本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 KM AWS CloudHSM U 提取密钥
<a name="key_mgmt_util-extractMaskedObject"></a>

使用 AWS CloudHSM key\_mgmt\_util 中的**extractMaskedObject**命令从硬件安全模块 (HSM) 中提取密钥并将其作为屏蔽对象保存到文件中。遮蔽对象是*克隆* 对象，只能在使用 **[insertMaskedObject](key_mgmt_util-insertMaskedObject.md)** 命令将它们插入回原始集群后才能使用。您只能将遮蔽对象插入到生成该对象的同一集群或克隆集群。这包括通过[复制跨区域的备份](copy-backup-to-region.md)生成的任何克隆版本的集群，并[使用该备份来创建新的集群](create-cluster-from-backup.md)。

遮蔽对象是一种用来卸载和同步密钥的有效方式，包括不可提取密钥（即 [`OBJ_ATTR_EXTRACTABLE`](key-attribute-table.md) 值为 `0` 的密钥）。这样，无需更新 AWS CloudHSM [配置文件](configure-tool.md)即可在不同区域的相关集群之间安全地同步密钥。

**重要**  
在插入时，解密遮蔽对象，并赋予与原始密钥的密钥句柄不同的密钥句柄。一个遮蔽对象包括与原始密钥关联的所有元数据，包含属性、所有权和共享信息，以及 quorum 设置。如果您需要在应用程序中跨集群同步密钥，可改用 cloudhsm\_mgmt\_util 中的 [syncKey](cloudhsm_mgmt_util-syncKey.md)。

在运行任何 key\_mgmt\_util 命令之前，您必须[启动 key\_mgmt\_util](key_mgmt_util-setup.md#key_mgmt_util-start) 并[登录](key_mgmt_util-log-in.md)到 HSM。此 **extractMaskedObject** 命令可通过拥有密钥的 CU 或任意 CO 使用。

## 语法
<a name="extractMaskedObject-syntax"></a>

```
extractMaskedObject -h

extractMaskedObject -o {{<object-handle>}}
                    -out {{<object-file>}}
```

## 示例
<a name="extractMaskedObject-examples"></a>

此示例显示了如何使用 **extractMaskedObject** 从一个 HSM 提取密钥作为遮蔽对象。

**Example ：提取遮蔽对象**  
此命令从具有句柄 `524295` 的密钥提取 HSM 的遮蔽对象，并将其保存为名为 `maskedObj` 的文件。当该命令成功时，**extractMaskedObject** 将返回成功消息。  

```
Command: extractMaskedObject -o 524295 -out maskedObj

Object was masked and written to file "maskedObj"

        Cfm3ExtractMaskedObject returned: 0x00 : HSM Return: SUCCESS
```

## 参数
<a name="extractMaskedObject-parameters"></a>

此命令采用以下参数。

**`-h`**  
显示该命令的命令行帮助。  
是否必需：是

**`-o`**  
指定要提取的密钥句柄作为遮蔽对象。  
是否必需：是

**`-out`**  
指定要将遮蔽对象保存到的文件的名称。  
是否必需：是

## 相关主题
<a name="extractMaskedObject-seealso"></a>
+ [insertMaskedObject](key_mgmt_util-insertMaskedObject.md)
+ [syncKey](cloudhsm_mgmt_util-syncKey.md)
+ [跨区域复制备份](copy-backup-to-region.md)
+ [使用先前的 Backup 创建 AWS CloudHSM 集群](create-cluster-from-backup.md)