Buscar la clave de AWS CloudHSM de una clave de KMS - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Buscar la clave de AWS CloudHSM de una clave de KMS

Puede utilizar el ID de una clave de KMS en un almacén de claves de AWS CloudHSM para identificar la clave del clúster de AWS CloudHSM que actúa como su material de claves.

Cuando AWS KMS crea el material de claves para una clave KMS en su clúster de AWS CloudHSM, este escribe el Nombre de recurso de Amazon (ARN) de la clave KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede usar el comando key list en la CLI de CloudHSM para encontrar el identificador y el recurso de clave del material de claves para la clave KMS.

Todas las entradas de registro de CloudTrail para operaciones criptográficas con una clave KMS en un almacén de claves de AWS CloudHSM incluyen un campo additionalEventData con el customKeyStoreId y backingKeyId. El valor devuelto en el campo backingKeyId es el atributo de clave id AWS CloudHSM. Puede filtrar la operación key list de la CLI de AWS CloudHSM por ARN de clave KMS para identificar el atributo id de clave de CloudHSM asociado a una clave KMS específica.

Para ejecutar este procedimiento, debe desconectar temporalmente el almacén de claves de AWS CloudHSM para poder iniciar sesión como el CU kmsuser.

Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos Client SDK 5 de AWS CloudHSM, la CLI de CloudHSM. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de prestar soporte a las herramientas de línea de comandos Client SDK 3, la utilidad de administración de CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migración de CMU y KMU de Client SDK 3 a la CLI de CloudHSM de Client SDK 5 en la Guía del usuario de AWS CloudHSM.

  1. Desconecte el almacén de claves de AWS CloudHSM, si no lo está todavía, e inicie sesión como kmsuser, tal como se explica en Cómo desconectar e iniciar sesión.

    nota

    Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

  2. Utilice el comando key list de la CLI de CloudHSM y filtre por label para encontrar la clave KMS de una clave concreta del clúster de AWS CloudHSM. Especifique el argumento verbose para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento verbose, la operación key list solo devuelve la referencia de clave y los atributos de etiqueta de la clave coincidente.

    En el siguiente ejemplo se muestra cómo filtrar por el atributo label que almacena el ARN de clave KMS. Antes de ejecutar este comando, reemplace el ARN de clave KMS de ejemplo por uno válido de su cuenta.

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Cierre la sesión y vuelva a conectar el almacén de claves de AWS CloudHSM tal como se describe en Cómo cerrar sesión y volver a conectar.