Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Ekspor AWS CloudHSM kunci menggunakan KMU
<a name="key_mgmt_util-wrapKey"></a>

Gunakan **wrapKey** perintah di AWS CloudHSM key\$1mgmt\$1util untuk mengekspor salinan kunci simetris atau pribadi terenkripsi dari modul keamanan perangkat keras (HSM) ke file. Ketika Anda menjalankan **wrapKey**, Anda menentukan kunci untuk ekspor, kunci pada HSM untuk mengenkripsi (membungkus) kunci yang ingin Anda ekspor, dan file output.

Perintah `wrapKey` menuliskan kunci dienkripsi ke file yang Anda tentukan, tetapi tidak menghapus kunci dari HSM atau mencegah Anda dari menggunakannya dalam operasi kriptografi. Anda dapat mengekspor kunci yang sama beberapa kali. 

Hanya pemilik kunci, yaitu pengguna kripto (CU) yang membuat kunci, dapat mengekspornya. Pengguna yang berbagi kunci dapat menggunakannya dalam operasi kriptografi, tetapi mereka tidak dapat mengekspornya.

Untuk mengimpor kunci terenkripsi kembali ke HSM, gunakan. [unWrapKey](key_mgmt_util-unwrapKey.md) Untuk mengekspor kunci plaintext dari HSM, gunakan [exSymKey](key_mgmt_util-exSymKey.md)atau [exportPrivateKey](key_mgmt_util-exportPrivateKey.md)sesuai kebutuhan. [aesWrapUnwrap](key_mgmt_util-aesWrapUnwrap.md)Perintah tidak dapat mendekripsi (membuka) kunci yang mengenkripsi. **wrapKey**

Sebelum Anda menjalankan perintah key\$1mgmt\$1util, Anda harus [memulai key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) dan [Masuk](key_mgmt_util-log-in.md) ke HSM sebagai pengguna kripto (CU). 

## Sintaksis
<a name="wrapKey-syntax"></a>

```
wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]
```

## Contoh
<a name="wrapKey-examples"></a>

**Example**  
Perintah ini mengekspor kunci simetris 192-bit Triple DES (3DES) (kunci handel `7`). Perintah menggunakan kunci 256-bit AES di HSM (handel kunci `14`) untuk membungkus kunci `7`. Kemudian, perintah menulis kunci 3DES terenkripsi ke file `3DES-encrypted.key`.  
Output menunjukkan bahwa kunci `7` (kunci 3DES) berhasil dibungkus dan ditulis ke file yang ditentukan. Kunci terenkripsi mempunyai panjang 307 byte.  

```
        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
```

## Parameter
<a name="wrapKey-params"></a>

**-h**  
Menampilkan bantuan untuk perintah.   
Wajib: Ya

**-k**  
Handel kunci dari kunci yang ingin Anda ekspor. Masukkan handel kunci dari kunci simetris atau privat yang Anda miliki. Untuk menemukan handel kunci, gunakan perintah [findKey](key_mgmt_util-findKey.md).  
Untuk memverifikasi bahwa kunci dapat diekspor, gunakan perintah [getAttribute](key_mgmt_util-getAttribute.md) untuk mendapatkan nilai atribut `OBJ_ATTR_EXTRACTABLE`, yang diwakili oleh konstanta `354`. Untuk membantu menafsirkan atribut kunci, lihat [AWS CloudHSM referensi atribut kunci untuk KMU](key-attribute-table.md).  
Anda hanya dapat mengekspor kunci yang Anda miliki. Untuk menemukan pemilik kunci, gunakan [getKeyInfo](key_mgmt_util-getKeyInfo.md)perintah.  
Wajib: Ya

**-w**  
Menentukan kunci pembungkus. Masukkan handel kunci dari kunci AES atau kunci RSA pada HSM. Parameter ini diperlukan. Untuk menemukan handel kunci, gunakan perintah [findKey](key_mgmt_util-findKey.md).  
Untuk membuat kunci pembungkus, gunakan [genSymKey](key_mgmt_util-genSymKey.md)untuk menghasilkan kunci AES (tipe 31) atau [gen RSAKey Pair untuk menghasilkan key pair](key_mgmt_util-genRSAKeyPair.md) RSA (tipe 0). Jika Anda menggunakan pasangan kunci RSA, pastikan untuk membungkus kunci dengan salah satu kunci, dan buka dengan yang lain. Untuk memverifikasi bahwa kunci dapat digunakan sebagai kunci pembungkus, gunakan [getAttribute](key_mgmt_util-getAttribute.md) untuk mendapatkan nilai atribut `OBJ_ATTR_WRAP`, yang diwakili oleh konstanta `262`.  
Wajib: Ya

**-out**  
Jalur dan nama file output. Ketika perintah berhasil, file ini berisi kunci yang diekspor dalam plaintext. Jika file sudah ada, perintah akan menimpa tanpa peringatan.  
Wajib: Ya

**-m**  
Nilai yang mewakili mekanisme pembungkus. CloudHSM mendukung mekanisme berikut:       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Wajib: Ya  
Saat menggunakan mekanisme `RSA_OAEP` pembungkus, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus kunci RSA dan panjang hash yang ditentukan sebagai berikut: Ukuran kunci maksimum = (modulusLengthInBytes-2\$1 Bytes-2). hashLengthIn  
Saat menggunakan mekanisme pembungkus RSA\$1PKCS, ukuran kunci maksimum yang dapat Anda bungkus ditentukan oleh modulus kunci RSA sebagai berikut: Ukuran kunci maksimum = (Bytes -11). modulusLengthIn

**-t**  
Nilai yang mewakili algoritme hash. CloudHSM mendukung algoritme berikut:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Wajib: Tidak

**AAD**  
Nama file yang berisi `AAD`.  
Hanya berlaku untuk mekanisme `AES_GCM` dan `CLOUDHSM_AES_GCM`.
Wajib: Tidak

**-noheader**  
Menghilangkan header yang menentukan [atribut kunci](key_mgmt_util-reference.md) khusus CloudHSM. Gunakan parameter ini *hanya* jika Anda ingin membuka kunci dengan alat di luar key\$1mgmt\$1util.  
Wajib: Tidak

**-i**  
Vektor inisialisasi (IV) (nilai hex).  
Hanya berlaku ketika diteruskan dengan `-noheader` parameter untuk`CLOUDHSM_AES_KEY_WRAP`, dan `NIST_AES_WRAP` mekanisme.
Wajib: Tidak

**-iv\$1file**  
File tempat Anda ingin menuliskan nilai IV yang diperoleh sebagai tanggapan.  
Berlaku hanya ketika dilewatkan dengan parameter `-noheader` untuk mekanisme `AES_GCM`.
Wajib: Tidak

**-tag\$1size**  
Ukuran tanda yang akan disimpan bersama dengan blob terbungkus.  
Berlaku hanya ketika dilewatkan dengan parameter `-noheader` untuk mekanisme `AES_GCM` dan`CLOUDHSM_AES_GCM`. Ukuran tanda minimum adalah delapan.
Wajib: Tidak

[1] Sesuai dengan panduan NIST, ini tidak diizinkan untuk cluster dalam mode FIPS setelah 2023. Untuk cluster dalam mode non-FIPS, masih diperbolehkan setelah 2023. Lihat [Kepatuhan FIPS 140: Penutupan Mekanisme 2024](compliance-dep-notif.md#compliance-dep-notif-1) untuk detail.

## Topik terkait
<a name="wrapKey-seealso"></a>
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)