligatoire : non

***<VERBOSE>***  
Le cas échéant, imprime tous les attributs et informations clés pour chaque clé correspondante. Par défaut, chaque clé correspondante affiche uniquement sa référence de clé et son attribut d'étiquette. Cet indicateur n'a aucun effet lorsqu'il est utilisé par les administrateurs.  
Obligatoire : non

## Rubriques en relation
<a name="chsm-key-list-seealso"></a>
+ [Supprimer une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-delete.md)
+ [Exporter une clé asymétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-file.md)
+ [Annuler le partage d'une clé à l'aide de la CLI CloudHSM](cloudhsm_cli-key-unshare.md)
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)

# Répliquer une clé à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-replicate"></a>

Utilisez la **key replicate** commande de la CLI CloudHSM pour répliquer une clé d'un cluster source vers AWS CloudHSM un cluster de destination. AWS CloudHSM 

## Type utilisateur
<a name="chsm-cli-key-replicate-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Administrateurs () COs
+ Utilisateurs de cryptomonnaies (CUs)
**Note**  
Les utilisateurs de cryptomonnaies doivent posséder la clé pour utiliser cette commande.

## Exigences
<a name="cloudhsm_cli-key-replicate-requirements"></a>
+ Les clusters source et de destination doivent être des clones. Cela signifie que l'un a été créé à partir d'une sauvegarde de l'autre, ou qu'ils ont tous deux été créés à partir d'une sauvegarde commune. Pour plus d’informations, consultez [Création de clusters à partir de sauvegardes](create-cluster-from-backup.md).
+ Le propriétaire de la clé doit exister sur le cluster de destination. En outre, si la clé est partagée avec des utilisateurs, ceux-ci doivent également exister sur le cluster de destination.
+ Pour exécuter cette commande, vous devez être connecté en tant qu'utilisateur cryptographique ou administrateur sur les clusters source et de destination.
  +  En mode commande unique, la commande utilisera les variables d'environnement CLOUDHSM\$1PIN et CLOUDHSM\$1ROLE pour s'authentifier sur le cluster source. Pour plus d’informations, consultez [Mode commande unique](cloudhsm_cli-modes.md#cloudhsm_cli-mode-single-command). Pour fournir des informations d'identification pour le cluster de destination, vous devez définir deux variables environnementales supplémentaires : DESTINATION\$1CLOUDHSM\$1PIN et DESTINATION\$1CLOUDHSM\$1ROLE :

    ```
    $ export DESTINATION_CLOUDHSM_ROLE=<role>
    ```

    ```
    $ export DESTINATION_CLOUDHSM_PIN=<username:password>
    ```
  +  En mode interactif, les utilisateurs devront se connecter explicitement aux clusters source et de destination.

## Syntaxe
<a name="chsm-cli-key-replicate-syntax"></a>

```
aws-cloudhsm > help key replicate
Replicate a key from a source to a destination cluster

Usage: key replicate --filter [<FILTER>...] --source-cluster-id <SOURCE_CLUSTER_ID> --destination-cluster-id <DESTINATION_CLUSTER_ID>

Options:
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key on the source cluster
      --source-cluster-id <SOURCE_CLUSTER_ID>
          Source cluster ID
      --destination-cluster-id <DESTINATION_CLUSTER_ID>
          Destination cluster ID
  -h, --help
          Print help
```

## Exemples
<a name="chsm-cli-key-replicate-examples"></a>

**Example Exemple : clé de réplication**  
Cette commande réplique une clé d'un cluster source vers un cluster de destination cloné. L'exemple ci-dessous illustre le résultat lorsque vous êtes connecté en tant qu'utilisateur cryptographique sur les deux clusters.  

```
crypto-user-1@cluster-1234abcdefg > key replicate \
      --filter attr.label=example-key \
      --source-cluster-id cluster-1234abcdefg \
      --destination-cluster-id cluster-2345bcdefgh
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x0000000000300006",
      "key-info": {
        "key-owners": [
          {
            "username": "crypto-user-1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "example-key",
        "id": "0x",
        "check-value": "0x5e118e",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": true,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": true,
        "modifiable": true,
        "never-extractable": true,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    },
    "message": "Successfully replicated key"
  }
}
```

## Arguments
<a name="key-replicate-arguments"></a>

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante sur le cluster source.  
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, voir [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : oui

***<SOURCE\$1CLUSTER\$1ID>***  
ID du cluster source.  
Obligatoire : oui

***<DESTINATION\$1CLUSTER\$1ID>***  
L'ID du cluster de destination.  
Obligatoire : oui

## Rubriques en relation
<a name="chsm-key-replicate-seealso"></a>
+ [Connexion à plusieurs clusters à l'aide de la CLI CloudHSM](cloudhsm_cli-configs-multi-cluster.md)

# Définissez les attributs des clés à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-set-attribute"></a>

Utilisez la **key set-attribute** commande de la CLI CloudHSM pour définir les attributs des clés AWS CloudHSM dans votre cluster. Seul le CU qui a créé la clé et qui en est donc propriétaire peut modifier les attributs de la clé.

Pour obtenir la liste des attributs clés qui peuvent être utilisés dans la CLI CloudHSM, consultez. [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)

## Type utilisateur
<a name="chsm-cli-key-set-attribute-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Les utilisateurs de cryptomonnaies (CUs) peuvent exécuter cette commande.
+ Les administrateurs peuvent définir l'attribut de confiance.

## Exigences
<a name="chsm-cli-key-set-attribute-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU. Pour définir l'attribut sécurisé, vous devez être connecté en tant qu'utilisateur administrateur.

## Syntaxe
<a name="chsm-cli-key-set-attribute-syntax"></a>

```
aws-cloudhsm > help key set-attribute
Set an attribute for a key in the HSM cluster

Usage: cloudhsm-cli key set-attribute [OPTIONS] --filter [<FILTER>...] --name <KEY_ATTRIBUTE> --value <KEY_ATTRIBUTE_VALUE>

Options:
      --cluster-id <CLUSTER_ID>         Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]            Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key to modify
      --name <KEY_ATTRIBUTE>            Name of attribute to be set
      --value <KEY_ATTRIBUTE_VALUE>...  Attribute value to be set
      --approval <APPROVAL>            Filepath of signed quorum token file to approve operation
  -h, --help                            Print help
```

## Exemple : définition d'un attribut clé
<a name="chsm-cli-key-set-attribute-examples"></a>

L'exemple suivant montre comment utiliser la commande **key set-attribute** pour définir l'étiquette.

**Example**  

1. Utilisez la clé avec l'étiquette `my_key`, comme indiqué ici :

   ```
   aws-cloudhsm > key set-attribute --filter attr.label=my_key --name encrypt --value false
   {
     "error_code": 0,
     "data": {
       "message": "Attribute set successfully"
     }
   }
   ```

1. Utilisez la commande **key list** pour confirmer que l'attribut `encrypt` a changé :

   ```
   aws-cloudhsm > key list --filter attr.label=my_key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000006400ec",
           "key-info": {
             "key-owners": [
               {
                 "username": "bob",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [],
           "key-quorum-values": {
             "manage-key-quorum-value": 0,
             "use-key-quorum-value": 0
           },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "aes",
             "label": "my_key",
             "id": "",
             "check-value": "0x6bd9f7",
             "class": "secret-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": true,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": true,
             "unwrap": true,
             "verify": true,
             "wrap": true,
             "wrap-with-trusted": false,
             "key-length-bytes": 32
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

## Arguments
<a name="chsm-cli-key-set-attribute-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<KEY\$1ATTRIBUTE>***  
Spécifie le nom de l'attribut de la clé.  
Obligatoire : oui

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante à supprimer.  
Pour obtenir la liste des attributs clés de la CLI CloudHSM pris en charge, voir [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : non

***<KEY\$1ATTRIBUTE\$1VALUE>***  
Spécifie la valeur de l'attribut de la clé.  
Obligatoire : oui

***<KEY\$1REFERENCE>***  
Représentation hexadécimale ou décimale de la clé (comme un handle de clé).  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé est supérieure à 1.

## Rubriques en relation
<a name="chsm-cli-key-set-attribute-see-also"></a>
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)

# Partager une clé à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-share"></a>

Utilisez la **key share** commande de la CLI CloudHSM pour partager une clé CUs avec d'autres AWS CloudHSM membres de votre cluster.

Seul le CU qui a créé la clé et qui en est donc propriétaire peut partager la clé. Les utilisateurs avec lesquels la clé est partagée peuvent utiliser la clé dans des opérations de chiffrement, mais ils ne peuvent pas l'exporter, la supprimer ni la partager ou annuler son partage avec d'autres utilisateurs. De plus, ces utilisateurs ne peuvent pas modifier les [attributs de clé](cloudhsm_cli-key-attributes.md).

## Type utilisateur
<a name="chsm-cli-key-share-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="chsm-cli-key-share-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="chsm-cli-key-share-syntax"></a>

```
aws-cloudhsm > help key share
Share a key in the HSM cluster with another user

Usage: key share --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for sharing

      --username <USERNAME>
          A username with which the key will be shared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

  -h, --help
          Print help (see a summary with '-h')
```

## Exemple : partager une clé avec un autre CU
<a name="chsm-cli-key-share-examples"></a>

L'exemple suivant montre comment utiliser la commande **key share** pour partager une clé avec le CU `alice`.

**Example**  

1. Exécutez la commande **key share** pour partager la clé avec `alice`.

   ```
   aws-cloudhsm > key share --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
   {
     "error_code": 0,
     "data": {
       "message": "Key shared successfully"
     }
   }
   ```

1. Exécutez la commande **key list**.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
               {
                 "username": "alice",
                 "key-coverage": "full"
               }
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "0xa8855cba933cec0c21a4df0450ec31675c024f3e65b2b215a53d2bda6dcd191f75729150b59b4d86df58254c8f518f7d000cc04d8e958e7502c7c33098e28da4d94378ef34fb57d1cc7e042d9119bd79be0df728421a980a397095157da24cf3cc2b6dab12225d33fdca11f0c6ed1a5127f12488cda9a556814b39b06cd8373ff5d371db2212887853621b8510faa7b0779fbdec447e1f1d19f343acb02b22526487a31f6c704f8f003cb4f7013136f90cc17c2c20e414dc1fc7bcfb392d59c767900319679fc3307388633485657ce2e1a3deab0f985b0747ef4ed339de78147d1985d14fdd8634219321e49e3f5715e79c298f18658504bab04086bfbdcd3b",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. Dans la liste ci-dessus, vérifiez que `alice` se trouve dans la liste des `shared-users`

## Arguments
<a name="chsm-cli-key-share-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante à supprimer.  
Pour obtenir la liste des attributs de clés pris en charge, consultez .[Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : oui

***<USERNAME>***  
Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( \$1 ). Le nom d'utilisateur n’est pas sensible à la casse dans cette commande, il est toujours affiché en minuscules.  
Obligatoire : oui

***<ROLE>***  
Spécifie le rôle attribué à cet utilisateur. Ce paramètre est obligatoire. Pour obtenir le rôle de l'utilisateur, utilisez la commande user list. Pour plus d'informations sur les types d'utilisateur sur un HSM, consultez [Types d'utilisateurs HSM pour la CLI CloudHSM](understanding-users.md).  
Obligatoire : oui

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé est supérieure à 1.

## Rubriques en relation
<a name="chsm-cli-key-share-see-also"></a>
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)

# Annuler le partage d'une clé à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unshare"></a>

Utilisez la **key unshare** commande de la CLI CloudHSM pour annuler le partage d'une clé CUs avec d'autres membres de votre cluster. AWS CloudHSM 

Seul le CU qui a créé la clé et qui en est donc propriétaire peut annuler le partage de la clé. Les utilisateurs avec lesquels la clé est partagée peuvent utiliser la clé dans des opérations de chiffrement, mais ils ne peuvent pas l'exporter, la supprimer ni la partager ou annuler son partage avec d'autres utilisateurs. De plus, ces utilisateurs ne peuvent pas modifier les [attributs de clé](cloudhsm_cli-key-attributes.md).

## Type utilisateur
<a name="chsm-cli-key-unshare-user-type"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="chsm-cli-key-unshare-requirements"></a>

Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="chsm-cli-key-unshare-syntax"></a>

```
aws-cloudhsm > help key unshare
Unshare a key in the HSM cluster with another user

Usage: key unshare --filter [<FILTER>...] --username <USERNAME> --role <ROLE>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error

      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for unsharing

      --username <USERNAME>
          A username with which the key will be unshared

      --role <ROLE>
          Role the user has in the cluster

          Possible values:
          - crypto-user: A CryptoUser has the ability to manage and use keys
          - admin:       An Admin has the ability to manage user accounts

      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation

  -h, --help
          Print help (see a summary with '-h')
```

## Exemple : annuler le partage d'une clé avec un autre CU
<a name="chsm-cli-key-share-examples"></a>

L'exemple suivant montre comment utiliser la commande **key unshare** pour annuler le partage d'une clé avec le CU`alice`.

**Example**  

1. Exécutez la commande **key list** et filtrez en fonction de la touche spécifique avec laquelle vous souhaitez annuler le partage avec `alice`.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
               {
                 "username": "alice",
                 "key-coverage": "full"
               }
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "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",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. Confirmez que `alice` se trouve dans la sortie `shared-users` et exécutez la commande **key unshare** suivante pour annuler le partage de la clé avec `alice`.

   ```
   aws-cloudhsm > key unshare --filter attr.label="rsa_key_to_share" attr.class=private-key --username alice --role crypto-user
   {
     "error_code": 0,
     "data": {
       "message": "Key unshared successfully"
     }
   }
   ```

1. Exécutez à nouveau la commande `key list` pour confirmer que la clé n'a pas été partagée avec `alice`.

   ```
   aws-cloudhsm > key list --filter attr.label="rsa_key_to_share" attr.class=private-key --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x00000000001c0686",
           "key-info": {
             "key-owners": [
               {
                 "username": "cu3",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [
               {
                 "username": "cu2",
                 "key-coverage": "full"
               },
               {
                 "username": "cu1",
                 "key-coverage": "full"
               },
               {
                 "username": "cu4",
                 "key-coverage": "full"
               },
               {
                 "username": "cu5",
                 "key-coverage": "full"
               },
               {
                 "username": "cu6",
                 "key-coverage": "full"
               },
               {
                 "username": "cu7",
                 "key-coverage": "full"
               },
             ],
             "key-quorum-values": {
               "manage-key-quorum-value": 0,
               "use-key-quorum-value": 0
             },
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "rsa",
             "label": "rsa_key_to_share",
             "id": "",
             "check-value": "0xae8ff0",
             "class": "private-key",
             "encrypt": false,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": true,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": true,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": false,
             "wrap-with-trusted": false,
             "key-length-bytes": 1219,
             "public-exponent": "0x010001",
             "modulus": "0xa8855cba933cec0c21a4df0450ec31675c024f3e65b2b215a53d2bda6dcd191f75729150b59b4d86df58254c8f518f7d000cc04d8e958e7502c7c33098e28da4d94378ef34fb57d1cc7e042d9119bd79be0df728421a980a397095157da24cf3cc2b6dab12225d33fdca11f0c6ed1a5127f12488cda9a556814b39b06cd8373ff5d371db2212887853621b8510faa7b0779fbdec447e1f1d19f343acb02b22526487a31f6c704f8f003cb4f7013136f90cc17c2c20e414dc1fc7bcfb392d59c767900319679fc3307388633485657ce2e1a3deab0f985b0747ef4ed339de78147d1985d14fdd8634219321e49e3f5715e79c298f18658504bab04086bfbdcd3b",
             "modulus-size-bits": 2048
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

## Arguments
<a name="chsm-cli-key-unshare-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé correspondante à supprimer.  
Pour obtenir la liste des attributs de clés pris en charge, consultez .[Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)  
Obligatoire : oui

***<USERNAME>***  
Spécifie un nom convivial pour l'utilisateur. La longueur maximale est de 31 caractères. Le seul caractère spécial autorisé est un trait de soulignement ( \$1 ). Le nom d'utilisateur n’est pas sensible à la casse dans cette commande, il est toujours affiché en minuscules.  
Obligatoire : oui

***<ROLE>***  
Spécifie le rôle attribué à cet utilisateur. Ce paramètre est obligatoire. Pour obtenir le rôle de l'utilisateur, utilisez la commande user list. Pour plus d'informations sur les types d'utilisateur sur un HSM, consultez [Types d'utilisateurs HSM pour la CLI CloudHSM](understanding-users.md).  
Obligatoire : oui

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé est supérieure à 1.

## Rubriques en relation
<a name="chsm-cli-key-unshare-see-also"></a>
+ [Clés de filtrage à l'aide de la CLI CloudHSM](manage-keys-cloudhsm-cli-filtering.md)
+ [Attributs de clé de la CLI CloudHSM](cloudhsm_cli-key-attributes.md)

# La commande key unwrap dans la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap"></a>

La commande **key unwrap** parent de la CLI CloudHSM importe une clé privée cryptée (encapsulée) symétrique ou asymétrique d'un fichier vers le HSM. Cette commande est conçue pour importer des clés chiffrées qui ont été encapsulées par la [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md) commande, mais elle peut également être utilisée pour désencapsuler des clés encapsulées avec d'autres outils. Toutefois, dans ces cas, nous vous recommandons d'utiliser les bibliothèques de logiciels PKCS \$1 11 ou JCE pour désencapsuler la clé.
+ [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md)
+ [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md)
+ [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md)
+ [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md)
+ [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md)
+ [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md)
+ [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md)
+ [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md)

# Désencapsuler une clé avec AES-GCM à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-gcm"></a>

Utilisez la **key unwrap aes-gcm** commande de la CLI CloudHSM pour désencapsuler une clé de charge utile dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. `AES-GCM`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser la **key unwrap aes-gcm** commande, vous devez disposer de la clé d'encapsulation AES dans votre AWS CloudHSM cluster et son `unwrap` attribut doit être défini sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-aes-gcm-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-aes-gcm-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-gcm
Usage: key unwrap aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> --iv <IV> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --iv <IV>
          Initial value used to wrap the key, in hex
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-unwrap-aes-gcm-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap aes-gcm** commande à l'aide d'une clé AES avec la valeur `unwrap` d'attribut définie sur`true`.

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data xvslgrtg8kHzrvekny97tLSIeokpPwV8
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : désencapsuler une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --iv 0xf90613bb8e337ec0339aad21 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e4",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à utiliser pour déballer.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour la clé encapsulée.  
Obligatoire : non

***<AAD>***  
En tant que valeur de données authentifiées supplémentaires (AAD) GCM, en hexadécimal.  
Obligatoire : non

***<TAG\$1LENGTH\$1BITS>***  
Longueur de la balise Aes GCM en bits.  
Obligatoire : oui

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<IV>***  
Valeur initiale utilisée pour envelopper la clé, en hexadécimal.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-aes-gcm-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Désencapsuler une clé à l' AES-NO-PADaide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-no-pad"></a>

Utilisez la **key unwrap aes-no-pad** commande de la CLI CloudHSM pour désencapsuler une clé de charge utile AWS CloudHSM dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. `AES-NO-PAD`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser la **key unwrap aes-no-pad** commande, vous devez disposer de la clé d'encapsulation AES dans votre AWS CloudHSM cluster et son `unwrap` attribut doit être défini sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-no-pad
Usage: key unwrap aes-no-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap aes-no-pad** commande à l'aide d'une clé AES avec la valeur `unwrap` d'attribut définie sur`true`.

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data eXK3PMAOnKM9y3YX6brbhtMoC060EOH9
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ec",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : désencapsuler une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap aes-no-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ec",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à utiliser pour le déballage.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour la clé encapsulée.  
Obligatoire : non

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-aes-no-pad-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Désencapsuler une clé avec AES- PKCS5 -PAD à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad"></a>

Utilisez la **key unwrap aes-pkcs5-pad** commande de la CLI CloudHSM pour déballer une clé de charge utile à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. `AES-PKCS5-PAD`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser la **key unwrap aes-pkcs5-pad** commande, vous devez disposer de la clé d'encapsulation AES dans votre AWS CloudHSM cluster et son `unwrap` attribut doit être défini sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-pkcs5-pad
Usage: key unwrap aes-pkcs5-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap aes-pkcs5-pad** commande à l'aide d'une clé AES avec la valeur `unwrap` d'attribut définie sur`true`.

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY=
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : désencapsuler une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap aes-pkcs5-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e3",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à utiliser pour le déballage.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour la clé encapsulée.  
Obligatoire : non

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-aes-pkcs5-pad-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Désencapsuler une clé à l' AES-ZERO-PADaide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad"></a>

Utilisez la **key unwrap aes-zero-pad** commande de la CLI CloudHSM pour désencapsuler une clé de charge utile AWS CloudHSM dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. `AES-ZERO-PAD`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser la **key unwrap aes-no-pad** commande, vous devez disposer de la clé d'encapsulation AES dans votre AWS CloudHSM cluster et son `unwrap` attribut doit être défini sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-syntax"></a>

```
aws-cloudhsm > help key unwrap aes-zero-pad
Usage: key unwrap aes-zero-pad [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap aes-zero-pad** commande à l'aide d'une clé AES avec la valeur `unwrap` d'attribut définie sur`true`.

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : désencapsuler une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap aes-zero-pad --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08e7",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à utiliser pour le déballage.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour la clé encapsulée.  
Obligatoire : non

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-aes-zero-pad-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Désencapsuler une clé à l' CLOUDHSM-AES-GCMaide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm"></a>

Utilisez la **key unwrap cloudhsm-aes-gcm** commande de la CLI CloudHSM pour désencapsuler une clé de charge utile AWS CloudHSM dans le cluster à l'aide de la clé d'encapsulation AES et du mécanisme de déballage. `CLOUDHSM-AES-GCM`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser la **key unwrap cloudhsm-aes-gcm** commande, vous devez disposer de la clé d'encapsulation AES dans votre AWS CloudHSM cluster et son `unwrap` attribut doit être défini sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key unwrap cloudhsm-aes-gcm
Usage: key unwrap cloudhsm-aes-gcm [OPTIONS] --filter [<FILTER>...] --tag-length-bits <TAG_LENGTH_BITS> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap cloudhsm-aes-gcm** commande à l'aide d'une clé AES avec la valeur `unwrap` d'attribut définie sur`true`.

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap cloudhsm-aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --data 6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001408e8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : déballer une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap cloudhsm-aes-gcm --key-type-class aes --label aes-unwrapped --filter attr.label=aes-example --tag-length-bits 64  --aad 0x10 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001408e8",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à déballer.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` d'une clé encapsulée.  
Obligatoire : non

***<AAD>***  
En tant que valeur de données authentifiées supplémentaires (AAD) GCM, en hexadécimal.  
Obligatoire : non

***<TAG\$1LENGTH\$1BITS>***  
Longueur de la balise Aes GCM en bits.  
Obligatoire : oui

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Désencapsuler une clé avec RSA-AES à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-rsa-aes"></a>

Utilisez la **key unwrap rsa-aes** commande de la CLI CloudHSM pour déballer une clé de charge utile à l'aide d'une clé privée RSA et du mécanisme de déballage. `RSA-AES`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser le**key unwrap rsa-aes**, vous devez disposer de la clé privée RSA de la clé d'encapsulation publique RSA dans votre AWS CloudHSM cluster, et son `unwrap` attribut doit être défini sur. `true` 

**Note**  
Cette commande est uniquement disponible avec la CLI CloudHSM 5.11\$1.

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-rsa-aes-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-rsa-aes-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-aes
Usage: key unwrap rsa-aes [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-unwrap-rsa-aes-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap rsa-aes** commande à l'aide de la clé privée RSA avec la valeur `unwrap` d'attribut définie sur. `true`

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg==
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e2",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : désencapsuler une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap rsa-aes --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e2",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à déballer.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour la clé encapsulée.  
Obligatoire : non

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<HASH\$1FUNCTION>***  
Spécifie la fonction de hachage.  
Valeurs valides :  
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui

***<MGF>***  
Spécifie la fonction de génération de masques.   
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides :  
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-rsa-aes-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Désencapsuler une clé avec RSA-OAEP à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-rsa-oaep"></a>

Utilisez la **key unwrap rsa-oaep** commande de la CLI CloudHSM pour déballer une clé de charge utile à l'aide de la clé privée RSA et du mécanisme de déballage. `RSA-OAEP`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser la **key unwrap rsa-oaep** commande, vous devez disposer de la clé privée RSA de la clé d'encapsulation publique RSA dans votre AWS CloudHSM cluster, et son `unwrap` attribut doit être défini sur. `true`

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-oaep
Usage: key unwrap rsa-oaep [OPTIONS] --filter [<FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF> --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap rsa-oaep** commande à l'aide de la clé privée RSA avec la valeur `unwrap` d'attribut définie sur. `true`

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw==
{
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : déballer une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap rsa-oaep --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-example-key --hash-function sha256 --mgf mgf1-sha256 --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001808e9",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à utiliser pour déballer.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` d'une clé encapsulée.  
Obligatoire : non

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<HASH\$1FUNCTION>***  
Spécifie la fonction de hachage.  
Valeurs valides :  
+ sha1
+ sha224
+ sha256
+ sha384
+ sha512
Obligatoire : oui

***<MGF>***  
Spécifie la fonction de génération de masques.   
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides :  
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-rsa-oaep-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Désencapsuler une clé avec RSA-PKCS à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs"></a>

Utilisez la **key unwrap rsa-pkcs** commande de la CLI CloudHSM pour déballer une clé de charge utile à l'aide de la clé privée RSA et du mécanisme de déballage. `RSA-PKCS`

Les clés non emballées peuvent être utilisées de la même manière que les clés générées par AWS CloudHSM. Pour indiquer qu'ils n'ont pas été générés localement, leur `local` attribut est défini sur`false`.

Pour utiliser le **unwrap rsa-pkcs** raccourci clavier, vous devez disposer de la clé privée RSA de la clé d'encapsulation publique RSA dans votre AWS CloudHSM cluster, et son `unwrap` attribut doit être défini sur. `true`

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-syntax"></a>

```
aws-cloudhsm > help key unwrap rsa-pkcs
Usage: key unwrap rsa-pkcs [OPTIONS] --filter [<FILTER>...] --key-type-class <KEY_TYPE_CLASS> --label <LABEL> <--data-path <DATA_PATH>|--data <DATA>>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --filter [<FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a key to unwrap with
      --data-path <DATA_PATH>
          Path to the binary file containing the wrapped key data
      --data <DATA>
          Base64 encoded wrapped key data
      --attributes [<UNWRAPPED_KEY_ATTRIBUTES>...]
          Space separated list of key attributes in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE for the unwrapped key
      --share-crypto-users [<SHARE_CRYPTO_USERS;...]
          Space separated list of Crypto User usernames to share the unwrapped key with
      --manage-key-quorum-value <MANAGE_KEY_QUORUM_VALUE;
          The quorum value for key management operations for the unwrapped key
      --use-key-quorum-value <USE_KEY_QUORUM_VALUE;
          The quorum value for key usage operations for the unwrapped key
      --key-type-class <KEY_TYPE_CLASS>
          Key type and class of wrapped key [possible values: aes, des3, ec-private, generic-secret, rsa-private]
      --label <LABEL>
          Label for the unwrapped key
      --session
          Creates a session key that exists only in the current session. The key cannot be recovered after the session ends
      --approval <APPROVAL>
          Filepath of signed quorum token file to approve operation
  -h, --help
          Print help
```

## Exemples
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-examples"></a>

Ces exemples montrent comment utiliser la **key unwrap rsa-oaep** commande à l'aide d'une clé AES avec la valeur `unwrap` d'attribut définie sur`true`.

**Example Exemple : désencapsuler une clé de charge utile à partir de données clés encapsulées codées en Base64**  

```
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg==
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ef",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

**Example Exemple : désencapsuler une clé de charge utile fournie via un chemin de données**  

```
aws-cloudhsm > key unwrap rsa-pkcs --key-type-class aes --label aes-unwrapped --filter attr.label=rsa-private-key-example --data-path payload-key.pem
{
  "error_code": 0,
  "data": {
    "key": {
      "key-reference": "0x00000000001c08ef",
      "key-info": {
        "key-owners": [
          {
            "username": "cu1",
            "key-coverage": "full"
          }
        ],
        "shared-users": [],
        "key-quorum-values": {
          "manage-key-quorum-value": 0,
          "use-key-quorum-value": 0
        },
        "cluster-coverage": "full"
      },
      "attributes": {
        "key-type": "aes",
        "label": "aes-unwrapped",
        "id": "0x",
        "check-value": "0x8d9099",
        "class": "secret-key",
        "encrypt": false,
        "decrypt": false,
        "token": true,
        "always-sensitive": false,
        "derive": false,
        "destroyable": true,
        "extractable": true,
        "local": false,
        "modifiable": true,
        "never-extractable": false,
        "private": true,
        "sensitive": true,
        "sign": true,
        "trusted": false,
        "unwrap": false,
        "verify": true,
        "wrap": false,
        "wrap-with-trusted": false,
        "key-length-bytes": 16
      }
    }
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé à utiliser pour le déballage.  
Obligatoire : oui

***<DATA\$1PATH>***  
Chemin d'accès au fichier binaire contenant les données clés encapsulées.  
Obligatoire : Oui (sauf si fourni via des données codées en Base64)

***<DATA>***  
Données clés encapsulées codées en Base64.  
Obligatoire : Oui (sauf indication contraire via le chemin de données)

***<ATTRIBUTES>***  
Liste d'attributs clés séparés par des espaces sous la forme de `KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour la clé encapsulée.  
Obligatoire : non

***<KEY\$1TYPE\$1CLASS>***  
Type de clé et classe de clé encapsulée [valeurs possibles :`aes`,`des3`,`ec-private`,`generic-secret`,`rsa-private`].  
Obligatoire : oui

***<LABEL>***  
Étiquette pour la clé déballée.  
Obligatoire : oui

***<SESSION>***  
Crée une clé de session qui n'existe que dans la session en cours. La clé ne peut pas être récupérée une fois la session terminée.  
Obligatoire : non

***<APPROVAL>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération. Obligatoire uniquement si la valeur de quorum du service de gestion des clés de la clé de déballage est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-rsa-pkcs-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# La commande key wrap dans la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap"></a>

La **key wrap** commande de la CLI CloudHSM exporte une copie chiffrée d'une clé privée symétrique ou asymétrique depuis le module de sécurité matérielle (HSM) vers un fichier. Lorsque vous exécutez**key wrap**, vous spécifiez deux éléments : la clé à exporter et le fichier de sortie. La clé à exporter est une clé du HSM qui cryptera (encapsulera) la clé que vous souhaitez exporter.

La **key wrap** commande ne supprime pas la clé du HSM et ne vous empêche pas de l'utiliser dans des opérations cryptographiques. Vous pouvez exporter la même clé plusieurs fois. Pour réimporter la clé chiffrée dans le HSM, utilisez[La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md). Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs avec lesquels la clé est partagée ne peuvent l'utiliser que dans le cadre d'opérations cryptographiques.

La **key wrap** commande comprend les sous-commandes suivantes :
+ [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md)
+ [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md)
+ [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md)
+ [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md)
+ [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md)
+ [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md)
+ [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md)
+ [rsa-pkcs](cloudhsm_cli-key-wrap-rsa-pkcs.md)

# Enveloppez une clé avec AES-GCM à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-aes-gcm"></a>

Utilisez la **key wrap aes-gcm** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé AES sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `AES-GCM` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap aes-gcm** commande, vous devez d'abord disposer d'une clé AES dans votre AWS CloudHSM cluster. Vous pouvez générer une clé AES à encapsuler avec la [Génération d'une clé AES symétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) commande et l'`wrap`attribut définis sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-wrap-aes-gcm-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-wrap-aes-gcm-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-wrap-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap aes-gcm
Usage: key wrap aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-wrap-aes-gcm-examples"></a>

Cet exemple montre comment utiliser la **key wrap aes-gcm** commande à l'aide d'une touche AES.

**Example**  

```
aws-cloudhsm > key wrap aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64  --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "iv": "0xf90613bb8e337ec0339aad21",
    "wrapped_key_data": "xvslgrtg8kHzrvekny97tLSIeokpPwV8"
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-wrap-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<AAD>***  
Valeur des données authentifiées supplémentaires (AAD) AES GCM, en hexadécimal.   
Obligatoire : non

***<TAG\$1LENGTH\$1BITS>***  
Longueur de la balise AES GCM en bits.  
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-wrap-aes-gcm-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Enveloppez une clé à AES-NO-PAD l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-aes-no-pad"></a>

Utilisez la **key wrap aes-no-pad** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé AES sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `AES-NO-PAD` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap aes-no-pad** commande, vous devez d'abord disposer d'une clé AES dans votre AWS CloudHSM cluster. Vous pouvez générer une clé AES pour l'encapsulage à l'aide de la [Génération d'une clé AES symétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) commande et de l'`wrap`attribut définis sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-wrap-aes-no-pad-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-wrap-aes-no-pad-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-wrap-aes-no-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-no-pad
Usage: key wrap aes-no-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-wrap-aes-no-pad-examples"></a>

Cet exemple montre comment utiliser la **key wrap aes-no-pad** commande à l'aide d'une clé AES avec la valeur `wrap` d'attribut définie sur`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-no-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "eXK3PMAOnKM9y3YX6brbhtMoC060EOH9"
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-wrap-aes-no-pad-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-wrap-aes-no-pad-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Enveloppez une clé avec AES- PKCS5 -PAD à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad"></a>

Utilisez la **key wrap aes-pkcs5-pad** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé AES sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `AES-PKCS5-PAD` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap aes-pkcs5-pad** commande, vous devez d'abord disposer d'une clé AES dans votre AWS CloudHSM cluster. Vous pouvez générer une clé AES pour l'encapsulage à l'aide de la [Génération d'une clé AES symétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) commande et de l'`wrap`attribut définis sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-pkcs5-pad
Usage: key wrap aes-pkcs5-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-examples"></a>

Cet exemple montre comment utiliser la **key wrap aes-pkcs5-pad** commande à l'aide d'une clé AES avec la valeur `wrap` d'attribut définie sur`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-pkcs5-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "MbuYNresfOKyGNnxKWen88nSfX+uUE/0qmGofSisicY="
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-wrap-aes-pkcs5-pad-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Enveloppez une clé à AES-ZERO-PAD l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-aes-zero-pad"></a>

Utilisez la **key wrap aes-zero-pad** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé AES sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `AES-ZERO-PAD` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap aes-zero-pad** commande, vous devez d'abord disposer d'une clé AES dans votre AWS CloudHSM cluster. Vous pouvez générer une clé AES pour l'encapsulage à l'aide de la [Génération d'une clé AES symétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) commande dont l'`wrap`attribut est défini sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-syntax"></a>

```
aws-cloudhsm > help key wrap aes-zero-pad
Usage: key wrap aes-zero-pad [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-examples"></a>

Cet exemple montre comment utiliser la **key wrap aes-zero-pad ** commande à l'aide d'une clé AES avec la valeur `wrap` d'attribut définie sur`true`.

**Example**  

```
aws-cloudhsm > key wrap aes-zero-pad --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "L1wVlL/YeBNVAw6Mpk3owFJZXBzDLONt"
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-wrap-aes-zero-pad-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Enveloppez une clé à CLOUDHSM-AES-GCM l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm"></a>

Utilisez la **key wrap cloudhsm-aes-gcm** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé AES sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `CLOUDHSM-AES-GCM` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap cloudhsm-aes-gcm** commande, vous devez d'abord disposer d'une clé AES dans votre AWS CloudHSM cluster. Vous pouvez générer une clé AES à encapsuler avec la [Génération d'une clé AES symétrique avec la CLI CloudHSM](cloudhsm_cli-key-generate-symmetric-aes.md) commande et l'`wrap`attribut définis sur`true`.

## Type utilisateur
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-syntax"></a>

```
aws-cloudhsm > help key wrap cloudhsm-aes-gcm
Usage: key wrap cloudhsm-aes-gcm [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --tag-length-bits <TAG_LENGTH_BITS>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --aad <AAD>
          Aes GCM Additional Authenticated Data (AAD) value, in hex
      --tag-length-bits <TAG_LENGTH_BITS>
          Aes GCM tag length in bits
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-examples"></a>

Cet exemple montre comment utiliser la **key wrap cloudhsm-aes-gcm** commande à l'aide d'une touche AES.

**Example**  

```
aws-cloudhsm > key wrap cloudhsm-aes-gcm --payload-filter attr.label=payload-key --wrapping-filter attr.label=aes-example --tag-length-bits 64 --aad 0x10
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000001c08ea",
    "wrapped_key_data": "6Rn8nkjEriDYlnP3P8nPkYQ8hplOEJ899zsrF+aTB0i/fIlZ"
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<AAD>***  
Valeur des données authentifiées supplémentaires (AAD) AES GCM, en hexadécimal.   
Obligatoire : non

***<TAG\$1LENGTH\$1BITS>***  
Longueur de la balise AES GCM en bits.  
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-wrap-cloudhsm-aes-gcm-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Enveloppez une clé avec RSA-AES à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-rsa-aes"></a>

Utilisez la **key wrap rsa-aes** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé publique RSA sur le module de sécurité matériel (HSM) et du mécanisme d'encapsulage RSA-AES. L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap rsa-aes** commande, vous devez d'abord disposer d'une clé RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une paire de clés RSA à l'aide de la [La generate-asymmetric-pair catégorie dans la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md) commande et de l'`wrap`attribut définis sur. `true`

## Type utilisateur
<a name="cloudhsm_cli-key-wrap-rsa-aes-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-wrap-rsa-aes-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-wrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-aes
Usage: key wrap rsa-aes [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-wrap-rsa-aes-examples"></a>

Cet exemple montre comment utiliser la **key wrap rsa-ae** commande à l'aide d'une clé publique RSA dont la valeur `wrap` d'attribut est définie sur. `true`

**Example**  

```
aws-cloudhsm > key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg=="
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-wrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<MGF>***  
Spécifie la fonction de génération de masques.  
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides  
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-wrap-rsa-aes-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Enveloppez une clé avec RSA-OAEP à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-rsa-oaep"></a>

Utilisez la **key wrap rsa-oaep** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé publique RSA sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `RSA-OAEP` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap rsa-oaep** commande, vous devez d'abord disposer d'une clé RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une paire de clés RSA à l'aide de la [La generate-asymmetric-pair catégorie dans la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md) commande et de l'`wrap`attribut définis sur. `true`

## Type utilisateur
<a name="cloudhsm_cli-key-unwrap-rsa-aes-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-unwrap-rsa-aes-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-unwrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-oaep
Usage: key wrap rsa-oaep [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-unwrap-rsa-aes-examples"></a>

Cet exemple montre comment utiliser la **key wrap rsa-oaep** commande à l'aide d'une clé publique RSA dont la valeur `wrap` d'attribut est définie sur. `true`

**Example**  

```
aws-cloudhsm > key wrap rsa-oaep --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "OjJe4msobPLz9TuSAdULEu17T5rMDWtSlLyBSkLbaZnYzzpdrhsbGLbwZJCtB/jGkDNdB4qyTAOQwEpggGf6v+Yx6JcesNeKKNU8XZal/YBoHC8noTGUSDI2qr+u2tDc84NPv6d+F2KOONXsSxMhmxzzNG/gzTVIJhOuy/B1yHjGP4mOXoDZf5+7f5M1CjxBmz4Vva/wrWHGCSG0yOaWblEvOiHAIt3UBdyKmU+/My4xjfJv7WGGu3DFUUIZ06TihRtKQhUYU1M9u6NPf9riJJfHsk6QCuSZ9yWThDT9as6i7e3htnyDhIhGWaoK8JU855cN/YNKAUqkNpC4FPL3iw=="
  }
}
```

## Arguments
<a name="cloudhsm_cli-key-unwrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<MGF>***  
Spécifie la fonction de génération de masques.  
La fonction de hachage de la fonction de génération de masque doit correspondre à la fonction de hachage du mécanisme de signature.
Valeurs valides  
+ mgf1-sha1
+ mgf1-sha225
+ mgf1-sha255
+ mgf1-sha385
+ mgf1-sha512
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-unwrap-rsa-aes-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)

# Enveloppez une clé avec RSA-PKCS à l'aide de la CLI CloudHSM
<a name="cloudhsm_cli-key-wrap-rsa-pkcs"></a>

Utilisez la **key wrap rsa-pkcs** commande de la CLI CloudHSM pour encapsuler une clé de charge utile à l'aide d'une clé publique RSA sur le module de sécurité matériel (HSM) et le mécanisme d'encapsulation. `RSA-PKCS` L'`extractable`attribut de la clé de charge utile doit être défini sur. `true`

Seul le propriétaire d'une clé, c'est-à-dire l'utilisateur cryptographique (CU) qui a créé la clé, peut encapsuler la clé. Les utilisateurs qui partagent la clé peuvent l'utiliser dans des opérations cryptographiques.

Pour utiliser la **key wrap rsa-pkcs** commande, vous devez d'abord disposer d'une clé RSA dans votre AWS CloudHSM cluster. Vous pouvez générer une paire de clés RSA à l'aide de la [La generate-asymmetric-pair catégorie dans la CLI CloudHSM](cloudhsm_cli-key-generate-asymmetric-pair.md) commande et de l'`wrap`attribut définis sur. `true`

## Type utilisateur
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-userType"></a>

Les types d'utilisateur suivants peuvent exécuter cette commande.
+ Utilisateurs de cryptomonnaies (CUs)

## Exigences
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-requirements"></a>
+ Pour exécuter cette commande, vous devez être connecté en tant que CU.

## Syntaxe
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...]

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
  -h, --help
          Print help
```

## Exemple
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-examples"></a>

Cet exemple montre comment utiliser la **key wrap rsa-pkcs** commande à l'aide d'une clé publique RSA.

**Example**  

```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
  "error_code": 0,
  "data": {
    "payload_key_reference": "0x00000000001c08f1",
    "wrapping_key_reference": "0x00000000007008da",
    "wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
  }
```

## Arguments
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-arguments"></a>

***<CLUSTER\$1ID>***  
ID du cluster sur lequel exécuter cette opération.  
Obligatoire : si plusieurs clusters ont été [configurés.](cloudhsm_cli-configs-multi-cluster.md)

***<PAYLOAD\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste séparée par des espaces d'attributs clés sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé de charge utile.  
Obligatoire : oui

***<PATH>***  
Chemin d'accès au fichier binaire dans lequel les données clés encapsulées seront enregistrées.  
Obligatoire : non

***<WRAPPING\$1FILTER>***  
Référence clé (par exemple,`key-reference=0xabc`) ou liste d'attributs clés séparés par des espaces sous la forme de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` pour sélectionner une clé d'encapsulation.   
Obligatoire : oui

***<WRAPPING\$1APPROVALR>***  
Spécifie le chemin d'accès à un fichier de jeton de quorum signé pour approuver l'opération d'encapsulage de la clé. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé d'encapsulation est supérieure à 1.

***<PAYLOAD\$1APPROVALR>***  
Spécifie le chemin du fichier vers un fichier de jeton de quorum signé pour approuver le fonctionnement de la clé de charge utile. Obligatoire uniquement si la valeur du quorum du service de gestion des clés de la clé de charge utile est supérieure à 1.

## Rubriques en relation
<a name="cloudhsm_cli-key-wrap-rsa-pkcs-seealso"></a>
+ [La commande key wrap dans la CLI CloudHSM](cloudhsm_cli-key-wrap.md)
+ [La commande key unwrap dans la CLI CloudHSM](cloudhsm_cli-key-unwrap.md)