As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Exportar uma AWS CloudHSM chave usando o KMU
<a name="key_mgmt_util-wrapKey"></a>

Use o **wrapKey** comando no AWS CloudHSM key\$1mgmt\$1util para exportar uma cópia criptografada de uma chave simétrica ou privada do módulo de segurança de hardware (HSM) para um arquivo. Ao executar **wrapKey**, você especifica a chave a ser exportada, uma chave no HSM para criptografar (encapsular) a chave que deseja exportar e o arquivo de saída.

O comando `wrapKey` grava a chave criptografada em um arquivo que você especifica, mas não remove a chave do HSM ou impede que você a use em operações de criptografia. É possível exportar a mesma chave várias vezes. 

Somente o proprietário de uma chave, ou seja, o usuário CU que a criou, pode exportá-la. Os usuários que compartilham a chave podem usá-la em operações de criptografia, mas não podem exportá-la.

Para importar a chave criptografada novamente no HSM, use [unWrapKey](key_mgmt_util-unwrapKey.md). Para exportar uma chave de texto simples de um HSM, use [exSymKey](key_mgmt_util-exSymKey.md)ou [exportPrivateKey](key_mgmt_util-exportPrivateKey.md)conforme apropriado. O [aesWrapUnwrap](key_mgmt_util-aesWrapUnwrap.md)comando não pode descriptografar (desempacotar) as chaves que criptografam. **wrapKey**

Antes de executar um comando key\$1mgmt\$1util, você deve [iniciar key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) e [fazer login](key_mgmt_util-log-in.md) no HSM como um usuário de criptografia (CU). 

## Sintaxe
<a name="wrapKey-syntax"></a>

```
wrapKey -h

wrapKey -k <exported-key-handle>
        -w <wrapping-key-handle>
        -out <output-file>
        [-m <wrapping-mechanism>]
        [-aad <additional authenticated data filename>]
        [-t <hash-type>]
        [-noheader]
        [-i <wrapping IV>]  
        [-iv_file <IV file>]
        [-tag_size <num_tag_bytes>>]
```

## Exemplo
<a name="wrapKey-examples"></a>

**Example**  
Esse comando exporta uma chave simétrica Triple DES (3DES) de 192 bits (identificador de chave `7`). Ele usa uma chave AES de 256 bits no HSM (identificador de chave `14`) para encapsular a chave `7`. Em seguida, ele grava a chave 3DES criptografada no arquivo `3DES-encrypted.key`.  
A saída mostra que a chave `7` (3DES) foi encapsulada e gravada com sucesso no arquivo especificado. A chave criptografada tem 307 bytes de comprimento.  

```
        Command:  wrapKey -k 7 -w 14 -out 3DES-encrypted.key -m 4

        Key Wrapped.

        Wrapped Key written to file "3DES-encrypted.key length 307

        Cfm2WrapKey returned: 0x00 : HSM Return: SUCCESS
```

## Parâmetros
<a name="wrapKey-params"></a>

**-h**  
Exibe a ajuda referente ao comando.   
Obrigatório: Sim

**-k**  
O identificador da chave que você deseja exportar. Digite o identificador da uma chave simétrica ou particular de sua propriedade. Para encontrar os identificadores de chave, use o comando [findKey](key_mgmt_util-findKey.md).  
Para verificar se uma chave pode ser exportada, use o comando [getAttribute](key_mgmt_util-getAttribute.md) para obter o valor do atributo `OBJ_ATTR_EXTRACTABLE`, que é representado pela constante `354`. Para obter ajuda sobre a interpretação dos principais atributos, consulte [AWS CloudHSM referência de atributo-chave para KMU](key-attribute-table.md).  
Você pode exportar apenas as chaves que você possui. Para encontrar o proprietário de uma chave, use o [getKeyInfo](key_mgmt_util-getKeyInfo.md)comando.  
Obrigatório: Sim

**-w**  
Especifica a chave de empacotamento. Insira o identificador de uma chave AES ou chave RSA no HSM. Esse parâmetro é obrigatório. Para encontrar os identificadores de chave, use o comando [findKey](key_mgmt_util-findKey.md).  
Para criar uma chave de empacotamento, use [genSymKey](key_mgmt_util-genSymKey.md)para gerar uma chave AES (tipo 31) ou [gen RSAKey Pair para gerar um par](key_mgmt_util-genRSAKeyPair.md) de chaves RSA (tipo 0). Se você estiver usando um par de chaves RSA, certifique-se de encapsular a chave com uma das chaves e desencapsular com a outra. Para determinar se uma chave pode ser usada como uma chave de empacotamento, use [getAttribute](key_mgmt_util-getAttribute.md) para obter o valor do atributo `OBJ_ATTR_WRAP`, que é representado pela constante `262`.  
Obrigatório: Sim

**-out**  
O caminho e o nome do arquivo de saída. Quando o comando é bem-sucedido, esse arquivo contém uma cópia criptografada da chave exportada. Se o arquivo já existir, o comando o sobrescreverá sem aviso prévio.  
Obrigatório: Sim

**-m**  
O valor que representa o mecanismo de encapsulamento. O CloudHSM é compatível com os seguintes mecanismos:       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Obrigatório: Sim  
Ao usar o mecanismo de `RSA_OAEP` agrupamento, o tamanho máximo da chave que você pode agrupar é determinado pelo módulo da chave RSA e pelo comprimento do hash especificado da seguinte forma: Tamanho máximo da chave = (modulusLengthInBytes-2\$1 Bytes-2). hashLengthIn  
Ao usar o mecanismo de encapsulamento RSA\$1PKCS, o tamanho máximo da chave que você pode encapsular é determinado pelo módulo da chave RSA da seguinte forma: Tamanho máximo da chave = (Bytes -11). modulusLengthIn

**-t**  
O valor que representa o algoritmo hash. O CloudHSM é compatível com os seguintes algoritmos:      
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/cloudhsm/latest/userguide/key_mgmt_util-wrapKey.html)
Obrigatório: não

**-aad**  
O nome do arquivo que contém `AAD`.  
Válido apenas para os mecanismos `AES_GCM` e `CLOUDHSM_AES_GCM`.
Obrigatório: não

**-noheader**  
Omite o cabeçalho que especifica os [atributos de chave](key_mgmt_util-reference.md) específicos do CloudHSM. Use este parâmetro *somente* se desejar desencapsular a chave com ferramentas fora da key\$1mgmt\$1util.  
Obrigatório: não

**-i**  
O vetor de inicialização (IV) (valor hexadecimal).  
Válido somente quando passado com o parâmetro `-noheader` para mecanismos `CLOUDHSM_AES_KEY_WRAP` e `NIST_AES_WRAP`.
Obrigatório: não

**-iv\$1file**  
O arquivo no qual você deseja gravar o valor IV obtido em resposta.  
Válido somente quando passado com o parâmetro `-noheader` para o mecanismo `AES_GCM`.
Obrigatório: não

**-tag\$1size**  
O tamanho da tag a ser salva junto com o blob encapsulado.  
Válido somente quando passado com o parâmetro `-noheader` para mecanismos `AES_GCM` e `CLOUDHSM_AES_GCM`. O tamanho mínimo da tag é oito.
Obrigatório: não

[1] De acordo com a orientação do NIST, isso não é permitido em clusters no modo FIPS após 2023. Para clusters no modo não FIPS, isso ainda é permitido após 2023. Para mais detalhes, consulte [Conformidade com o FIPS 140: suspensão do mecanismo de 2024](compliance-dep-notif.md#compliance-dep-notif-1).

## Tópicos relacionados
<a name="wrapKey-seealso"></a>
+ [exSymKey](key_mgmt_util-exSymKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)