本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的金鑰 AWS CloudHSM
您必須先在 AWS CloudHSM 叢集中的硬體安全模組 (HSM) 上建立[使用者](manage-hsm-users.md)和金鑰,才能使用叢集進行加密處理。
在 中 AWS CloudHSM,使用下列任何一項來管理叢集中 HSMs上的金鑰:
+ PKCS \$111 程式庫
+ JCE 提供者
+ CNG 和 KSP 提供者
+ CloudHSM CLI
在管理金鑰前,請以加密使用者 (CU) 的使用者名稱和密碼登入 HSM。只有 CU 才可建立金鑰。建立金鑰的 CU 擁有並管理該金鑰。
如需在 中管理金鑰的詳細資訊,請參閱下列主題 AWS CloudHSM。
**Topics**
+ [金鑰同步與耐久性](manage-key-sync.md)
+ [AES 金鑰包裝](manage-aes-key-wrapping.md)
+ [可信任金鑰](manage-keys-using-trusted-keys.md)
+ [使用 CloudHSM CLI 進行金鑰管理](manage-keys-chsm-cli.md)
+ [使用 KMU 進行金鑰管理](manage-keys-kmu-cmu.md)
# 中的金鑰同步和耐久性設定 AWS CloudHSM
AWS CloudHSM 會同步您建立的每個字符金鑰。金鑰同步主要是自動程序,但您可以在叢集中至少使用兩個硬體安全模組 (HSM),讓金鑰更耐久。本主題說明金鑰同步處理設定、客戶在叢集上使用金鑰時所面臨的常見問題,以及讓金鑰更耐久的策略。
本主題說明 中的金鑰同步設定 AWS CloudHSM、客戶在叢集上使用金鑰時遇到的常見問題,以及讓金鑰更持久的策略。
**Topics**
+ [概念](concepts-key-sync.md)
+ [了解金鑰同步](understand-key-sync.md)
+ [變更用戶端金鑰耐久性設定](working-client-sync.md)
+ [同步複製的叢集之間的金鑰](cli-sync.md)
# AWS CloudHSM 關鍵概念
以下是使用 金鑰時需要注意的概念 AWS CloudHSM。
**權杖金鑰**
您在金鑰產生、匯入或取消包裝操作期間建立的持久性金鑰。 會 AWS CloudHSM 同步叢集中的字符金鑰。
**工作階段金鑰**
僅存在於叢集中一個硬體安全模組 (HSM) 上的暫時性金鑰。 AWS CloudHSM *不會*跨叢集同步工作階段金鑰。
**用戶端金鑰同步**
一種用戶端程序,可複製您在金鑰產生、匯入或解除包裝作業期間建立的權杖金鑰。您可以透過執行至少兩個 HSM 的叢集,使權杖金鑰更耐久。
**伺服器端金鑰同步**
定期將金鑰複製到叢集中的每個 HSM。不需要管理。
**用戶端金鑰耐久性設定**
您在用戶端上設定的會影響金鑰耐久性的設定。這些設定在用戶端 SDK 5 和用戶端 SDK 3 中的運作方式不同。
+ 在用戶端 SDK 5 中,使用此設定來執行單一 HSM 叢集。
+ 在用戶端 SDK 3 中,使用此設定可指定金鑰建立作業成功所需的 HSM 數目。
# 了解 AWS CloudHSM 金鑰同步
AWS CloudHSM 使用金鑰同步來複製叢集中所有硬體安全模組 (HSM) 的權杖金鑰。您可以在金鑰產生、匯入或解除包裝作業期間,將權杖金鑰建立為持久性金鑰。為了在叢集中分配這些金鑰,CloudHSM 提供用戶端和伺服器端金鑰同步處理。
![\[Key synchronization diagram showing client-side and server-side sync for CloudHSM 叢集.\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/images/key-synch.png)
金鑰同步處理 (伺服器端和用戶端) 的目標是在建立新金鑰之後,儘快在叢集中散發新金鑰。這很重要,因為您後續使用新金鑰所進行的呼叫可以路由傳送至叢集中任何可用的 HSM。如果您進行的呼叫路由到沒有 金鑰的 HSM,則呼叫會失敗。您可以指定應用程式重試在金鑰建立作業之後進行的後續呼叫,藉此減輕這些類型的失敗。同步處理所需的時間可能會有所不同,具體取決於叢集的工作負載和其他無形資產。使用 CloudWatch 指標來判斷應用程式在這種情況下應採用的時間。如需詳細資訊,請參閱 [CloudWatch 指標](hsm-metrics-cw.md)。
在雲端環境中,金鑰同步處理的挑戰在於金鑰的耐久性。您可以在單一 HSM 上建立金鑰,並且通常會立即開始使用這些金鑰。如果您建立金鑰的 HSM 在將金鑰複製到叢集中的其他 HSM 前失敗,您將遺失金鑰*並*存取金鑰所加密的任何項目。為了減輕此風險,我們提供*用戶端同步處理*。用戶端同步處理是用戶端程序,可複製您在金鑰產生、匯入或解除包裝作業期間建立的金鑰。在建立金鑰時複製金鑰會讓金鑰更耐久。當然,您無法使用單一 HSM 複製叢集中的金鑰。為了讓金鑰更耐久,我們也建議您將叢集設定為至少使用兩個 HSM。透過用戶端同步處理和具有兩個 HSM 的叢集,您可以在雲端環境中應對金鑰耐久性的挑戰。
# 變更 AWS CloudHSM 用戶端金鑰耐久性設定
金鑰同步處理大部分是自動程序,但您可以管理用戶端金鑰耐久性設定。用戶端金鑰耐久性設定在用戶端 SDK 5 和用戶端 SDK 3 中的運作方式不同。
+ 在用戶端 SDK 5 中,我們介紹了*金鑰可用性定額組*的概念。此概念要求您至少使用兩個 HSM 執行叢集。您可以使用用戶端金鑰耐久性設定來選擇退出兩個 HSM 需求。如需定額組的詳細資訊,請參閱 [AWS CloudHSM 關鍵概念](concepts-key-sync.md)。
+ 在用戶端 SDK 3 中,您可以使用用戶端金鑰耐久性設定來指定必須成功建立金鑰的 HSM 數目,整體作業才會視為成功。
## 用戶端 SDK 5 用戶端金鑰耐久性設定
在用戶端 SDK 5 中,金鑰同步處理是完全自動的程序。透過金鑰可用性定額組,新建立的金鑰在您的應用程式使用金鑰前必須存在於叢集中的兩個 HSM 上。若要使用金鑰可用性定額組,您的叢集必須至少要有兩個 HSM。
如果您的叢集組態不符合金鑰耐久性需求,則建立或使用權杖金鑰的任何嘗試都會失敗,並在日誌中顯示下列錯誤訊息:
```
Key does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.
```
您可以使用用戶端組態設定來選擇退出金鑰可用性定額組。例如,您可能想要選擇退出以單一 HSM 執行叢集。
### 用戶端 SDK 5 概念
**金鑰可用性定額組**
AWS CloudHSM 指定叢集中的 HSMs 數目,在應用程式可以使用金鑰之前,金鑰必須存在於其中。需要至少有兩個 HSM 的叢集。
### 管理用戶端金鑰耐久性設定
若要管理用戶端金鑰耐久性設定,您必須使用用戶端 SDK 5 的設定工具。
------
#### [ PKCS \$111 library ]
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
```
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
```
------
#### [ OpenSSL Dynamic Engine ]
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
```
------
#### [ OpenSSL Dynamic Engine Provider ]
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-openssl-provider --disable-key-availability-check
```
------
#### [ Key Storage Provider (KSP) ]
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
```
------
#### [ JCE provider ]
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
```
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
```
------
#### [ CloudHSM CLI ]
**在 Linux 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
$ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
```
**在 Windows 上停用用戶端 SDK 5 的用戶端金鑰耐久性**
+ 使用設定工具來停用用戶端金鑰耐久性設定。
```
PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check
```
------
## 用戶端 SDK 3 用戶端金鑰耐久性設定
在用戶端 SDK 3 中,金鑰同步處理大部分是自動程序,但您可以使用用戶端金鑰耐久性設定,讓金鑰更耐久。您需要指定必須成功建立金鑰的 HSM 數目,整體作業才會視為成功。無論您選擇何種設定,用戶端同步處理始終都會盡最大努力嘗試將金鑰複製到叢集中的每個 HSM。您的設定會對您指定的 HSM 數量強制建立金鑰。如果您指定一個值,但系統無法將金鑰複製到該數目的 HSM,則系統會自動清除任何不需要的金鑰材料,您可以再試一次。
**重要**
如果您未設定用戶端金鑰耐久性設定 (或使用預設值 1),您的金鑰容易遺失。如果您目前的 HSM 應該在伺服器端服務將該金鑰複製到另一個 HSM 之前失敗,您就會遺失金鑰材料。
若要最大化金鑰持久性,請考慮為用戶端同步處理指定至少兩個 HSM。請記住,無論您指定了多少 HSM,叢集上的工作負載都保持不變。用戶端同步處理一律會盡最大努力嘗試將金鑰複製到叢集中的每個 HSM。
**建議**
+ **最小值**:每個叢集兩個 HSM
+ **最大值**:少於叢集中 HSM 總數的一個值
如果用戶端同步處理失敗,用戶端服務會清除任何可能已建立且現在不需要的多餘金鑰。這種清理是盡力而為的回應,可能並非不總是有效。如果清理失敗,您可能必須刪除不需要的金鑰材料。如需詳細資訊,請參閱[金鑰同步處理失敗](ts-client-sync-fail.md)。
### 設定用戶端金鑰耐久性的組態檔案
若要指定用戶端金鑰耐久性設定,您必須編輯 `cloudhsm_client.cfg`。
**編輯用戶端組態檔案**
1. 打開 `cloudhsm_client.cfg`。
**Linux**︰
```
/opt/cloudhsm/etc/cloudhsm_client.cfg
```
**Windows**:
```
C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg
```
1. 在 檔案的`client`節點中,新增`create_object_minimum_nodes`並指定 HSMs 數目下限的值,該值 AWS CloudHSM 必須成功建立金鑰,金鑰建立操作才能成功。
```
"create_object_minimum_nodes" : 2
```
**注意**
key\$1mgmt\$1util (KMU) 命令列工具有用戶端金鑰耐久性的額外設定。如需詳細資訊,請參閱[KMU 與用戶端同步](#kmu-sync)
#### 組態參考
以下是用戶端同步處理屬性,如 `cloudhsm_client.cfg` 的摘錄所示:
```
{
"client": {
"create_object_minimum_nodes" : 2,
...
},
...
}
```
**create\$1object\$1minimum\$1nodes**
指定認為金鑰產生、金鑰匯入或金鑰解除包裝作業成功所需的 HSM 數目下限。如果設定,則預設值為 1。即:對於每個金鑰建立作業,用戶端服務都會嘗試在叢集中的每個 HSM 上建立金鑰,但若要傳回成功,只需要在叢集中的一個 HSM 上建立*單一金鑰*。
### KMU 與用戶端同步
如果您使用 key\$1mgmt\$1util (KMU) 命令列工具建立金鑰,您可以使用選用的命令列參數 (`-min_srv`) 來*限制*需要複製金鑰的 HSM 數目。如果您指定命令列參數*和*組態檔案中的值, 會 AWS CloudHSM 傳回兩個值的 LARGER。
如需詳細資訊,請參閱下列主題:
+ [genDSAKeyPair](key_mgmt_util-genDSAKeyPair.md)
+ [genECCKeyPair](key_mgmt_util-genECCKeyPair.md)
+ [genRSAKeyPair](key_mgmt_util-genRSAKeyPair.md)
+ [genSymKey](key_mgmt_util-genSymKey.md)
+ [importPrivateKey](key_mgmt_util-importPrivateKey.md)
+ [importPubKey](key_mgmt_util-importPubKey.md)
+ [imSymKey](key_mgmt_util-imSymKey.md)
+ [insertMaskedObject](key_mgmt_util-insertMaskedObject.md)
+ [unWrapKey](key_mgmt_util-unwrapKey.md)
# 在複製的 AWS CloudHSM 叢集之間同步金鑰
用戶端和伺服器端同步僅適用於同步*相同* AWS CloudHSM 叢集中的金鑰。如果您將叢集備份複製到另一個區域,請使用[金鑰複](cloudhsm_cli-key-replicate.md)寫命令在兩個叢集之間複寫金鑰。您可以使用複製的叢集進行跨區域備援,或簡化災難復原程序。如果您尚未安裝 CloudHSM CLI,請參閱 中的指示[開始使用 AWS CloudHSM 命令列界面 (CLI)](cloudhsm_cli-getting-started.md)。
# 中的 AES 金鑰包裝 AWS CloudHSM
本主題說明 中的 AES 金鑰包裝選項 AWS CloudHSM。AES 金鑰包裝使用 AES 金鑰 (包裝金鑰) 來包裝任何類型的另一個金鑰 (目標金鑰)。您可以使用金鑰包裝來保護儲存的金鑰,或透過不安全的網路傳輸金鑰。
**Topics**
+ [支援的演算法](#supported-types)
+ [在 中使用 AES 金鑰包裝 AWS CloudHSM](#use-aes-key-wrap)
## 支援的演算法
AWS CloudHSM 提供三種 AES 金鑰包裝選項,每個選項都根據目標金鑰在包裝前的填充方式而定。當您呼叫金鑰包裝時,會根據您使用的演算法自動完成填補。下表列出支援的演算法和相關詳細資訊,可協助您為應用程式選擇適當的包裝機制。
| AES 金鑰包裝演算法 | 規格 | 支援的目標金鑰類型 | 填補方案 | AWS CloudHSM 用戶端可用性 |
| --- | --- | --- | --- | --- |
| AES 金鑰包裝,零填補 | [RFC 5649](https://tools.ietf.org/html/rfc5649) 和 [SP 800–38F](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38F.pdf) | 全部 | 如果需要,在金鑰位元後增加零,以對齊區塊 | SDK 3.1 及更新版本 |
| AES 金鑰包裝,無填補 | [RFC 3394](https://tools.ietf.org/html/rfc3394) 和 [SP 800–38F](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-38F.pdf) | 區塊對齊的金鑰,例如 AES 和 3DES | 無 | SDK 3.1 及更新版本 |
| AES 金鑰包裝與 PKCS \$15 填補 | 無 | 全部 | 根據 PKCS \$15 填補方案新增至少 8 個位元組以對齊區塊 | 全部 |
若要了解如何在應用程式中使用上表的 AES 金鑰包裝演算法,請參閱 [AWS CloudHSM中的使用 AES 金鑰包裝](#use-aes-key-wrap)。
### 了解 AES 金鑰包裝中的初始化向量
在包裝之前,CloudHSM 會將初始化向量 (IV) 附加到目標金鑰,以確保資料完整性。每個金鑰包裝演算法對於允許什麼類型的 IV 都有特定的限制。若要在 中設定 IV AWS CloudHSM,您有兩個選項:
+ 隱含:將 IV 設定為 NULL,CloudHSM 會使用該演算法的預設值進行包裝和取消包裝操作 (建議)
+ 明確:透過將預設 IV 值傳遞給金鑰包裝函數來設定 IV
**重要**
您必須了解在您應用程式中使用什麼 IV。若要取消包裝金鑰,您必須提供您用來包裝金鑰的相同 IV。如果您使用隱含 IV 來包裝,則請使用隱含 IV 來取消包裝。對於隱含 IV,CloudHSM 將使用預設值來取消包裝。
下表說明包裝演算法指定之 IV 的允許值。
****
| AES 金鑰包裝演算法 | 隱含 IV | 明確 IV |
| --- | --- | --- |
| AES 金鑰包裝,零填補 | 必要 預設值:(根據規格在內部計算 IV) | 不允許 |
| AES 金鑰包裝,無填補 | 允許 (建議使用) 預設值:`0xA6A6A6A6A6A6A6A6` | 允許 只接受此值:`0xA6A6A6A6A6A6A6A6` |
| AES 金鑰包裝與 PKCS \$15 填補 | 允許 (建議使用) 預設值:`0xA6A6A6A6A6A6A6A6` | 允許 只接受此值:`0xA6A6A6A6A6A6A6A6` |
## 在 中使用 AES 金鑰包裝 AWS CloudHSM
如下所示包裝和取消包裝金鑰:
+ 在 [PKCS \$111 程式庫](pkcs11-library.md)中,為 `C_WrapKey` 和 `C_UnWrapKey` 函數選取適當的機制,如下表所示。
+ 在 [JCE 提供者](java-library.md)中,選取適當的演算法、模式和填補組合,實作加密方法 `Cipher.WRAP_MODE` 和 `Cipher.UNWRAP_MODE`,如下表所示。
+ 在 [CloudHSM CLI](cloudhsm_cli.md) 中,從支援的 [CloudHSM CLI 中的金鑰包裝命令](cloudhsm_cli-key-wrap.md)和 演算法清單中選擇適當的[CloudHSM CLI 中的金鑰取消包裝命令](cloudhsm_cli-key-unwrap.md)演算法,如下表所示。
+ 在 [key\$1mgmt\$1util (KMU)](key_mgmt_util.md) 中,使用 [使用 KMU 取消包裝 AWS CloudHSM 金鑰](key_mgmt_util-unwrapKey.md) 和 [使用 KMU 匯出 AWS CloudHSM 金鑰](key_mgmt_util-wrapKey.md) 命令搭配適當的 m 值,如下表所示。
****
| AES 金鑰包裝演算法 | PKCS \$111 機制 | Java 方法 | CloudHSM CLI 子命令 | 金鑰管理公用程式 (KMU) 引數 |
| --- | --- | --- | --- | --- |
| AES 金鑰包裝,零填補 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/manage-aes-key-wrapping.html) | AESWrap/ECB/ZeroPadding | aes-zero-pad | m = 6 |
| AES 金鑰包裝,無填補 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/manage-aes-key-wrapping.html) | AESWrap/ECB/NoPadding | aes-no-pad | m = 5 |
| AES 金鑰包裝與 PKCS \$15 填補 | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/cloudhsm/latest/userguide/manage-aes-key-wrapping.html) | AESWrap/ECB/PKCS5Padding | aes-pkcs5-pad | m = 4 |
# 在 中使用信任的金鑰 AWS CloudHSM
AWS CloudHSM 支援受信任的金鑰包裝,以保護資料金鑰免受內部威脅。本主題說明如何建立可信任金鑰來保護資料安全。
**Topics**
+ [了解可信任金鑰](understand-trusted-key-wraps.md)
+ [可信任的金鑰屬性](key_attribute_background.md)
+ [如何使用可信任金鑰來包裝資料金鑰](wrap_keys_using_trusted.md)
+ [如何使用可信任金鑰取包裝消資料金鑰](unwrap_keys_using_trusted.md)
# 了解 中的信任金鑰 AWS CloudHSM
*可信任金鑰*是用來包裝其他金鑰的金鑰,管理員和加密管理員 (COs) 會使用屬性 `CKA_TRUSTED` 明確識別為可信任。此外,管理員和加密管理員 (CO) 會使用 `CKA_UNWRAP_TEMPLATE` 和相關屬性來指定可信任金鑰取消資料金鑰包裝後可執行的動作。由可信任金鑰取消資料金鑰包裝也必須包含這些屬性,取消包裝的操作才能成功,其有助於確保只允許已取消包裝的資料金鑰用於您想要的用途。
使用屬性 `CKA_WRAP_WITH_TRUSTED` 來識別您要使用可信任金鑰包裝的所有資料金鑰。這樣做可讓您限制資料金鑰,讓應用程式只能使用可信任金鑰來取消包裝。一旦您在資料金鑰上設定此屬性,屬性就會變成唯讀,而且無法變更。設定這些屬性後,應用程式只能使用您信任的金鑰來取消資料金鑰包裝,並且取消包裝一律會產生具有會限制這些金鑰使用方式屬性的資料金鑰。
# 中的信任金鑰屬性 AWS CloudHSM
下列屬性可讓您將 AWS CloudHSM 金鑰標示為受信任、指定資料金鑰只能使用受信任金鑰包裝和取消包裝,以及控制資料金鑰在取消包裝後可執行的操作:
+ `CKA_TRUSTED`:將此屬性 (除 `CKA_UNWRAP_TEMPLATE` 外) 套用於將會包裝資料金鑰的金鑰,以表明管理員或加密管理員 (CO) 已完成必要的盡職調查並信任此金鑰。只有管理員或 CO 可以設定 `CKA_TRUSTED`。加密使用者 (CU) 擁有金鑰,但只有 CO 可以設置其 `CKA_TRUSTED` 屬性。
+ `CKA_WRAP_WITH_TRUSTED`:將此屬性套用於可匯出的資料金鑰,以表明只能使用標記為 `CKA_TRUSTED` 的金鑰包裝此金鑰。一旦設定 `CKA_WRAP_WITH_TRUSTED` 為 true,屬性就會變成唯讀,而且您無法變更或移除屬性。
+ `CKA_UNWRAP_TEMPLATE`:將此屬性套用於包裝金鑰 (除 `CKA_TRUSTED` 外),以指定服務必須自動套用於服務取消包裝資料金鑰的屬性名稱和值。當應用程式提交金鑰以取消包裝時,還可提供自有的取消包裝範本。如果您指定取消包裝範本,且應用程式提供了自有的取消包裝範本,則 HSM 會使用這兩個範本將屬性名稱和值套用於金鑰。但是,如果用於包裝金鑰的 `CKA_UNWRAP_TEMPLATE` 中的值與應用程式在取消包裝請求期間提供的屬性衝突,取消包裝請求會失敗。
如需關於屬性的詳細資訊,請參閱下列主題:
+ [PKCS \$111 金鑰屬性](pkcs11-attributes.md)
+ [JCE 金鑰屬性](java-lib-attributes_5.md)
+ [CloudHSM CLI 金鑰屬性](cloudhsm_cli-key-attributes.md)
# 如何使用信任的金鑰在 中包裝資料金鑰 AWS CloudHSM
若要使用信任的金鑰來包裝資料金鑰 AWS CloudHSM,您必須完成三個基本步驟:
1. 對於您計劃使用可信任金鑰包裝的資料金鑰,請將其 `CKA_WRAP_WITH_TRUSTED` 屬性設定為 true。
1. 對於您計劃用來包裝資料金鑰的可信任金鑰,請將其 `CKA_TRUSTED` 屬性設定為 true。
1. 使用可受信任金鑰來包裝資料金鑰。
## 步驟 1:將資料金鑰的 `CKA_WRAP_WITH_TRUSTED` 設定為 true
對於要包裝的資料金鑰,選擇以下選項之一以將金鑰的 `CKA_WRAP_WITH_TRUSTED` 屬性設定為 true。這樣做會限制資料金鑰,因此應用程式只能使用可信任金鑰來包裝。
### 選項 1:如果產生一個新的金鑰,將 `CKA_WRAP_WITH_TRUSTED` 設定為 true
使用 [PKCS \$111](pkcs11-library.md)、[JCE](java-library.md) 或 [CloudHSM CLI](cloudhsm_cli.md) 產生金鑰。如需詳細資訊,請參閱下列範例。
------
#### [ PKCS \$111 ]
若要使用 PKCS \$111 產生金鑰,您需要將金鑰的 `CKA_WRAP_WITH_TRUSTED` 屬性設定為 true。為此,請先將此屬性包含在金鑰的 `CK_ATTRIBUTE template` 中,然後將屬性設定為 true,如下列範例所示:
```
CK_BYTE_PTR label = "test_key";
CK_ATTRIBUTE template[] = {
{CKA_WRAP_WITH_TRUSTED, &true_val, sizeof(CK_BBOOL)},
{CKA_LABEL, label, strlen(label)},
...
};
```
如需詳細資訊,請參閱[使用 PKCS \$111 產生金鑰的公開示範範例](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/generate)。
------
#### [ JCE ]
若要使用 JCE 產生金鑰,您需要將金鑰的 `WRAP_WITH_TRUSTED` 屬性設定為 true。為此,請先將此屬性包含在金鑰的 `KeyAttributesMap` 中,然後將屬性設定為 true,如下列範例所示:
```
final String label = "test_key";
final KeyAttributesMap keySpec = new KeyAttributesMap();
keySpec.put(KeyAttribute.WRAP_WITH_TRUSTED, true);
keySpec.put(KeyAttribute.LABEL, label);
...
```
如需詳細資訊,請參閱[使用 JCE 產生金鑰的公開示範範例](https://docs.aws.amazon.com/cloudhsm/latest/userguide/java-samples.html#java-samples-code_5)。
------
#### [ CloudHSM CLI ]
若要使用 CloudHSM CLI 產生金鑰,您需要將金鑰的 `wrap-with-trusted` 屬性設定為 true。為此,請將 `wrap-with-trusted=true` 包含在適合金鑰產生命令的引數:
+ 對於對稱金鑰,請將 `wrap-with-trusted` 新增至 `attributes` 引數中。
+ 對於公有金鑰,請將 `wrap-with-trusted` 新增至 `public-attributes` 引數中。
+ 對於私有金鑰,請將 `wrap-with-trusted` 新增至 `private-attributes` 引數中。
如需關於產生金鑰對的詳細資訊,請參閱 [CloudHSM CLI 中的 generate-asymmetric-pair 類別](cloudhsm_cli-key-generate-asymmetric-pair.md)。
如需關於產生對稱金鑰的詳細資訊,請參閱 [CloudHSM CLI 中的產生對稱類別](cloudhsm_cli-key-generate-symmetric.md)。
------
### 選項 2:如果使用現有金鑰,請使用 CloudHSM CLI 將其 `CKA_WRAP_WITH_TRUSTED` 設定為 true
若要將現有金鑰的 `CKA_WRAP_WITH_TRUSTED` 屬性設定為 true,請依照下列步驟執行:
1. 使用 [使用 CloudHSM CLI 登入 HSM](cloudhsm_cli-login.md) 命令以加密使用者 (CU) 身分登入。
1. 使用 [使用 CloudHSM CLI 設定金鑰的屬性](cloudhsm_cli-key-set-attribute.md) 命令將金鑰的 `wrap-with-trusted` 屬性設定為 true。
```
aws-cloudhsm > key set-attribute --filter attr.label=test_key --name wrap-with-trusted --value true
{
"error_code": 0,
"data": {
"message": "Attribute set successfully"
}
}
```
## 步驟 2:將可信任金鑰的 `CKA_TRUSTED` 設定為 true
若要讓金鑰成為可信任金鑰,其 `CKA_TRUSTED` 屬性必須設定為 true。您可以使用 CloudHSM CLI 或 CloudHSM 管理公用程式 (CMU) 來執行此操作。
+ 如果使用 CloudHSM CLI 設定金鑰的 `CKA_TRUSTED` 屬性,請參閱 [使用 CloudHSM CLI 將金鑰標記為信任](manage-keys-cloudhsm-cli-trusted.md)。
+ 如果使用 CMU 來設定金鑰的 `CKA_TRUSTED` 屬性,請參閱 [如何使用 AWS CloudHSM Management Utility 將金鑰標記為受信任](cloudhsm_using_trusted_keys_control_key_wrap.md)。
## 步驟 3。使用可受信任金鑰來包裝資料金鑰
若要使用您在步驟 2 中設定的可信任金鑰來包裝步驟 1 所述的資料金鑰,請參閱下列連結以取得程式碼範例。每個都示範如何包裝金鑰。
+ [AWS CloudHSM PKCS \$111 範例](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/tree/master/src/wrapping)
+ [AWS CloudHSM JCE 範例](https://github.com/aws-samples/aws-cloudhsm-jce-examples/tree/sdk5/src/main/java/com/amazonaws/cloudhsm/examples)
# 如何使用 的信任金鑰來取消包裝資料金鑰 AWS CloudHSM
若要在 中取消包裝資料金鑰 AWS CloudHSM,您需要已`CKA_UNWRAP`設為 true 的信任金鑰。若要成為金鑰,其還必須滿足下列條件:
+ 金鑰的 `CKA_TRUSTED` 屬性必須設定為 true。
+ 金鑰必須使用 `CKA_UNWRAP_TEMPLATE` 和相關屬性來指定資料金鑰在取消包裝後可以執行的動作。例如,如果您希望取消包裝的金鑰不可匯出,您可以將 `CKA_EXPORTABLE = FALSE` 設定為 `CKA_UNWRAP_TEMPLATE` 的一部分。
**注意**
`CKA_UNWRAP_TEMPLATE` 僅可與 PKCS \$111 一同使用。
當應用程式提交要取消包裝的金鑰時,應用程式也可以提供自有的取消包裝範本。如果您指定取消包裝範本,且應用程式提供了自有的取消包裝範本,則 HSM 會使用這兩個範本將屬性名稱和值套用於金鑰。但是,如果在取消包裝請求期間,可信任金鑰中的值與應用程式提供的屬性 `CKA_UNWRAP_TEMPLATE` 衝突,則取消包裝請求會失敗。
若要查看關於使用可信任金鑰取消包裝金鑰的範例,請參閱[此 PKCS \$111 範例](https://github.com/aws-samples/aws-cloudhsm-pkcs11-examples/blob/master/src/wrapping/unwrap_with_template.c)。
# 使用 CloudHSM CLI 進行金鑰管理
如果使用[最新的 SDK 版本系列](use-hsm.md),請使用 [CloudHSM CLI](cloudhsm_cli.md) 來管理 AWS CloudHSM 叢集中的金鑰。如需詳細資訊,請參閱下列主題。
+ [使用信任的金鑰](manage-keys-cloudhsm-cli-trusted.md)說明如何使用 CloudHSM CLI 建立信任的金鑰來保護資料。
+ [產生金鑰](manage-keys-cloudhsm-cli-generate.md)包括建立金鑰的說明,包括對稱金鑰、RSA 金鑰和 EC 金鑰。
+ [刪除金鑰](manage-keys-cloudhsm-cli-delete.md)會說明金鑰擁有者如何刪除金鑰。
+ [共用和取消共用金鑰](manage-keys-cloudhsm-cli-share.md)詳細說明金鑰擁有者如何共用和取消共用金鑰。
+ [篩選金鑰](manage-keys-cloudhsm-cli-filtering.md)提供如何使用篩選條件尋找金鑰的準則。
+ [管理金鑰規定人數身分驗證 (M of N) ](key-quorum-auth-chsm-cli.md) 提供如何使用金鑰設定和使用規定人數身分驗證的指導方針。
# 使用 CloudHSM CLI 產生金鑰
您必須先啟動 [CloudHSM CLI](cloudhsm_cli.md) 並以加密使用者 (CU) 身分登入,才能產生金鑰。若要在 HSM 中產生金鑰,請使用與您想產生之金鑰類型對應的命令。
**Topics**
+ [產生對稱金鑰](cloudhsm-cli-generate-symmetric-keys.md)
+ [產生非對稱金鑰](cloudhsm-cli-generate-asymmetric-keys.md)
+ [相關主題](cloudhsm-cli-generate-keys-seealso.md)
# 使用 CloudHSM CLI 產生對稱金鑰
使用 中列出的命令**[CloudHSM CLI 中的產生對稱類別](cloudhsm_cli-key-generate-symmetric.md)**來產生 的對稱金鑰 AWS CloudHSM。若要查看所有可用的選項,請使用 **help key generate-symmetric** 命令。
## 產生 AES 金鑰
使用 **key generate-symmetric aes** 命令產生 AES 金鑰。若要查看所有可用的選項,請使用 **help key generate-symmetric aes** 命令。
**Example**
下列範例會產生 32 位元組 AES 金鑰。
```
aws-cloudhsm > key generate-symmetric aes \
--label aes-example \
--key-length-bytes 32
```
### 引數
***