Definir os atributos das chaves com a CloudHSM CLI
Use o comando key set-attribute na CloudHSM CLI para definir os atributos das chaves em seu cluster do AWS CloudHSM. Somente o CU que criou a chave e, consequentemente, a possui pode alterar os atributos da chave.
Para obter uma lista dos principais atributos que podem ser usados na CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI.
Tipo de usuário
Os seguintes tipos de usuários podem executar este comando.
-
Somente usuários de criptografia (CUs) podem executar esse comando.
-
Os administradores podem definir o atributo confiável.
Requisitos
Para executar esse comando, você deve estar registrado como um CU. Para definir o atributo confiável, você deve estar logado como um usuário administrador.
Sintaxe
aws-cloudhsm >help key set-attributeSet an attribute for a key in the HSM cluster Usage: cloudhsm-cli key set-attribute [OPTIONS] --filter [<FILTER>...] --name<KEY_ATTRIBUTE>--value<KEY_ATTRIBUTE_VALUE>Options: --cluster-id<CLUSTER_ID>Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error --filter [<FILTER>...] Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a matching key to modify --name<KEY_ATTRIBUTE>Name of attribute to be set --value<KEY_ATTRIBUTE_VALUE>... Attribute value to be set --approval<APPROVAL>Filepath of signed quorum token file to approve operation -h, --help Print help
Exemplo: configuração de um atributo de chave
O exemplo a seguir mostra como usar o comando key set-attribute para definir o rótulo.
-
Use a chave com o rótulo
my_key, conforme mostrado aqui:aws-cloudhsm >key set-attribute --filter attr.label=my_key --name encrypt --value false{ "error_code": 0, "data": { "message": "Attribute set successfully" } } -
Use o comando key list para confirmar que o atributo
encryptfoi alterado:aws-cloudhsm >key list --filter attr.label=my_key --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x00000000006400ec", "key-info": { "key-owners": [ { "username": "bob", "key-coverage": "full" } ], "shared-users": [], "key-quorum-values": { "manage-key-quorum-value": 0, "use-key-quorum-value": 0 }, "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "my_key", "id": "", "check-value": "0x6bd9f7", "class": "secret-key", "encrypt": false, "decrypt": true, "token": true, "always-sensitive": true, "derive": true, "destroyable": true, "extractable": true, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": true, "trusted": true, "unwrap": true, "verify": true, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } }
Argumentos
<CLUSTER_ID>-
O ID do cluster em que essa operação será executada.
Obrigatório: se vários clusters tiverem sido configurados.
<KEY_ATTRIBUTE>-
Especifica o nome do atributo de chave.
Obrigatório: sim
<FILTER>-
Referência de chave (por exemplo,
key-reference=0xabc) ou lista separada por espaços de atributos de chave na forma deattr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUEpara selecionar uma chave correspondente para exclusão.Para obter uma lista dos atributos de chave compatíveis com a CloudHSM CLI, consulte Atributos de chave da CloudHSM CLI
Obrigatório: não
<KEY_ATTRIBUTE_VALUE>-
A chave especifica o nome do atributo.
Obrigatório: sim
<KEY_REFERENCE>-
Uma representação hexadecimal ou decimal da chave. (como uma alça de chave).
Obrigatório: não
<APPROVAL>-
Especifica o caminho do arquivo para um arquivo de token de quórum designado para aprovar a operação. Exigido somente se o valor do quórum do serviço de gerenciamento de chaves da chave for maior do que 1.
Tópicos relacionados
