Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Empaquetar una clave con RSA-AES mediante la CLI de CloudHSM
<a name="cloudhsm_cli-key-wrap-rsa-aes"></a>

Use el comando **key wrap rsa-aes** de la CLI de CloudHSM para empaquetar una clave de carga útil mediante una clave pública RSA en el módulo de seguridad de hardware (HSM) y el mecanismo de empaquetado RSA-AES. El atributo `extractable` de la clave de carga útil se debe establecer en `true`.

Solo el propietario de una clave, es decir, el usuario de criptografía (CU) que creó la clave, puede empaquetarla. Los usuarios que comparten la clave pueden usarla en operaciones criptográficas.

Para usar el **key wrap rsa-aes** comando, primero debe tener una clave RSA en el AWS CloudHSM clúster. Puede generar un par de claves de RSA con el comando [La generate-asymmetric-pair categoría en CloudHSM CLI](cloudhsm_cli-key-generate-asymmetric-pair.md) y el atributo `wrap` establecido en `true`.

## Tipo de usuario
<a name="cloudhsm_cli-key-wrap-rsa-aes-userType"></a>

Los tipos de usuarios siguientes pueden ejecutar este comando.
+ Usuarios criptográficos () CUs

## Requisitos
<a name="cloudhsm_cli-key-wrap-rsa-aes-requirements"></a>
+ Para ejecutar este comando, debe iniciar sesión como CU.

## Sintaxis
<a name="cloudhsm_cli-key-wrap-rsa-aes-syntax"></a>

```
aws-cloudhsm > help key wrap rsa-aes
Usage: key wrap rsa-aes [OPTIONS] --payload-filter [<PAYLOAD_FILTER>...] --wrapping-filter [<WRAPPING_FILTER>...] --hash-function <HASH_FUNCTION> --mgf <MGF>

Options:
      --cluster-id <CLUSTER_ID>
          Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
      --payload-filter [<PAYLOAD_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
      --wrapping-filter [<WRAPPING_FILTER>...]
          Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
      --path <PATH>
          Path to the binary file where the wrapped key data will be saved
      --wrapping-approval <WRAPPING_APPROVALR>
          File path of signed quorum token file to approve operation for wrapping key
      --payload-approval <PAYLOAD_APPROVALR>
          File path of signed quorum token file to approve operation for payload key
      --hash-function <HASH_FUNCTION>
          Hash algorithm [possible values: sha1, sha224, sha256, sha384, sha512]
      --mgf <MGF>
          Mask Generation Function algorithm [possible values: mgf1-sha1, mgf1-sha224, mgf1-sha256, mgf1-sha384, mgf1-sha512]
  -h, --help
          Print help
```

## Ejemplo
<a name="cloudhsm_cli-key-wrap-rsa-aes-examples"></a>

En este ejemplo, se muestra cómo usar el comando **key wrap rsa-ae** mediante una clave pública RSA con el valor del atributo `wrap` establecido en `true`.

**Example**  

```
aws-cloudhsm > key wrap rsa-aes --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example --hash-function sha256 --mgf mgf1-sha256
{
  "error_code": 0,
  "data": {
    "payload-key-reference": "0x00000000001c08f1",
    "wrapping-key-reference": "0x00000000007008da",
    "wrapped-key-data": "HrSE1DEyLjIeyGdPa9R+ebiqB5TIJGyamPker31ZebPwRA+NcerbAJO8DJ1lXPygZcI21vIFSZJuWMEiWpe1R9D/5WSYgxLVKex30xCFqebtEzxbKuv4DOmU4meSofqREYvtb3EoIKwjyxCMRQFgoyUCuP4y0f0eSv0k6rSJh4NuCsHptXZbtgNeRcR4botN7LlzkEIUcq4fVHaatCwd0J1QGKHKyRhkol+RL5WGXKe4nAboAkC5GO7veI5yHL1SaKlssSJtTL/CFpbSLsAFuYbv/NUCWwMY5mwyVTCSlw+HlgKK+5TH1MzBaSi8fpfyepLT8sHy2Q/VRl6ifb49p6m0KQFbRVvz/OWUd6l4d97BdgtaEz6ueg=="
  }
}
```

## Argumentos
<a name="cloudhsm_cli-key-wrap-rsa-aes-arguments"></a>

***<CLUSTER\$1ID>***  
El ID del clúster en el que se va a ejecutar esta operación.  
Obligatorio: si se han [configurado](cloudhsm_cli-configs-multi-cluster.md) varios clústeres.

***<PAYLOAD\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de carga útil.  
Obligatorio: sí

***<PATH>***  
Ruta al archivo binario donde se guardarán los datos de la clave empaquetada.  
Obligatorio: no

***<WRAPPING\$1FILTER>***  
Referencia de clave (por ejemplo, `key-reference=0xabc`) o lista de atributos clave separados por espacios en forma de `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` para seleccionar una clave de empaquetado.   
Obligatorio: sí

***<MGF>***  
Especifica la función de generación de máscaras.  
La función hash de la función de generación de máscaras debe coincidir con la función hash del mecanismo de firma.
Valores válidos  
+ mgf1-sha1
+ mgf1-sha224
+ mgf1-sha256
+ mgf1-sha384
+ mgf1-sha512
Obligatorio: sí

***<WRAPPING\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de encapsulado. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de encapsulado es mayor que 1.

***<PAYLOAD\$1APPROVALR>***  
Especifica la ruta del archivo a un archivo de token de quórum firmado para aprobar la operación de la clave de carga útil. Solo es obligatorio si el valor de quórum del servicio de administración de claves de la clave de carga útil es mayor que 1.

## Temas relacionados
<a name="cloudhsm_cli-key-wrap-rsa-aes-seealso"></a>
+ [El comando de empaquetado de claves en la CLI de CloudHSM](cloudhsm_cli-key-wrap.md)
+ [El comando de desempaquetado de clave en la CLI de CloudHSM](cloudhsm_cli-key-unwrap.md)