翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# KMU を使用して AWS CloudHSM ファイルを暗号化および復号する
AWS CloudHSM key\_mgmt\_util の **aesWrapUnwrap** コマンドを使用して、ディスク上のファイルの内容を暗号化または復号します。このコマンドは、暗号化キーをラップおよびラップ解除するように設計されていますが、4 KB (4096 バイト) 未満のデータを含むすべてのファイルに使用できます。
**aesWrapUnwrap** は、PKCS \#5 パディングを使用する AES キーラップを使用します。HSM で、ラップまたはラップ解除キーとして、AES キーを使用します。その後、ディスク上の別のファイルに結果が書き込まれます。
key\_mgmt\_util コマンドを実行する前に、[key\_mgmt\_util を起動し](key_mgmt_util-setup.md#key_mgmt_util-start)、Crypto User (CU) として HSM に [ログインする](key_mgmt_util-log-in.md) 必要があります。
## Syntax
```
aesWrapUnwrap -h
aesWrapUnwrap -m {{}}
-f {{}}
-w {{}}
[-i {{}}]
[-out {{}}]
```
## 例
以下の例では、**aesWrapUnwrap** を使用してファイルの暗号化キーを暗号化および復号する方法を示します。
**Example : 暗号化キーをラップする**
次のコマンドでは、**aesWrapUnwrap** を使用して[プレーンテキストで HSM からエクスポートされた](key_mgmt_util-exSymKey.md) Triple DES 対称キーを `3DES.key` ファイルにラップします。同様のコマンドを使用して、ファイルに保存されたキーをラップできます。
コマンドは、ラップモードを示す `1` の値で `-m` パラメータを使用します。`-w` パラメータを使用して HSM の AES キー (キーハンドル `6`) をラップキーとして指定します。ラップしたキーは `3DES.key.wrapped` ファイルに書き込まれます。
出力は、コマンドが正常に実行され、推奨されているデフォルトの IV をオペレーションが使用したことを示しています。
```
Command: aesWrapUnwrap -f 3DES.key -w 6 -m 1 -out 3DES.key.wrapped
Warning: IV (-i) is missing.
0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
49 49 E2 D0 11 C1 97 22
17 43 BD E3 4E F4 12 75
8D C1 34 CF 26 10 3A 8D
6D 0A 7B D5 D3 E8 4D C2
79 09 08 61 94 68 51 B7
result written to file 3DES.key.wrapped
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
```
**Example : 暗号化キーをラップ解除する**
次の例では、**aesWrapUnwrap** を使用してラップ (暗号化) したキーをラップ解除 (復号) する方法を示します。HSM にキーをインポートする前に次のようなオペレーションを実行できます。たとえば、暗号化されたキーを [imSymKey](key_mgmt_util-imSymKey.md) コマンドでインポートしようとすると、暗号化されたキーには、該当タイプのプレーンテキストキーに必要な形式がないため、エラーが返されます。
コマンドは `3DES.key.wrapped` ファイルのキーをラップ解除し、プレーンテキストを `3DES.key.unwrapped` ファイルに書き込みます。コマンドは、ラップ解除モードを示す `-m` の値で `0` パラメータを使用します。`-w` パラメータを使用して HSM の AES キー (キーハンドル `6`) をラップキーとして指定します。ラップしたキーは `3DES.key.unwrapped` ファイルに書き込まれます。
```
Command: aesWrapUnwrap -m 0 -f 3DES.key.wrapped -w 6 -out 3DES.key.unwrapped
Warning: IV (-i) is missing.
0xA6A6A6A6A6A6A6A6 is considered as default IV
result data:
14 90 D7 AD D6 E4 F5 FA
A1 95 6F 24 89 79 F3 EE
37 21 E6 54 1F 3B 8D 62
result written to file 3DES.key.unwrapped
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
```
## パラメータ
**-h**
コマンドに関するヘルプを表示します。
必須: はい
**-m**
モードを指定します。ファイルの内容をラップ (暗号化) するには「`1`」と入力します。ファイルの内容をラップ解除 (復号) するには「`0`」と入力します。
必須: はい
**-f**
ラップするファイルを指定します。4 KB (4096 バイト) 未満のデータを含むファイルを入力します。このオペレーションは、暗号化キーをラップおよびラップ解除するように設計されています。
必須: はい
**-w**
ラップキーを指定します。HSM で AES キーのキーハンドルを入力します。このパラメータは必須です。キーハンドルを見つけるには、[findKey](key_mgmt_util-findKey.md) コマンドを使用します。
ラッピングキーを作成するには、[genSymKey](key_mgmt_util-genSymKey.md) を使用して AES キー (タイプ 31) を生成します。
必須: はい
**-i**
アルゴリズムの代替の初期値 (IV) を指定します。代替を必要とする特殊な条件がなければ、デフォルト値を使用します。
デフォルト: `0xA6A6A6A6A6A6A6A6`。デフォルト値は [AES キーのラップ](https://tools.ietf.org/html/rfc3394)のアルゴリズム仕様で定義されています。
必須: いいえ
**-out**
ラップまたはラップ解除されたキーを含む出力ファイルに代わりの名前を指定します。デフォルトは、ローカルディレクトリの `wrapped_key` (ラップオペレーション) および `unwrapped_key` (ラップ解除オペレーション) です。
既存のファイルがある場合、**aesWrapUnwrap** は警告なしに上書きされます。コマンドが失敗すると、**aesWrapUnwrap** で内容のない出力ファイルが作成されます。
デフォルト: ラップ: `wrapped_key`。ラップ解除: `unwrapped_key`。
必須: いいえ
## 関連トピック
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
+ [wrapKey](key_mgmt_util-wrapKey.md)