本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# CloudHSM CLI 命令的引用
CloudHSM CLI 可帮助管理员管理其集群中的用户。 AWS CloudHSM CloudHSM CLI 可以在两种模式下运行:交互模式和单命令模式。要快速开始使用,请参阅 [AWS CloudHSM 命令行界面 (CLI) 入门](cloudhsm_cli-getting-started.md)。
要运行大多数 CloudHSM CLI 命令,必须启动 CloudHSM CLI 并登录 HSM。如果您添加或删除 HSMs,请更新 CloudHSM CLI 的配置文件。否则,您所做的更改可能不会对集群 HSMs 中的所有人生效。
以下主题介绍 CloudHSM CLI 中的命令:
| 命令 | 说明 | 用户类型 |
| --- | --- | --- |
| [激活](cloudhsm_cli-cluster-activate.md) | 激活一个 CloudHSM 集群并确认该集群是新集群。必须先完成此操作,然后才能执行任何其他操作。 | 未激活的管理员 |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | 列出您的集群 HSMs 中的。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | 使用 EC 私有密钥和 ECDSA 签名机制生成签名。 | 加密用户 (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | 使用 Ed25519 私钥和 D HashEd SA 签名机制生成签名。 | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | 使用 RSA 私有密钥和 RSA-PKCS 签名机制生成签名。 | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | 使用 RSA 私钥和签名机制生成 RSA-PKCS-PSS签名。 | CU |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | 确认文件已通过给定的公有密钥在 HSM 中签名。验证签名是否是使用 ECDSA 签名机制生成的。将签名文件与源文件进行比较,并根据给定的 ecdsa 公有密钥和签名机制确定两者是否具有加密相关性。 | CU |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | 使用 E HashEd d25519 公钥验证 DSA 签名。 | CU |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | 确认文件已通过给定的公有密钥在 HSM 中签名。验证签名是否是使用 RSA-PKCS 签名机制生成的。将签名文件与源文件进行比较,并根据给定的 rsa 公有密钥和签名机制确定两者是否具有加密相关性。 | CU |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | 确认文件已通过给定的公有密钥在 HSM 中签名。验证签名是否使用签名机制生成。 RSA-PKCS-PSS将签名文件与源文件进行比较,并根据给定的 rsa 公有密钥和签名机制确定两者是否具有加密相关性。 | CU |
| [key delete](cloudhsm_cli-key-delete.md) | 从您的 AWS CloudHSM 集群中删除密钥。 | CU |
| [key generate-file](cloudhsm_cli-key-generate-file.md) | 在您的 AWS CloudHSM 集群中生成密钥文件。 | CU |
| [密钥 generate-asymmetric-pair rsa](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | 在您的 AWS CloudHSM 集群中生成非对称 RSA key pair。 | CU |
| [key generate-asymmetric-pair ec](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | 在集群中生成非对称椭圆曲线 (EC) 密钥对。 AWS CloudHSM | CU |
| [key generate-symmetric aes](cloudhsm_cli-key-generate-symmetric-aes.md) | 在 AWS CloudHSM 集群中生成对称 AES 密钥。 | CU |
| [key generate-symmetric generic-secret](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | 在您的 AWS CloudHSM 集群中生成对称通用密钥。 | CU |
| [key import pem](cloudhsm_cli-key-import-pem.md) | 将 PEM 格式密钥导入到 HSM。您可以使用它来导入在 HSM 外生成的公有密钥。 | CU |
| [key list](cloudhsm_cli-key-list.md) | 查找 AWS CloudHSM 集群中当前用户的所有密钥。 | CU |
| [key replicate](cloudhsm_cli-key-replicate.md) | 将密钥从源集群复制到克隆的目标集群。 | CU |
| [key set-attribute](cloudhsm_cli-key-set-attribute.md) | 设置集 AWS CloudHSM 群中密钥的属性。 | CUs 可以运行此命令,管理员可以设置可信属性。 |
| [key share](cloudhsm_cli-key-share.md) | 与 AWS CloudHSM 集群 CUs 中的其他人共享密钥。 | CU |
| [key unshare](cloudhsm_cli-key-unshare.md) | 取消与 AWS CloudHSM 集群 CUs 中的其他人共享密钥。 | CU |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | 使用 AES 包装密钥和 AES-GCM 解包机制将有效载荷密钥解包到集群中。 | CU |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | 使用 AES 封装密钥和解包机制将有效载荷密钥 AES-NO-PAD解封到集群中。 | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | 使用 AES 封装密钥和 AES PKCS5--PAD 解包机制解开有效载荷密钥。 | CU |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | 使用 AES 封装密钥和解包机制将有效载荷密钥 AES-ZERO-PAD解封到集群中。 | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | 使用 AES 封装密钥和解包机制将有效载荷密钥 CLOUDHSM-AES-GCM解封到集群中。 | CU |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | 使用 RSA 私有密钥和 RSA-AES 解包机制来解包有效载荷密钥。 | CU |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | 使用 RSA 私有密钥和 RSA-OAEP 解包机制来解包有效载荷密钥。 | CU |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | 使用 RSA 私有密钥和 RSA-PKCS 解包机制来解包有效载荷密钥。 | CU |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | 使用 HSM 上的 AES 密钥和 AES-GCM 包装机制来包装有效载荷密钥。 | CU |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | 使用 HSM 上的 AES 密钥和 AES-NO-PAD包装机制封装有效载荷密钥。 | CU |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | 使用 HSM 上的 AES 密钥和 AES PKCS5--PAD 包装机制封装有效载荷密钥。 | CU |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | 使用 HSM 上的 AES 密钥和 AES-ZERO-PAD包装机制封装有效载荷密钥。 | CU |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | 使用 HSM 上的 AES 密钥和 CLOUDHSM-AES-GCM包装机制封装有效载荷密钥。 | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | 使用 HSM 上的 RSA 公有密钥和 RSA-AES 包装机制来包装有效载荷密钥。 | CU |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | 使用 HSM 上的 RSA 公有密钥和 RSA-OAEP 包装机制来包装有效载荷密钥。 | CU |
| [ 使用 CloudHSM CLI 通过 RSA-PKCS 解包密钥rsa-pkcs **key wrap rsa-pkcs** 命令使用 HSM 上的 RSA 公有密钥和 `RSA-PKCS` 包装机制来包装有效载荷密钥。 使用 CloudHSM CLI 中的 **key wrap rsa-pkcs** 命令通过硬件安全模块(HSM)上的 RSA 公有密钥和 `RSA-PKCS` 包装机制包装有效载荷密钥。有效载荷密钥的 `extractable` 属性必须设置为 `true`。 只有密钥的所有者(即创建密钥的加密用户(CU))才能包装密钥。共享密钥的用户可以使用该密钥进行加密操作。 要使用该**key wrap rsa-pkcs**命令,您必须先在 AWS CloudHSM 集群中拥有 RSA 密钥。可以使用 [CloudHSM CLI 中的 generate-asymmetric-pair类别](cloudhsm_cli-key-generate-asymmetric-pair.md) 命令并将 `wrap` 属性设置为 `true` 生成 RSA 密钥对。 用户类型 以下类型的用户均可运行此命令。 加密用户 (CUs) 要求 要运行此命令,必须以 CU 身份登录。 语法
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [{{}}...] --wrapping-filter [{{}}...]
Options:
--cluster-id {{}}
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [{{}}...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [{{}}...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path {{}}
Path to the binary file where the wrapped key data will be saved
--wrapping-approval {{}}
File path of signed quorum token file to approve operation for wrapping key
--payload-approval {{}}
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` 示例 此示例演示如何通过 RSA 公有密钥使用 **key wrap rsa-pkcs** 命令。
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` 参数
**{{}}**
要运行此操作的集群的 ID。
必需:如果[已配置](cloudhsm_cli-configs-multi-cluster.md)多个集群。
**{{}}**
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择有效载荷密钥。
是否必需:是
**{{}}**
保存包装密钥数据的二进制文件的路径。
必需:否
**{{}}**
密钥引用(例如 `key-reference=0xabc`)或空格分隔的密钥属性列表,采用 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE` 形式,可选择包装密钥。
是否必需:是
**{{}}**
指定已签名仲裁令牌文件的文件路径,进而批准包装密钥的操作。仅当包装密钥的密钥管理服务仲裁值大于 1 时才需要。
**{{}}**
指定已签名仲裁令牌文件的文件路径,进而批准有效载荷密钥的操作。仅当有效载荷密钥的密钥管理服务仲裁值大于 1 时才需要。 相关主题 [CloudHSM CLI 中的 key wrap 命令](cloudhsm_cli-key-wrap.md) [CloudHSM CLI 中的 key unwrap 命令](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | 使用 HSM 上的 RSA 公有密钥和 RSA-PKCS 包装机制来包装有效载荷密钥。 | CU |
| [login](cloudhsm_cli-login.md) | 登录您的集 AWS CloudHSM 群。 | 管理员、加密用户 (CU) 和应用程序用户 (AU) |
| [logout](cloudhsm_cli-logout.md) | 注销您的 AWS CloudHSM 集群。 | 管理员、加密用户 (CU) 和应用程序用户 (AU, appliance user) |
| [quorum token-sign delete](cloudhsm_cli-qm-token-del.md) | 删除仲裁授权服务的一个或多个令牌。 | Admin |
| [quorum token-sign generate](cloudhsm_cli-qm-token-gen.md) | 为仲裁授权服务生成令牌。 | Admin |
| [quorum token-sign list](cloudhsm_cli-qm-token-list.md) | 列出您的 CloudHSM 集群中存在的所有令牌签名仲裁令牌。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [法定代币符号 list-quorum-values](cloudhsm_cli-qm-token-list-qm.md) | 列出您的 CloudHSM 集群中设置的仲裁值。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [法定代币符号 set-quorum-value](cloudhsm_cli-qm-token-set-qm.md) | 为仲裁授权服务设置新的仲裁值。 | Admin |
| [user change-mfa](cloudhsm_cli-user-change-mfa.md) | 更改用户的多重身份验证 (MFA, multi-factor authentication) 策略。 | 管理员,CU |
| [user change-password](cloudhsm_cli-user-change-password.md) | 在上更改用户的密码 HSMs。所有用户都可更改自己的密码。管理员可以更改任何人的密码。 | 管理员,CU |
| [user create](cloudhsm_cli-user-create.md) | 在您的 AWS CloudHSM 集群中创建用户。 | Admin |
| [user delete](cloudhsm_cli-user-delete.md) | 删除集 AWS CloudHSM 群中的用户。 | Admin |
| [user list](cloudhsm_cli-user-list.md) | 列出 AWS CloudHSM 集群中的用户。 | 全部 [1](#cli-ref-1),包括未经身份验证的用户。不需要登录名。 |
| [user change-quorum token-sign register](cloudhsm_cli-user-chqm-token-reg.md) | 为用户注册仲裁令牌签名仲裁策略。 | Admin |
**Annotations**
+ [1] 所有用户包括所有列出的角色和未登录的用户。