本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 KMU 擷取 AWS CloudHSM 金鑰
使用 AWS CloudHSM key\$1mgmt\$1util 中的 **extractMaskedObject**命令,從硬體安全模組 (HSM) 擷取金鑰,並將其儲存到檔案做為遮罩物件。遮罩物件是「複製的」**物件,僅可在使用 **[insertMaskedObject](key_mgmt_util-insertMaskedObject.md)** 命令將這些物件插回原始叢集後才可使用。您僅能將遮罩物件插入之前從中產生的相同叢集,或該叢集的複製品。這包括透過[複製跨區域備份](copy-backup-to-region.md)和[使用該備份建立新叢集](create-cluster-from-backup.md)而產生之叢集的任何複製版本。
遮罩物件是卸載及同步金鑰的有效方式,包括無法擷取的金錀 (即:具有 `0` 的 [`OBJ_ATTR_EXTRACTABLE`](key-attribute-table.md) 值的金鑰)。如此一來,金鑰就可以在不同區域的相關叢集之間安全地同步,而不需要更新 AWS CloudHSM [組態檔案](configure-tool.md)。
**重要**
插入後,即將遮罩物件解密,並給予不同於原始金鑰之金鑰控制代碼的金鑰控制代碼。遮罩物件包括與原始金鑰關聯的所有中繼資料,包括屬性、所有權和分享資訊,以及仲裁設定。如您需要同步處理應用程式中叢集間的金鑰,請改用 cloudhsm\$1mgmt\$1util 中的 [syncKey](cloudhsm_mgmt_util-syncKey.md)。
執行任何 key\$1mgmt\$1util 命令之前,您必須先[啟動 key\$1mgmt\$1util](key_mgmt_util-setup.md#key_mgmt_util-start) 並[登入](key_mgmt_util-log-in.md) HSM。擁有金鑰的 CU 或任何 CO 都可使用 **extractMaskedObject** 命令。
## 語法
```
extractMaskedObject -h
extractMaskedObject -o
-out
```
## 範例
此範例顯示如何使用 **extractMaskedObject** 命令從 HSM 擷取做為遮罩物件的金鑰。
**Example :擷取遮罩物件**
此命令從包含控制代碼 `524295` 的金鑰,自 HSM 擷取遮罩物件,並另存為稱為 `maskedObj` 的檔案。當命令成功時,**extractMaskedObject** 會傳回成功訊息。
```
Command: extractMaskedObject -o 524295 -out maskedObj
Object was masked and written to file "maskedObj"
Cfm3ExtractMaskedObject returned: 0x00 : HSM Return: SUCCESS
```
## Parameters
此命令會使用下列參數。
**`-h`**
顯示命令的命令列說明。
必要:是
**`-o`**
指定金鑰的控制代碼,以做為遮罩物件擷取。
必要:是
**`-out`**
指定將儲存遮罩物件的檔案名稱。
必要:是
## 相關主題
+ [insertMaskedObject](key_mgmt_util-insertMaskedObject.md)
+ [syncKey](cloudhsm_mgmt_util-syncKey.md)
+ [跨區域複製備份](copy-backup-to-region.md)
+ [從先前的備份建立 AWS CloudHSM 叢集](create-cluster-from-backup.md)