Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione delle chiavi con la AWS CloudHSM KMU
Se utilizzi la [serie di versioni SDK più recente](use-hsm.md), utilizza la CLI di [CloudHSM per gestire](cloudhsm_cli.md) le chiavi nel cluster. AWS CloudHSM
Se utilizzi la [serie di versioni SDK precedente](choose-client-sdk.md), puoi gestire le chiavi sui moduli di sicurezza hardware (HSM) del AWS CloudHSM cluster utilizzando lo strumento da riga di comando key\$1mgmt\$1util (KMU). Prima di poter gestire le chiavi, è necessario avviare il AWS CloudHSM client, avviare key\$1mgmt\$1util e accedere a. HSMs Per ulteriori informazioni, consulta la pagina [Getting Started with key\$1mgmt\$1util](key_mgmt_util-getting-started.md).
+ La pagina sull'[utilizzo di chiavi attendibili](cloudhsm_using_trusted_keys_control_key_wrap.md) descrive come utilizzare gli attributi della libreria PKCS \$111 e CMU per creare chiavi attendibili per proteggere i dati.
+ La pagina sulla [generazione delle chiavi](generate-keys.md) presenta istruzioni sulla creazione delle chiavi, tra cui chiavi simmetriche, chiavi RSA e chiavi EC.
+ La pagina sull'[importazione delle chiavi](import-keys.md) fornisce i dettagli su come i proprietari possono importare le chiavi.
+ La pagina sull'[esportazione delle chiavi](export-keys.md) fornisce i dettagli su come i proprietari possono esportare le chiavi.
+ La pagina sull'[eliminazione delle chiavi](delete-keys.md) fornisce i dettagli su come i proprietari possono eliminare le chiavi.
+ La pagina su [condivisione e annullamento della condivisione delle chiavi](share-keys.md) illustra in che modo i proprietari possono condividere e annullare la condivisione delle chiavi.
# Genera AWS CloudHSM chiavi con la KMU
Per generare chiavi sul modulo di sicurezza hardware (HSM), utilizzate il comando in AWS CloudHSM key\$1mgmt\$1util (KMU) che corrisponde al tipo di chiave che desiderate generare.
**Topics**
+ [Generazione di chiavi simmetriche](generate-symmetric-keys.md)
+ [Generazione di una coppia di chiavi RSA](generate-rsa-key-pairs.md)
+ [Generazione di coppie di chiavi Elliptic Curve Cryptography (ECC)](generate-ecc-key-pairs.md)
# Genera chiavi simmetriche con la KMU AWS CloudHSM
Usa il [genSymKey](key_mgmt_util-genSymKey.md)comando in AWS CloudHSM key\$1mgmt\$1util (KMU) per generare AES e altri tipi di chiavi simmetriche per. AWS CloudHSM Per visualizzare tutte le opzioni disponibili, utilizza il comando **genSymKey -h**.
Nell'esempio seguente viene creata una chiave AES a 256 bit.
```
Command: genSymKey -t 31 -s 32 -l aes256
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524295
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Genera coppie di chiavi RSA con la AWS CloudHSM KMU
Per generare una coppia di chiavi RSA per AWS CloudHSM, usa il comando [gen RSAKey Pair](key_mgmt_util-genRSAKeyPair.md) in AWS CloudHSM key\$1mgmt\$1util. Per visualizzare tutte le opzioni disponibili, utilizza il comando **genRSAKeyPair -h**.
Nell'esempio di seguito viene creata una coppia di chiavi RSA a 2048 bit.
```
Command: genRSAKeyPair -m 2048 -e 65537 -l rsa2048
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 524294 private key handle: 524296
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Genera coppie di chiavi ECC (crittografia a curva ellittica) utilizzando la KMU AWS CloudHSM
Per generare una coppia di chiavi ECC per AWS CloudHSM, usa il comando [gen ECCKey Pair](key_mgmt_util-genECCKeyPair.md) in AWS CloudHSM key\$1mgmt\$1util. Per visualizzare tutte le opzioni disponibili, tra cui un elenco delle curve ellittiche supportate, utilizza il comando **genECCKeyPair -h**.
Nell'esempio di seguito viene creata una coppia di chiavi ECC con la curva ellittica P-384 definita nella [pubblicazione NIST FIPS 186-4](http://dx.doi.org/10.6028/NIST.FIPS.186-4).
```
Command: genECCKeyPair -i 14 -l ecc-p384
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 524297 private key handle: 524298
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# AWS CloudHSM Importa le chiavi con la KMU
Per importare chiavi segrete, ovvero chiavi simmetriche e chiavi private asimmetriche, nel modulo di sicurezza hardware (HSM) utilizzando AWS CloudHSM key\$1mgmt\$1util, devi prima creare una chiave di wrapping sull'HSM. Puoi importare le chiavi pubbliche direttamente senza una chiave di wrapping.
**Topics**
+ [Importazione di chiavi segrete](import-secret-keys.md)
+ [Importazione di chiavi pubbliche](import-public-keys.md)
# Importa le chiavi segrete con la KMU AWS CloudHSM
Completa i seguenti passaggi per importare una chiave segreta nell' AWS CloudHSM utilizzo di key\$1mgmt\$1util (KMU). Prima di importare una chiave segreta, salvala in un file. Salva le chiavi simmetriche come byte non elaborati e le chiavi private asimmetriche in formato PEM.
In questo esempio viene mostrato come importare una chiave segreta con testo non crittografato da un file nell'HSM. Per importare una chiave crittografata da un file nell'HSM, usa il comando. [unWrapKey](key_mgmt_util-unwrapKey.md)
**Per importare una chiave segreta**
1. Utilizzate il [genSymKey](key_mgmt_util-genSymKey.md)comando per creare una chiave di wrapping. Il seguente comando crea una chiave di wrapping AES a 128 bit, valida solo per la sessione corrente. Puoi utilizzare una chiave di sessione o una persistente come chiave di wrapping.
```
Command: genSymKey -t 31 -s 16 -sess -l import-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524299
Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
1. Utilizza uno dei seguenti comandi, a seconda del tipo di chiave segreta che stai importando.
+ Per importare una chiave simmetrica, utilizza il comando [imSymKey](key_mgmt_util-imSymKey.md). Il seguente comando importa una chiave AES dal file `aes256.key` utilizzando la chiave di wrapping creata nella fase precedente. Per visualizzare tutte le opzioni disponibili, utilizza il comando **imSymKey -h**.
```
Command: imSymKey -f aes256.key -t 31 -l aes256-imported -w 524299
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Unwrapped. Key Handle: 524300
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
+ Per importare una chiave privata asimmetrica, utilizza il comando [importPrivateKey](key_mgmt_util-importPrivateKey.md). Il seguente comando importa una chiave privata dal file `rsa2048.key` utilizzando la chiave di wrapping creata nella fase precedente. Per visualizzare tutte le opzioni disponibili, utilizza il comando **importPrivateKey -h**.
```
Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299
BER encoded key length is 1216
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Private Key Unwrapped. Key Handle: 524301
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Importa le chiavi pubbliche con la AWS CloudHSM KMU
Usa il [importPubKey](key_mgmt_util-importPubKey.md)comando contenuto in AWS CloudHSM key\$1mgmt\$1util (KMU) per importare una chiave pubblica. Per visualizzare tutte le opzioni disponibili, utilizza il comando **importPubKey -h**.
Nell'esempio seguente viene importata una chiave pubblica RSA dal file `rsa2048.pub`.
```
Command: importPubKey -f rsa2048.pub -l rsa2048-public-imported
Cfm3CreatePublicKey returned: 0x00 : HSM Return: SUCCESS
Public Key Handle: 524302
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Esporta AWS CloudHSM le chiavi con la KMU
Per esportare chiavi AWS CloudHSM segrete, ovvero chiavi simmetriche e chiavi private asimmetriche, dal modulo di sicurezza hardware (HSM) utilizzando AWS CloudHSM key\$1mgmt\$1util (KMU), devi prima creare una chiave di wrapping. Puoi esportare le chiavi pubbliche direttamente senza una chiave di wrapping.
Soltanto il proprietario della chiave può esportarla. Gli utenti con cui è condivisa la chiave possono utilizzarla in operazioni di crittografia, ma non possono esportarla. Durante l'esecuzione di questo esempio, assicurati di esportare una chiave creata.
**Importante**
[exSymKey](key_mgmt_util-exSymKey.md)Il comando scrive una copia in testo semplice (non crittografata) della chiave segreta in un file. Il processo di esportazione richiede una chiave di wrapping, ma la chiave nel file ***non*** è di questo tipo. Per esportare una copia di una chiave di wrapping (crittografata), utilizza il comando [wrapKey](key_mgmt_util-wrapKey.md).
**Topics**
+ [Esportazione di chiavi segrete](export-secret-keys.md)
+ [Esportazione di chiavi pubbliche](export-public-keys.md)
# Esporta le chiavi segrete con la KMU AWS CloudHSM
Completa i seguenti passaggi per esportare una chiave segreta AWS CloudHSM utilizzando key\$1mgmt\$1util (KMU).
**Per esportare una chiave segreta**
1. Utilizzate il comando per creare una chiave di avvolgimento. [genSymKey](key_mgmt_util-genSymKey.md) Il seguente comando crea una chiave di wrapping AES a 128 bit, valida solo per la sessione corrente.
```
Command: genSymKey -t 31 -s 16 -sess -l export-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524304
Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
1. Utilizza uno dei seguenti comandi, a seconda del tipo di chiave segreta che stai esportando.
+ Per esportare una chiave simmetrica, usa il comando. [exSymKey](key_mgmt_util-exSymKey.md) Il comando seguente esporta una chiave AES nel file `aes256.key.exp`. Per visualizzare tutte le opzioni disponibili, utilizza il comando **exSymKey -h**.
```
Command: exSymKey -k 524295 -out aes256.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
Wrapped Symmetric Key written to file "aes256.key.exp"
```
**Nota**
L'output del comando indica che una "Chiave simmetrica di wrapping" è stata scritta nel file di output. Tuttavia, il file di output contiene una chiave con testo non crittografato (non wrapping). Per esportare una chiave di wrapping (crittografata) in un file, utilizza il comando [wrapKey](key_mgmt_util-wrapKey.md).
+ Per esportare una chiave privata, utilizza il comando **exportPrivateKey**. Il comando seguente esporta una chiave privata nel file `rsa2048.key.exp`. Per visualizzare tutte le opzioni disponibili, utilizza il comando **exportPrivateKey -h**.
```
Command: exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
PEM formatted private key is written to rsa2048.key.exp
```
# Esporta le chiavi pubbliche con la KMU AWS CloudHSM
Usa il **exportPubKey** comando contenuto in AWS CloudHSM key\$1mgmt\$1util (KMU) per esportare una chiave pubblica. Per visualizzare tutte le opzioni disponibili, utilizza il comando **exportPubKey -h**.
Nell'esempio seguente viene esportata una chiave pubblica RSA nel file `rsa2048.pub.exp`.
```
Command: exportPubKey -k 524294 -out rsa2048.pub.exp
PEM formatted public key is written to rsa2048.pub.key
Cfm3ExportPubKey returned: 0x00 : HSM Return: SUCCESS
```
# Eliminare le chiavi con KMU e CMU
Utilizza il comando [deleteKey](key_mgmt_util-deleteKey.md) per eliminare una chiave, come mostrato nell'esempio seguente: Soltanto il proprietario della chiave può eliminarla.
```
Command: deleteKey -k 524300
Cfm3DeleteKey returned: 0x00 : HSM Return: SUCCESS
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Condividi e annulla la condivisione delle chiavi con KMU e CMU
Nel AWS CloudHSM, la CU che crea la chiave ne è proprietaria. Il proprietario gestisce la chiave, può esportarla ed eliminarla, nonché utilizzarla in operazioni di crittografia. Il proprietario può anche condividere la chiave con altri utenti CU. Gli utenti con cui è condivisa la chiave possono utilizzarla in operazioni di crittografia, ma non possono esportarla, eliminarla, né condividerla con altri utenti.
È possibile condividere le chiavi con altri utenti CU quando si crea la chiave, ad esempio utilizzando il `-u` parametro dei comandi [genSymKey](key_mgmt_util-genSymKey.md)o [gen RSAKey Pair](key_mgmt_util-genRSAKeyPair.md). Per condividere le chiavi esistenti con un altro utente HSM, utilizza lo strumento a riga di comando [cloudhsm\$1mgmt\$1util](cloudhsm_mgmt_util.md). Questa operazione è diversa dalla maggior parte delle attività illustrate in questa sezione, che utilizzano lo strumento a riga di comando [key\$1mgmt\$1util](key_mgmt_util.md).
Prima di poter condividere una chiave, devi avviare cloudhsm\$1mgmt\$1util, abilitare la crittografia e accedere a. end-to-end HSMs Per condividere una chiave, accedi all'HSM come crypto user (CU) che possiede la chiave. Solo i proprietari di chiavi possono condividere una chiave.
Usa il **shareKey** comando per condividere o annullare la condivisione di una chiave, specificando l'handle della chiave e l'utente o gli utenti. IDs Per condividere o annullare la condivisione con più di un utente, specifica un elenco di utenti separati da virgole. IDs Per condividere una chiave, utilizza il comando `1` come ultimo parametro, come nell'esempio seguente. Per annullare la condivisione, utilizza `0`.
```
aws-cloudhsm > shareKey 524295 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
shareKey success on server 0(10.0.2.9)
shareKey success on server 1(10.0.3.11)
shareKey success on server 2(10.0.1.12)
```
Di seguito è mostrata la sintassi del comando **shareKey**.
```
aws-cloudhsm > shareKey
```
# Come contrassegnare una chiave come attendibile con l'utilità AWS CloudHSM di gestione
Il contenuto di questa sezione fornisce istruzioni sull'utilizzo dell'utilità di AWS CloudHSM gestione (CMU) per contrassegnare una chiave come attendibile.
1. Accedi come crypto officer (CO) utilizzando il comando [loginHSM](cloudhsm_mgmt_util-loginLogout.md).
1. Usa il comando [Imposta gli attributi delle AWS CloudHSM chiavi usando CMU](cloudhsm_mgmt_util-setAttribute.md) con `OBJ_ATTR_TRUSTED` (valore `134`) impostato su true (`1`).
```
aws-cloudhsm > setAttribute 134 1
```