本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 AWS CloudHSM KMU 插入被屏蔽的对象
使用 AWS CloudHSM key\$1mgmt\$1util 中的**insertMaskedObject**命令将文件中的屏蔽对象插入到指定的硬件安全模块 (HSM) 中。遮蔽对象是使用 [**extractMaskedObject**](key_mgmt_util-extractMaskedObject.md) 命令从 HSM 中提取的*克隆*对象。它们只能在插回原始集群后使用。您只能将遮蔽对象插入到生成该对象的同一集群或克隆集群。这包括通过[复制跨区域的备份](copy-backup-to-region.md)生成的任何克隆版本的原始集群,并[使用该备份来创建新的集群](create-cluster-from-backup.md)。
遮蔽对象是一种用来卸载和同步密钥的有效方式,包括不可提取密钥(即 [`OBJ_ATTR_EXTRACTABLE`](key-attribute-table.md) 值为 `0` 的密钥)。这样,无需更新 AWS CloudHSM [配置文件](configure-tool.md)即可在不同区域的相关集群之间安全地同步密钥。
在运行任何 key\$1mgmt\$1util 命令之前,您必须[启动 key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) 并以加密用户(CU)身份[登录](key_mgmt_util-log-in.md)到 HSM。
## 语法
```
insertMaskedObject -h
insertMaskedObject -f
[-min_srv ]
[-timeout ]
```
## 示例
此示例显示了如何使用 **insertMaskedObject** 将遮蔽对象文件插入到 HSM。
**Example :插入遮蔽对象**
此命令从名为 `maskedObj` 的文件将遮蔽对象插入到 HSM。如果命令成功,**insertMaskedObject** 将返回从遮蔽对象解密的密钥的密钥句柄和成功消息。
```
Command: insertMaskedObject -f maskedObj
Cfm3InsertMaskedObject returned: 0x00 : HSM Return: SUCCESS
New Key Handle: 262433
Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
```
## 参数
此命令采用以下参数。
**`-h`**
显示该命令的命令行帮助。
是否必需:是
**`-f`**
指定遮蔽对象要插入的文件名。
是否必需:是
**`-min_srv`**
指定在 `-timeout` 参数的值到期之前,同步插入遮蔽对象的服务器的最小数量。如果对象在分配的时间内未同步到指定数量的服务器,则不会插入。
默认:1
必需:否
**`-timeout`**
指定在包含 `min-serv` 参数时,等待密钥在服务器间同步的秒数。如果没有指定数字,轮询永远继续。
默认值:无限制
必需:否
## 相关主题
+ [extractMaskedObject](key_mgmt_util-extractMaskedObject.md)
+ [syncKey](cloudhsm_mgmt_util-syncKey.md)
+ [跨区域复制备份](copy-backup-to-region.md)
+ [使用先前的 Backup 创建 AWS CloudHSM 集群](create-cluster-from-backup.md)