Replicar uma chave com a CLI do CloudHSM
Use o comando key replicate na CLI do CloudHSM para replicar uma chave de um cluster do AWS CloudHSM de origem para um cluster do AWS CloudHSM de destino.
Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
-
Administradores (COs)
-
Usuários de criptografia (CUs)
nota
Os usuários criptográficos devem possuir a chave para usar esse comando.
Requisitos
-
Os clusters de origem e destino devem ser clones. Isso significa que um foi criado a partir de um backup do outro, ou ambos foram criados a partir de um backup comum. Consulte Criar clusters de backups para obter mais informações.
-
O proprietário da chave deve existir no cluster de destino. Além disso, se a chave for compartilhada com quaisquer usuários, esses usuários também deverão existir no cluster de destino.
-
Para executar esse comando, é necessário estar registrado como usuário de criptografia ou administrador nos clusters de origem e de destino.
No modo de comando único, o comando usará as variáveis ambientais CLOUDHSM_PIN e CLOUDHSM_ROLE para se autenticar no cluster de origem. Consulte Modo de comando único para obter mais informações. Para fornecer credenciais ao cluster de destino, é preciso definir duas variáveis ambientais adicionais: DESTINATION_CLOUDHSM_PIN e DESTINATION_CLOUDHSM_ROLE:
$export DESTINATION_CLOUDHSM_ROLE=<role>$export DESTINATION_CLOUDHSM_PIN=<username:password>No modo interativo, os usuários precisarão fazer login explícito nos clusters de origem e de destino.
Sintaxe
aws-cloudhsm >help key replicateReplicate a key from a source to a destination cluster Usage: key replicate --filter [<FILTER>...] --source-cluster-id <SOURCE_CLUSTER_ID> --destination-cluster-id <DESTINATION_CLUSTER_ID> Options: --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select matching key on the source cluster --source-cluster-id <SOURCE_CLUSTER_ID> Source cluster ID --destination-cluster-id <DESTINATION_CLUSTER_ID> Destination cluster ID -h, --help Print help
Exemplos
exemplo Exemplo: replicar chave
Esse comando replica uma chave de um cluster de origem para um cluster de destino clonado. O exemplo abaixo demonstra a saída quando conectado como usuário criptográfico em ambos os clusters.
crypto-user-1@cluster-1234abcdefg >key replicate \ --filter attr.label=example-key \ --source-cluster-id cluster-1234abcdefg \ --destination-cluster-id cluster-2345bcdefgh{ "error_code": 0, "data": { "key": { "key-reference": "0x0000000000300006", "key-info": { "key-owners": [ { "username": "crypto-user-1", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "example-key", "id": "0x", "check-value": "0x5e118e", "class": "secret-key", "encrypt": false, "decrypt": false, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": true, "private": true, "sensitive": true, "sign": true, "trusted": false, "unwrap": false, "verify": true, "wrap": false, "wrap-with-trusted": false, "key-length-bytes": 16 } }, "message": "Successfully replicated key" } }
Argumentos
<FILTER>-
Referência de chave (por exemplo,
key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEpara selecionar uma chave correspondente no cluster de origem.Para obter uma lista dos atributos de chave compatíveis com com a CLI do CloudHSM, consulte Atributos de chave da CloudHSM CLI
Obrigatório: Sim
<SOURCE_CLUSTER_ID>-
O ID do cluster de origem.
Obrigatório: Sim
<DESTINATION_CLUSTER_ID>-
O ID do cluster de destino.
Obrigatório: Sim
Tópicos relacionados
