本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# CloudHSM CLI 命令的參考資料
CloudHSM CLI 可協助管理員管理其 AWS CloudHSM 叢集中的使用者。CloudHSM CLI 可以在兩種模式下執行:互動式模式和單一命令模式。如需快速入門,請參閱 [開始使用 AWS CloudHSM 命令列界面 (CLI)](cloudhsm_cli-getting-started.md)。
若要執行大多數 CloudHSM CLI 命令,您必須啟動 CloudHSM CLI 並登入 HSM。如果您新增或刪除 HSM,請更新 CloudHSM CLI 的組態檔案。否則,您所進行的變更可能無法在叢集中的所有 HSM 上生效。
下列各主題說明 CloudHSM CLI 中的命令。
| 命令 | Description | 使用者類型 |
| --- | --- | --- |
| [activate](cloudhsm_cli-cluster-activate.md) | 啟動 CloudHSM 叢集並確認叢集是新的叢集。完成此操作後,方可執行其他操作。 | 未激活的管理員 |
| [hsm-info](cloudhsm_cli-cluster-hsm-info.md) | 列出叢集中的 HSMs。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [ecdsa](cloudhsm_cli-crypto-sign-ecdsa.md) | 使用 EC 私有金鑰和 ECDSA 簽署機制產生簽章。 | 加密使用者 (CU) |
| [ed25519ph](cloudhsm_cli-crypto-sign-ed25519ph.md) | 使用 Ed25519 私有金鑰和 HashEdDSA 簽署機制產生簽章。 | 加密使用者 |
| [rsa-pkcs](cloudhsm_cli-crypto-sign-rsa-pkcs.md) | 使用 RSA 私有金鑰和 RSA-PKCS 簽署機制產生簽章。 | 加密使用者 |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-sign-rsa-pkcs-pss.md) | 使用 RSA 私有金鑰和 RSA-PKCS-PSS 簽署機制產生簽章。 | 加密使用者 |
| [ecdsa](cloudhsm_cli-crypto-verify-ecdsa.md) | 確認檔案已由指定的公有金鑰在 HSM 中簽署。驗證簽章是否使用 ECDSA 簽署機制產生。比較已簽章的檔案與來源檔案,並根據指定的 ecdsa 公有金鑰和簽署機制,判斷兩者是否在密碼編譯上相關。 | 加密使用者 |
| [ed25519ph](cloudhsm_cli-crypto-verify-ed25519ph.md) | 使用 Ed25519 公有金鑰驗證 HashEdDSA 簽章。 | 加密使用者 |
| [rsa-pkcs](cloudhsm_cli-crypto-verify-rsa-pkcs.md) | 確認檔案已由指定的公有金鑰在 HSM 中簽署。驗證簽章是否使用 RSA-PKCS 簽署機制產生。比較已簽章的檔案與來源檔案,並根據指定的 rsa 公有金鑰和簽署機制,判斷兩者是否在密碼編譯上相關。 | 加密使用者 |
| [rsa-pkcs-pss](cloudhsm_cli-crypto-verify-rsa-pkcs-pss.md) | 確認檔案已由指定的公有金鑰在 HSM 中簽署。驗證簽章是否使用 RSA-PKCS-PSS 簽署機制產生。比較已簽章的檔案與來源檔案,並根據指定的 rsa 公有金鑰和簽署機制,判斷兩者是否在密碼編譯上相關。 | 加密使用者 |
| [刪除金錀](cloudhsm_cli-key-delete.md) | 從 AWS CloudHSM 叢集刪除金鑰。 | 加密使用者 |
| [產生金錀的檔案](cloudhsm_cli-key-generate-file.md) | 在 AWS CloudHSM 叢集中產生金鑰檔案。 | 加密使用者 |
| [產生非對稱 RSA 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-rsa.md) | 在您的 AWS CloudHSM 叢集中產生非對稱 RSA 金鑰對。 | 加密使用者 |
| [產生非對稱 EC 金鑰對](cloudhsm_cli-key-generate-asymmetric-pair-ec.md) | 在 AWS CloudHSM 叢集中產生非對稱橢圓曲線 (EC) 金鑰對。 | 加密使用者 |
| [產生對稱 AES 金錀](cloudhsm_cli-key-generate-symmetric-aes.md) | 在 AWS CloudHSM 叢集中產生對稱 AES 金鑰。 | 加密使用者 |
| [產生對稱通用私密金錀](cloudhsm_cli-key-generate-symmetric-generic-secret.md) | 在 AWS CloudHSM 叢集中產生對稱的一般私密金鑰。 | 加密使用者 |
| [金鑰匯入 pem](cloudhsm_cli-key-import-pem.md) | 將 PEM 格式金鑰匯入 HSM。您可以使用此命令匯入在 HSM 之外產生的公有金鑰。 | 加密使用者 |
| [列出金錀](cloudhsm_cli-key-list.md) | 尋找 AWS CloudHSM 叢集中目前使用者的所有金鑰。 | 加密使用者 |
| [金鑰複寫](cloudhsm_cli-key-replicate.md) | 將金鑰從來源叢集複寫到複製的目的地叢集。 | 加密使用者 |
| [設定金錀屬性](cloudhsm_cli-key-set-attribute.md) | 設定 AWS CloudHSM 叢集中金鑰的屬性。 | 加密使用者可以執行此命令,管理員可以設定受信任的屬性。 |
| [共用金錀](cloudhsm_cli-key-share.md) | 與 AWS CloudHSM 叢集中的其他 CUs共用金鑰。 | 加密使用者 |
| [取消共用金鑰](cloudhsm_cli-key-unshare.md) | 取消與 AWS CloudHSM 叢集中其他 CUs共用金鑰。 | 加密使用者 |
| [aes-gcm](cloudhsm_cli-key-unwrap-aes-gcm.md) | 使用 AES 包裝金鑰和 AES-GCM 取消包裝機制,將承載金鑰取消包裝到叢集中。 | 加密使用者 |
| [aes-no-pad](cloudhsm_cli-key-unwrap-aes-no-pad.md) | 使用 AES 包裝金鑰和 AES-NO-PAD 取消包裝機制,將承載金鑰取消包裝到叢集中。 | 加密使用者 |
| [aes-pkcs5-pad](cloudhsm_cli-key-unwrap-aes-pkcs5-pad.md) | 使用 AES 包裝金鑰和 AES-PKCS5-PAD 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [aes-zero-pad](cloudhsm_cli-key-unwrap-aes-zero-pad.md) | 使用 AES 包裝金鑰和 AES-ZERO-PAD 取消包裝機制,將承載金鑰取消包裝至叢集。 | 加密使用者 |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-unwrap-cloudhsm-aes-gcm.md) | 使用 AES 包裝金鑰和 CLOUDHSM-AES-GCM 取消包裝機制,將承載金鑰取消包裝至叢集。 | 加密使用者 |
| [rsa-aes](cloudhsm_cli-key-unwrap-rsa-aes.md) | 使用 RSA 私有金鑰和 RSA-AES 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [rsa-oaep](cloudhsm_cli-key-unwrap-rsa-oaep.md) | 使用 RSA 私有金鑰和 RSA-OAEP 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [rsa-pkcs](cloudhsm_cli-key-unwrap-rsa-pkcs.md) | 使用 RSA 私有金鑰和 RSA-PKCS 取消包裝機制來取消包裝承載金鑰。 | 加密使用者 |
| [aes-gcm](cloudhsm_cli-key-wrap-aes-gcm.md) | 使用 HSM 上的 AES 金鑰和 AES-GCM 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [aes-no-pad](cloudhsm_cli-key-wrap-aes-no-pad.md) | 使用 HSM 上的 AES 金鑰和 AES-NO-PAD 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [aes-pkcs5-pad](cloudhsm_cli-key-wrap-aes-pkcs5-pad.md) | 使用 HSM 上的 AES 金鑰和 AES-PKCS5-PAD 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [aes-zero-pad](cloudhsm_cli-key-wrap-aes-zero-pad.md) | 使用 HSM 上的 AES 金鑰和 AES-ZERO-PAD 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [cloudhsm-aes-gcm](cloudhsm_cli-key-wrap-cloudhsm-aes-gcm.md) | 使用 HSM 上的 AES 金鑰和 CLOUDHSM-AES-GCM 包裝機制來包裝承載金鑰。 | CUs |
| [rsa-aes](cloudhsm_cli-key-wrap-rsa-aes.md) | 使用 HSM 上的 RSA 公有金鑰和 RSA-AES 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [rsa-oaep](cloudhsm_cli-key-wrap-rsa-oaep.md) | 使用 HSM 上的 RSA 公有金鑰和 RSA-OAEP 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [ 使用 CloudHSM CLI 使用 RSA-PKCS 包裝金鑰rsa-pkcs **key wrap rsa-pkcs** 命令會使用 HSM 上的 RSA 公有金鑰和包裝機制`RSA-PKCS`來包裝承載金鑰。 在 CloudHSM CLI 中使用 **key wrap rsa-pkcs**命令,在硬體安全模組 (HSM) 和包裝機制上使用 RSA 公有金鑰`RSA-PKCS`來包裝承載金鑰。承載金鑰的`extractable`屬性必須設定為 `true`。 只有建立金鑰的加密使用者 (CU) 金鑰擁有者才能包裝金鑰。共用金鑰的使用者可以在密碼編譯操作中使用金鑰。 若要使用 **key wrap rsa-pkcs**命令,您必須先在 AWS CloudHSM 叢集中擁有 RSA 金鑰。您可以使用 [CloudHSM CLI 中的 generate-asymmetric-pair 類別](cloudhsm_cli-key-generate-asymmetric-pair.md)命令和設定為 的 `wrap` 屬性來產生 RSA 金鑰對`true`。 使用者類型 下列類型的使用者可以執行此命令。 加密使用者 (CU) 要求 若要執行此命令,必須以 CU 的身分登入。 語法
```
aws-cloudhsm > help key wrap rsa-pkcs
Usage: key wrap rsa-pkcs [OPTIONS] --payload-filter [{{}}...] --wrapping-filter [{{}}...]
Options:
--cluster-id {{}}
Unique Id to choose which of the clusters in the config file to run the operation against. If not provided, will fall back to the value provided when interactive mode was started, or error
--payload-filter [{{}}...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a payload key
--wrapping-filter [{{}}...]
Key reference (e.g. key-reference=0xabc) or space separated list of key attributes in the form of attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE to select a wrapping key
--path {{}}
Path to the binary file where the wrapped key data will be saved
--wrapping-approval {{}}
File path of signed quorum token file to approve operation for wrapping key
--payload-approval {{}}
File path of signed quorum token file to approve operation for payload key
-h, --help
Print help
``` 範例 此範例示範如何使用 RSA 公有金鑰來使用 **key wrap rsa-pkcs**命令。
**Example**
```
aws-cloudhsm > key wrap rsa-pkcs --payload-filter attr.label=payload-key --wrapping-filter attr.label=rsa-public-key-example
{
"error_code": 0,
"data": {
"payload_key_reference": "0x00000000001c08f1",
"wrapping_key_reference": "0x00000000007008da",
"wrapped_key_data": "am0Nc7+YE8FWs+5HvU7sIBcXVb24QA0l65nbNAD+1bK+e18BpSfnaI3P+r8Dp+pLu1ofoUy/vtzRjZoCiDofcz4EqCFnGl4GdcJ1/3W/5WRvMatCa2d7cx02swaeZcjKsermPXYRO1lGlfq6NskwMeeTkV8R7Rx9artFrs1y0DdIgIKVaiFHwnBIUMnlQrR2zRmMkfwU1jxMYmOYyD031F5VbnjSrhfMwkww2la7uf/c3XdFJ2+0Bo94c6og/yfPcpOOobJlITCoXhtMRepSdO4OggYq/6nUDuHCtJ86pPGnNahyr7+sAaSI3a5ECQLUjwaIARUCyoRh7EFK3qPXcg=="
}
``` 引數
**{{}}**
要執行此操作的叢集 ID。
必要:如果已[設定多個叢集。](cloudhsm_cli-configs-multi-cluster.md)
**{{}}**
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取承載索引鍵。
必要:是
**{{}}**
二進位檔案的路徑,其中會儲存包裝的金鑰資料。
必要:否
**{{}}**
索引鍵參考 (例如 `key-reference=0xabc`) 或以空格分隔的索引鍵屬性清單,格式為 `attr.KEY_ATTRIBUTE_NAME=KEY_ATTRIBUTE_VALUE`以選取包裝索引鍵。
必要:是
**{{}}**
指定已簽署規定人數字符檔案的檔案路徑,以核准包裝金鑰的操作。只有在包裝金鑰的金鑰管理服務規定人數值大於 1 時才需要。
**{{}}**
指定已簽署規定人數字符檔案的檔案路徑,以核准承載金鑰的操作。只有在承載金鑰的金鑰管理服務規定人數值大於 1 時才需要。 相關主題 [CloudHSM CLI 中的金鑰包裝命令](cloudhsm_cli-key-wrap.md) [CloudHSM CLI 中的金鑰取消包裝命令](cloudhsm_cli-key-unwrap.md) ](cloudhsm_cli-key-wrap-rsa-pkcs.md) | 使用 HSM 上的 RSA 公有金鑰和 RSA-PKCS 包裝機制來包裝承載金鑰。 | 加密使用者 |
| [登入](cloudhsm_cli-login.md) | 登入您的 AWS CloudHSM 叢集。 | 管理員、加密使用者 (CU) 和設備使用者 (AU) |
| [登出](cloudhsm_cli-logout.md) | 登出您的 AWS CloudHSM 叢集。 | 管理員、加密使用者和設備使用者 (AU) |
| [刪除规定人數字符簽署](cloudhsm_cli-qm-token-del.md) | 刪除規定人數授權服務的一個或多個權杖。 | 管理員 |
| [產生规定人數字符簽署](cloudhsm_cli-qm-token-gen.md) | 產生規定人數授權服務的權杖。 | 管理員 |
| [列出規定人數字符簽署](cloudhsm_cli-qm-token-list.md) | 列出 CloudHSM 叢集中所有權杖簽署的規定人數權杖。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [規定人數字符簽署 列出規定人數值](cloudhsm_cli-qm-token-list-qm.md) | 列出 CloudHSM 叢集中規定人數值集。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [規定人數字符簽署 設定規定人數值](cloudhsm_cli-qm-token-set-qm.md) | 為規定人數授權服務設定新的規定人數值。 | 管理員 |
| [變更使用者 MFA](cloudhsm_cli-user-change-mfa.md) | 變更使用者的多重要素驗證 (MFA) 策略。 | 管理員、加密使用者 |
| [變更使用者密碼](cloudhsm_cli-user-change-password.md) | 變更 HSM 上使用者的密碼。任何使用者都可以變更自己的密碼。加密使用者可以變更任何人的密碼。 | 管理員、加密使用者 |
| [建立使用者](cloudhsm_cli-user-create.md) | 在 AWS CloudHSM 叢集中建立使用者。 | 管理員 |
| [刪除使用者](cloudhsm_cli-user-delete.md) | 刪除 AWS CloudHSM 叢集中的使用者。 | 管理員 |
| [使用者清單](cloudhsm_cli-user-list.md) | 列出 AWS CloudHSM 叢集中的使用者。 | 所有 [1](#cli-ref-1),包括未經身分驗證的使用者。無需登入。 |
| [變更規定人數使用者 註冊字符簽署](cloudhsm_cli-user-chqm-token-reg.md) | 為使用者註冊規定人數字符簽署的規定人數策略。 | 管理員 |
**註釋**
+ [1] 所有使用者都包含所有列出的角色和未登入的使用者。