As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Gerenciamento de chaves com o AWS CloudHSM KMU
Se estiver usando a [série de versões mais recente do SDK](use-hsm.md), use a [CLI do CloudHSM](cloudhsm_cli.md) para gerenciar as chaves em seu cluster. AWS CloudHSM
Se estiver usando a [série de versões anteriores do SDK](choose-client-sdk.md), você pode gerenciar chaves nos módulos de segurança de hardware (HSM) em seu AWS CloudHSM cluster usando a ferramenta de linha de comando key\$1mgmt\$1util (KMU). Antes de gerenciar as chaves, você deve iniciar o AWS CloudHSM cliente, iniciar key\$1mgmt\$1util e fazer login no. HSMs Para obter mais informações, consulte [Conceitos básicos do key\$1mgmt\$1util](key_mgmt_util-getting-started.md).
+ [O uso de chaves confiáveis](cloudhsm_using_trusted_keys_control_key_wrap.md) descreve como usar os atributos da biblioteca PKCS \$111 e a CMU para criar chaves confiáveis para proteger os dados.
+ A [geração de chaves](generate-keys.md) tem instruções sobre a geração de chaves, incluindo chaves simétricas, chaves RSA e chaves EC.
+ [A importação de chaves](import-keys.md) fornece detalhes sobre como os proprietários das chaves importam as chaves.
+ [A exportação de chaves](export-keys.md) fornece detalhes sobre como os proprietários das chaves exportam as chaves.
+ [A exclusão de chaves](delete-keys.md) fornece detalhes de como os proprietários das chaves excluem as chaves.
+ O [compartilhamento e o não compartilhamento de chaves](share-keys.md) detalham como os proprietários compartilham e cancelam o compartilhamento das chaves.
# Gere chaves com o AWS CloudHSM KMU
Para gerar chaves no módulo de segurança de hardware (HSM), use o comando em AWS CloudHSM key\$1mgmt\$1util (KMU) que corresponde ao tipo de chave que você deseja gerar.
**Topics**
+ [Gerar chaves simétricas](generate-symmetric-keys.md)
+ [Gerar pares de chaves RSA](generate-rsa-key-pairs.md)
+ [Gerar pares de chaves ECC (protocolo de criptografia de curva elíptica)](generate-ecc-key-pairs.md)
# Gere chaves simétricas com o AWS CloudHSM KMU
Use o [genSymKey](key_mgmt_util-genSymKey.md)comando em AWS CloudHSM key\$1mgmt\$1util (KMU) para gerar AES e outros tipos de chaves simétricas para. AWS CloudHSM Para consultar todas as opções disponíveis, use o comando **genSymKey -h**.
O exemplo a seguir cria uma chave AES de 256 bits.
```
Command: genSymKey -t 31 -s 32 -l aes256
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524295
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Gere pares de chaves RSA com o AWS CloudHSM KMU
Para gerar um par de chaves RSA para AWS CloudHSM, use o comando [gen RSAKey Pair](key_mgmt_util-genRSAKeyPair.md) em AWS CloudHSM key\$1mgmt\$1util. Para consultar todas as opções disponíveis, use o comando **genRSAKeyPair -h**.
O exemplo a seguir gera um par de chaves RSA de 2048 bits.
```
Command: genRSAKeyPair -m 2048 -e 65537 -l rsa2048
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 524294 private key handle: 524296
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Gere pares de chaves ECC (criptografia de curva elíptica) usando o KMU AWS CloudHSM
Para gerar um par de chaves ECC para AWS CloudHSM, use o comando [gen ECCKey Pair](key_mgmt_util-genECCKeyPair.md) em AWS CloudHSM key\$1mgmt\$1util. Para consultar todas as opções disponíveis, incluindo uma lista das curvas elípticas suportadas, use o comando **genECCKeyPair -h**.
O exemplo a seguir gera um par de chaves ECC usando a curva elíptica P-384 definida na [publicação FIPS 186-4 do NIST](http://dx.doi.org/10.6028/NIST.FIPS.186-4).
```
Command: genECCKeyPair -i 14 -l ecc-p384
Cfm3GenerateKeyPair returned: 0x00 : HSM Return: SUCCESS
Cfm3GenerateKeyPair: public key handle: 524297 private key handle: 524298
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Importar chaves com o AWS CloudHSM KMU
Para importar chaves secretas, ou seja, chaves simétricas e chaves privadas assimétricas, para o módulo de segurança de hardware (HSM) usando o AWS CloudHSM key\$1mgmt\$1util, você deve primeiro criar uma chave de encapsulamento no HSM. Importe chaves públicas diretamente sem uma chave de encapsulamento.
**Topics**
+ [Importar chaves secretas](import-secret-keys.md)
+ [Importar chaves públicas](import-public-keys.md)
# Importe chaves secretas com a AWS CloudHSM KMU
Conclua as etapas a seguir para importar uma chave secreta para AWS CloudHSM usar o key\$1mgmt\$1util (KMU). Antes de importar uma chave secreta, salve-a em um arquivo. Salve chaves simétricas como bytes brutos e chaves assimétricas privadas no formato PEM.
Este exemplo mostra como importar uma chave secreta com texto sem formatação de um arquivo para o HSM. Para importar uma chave criptografada de um arquivo para o HSM, use o [unWrapKey](key_mgmt_util-unwrapKey.md)comando.
**Para importar uma chave secreta**
1. Use o [genSymKey](key_mgmt_util-genSymKey.md)comando para criar uma chave de empacotamento. O comando a seguir cria uma chave de encapsulamento AES de 128 bits válida apenas para a sessão atual. Você pode usar uma chave de sessão ou uma chave persistente como chave de encapsulamento.
```
Command: genSymKey -t 31 -s 16 -sess -l import-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524299
Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
1. Use um dos seguintes comandos, de acordo com o tipo de chave secreta que estiver importando.
+ Para importar uma chave simétrica, use o comando [imSymKey](key_mgmt_util-imSymKey.md). O comando a seguir importa uma chave AES a partir de um arquivo chamado `aes256.key` usando a chave de encapsulamento criada na etapa anterior. Para consultar todas as opções disponíveis, use o comando **imSymKey -h**.
```
Command: imSymKey -f aes256.key -t 31 -l aes256-imported -w 524299
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Unwrapped. Key Handle: 524300
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
+ Para importar uma chave privada assimétrica, use o comando [importPrivateKey](key_mgmt_util-importPrivateKey.md). O comando a seguir importa uma chave privada a partir de um arquivo chamado `rsa2048.key` usando a chave de encapsulamento criada na etapa anterior. Para consultar todas as opções disponíveis, use o comando **importPrivateKey -h**.
```
Command: importPrivateKey -f rsa2048.key -l rsa2048-imported -w 524299
BER encoded key length is 1216
Cfm3WrapHostKey returned: 0x00 : HSM Return: SUCCESS
Cfm3CreateUnwrapTemplate returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapKey returned: 0x00 : HSM Return: SUCCESS
Private Key Unwrapped. Key Handle: 524301
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Importe chaves públicas com a AWS CloudHSM KMU
Use o [importPubKey](key_mgmt_util-importPubKey.md)comando no AWS CloudHSM key\$1mgmt\$1util (KMU) para importar uma chave pública. Para consultar todas as opções disponíveis, use o comando **importPubKey -h**.
O exemplo a seguir importa uma chave pública RSA a partir de um arquivo chamado `rsa2048.pub`.
```
Command: importPubKey -f rsa2048.pub -l rsa2048-public-imported
Cfm3CreatePublicKey returned: 0x00 : HSM Return: SUCCESS
Public Key Handle: 524302
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Exportar chaves com o AWS CloudHSM KMU
Para exportar chaves AWS CloudHSM secretas, ou seja, chaves simétricas e chaves privadas assimétricas, do módulo de segurança de hardware (HSM) usando o AWS CloudHSM key\$1mgmt\$1util (KMU), você deve primeiro criar uma chave de encapsulamento. Exporte chaves públicas diretamente sem uma chave de encapsulamento.
Somente o proprietário da chave pode exportá-la. Os usuários com quem essa chave é compartilhada podem usá-la em operações criptográficas, mas não podem exportá-la. Ao executar este exemplo, certifique-se de exportar uma chave que você criou.
**Importante**
O [exSymKey](key_mgmt_util-exSymKey.md)comando grava uma cópia em texto simples (não criptografado) da chave secreta em um arquivo. O processo de exportação requer uma chave de encapsulamento, mas a chave no arquivo ***não*** é uma chave encapsulada. Para exportar uma cópia encapsulada (criptografada) de uma chave, use o comando [wrapKey](key_mgmt_util-wrapKey.md).
**Topics**
+ [Exportar chaves secretas](export-secret-keys.md)
+ [Exportar chaves públicas](export-public-keys.md)
# Exporte chaves secretas com a AWS CloudHSM KMU
Conclua as etapas a seguir para exportar uma chave secreta AWS CloudHSM usando o key\$1mgmt\$1util (KMU).
**Para exportar uma chave secreta**
1. Use o [genSymKey](key_mgmt_util-genSymKey.md)comando para criar uma chave de empacotamento. O comando a seguir cria uma chave de encapsulamento AES de 128 bits válida apenas para a sessão atual.
```
Command: genSymKey -t 31 -s 16 -sess -l export-wrapping-key
Cfm3GenerateSymmetricKey returned: 0x00 : HSM Return: SUCCESS
Symmetric Key Created. Key Handle: 524304
Cluster Error Status
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
1. Use um dos seguintes comandos, de acordo com o tipo de chave secreta que estiver exportando.
+ Para exportar uma chave simétrica, use o [exSymKey](key_mgmt_util-exSymKey.md)comando. O comando a seguir exporta uma chave AES para um arquivo chamado `aes256.key.exp`. Para consultar todas as opções disponíveis, use o comando **exSymKey -h**.
```
Command: exSymKey -k 524295 -out aes256.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
Wrapped Symmetric Key written to file "aes256.key.exp"
```
**nota**
A saída do comando diz que uma "Chave simétrica encapsulada" está gravada no arquivo de saída. No entanto, o arquivo de saída contém uma chave com texto sem formatação (não encapsulada). Para exportar uma chave encapsulada (criptografada) para um arquivo, use o comando [wrapKey](key_mgmt_util-wrapKey.md).
+ Para exportar uma chave privada, use o comando **exportPrivateKey**. O comando a seguir exporta uma chave privada para um arquivo chamado `rsa2048.key.exp`. Para consultar todas as opções disponíveis, use o comando **exportPrivateKey -h**.
```
Command: exportPrivateKey -k 524296 -out rsa2048.key.exp -w 524304
Cfm3WrapKey returned: 0x00 : HSM Return: SUCCESS
Cfm3UnWrapHostKey returned: 0x00 : HSM Return: SUCCESS
PEM formatted private key is written to rsa2048.key.exp
```
# Exportar chaves públicas com a AWS CloudHSM KMU
Use o **exportPubKey** comando no AWS CloudHSM key\$1mgmt\$1util (KMU) para exportar uma chave pública. Para consultar todas as opções disponíveis, use o comando **exportPubKey -h**.
O exemplo a seguir exporta uma chave pública RSA para um arquivo chamado `rsa2048.pub.exp`.
```
Command: exportPubKey -k 524294 -out rsa2048.pub.exp
PEM formatted public key is written to rsa2048.pub.key
Cfm3ExportPubKey returned: 0x00 : HSM Return: SUCCESS
```
# Excluir chaves com o KMU e o CMU
Use o comando [deleteKey](key_mgmt_util-deleteKey.md) para excluir uma chave, conforme o exemplo a seguir. Somente o proprietário da chave pode excluí-la.
```
Command: deleteKey -k 524300
Cfm3DeleteKey returned: 0x00 : HSM Return: SUCCESS
Cluster Error Status
Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
Node id 2 and err state 0x00000000 : HSM Return: SUCCESS
```
# Compartilhar e descompartilhar chaves com o KMU e o CMU
Em AWS CloudHSM, a UC que cria a chave a possui. O proprietário gerencia a chave, pode exportá-la e excluí-la e pode usá-la em operações criptográficas. O proprietário também pode compartilhar a chave com outros usuários CU. Os usuários com quem a chave é compartilhada podem usá-la em operações criptográficas, mas não podem exportá-la ou excluí-la nem compartilhá-la com outros usuários.
Você pode compartilhar chaves com outros usuários da UC ao criar a chave, por exemplo, usando o `-u` parâmetro dos comandos [genSymKey](key_mgmt_util-genSymKey.md)or [gen RSAKey Pair](key_mgmt_util-genRSAKeyPair.md). Para compartilhar chaves existentes com um usuário diferente do HSM, use a ferramenta de linha de comando [cloudhsm\$1mgmt\$1util](cloudhsm_mgmt_util.md). Isso é diferente da maioria das tarefas documentadas nesta seção, que usam a ferramenta de linha de comando [key\$1mgmt\$1util](key_mgmt_util.md).
Antes de compartilhar uma chave, você deve iniciar o cloudhsm\$1mgmt\$1util, habilitar end-to-end a criptografia e fazer login no. HSMs Para conseguir compartilhar uma chave, faça login no HSM como o usuário de criptografia (CU) que tem a chave. Somente os proprietários de chaves podem compartilhar uma chave.
Use o **shareKey** comando para compartilhar ou cancelar o compartilhamento de uma chave, especificando o identificador da chave e o IDs do usuário ou usuários. Para compartilhar ou cancelar o compartilhamento com mais de um usuário, especifique uma lista de usuários separada por vírgula. IDs Para compartilhar uma chave, use `1` como o último parâmetro do comando, como no exemplo a seguir. Para descompartilhar, use `0`.
```
aws-cloudhsm > shareKey 524295 4 1
*************************CAUTION********************************
This is a CRITICAL operation, should be done on all nodes in the
cluster. AWS does NOT synchronize these changes automatically with the
nodes on which this operation is not executed or failed, please
ensure this operation is executed on all nodes in the cluster.
****************************************************************
Do you want to continue(y/n)? y
shareKey success on server 0(10.0.2.9)
shareKey success on server 1(10.0.3.11)
shareKey success on server 2(10.0.1.12)
```
Veja a seguir a sintaxe do comando **shareKey**.
```
aws-cloudhsm > shareKey
```
# Como marcar uma chave como confiável com o Utilitário AWS CloudHSM de Gerenciamento
O conteúdo desta seção fornece instruções sobre como usar o utilitário AWS CloudHSM de gerenciamento (CMU) para marcar uma chave como confiável.
1. Usando o comando [LoginHSM](cloudhsm_mgmt_util-loginLogout.md), faça login do como responsável pela criptografia (CO).
1. Use o comando [Defina os atributos das AWS CloudHSM chaves usando CMU](cloudhsm_mgmt_util-setAttribute.md) com `OBJ_ATTR_TRUSTED` (valor `134`) definido como true (`1`).
```
aws-cloudhsm > setAttribute 134 1
```