翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# CloudHSM CLI のキーカテゴリ
CloudHSM CLI では、**key** はコマンドのグループの親カテゴリであり、親カテゴリと組み合わせると、キーに固有のコマンドが作成されます。現在、このカテゴリは次のコマンドで構成されています。
+ [削除](cloudhsm_cli-key-delete.md)
+ [generate-file](cloudhsm_cli-key-generate-file.md)
+ [key generate-asymmetric-pair](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [key generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-symmetric](cloudhsm_cli-key-generate-symmetric.md)
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
+ [import pem](cloudhsm_cli-key-import-pem.md)
+ [リスト](cloudhsm_cli-key-list.md)
+ [レプリケーション](cloudhsm_cli-key-replicate.md)
+ [セットの属性](cloudhsm_cli-key-set-attribute.md)
+ [使用](cloudhsm_cli-key-share.md)
+ [unshare](cloudhsm_cli-key-unshare.md)
+ [unwrap](cloudhsm_cli-key-unwrap.md)
+ [wrap](cloudhsm_cli-key-wrap.md)
# CloudHSM CLI でキーを削除する
CloudHSM CLI の **key delete** コマンドを使用して、 AWS CloudHSM クラスターからキーを削除します。一度に削除できるキーは 1 つだけです。キーペアの一方のキーを削除しても、ペアの他方のキーには影響がありません。
キーを作成し、そのキーを所有している CU のみがキーを削除できます。キーを共有しているが所有者ではないユーザーは、暗号化オペレーションでキーを使用できますが、削除することはできません。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
+ このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help key delete
Delete a key in the HSM cluster
Usage: key delete [OPTIONS] --filter [...]
Options:
--cluster-id Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--filter [...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for deletion
-h, --help Print help
```
## 例
```
aws-cloudhsm > key delete --filter attr.label="ec-test-public-key"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを削除対象として選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください
必須: はい
## 関連トピック
+ [CloudHSM CLI でユーザーのキーを一覧表示する](cloudhsm_cli-key-list.md)
+ [CloudHSM CLI で非対称キーをエクスポートする](cloudhsm_cli-key-generate-file.md)
+ [CloudHSM CLI を使用してキーの共有を解除する](cloudhsm_cli-key-unshare.md)
+ [CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI を使用してキーをフィルタリングする](manage-keys-cloudhsm-cli-filtering.md)
# CloudHSM CLI で非対称キーをエクスポートする
CloudHSM CLI の **key generate-file** コマンドを使用して、ハードウェアセキュリティモジュール (HSM) から非対称キーをエクスポートします。ターゲットがプライベートキーの場合、プライベートキーへの参照はフェイク PEM 形式でエクスポートされます。ターゲットがパブリックキーの場合、パブリックキーバイトは PEM 形式でエクスポートされます。
フェイク PEM ファイルは、実際のプライベートキーマテリアルを含むわけではなく、HSM のプライベートキーを参照するため、ウェブサーバーから AWS CloudHSMへの SSL/TLS オフロードを確立するために使用できます。詳細については、「[SSL/TLS オフロード](ssl-offload.md)」を参照してください。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
このコマンドを実行するには、CU としてログインする必要があります。
## Syntax
```
aws-cloudhsm > help key generate-file
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
--path
Filepath where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
-h, --help
Print help (see a summary with '-h')
```
## 例
この例では、 **key generate-file** を使用して AWS CloudHSM クラスターにキーファイルを生成する方法を示します。
**Example**
```
aws-cloudhsm > key generate-file --encoding reference-pem --path /tmp/ec-private-key.pem --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
キーリファレンス (例: `key-reference=0xabc`) または `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式のキー属性のスペース区切りリスト。これに一致するキーを削除対象として選択します。
サポートされている CloudHSM CLI キー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください
必須: いいえ
******
キーファイルのエンコード形式を指定します
必須: はい
******
キーファイルが書き込まれるファイルパスを指定します
必須: はい
## KSP キー参照を生成します (Windows)
**注記**
この機能は、SDK バージョン 5.16.0 以降でのみ使用できます。
### 前提条件
+ KSP キー参照は Windows プラットフォームでのみ生成できます。
+ Crypto User (CU) としてサインインする必要があります。
### ファイルの場所
デフォルトでは、AWS CloudHSM は生成されたファイルを `C:\Users\Default\AppData\Roaming\Microsoft\Crypto\CaviumKSP\GlobalPartition` に保存します。
別の場所を指定するには、`--path` パラメータを使用します。
### 構文
```
aws-cloudhsm > help key generate-file --encoding ksp-key-reference
Generate a key file from a key in the HSM cluster. This command does not export any private key data from the HSM
Usage: key generate-file --encoding --path --filter [...]
Options:
--encoding
Encoding format for the key file
Possible values:
- reference-pem: PEM formatted key reference (supports private keys)
- pem: PEM format (supports public keys)
- ksp-key-reference: KSP key reference format
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided with multiple clusters configured, will error
--path
Directory path where the key file will be written
--filter [...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key for file generation
--all
Generate ksp key reference for all available key pairs in HSM
-h, --help
Print help (see a summary with '-h')
```
### 例 – プライベートキーの属性フィルターを使用して KSP キー参照を生成する
次の例では、特定のラベルを持つプライベートキーの KSP キー参照を生成します。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --path --filter attr.label="ec-test-private-key"
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
### 例 – すべてのキーペアの KSP キー参照を生成する
次の例では、クラスター内のすべてのキーペアの KSP キー参照を生成します。
**Example**
```
aws-cloudhsm > key generate-file --encoding ksp-key-reference --all
{
"error_code": 0,
"data": {
"message": "Successfully generated key file"
}
}
```
## 関連トピック
+ [CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI を使用してキーをフィルタリングする](manage-keys-cloudhsm-cli-filtering.md)
+ [CloudHSM CLI の generate-asymmetric-pair カテゴリ](cloudhsm_cli-key-generate-asymmetric-pair.md)
+ [CloudHSM CLI の generate-symmetric カテゴリ](cloudhsm_cli-key-generate-symmetric.md)
# CloudHSM CLI の generate-asymmetric-pair カテゴリ
CloudHSM CLI では、**key generate-asymmetric-pair** はコマンドグループの親カテゴリで、親カテゴリと組み合わせると非対称キーペアを生成するコマンドを作成します。現在、このカテゴリは次のコマンドで構成されています。
+ [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md)
+ [key generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md)
# CloudHSM CLI を使用して非対称 EC キーペアを生成する
CloudHSM CLI の **key asymmetric-pair ec** コマンドを使用して、 AWS CloudHSM クラスターに非対称楕円曲線 (EC) キーペアを生成します。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
このコマンドを実行するには、CU としてログインする必要があります。
## 構文
```
aws-cloudhsm > help key generate-asymmetric-pair ec
Generate an Elliptic-Curve Cryptography (ECC) key pair
Usage: key generate-asymmetric-pair ec [OPTIONS] --public-label --private-label --curve
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--curve
Elliptic curve used to generate the key pair [possible values: prime256v1, secp256r1, secp224r1, secp384r1, secp256k1, secp521r1, ed25519]
--public-attributes [...]
Space separated list of key attributes to set for the generated EC public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated EC private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the EC private key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value
The quorum value for key usage operations for the private key
-h, --help
Print help
```
## 例
以下の例では、**key generate-asymmetric-pair ec** コマンドを使用して EC キーペアを作成する方法を示します。
**Example 例: EC キーペアの作成**
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve secp224r1 \
--public-label ec-public-key-example \
--private-label ec-private-key-example
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x000000000012000b",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-public-key-example",
"id": "",
"check-value": "0xd7c1a7",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x000000000012000c",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-private-key-example",
"id": "",
"check-value": "0xd7c1a7",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x047096513df542250a6b228fd9cb67fd0c903abc93488467681974d6f371083fce1d79da8ad1e9ede745fb9f38ac8622a1b3ebe9270556000c",
"curve": "secp224r1"
}
}
}
}
```
**Example 例: オプションの属性を持つ EC キーペア作成**
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve secp224r1 \
--public-label ec-public-key-example \
--private-label ec-private-key-example \
--public-attributes encrypt=true \
--private-attributes decrypt=true
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x00000000002806eb",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-public-key-example",
"id": "",
"check-value": "0xedef86",
"class": "public-key",
"encrypt": true,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x0000000000280c82",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-private-key-example",
"id": "",
"check-value": "0xedef86",
"class": "private-key",
"encrypt": false,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
}
}
}
```
**Example 例: クォーラム値を持つ EC キーペア作成**
クォーラム制御を使用してキーを生成する場合、キーには、キーの最大クォーラム値と同じ数以上のユーザーを関連付ける必要があります。関連付けられるユーザーには、キー所有者と、そのキーが共有されている Crypto User が含まれます。キーを共有すべき最小ユーザー数を決定するには、キー使用クォーラム値とキー管理クォーラム値のうち大きい方のクォーラム値を取得し、デフォルトでキーに関連付けられているキー所有者を考慮して 1 を差し引きます。キーをさらに多くのユーザーと共有するには、**[CloudHSM CLI を使用してキーを共有する](cloudhsm_cli-key-share.md)** コマンドを使用します。
```
aws-cloudhsm > key generate-asymmetric-pair ec \
--curve secp224r1 \
--public-label ec-public-key-example \
--private-label ec-private-key-example \
--public-attributes verify=true \
--private-attributes sign=true
--share-crypto-users cu2 cu3 cu4 \
--manage-private-key-quorum-value 4 \
--use-private-key-quorum-value 2
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x00000000002806eb",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-public-key-example",
"id": "",
"check-value": "0xedef86",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": true,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 57,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
},
"private_key": {
"key-reference": "0x0000000000280c82",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [
{
"username": "cu2",
"key-coverage": "full"
},
{
"username": "cu3",
"key-coverage": "full"
},
{
"username": "cu4",
"key-coverage": "full"
},
],
"key-quorum-values": {
"manage-key-quorum-value": 4,
"use-key-quorum-value": 2
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "ec",
"label": "ec-private-key-example",
"id": "",
"check-value": "0xedef86",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 122,
"ec-point": "0x0487af31882189ec29eddf17a48e8b9cebb075b7b5afc5522fe9c83a029a450cc68592889a1ebf45f32240da5140d58729ffd7b2d44262ddb8",
"curve": "secp224r1"
}
}
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
楕円曲線の識別子を指定します。
+ prime256v1
+ secp256r1
+ secp224r1
+ secp384r1
+ secp256k1
+ secp521r1
+ ed25519 (非 FIPS モードの hsm2m.medium インスタンスでのみサポート)
必須: はい
******
`KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式で生成された EC パブリックキーに設定するキー属性のスペース区切りリストを指定します (例: `verify=true`)。
サポートされているキー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください。
必須: いいえ
******
パブリックキーのユーザー定義ラベルを指定します。`label` に許可される最大サイズは、クライアント SDK 5.11 以降では 127 文字です。クライアント SDK 5.10 以前では、制限は 126 文字です。
必須: はい
******
`KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式で生成された EC プライベートキーに設定するキー属性のスペース区切りリストを指定します (例: `sign=true`)。
サポートされているキー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください。
必須: いいえ
******
プライベートキーのユーザー定義ラベルを指定します。`label` に許可される最大サイズは、クライアント SDK 5.11 以降では 127 文字です。クライアント SDK 5.10 以前では、制限は 126 文字です。
必須: はい
******
現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。
このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。
デフォルトでは、生成されるキーは永続 (トークン) キーです。 で渡すことでこれが変わり、この引数で生成されたキーがセッション (エフェメラル) キーであることが保証されます。
必須: いいえ
******
EC プライベートキーを共有する Crypto User ユーザー名のスペース区切りリストを指定します。
必須: いいえ
******
プライベートキーのキー管理オペレーションのクォーラム値。この値は、キーが関連付けられているユーザーの数以下である必要があります。これには、そのキーが共有されているユーザーと、キー所有者が含まれます。最大値は 8 です。
必須: いいえ
******
プライベートキーのキー使用オペレーションのクォーラム値。この値は、キーが関連付けられているユーザーの数以下である必要があります。これには、そのキーが共有されているユーザーと、キー所有者が含まれます。最大値は 8 です。
必須: いいえ
## 関連トピック
+ [CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI を使用してキーをフィルタリングする](manage-keys-cloudhsm-cli-filtering.md)
# CloudHSM CLI で非対称 RSA キーペアを生成する
CloudHSM CLI の **key generate-asymmetric-pair rsa** コマンドを使用して、 AWS CloudHSM クラスターに非対称 RSA キーペアを生成します。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
このコマンドを実行するには、CU としてログインする必要があります。
## 構文
```
aws-cloudhsm > help key generate-asymmetric-pair rsa
Generate an RSA key pair
Usage: key generate-asymmetric-pair rsa [OPTIONS] --public-label --private-label --modulus-size-bits --public-exponent
Options:
--cluster-id
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--public-label
Label for the public key
--private-label
Label for the private key
--session
Creates a session key pair that exists only in the current session. The key cannot be recovered after the session ends
--modulus-size-bits
Modulus size in bits used to generate the RSA key pair
--public-exponent
Public exponent used to generate the RSA key pair
--public-attributes [...]
Space separated list of key attributes to set for the generated RSA public key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--private-attributes [...]
Space separated list of key attributes to set for the generated RSA private key in the form of KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE
--share-crypto-users [...]
Space separated list of Crypto User usernames to share the RSA key with
--manage-private-key-quorum-value
The quorum value for key management operations for the private key
--use-private-key-quorum-value
The quorum value for key usage operations for the private key
-h, --help
Print help
```
## 例
以下の例では、`key generate-asymmetric-pair rsa` を使用して RSA キーペアを作成する方法を示します。
**Example 例: RSA キーペアの作成**
```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x0000000000160010",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "rsa-public-key-example",
"id": "",
"check-value": "0x498e1f",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 512,
"public-exponent": "0x010001",
"modulus": "0xdfca0669dc8288ed3bad99509bd21c7e6192661407021b3f4cdf4a593d939dd24f4d641af8e4e73b04c847731c6dbdff3385818e08dd6efcbedd6e5b130344968c
e89a065e7d1a46ced96b46b909db2ab6be871ee700fd0a448b6e975bb64cae77c49008749212463e37a577baa57ce3e574cb057e9db131e119badf50c938f26e8a5975c61a8ba7ffe7a1115a
bcebb7d20bd6df1948ae336ae23b52d73b7f3b6acc2543edb6358e08d326d280ce489571f4d34e316a2ea1904d513ca12fa04075fc09ad005c81b7345d7804ff24c45117f0a1020dca7794df037a10aadec8653473b2088711f7b7d8b58431654e14e31af0e00511da641058fb7475ffdbe60f",
"modulus-size-bits": 2048
}
},
"private_key": {
"key-reference": "0x0000000000160011",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "rsa-private-key-example",
"id": "",
"check-value": "0x498e1f",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 1217,
"public-exponent": "0x010001",
"modulus": "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",
"modulus-size-bits": 2048
}
}
}
}
```
**Example 例: オプションの属性を含む RSA キーペアの作成**
```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes encrypt=true \
--private-attributes decrypt=true
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x0000000000280cc8",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "rsa-public-key-example",
"id": "",
"check-value": "0x01fe6e",
"class": "public-key",
"encrypt": true,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 512,
"public-exponent": "0x010001",
"modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
"modulus-size-bits": 2048
}
},
"private_key": {
"key-reference": "0x0000000000280cc7",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "rsa-private-key-example",
"id": "",
"check-value": "0x01fe6e",
"class": "private-key",
"encrypt": false,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 1217,
"public-exponent": "0x010001",
"modulus": "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",
"modulus-size-bits": 2048
}
}
}
}
```
**Example 例: クォーラム値を持つ RSA キーペア作成**
クォーラム制御を使用してキーを生成する場合、キーには、キーの最大クォーラム値と同じ数以上のユーザーを関連付ける必要があります。関連付けられるユーザーには、キー所有者と、そのキーが共有されている Crypto User が含まれます。キーを共有すべき最小ユーザー数を決定するには、キー使用クォーラム値とキー管理クォーラム値のうち大きい方のクォーラム値を取得し、デフォルトでキーに関連付けられているキー所有者を考慮して 1 を差し引きます。キーをさらに多くのユーザーと共有するには、**[CloudHSM CLI を使用してキーを共有する](cloudhsm_cli-key-share.md)** コマンドを使用します。
```
aws-cloudhsm > key generate-asymmetric-pair rsa \
--public-exponent 65537 \
--modulus-size-bits 2048 \
--public-label rsa-public-key-example \
--private-label rsa-private-key-example \
--public-attributes verify=true \
--private-attributes sign=true
--share-crypto-users cu2 cu3 cu4 \
--manage-private-key-quorum-value 4 \
--use-private-key-quorum-value 2
{
"error_code": 0,
"data": {
"public_key": {
"key-reference": "0x0000000000280cc8",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [],
"key-quorum-values": {
"manage-key-quorum-value": 0,
"use-key-quorum-value": 0
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "rsa-public-key-example",
"id": "",
"check-value": "0x01fe6e",
"class": "public-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": false,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": false,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": true,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 512,
"public-exponent": "0x010001",
"modulus": "0xb1d27e857a876f4e9fd5de748a763c539b359f937eb4b4260e30d1435485a732c878cdad9c72538e2215351b1d41358c9bf80b599c
73a80fdb457aa7b20cd61e486c326e2cfd5e124a7f6a996437437812b542e3caf85928aa866f0298580f7967ee6aa01440297d7308fdd9b76b70d1b67f12634d
f6e6296d6c116d5744c6d60d14d3bf3cb978fe6b75ac67b7089bafd50d8687213b31abc7dc1bad422780d29c851d5102b56f932551eaf52a9591fd8c43d81ecc
133022653225bd129f8491101725e9ea33e1ded83fb57af35f847e532eb30cd7e726f23910d2671c6364092e834697ec3cef72cc23615a1ba7c5e100156ae0ac
ac3160f0ca9725d38318b7",
"modulus-size-bits": 2048
}
},
"private_key": {
"key-reference": "0x0000000000280cc7",
"key-info": {
"key-owners": [
{
"username": "cu1",
"key-coverage": "full"
}
],
"shared-users": [
{
"username": "cu2",
"key-coverage": "full"
},
{
"username": "cu3",
"key-coverage": "full"
},
{
"username": "cu4",
"key-coverage": "full"
},
],
"key-quorum-values": {
"manage-key-quorum-value": 4,
"use-key-quorum-value": 2
},
"cluster-coverage": "full"
},
"attributes": {
"key-type": "rsa",
"label": "rsa-private-key-example",
"id": "",
"check-value": "0x01fe6e",
"class": "private-key",
"encrypt": false,
"decrypt": false,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": true,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": true,
"trusted": false,
"unwrap": false,
"verify": false,
"wrap": false,
"wrap-with-trusted": false,
"key-length-bytes": 1217,
"public-exponent": "0x010001",
"modulus": "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",
"modulus-size-bits": 2048
}
}
}
}
```
## 引数
******
このオペレーションを実行するクラスターの ID。
必須: 複数のクラスターが[設定](cloudhsm_cli-configs-multi-cluster.md)されている場合。
******
モジュラスの長さをビット単位で指定します。最小値は 2,048 です。
必須: はい
******
`KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式で生成された RSA プライベートキーに設定するキー属性のスペース区切りリストを指定します (例: `sign=true`)。
サポートされているキー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください。
必須: いいえ
******
プライベートキーのユーザー定義ラベルを指定します。`label` に許可される最大サイズは、クライアント SDK 5.11 以降では 127 文字です。クライアント SDK 5.10 以前では、制限は 126 文字です。
必須: はい
******
パブリック指数を指定します。値は、65537 以上の奇数にする必要があります
必須: はい
******
`KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式で生成された RSA パブリックキーに設定するキー属性のスペース区切りリストを指定します (例: `verify=true`)
サポートされているキー属性のリストについては、「[CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)」を参照してください。
必須: いいえ
******
パブリックキーのユーザー定義ラベルを指定します。`label` に許可される最大サイズは、クライアント SDK 5.11 以降では 127 文字です。クライアント SDK 5.10 以前では、制限は 126 文字です。
必須: はい
******
現在のセッションにのみ存在するキーを作成します。セッション終了後、キーをリカバリすることはできません。
このパラメータは、別のキーを暗号化してからすばやく復号化するラッピングキーなど、キーが短時間だけ必要な場合に使用します。セッション終了後に復号する必要がある可能性のあるデータを暗号化するためにセッションキーを使用しないでください。
デフォルトでは、生成されるキーは永続 (トークン) キーです。 で渡すことでこれが変わり、この引数で生成されたキーがセッション (エフェメラル) キーであることが保証されます。
必須: いいえ
******
RSAEC プライベートキーを共有する Crypto User ユーザー名のスペース区切りリストを指定します。
必須: いいえ
******
プライベートキーのキー管理オペレーションのクォーラム値。この値は、キーが関連付けられているユーザーの数以下である必要があります。これには、そのキーが共有されているユーザーと、キー所有者が含まれます。最大値は 8 です。
必須: いいえ
******
プライベートキーのキー使用オペレーションのクォーラム値。この値は、キーが関連付けられているユーザーの数以下である必要があります。これには、そのキーが共有されているユーザーと、キー所有者が含まれます。最大値は 8 です。
必須: いいえ
## 関連トピック
+ [CloudHSM CLI のキー属性](cloudhsm_cli-key-attributes.md)
+ [CloudHSM CLI を使用してキーをフィルタリングする](manage-keys-cloudhsm-cli-filtering.md)
# CloudHSM CLI の generate-symmetric カテゴリ
CloudHSM CLI では、**key generate-symmetric** はコマンドグループの親カテゴリであり、親カテゴリと組み合わせると対称キーを生成するコマンドを作成します。現在、このカテゴリは次のコマンドで構成されています。
+ [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md)
+ [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md)
# CloudHSM CLI で対称 AES キーを生成する
CloudHSM CLI の **key generate-symmetric aes** コマンドを使用して、 AWS CloudHSM クラスターに対称 AES キーを生成します。
## ユーザーのタイプ
このコマンドは、次のタイプのユーザーが実行できます。
+ Crypto User (CU)
## 要件
このコマンドを実行するには、CU としてログインする必要があります。
## 構文
```
aws-cloudhsm > help key generate-symmetric aes
Generate an AES key
Usage: key generate-symmetric aes [OPTIONS] --label