기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# KMU를 사용하여 AWS CloudHSM 키 내보내기
AWS CloudHSM key\_mgmt\_util의 **wrapKey** 명령을 사용하여 하드웨어 보안 모듈(HSM)에서 대칭 또는 프라이빗 키의 암호화된 사본을 파일로 내보냅니다. **wrapKey**를 실행할 때 내보낼 키, 내보내려는 키를 암호화(래핑)할 HSM의 키, 출력 파일을 지정합니다.
`wrapKey` 명령은 지정한 파일에 암호화된 키를 작성하지만, HSM에서 키를 제거하거나 암호화 작업에서 사용하지 못하게 할 수는 없습니다. 동일한 키를 여러 번 내보낼 수 있습니다.
키 소유자, 즉 키를 생성한 CU(Crypto User)만 키를 내보낼 수 있습니다. 키를 공유하는 사용자는 해당 키를 암호화 작업에 사용할 수 있지만 내보낼 수는 없습니다.
암호화된 키를 다시 HSM으로 가져오려면 [unWrapKey](key_mgmt_util-unwrapKey.md)를 사용합니다. 일반 텍스트 키를 HSM에서 내보내려면 [exSymKey](key_mgmt_util-exSymKey.md) 또는 [exportPrivateKey](key_mgmt_util-exportPrivateKey.md)를 적절하게 사용합니다. [aesWrapUnwrap](key_mgmt_util-aesWrapUnwrap.md) 명령은 **wrapKey**가 암호화한 키를 암호 해독(언래핑)할 수 없습니다.
key\_mgmt\_util 명령을 실행하려면 먼저 [key\_mgmt\_util을 시작하고](key_mgmt_util-setup.md#key_mgmt_util-start) HSM에 암호화 사용자(crypto user)로 [로그인](key_mgmt_util-log-in.md)해야 합니다.
## 구문
```
wrapKey -h
wrapKey -k {{}}
-w {{}}
-out {{}}
[-m {{}}]
[-aad {{}}]
[-t {{}}]
[-noheader]
[-i {{}}]
[-iv_file {{}}]
[-tag_size {{>}}]
```
## 예제
**Example**
이 명령은 192비트 Triple DES(3DES) 대칭 키(키 핸들 `7`)를 내보냅니다. 이 명령은 HSM의 256비트 AES 키(키 핸들 `14`)를 사용하여 키 `7`을 래핑합니다. 그런 다음 암호화된 3DES 키를 `3DES-encrypted.key` 파일에 씁니다.
출력은 키 `7`(3DES 키)가 성공적으로 래핑되고 지정된 파일에 기록된 것을 보여 줍니다. 암호화된 키는 길이가 307바이트입니다.
```
Command: wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4
Key Wrapped.
Wrapped Key written to file "3DES-encrypted.key length 307
Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
```
## Parameters
**-h**
명령에 대한 도움말을 표시합니다.
필수 항목 여부: 예
**-k**
내보낼 키의 키 핸들. 소유하는 대칭 또는 프라이빗 키의 키 핸들을 입력합니다. 키 핸들을 찾으려면 [findKey](key_mgmt_util-findKey.md) 명령을 사용하십시오.
키를 내보낼 수 있는지 확인하려면 [getAttribute](key_mgmt_util-getAttribute.md) 명령을 사용하여 상수 `354`로 표시되는 `OBJ_ATTR_EXTRACTABLE` 속성의 값을 가져옵니다. 키 속성 해석에 대한 도움말은 [AWS CloudHSM KMU에 대한 키 속성 참조](key-attribute-table.md)을 참조하십시오.
본인이 소유한 키만 내보낼 수 있습니다. 키의 소유자를 찾으려면 [getKeyInfo](key_mgmt_util-getKeyInfo.md) 명령을 사용합니다.
필수 항목 여부: 예
**-w**
래핑 키를 지정합니다. HSM에서 AES 키 또는 RSA 키의 키 핸들을 입력합니다. 이 파라미터는 필수 사항입니다. 키 핸들을 찾으려면 [findKey](key_mgmt_util-findKey.md) 명령을 사용하십시오.
래핑 키를 생성하려면 [genSymKey](key_mgmt_util-genSymKey.md)를 사용하여 AES 키를 생성하거나(유형 31) [genRSAKeyPair](key_mgmt_util-genRSAKeyPair.md)를 사용하여 RSA 키 페어를 생성합니다(유형 0). RSA 키 페어를 사용하는 경우 키 중 하나로 키를 래핑하고 다른 키로 언래핑해야 합니다. 키를 래핑 키로 사용할 수 있는지 확인하려면 [getAttribute](key_mgmt_util-getAttribute.md)를 사용하여 `262`라는 상수로 표시되는 `OBJ_ATTR_WRAP` 속성의 값을 가져옵니다.
필수 항목 여부: 예
**-out**
출력 파일의 경로 및 이름입니다. 명령이 성공하면 이 파일이 내보낸 키의 암호화된 사본을 포함합니다. 파일이 이미 존재하는 경우, 이 명령은 경고 없이 파일에 덮어씁니다.
필수 항목 여부: 예
**-m**
래핑 메커니즘을 나타내는 값입니다. CloudHSM은 다음과 같은 메커니즘을 지원합니다.
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
필수 항목 여부: 예
`RSA_OAEP` 래핑 메커니즘을 사용할 때 래핑할 수 있는 최대 키 크기는 RSA 키의 모듈 및 지정된 해시 길이로 결정됩니다(예: 최대 키 크기 = (modulusLengthInBytes-2\*hashLengthInBytes-2)).
RSA\_PKCS 래핑 메커니즘을 사용할 때 래핑할 수 있는 최대 키 크기는 RSA 키의 모듈러스로 결정됩니다(예: 최대 키 크기 = (modulusLengthInBytes -11).
**-t**
해시 알고리즘을 나타내는 값입니다. CloudHSM은 다음 알고리즘을 지원합니다.
[See the AWS documentation website for more details](http://docs.aws.amazon.com/ko_kr/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
필수 여부: 아니요
**-aad**
`AAD`를 포함하는 파일 이름입니다.
`AES_GCM` 및 `CLOUDHSM_AES_GCM` 메커니즘에만 유효합니다.
필수 여부: 아니요
**-noheader**
CloudHSM 관련 [키 속성](key_mgmt_util-reference.md)을 지정하는 헤더를 생략합니다. key\_mgmt\_util 외부의 도구를 사용하여 키의 래핑을 해제하려는 *경우에만* 이 파라미터를 사용하십시오.
필수 여부: 아니요
**-i**
초기화 벡터(IV)(16진수 값) 입니다.
`CLOUDHSM_AES_KEY_WRAP` 및 `NIST_AES_WRAP` 메커니즘에 대한 `-noheader` 파라미터와 함께 전달된 경우에만 유효합니다.
필수 여부: 아니요
**-iv\_file**
응답으로 얻은 IV 값을 쓰려는 파일입니다.
`AES_GCM` 메커니즘에 대한 `-noheader` 파라미터와 함께 전달된 경우에만 유효합니다.
필수 여부: 아니요
**-tag\_size**
래핑된 blob와 함께 저장할 태그의 크기입니다.
`AES_GCM` 및 `CLOUDHSM_AES_GCM` 메커니즘에 대한 `-noheader` 파라미터와 함께 전달된 경우에만 유효합니다. 최소 태그 크기는 8입니다.
필수 여부: 아니요
[1] NIST 지침에 따라 2023년 이후 FIPS 모드의 클러스터에는 허용되지 않습니다. 비FIPS 모드의 클러스터의 경우 2023년 이후에도 허용됩니다. 세부 정보는 [FIPS 140 규정 준수: 2024 메커니즘 지원 중단](compliance-dep-notif.md#compliance-dep-notif-1) 섹션을 참조하세요.
## 관련 주제
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)