Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Busque la AWS CloudHSM clave de una clave KMS
<a name="find-handle-for-cmk-id"></a>

Puede usar el ID de clave de KMS de una clave de KMS de un AWS CloudHSM almacén de claves para identificar la clave del AWS CloudHSM clúster que sirve como material clave.

Cuando AWS KMS crea el material clave para una clave de KMS en el AWS CloudHSM clúster, escribe el nombre de recurso de Amazon (ARN) de la clave de KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede usar el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) en la CLI de CloudHSM para encontrar el identificador y el recurso de clave del material de claves para la clave KMS.

Todas las entradas de CloudTrail registro para operaciones criptográficas con una clave KMS en un almacén de AWS CloudHSM claves incluyen un `additionalEventData` campo con la `customKeyStoreId` letra y. `backingKeyId` El valor devuelto en el `backingKeyId` campo es el atributo `id` AWS CloudHSM clave. Puede filtrar la operación AWS CloudHSM CLI de la **lista de claves** por el ARN de la clave de KMS para identificar el `id` atributo de clave de CloudHSM asociado a una clave de KMS específica.

Para ejecutar este procedimiento, debe desconectar temporalmente el almacén de AWS CloudHSM claves para poder iniciar sesión como CU. `kmsuser` 

**Notas**  
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.  
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.

1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, e inicie sesión como `kmsuser` se explica en. [Cómo desconectar e iniciar sesión](fix-keystore.md#login-kmsuser-1)
**nota**  
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI de CloudHSM y `label` filtre para encontrar la clave de KMS de una clave AWS CloudHSM concreta del clúster. Especifique el argumento `verbose` para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento `verbose`, la operación **key list** solo devuelve la referencia de clave y los atributos de etiqueta de la clave coincidente.

   En el siguiente ejemplo se muestra cómo filtrar por el atributo `label` que almacena el ARN de clave KMS. Antes de ejecutar este comando, reemplace el ARN de clave KMS de ejemplo por uno válido de su cuenta.

   ```
   aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x0000000000120034",
           "key-info": {
             "key-owners": [
               {
                 "username": "kmsuser",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [],
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "aes",
             "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
             "id": "0xbacking-key-id",
             "check-value": "0x29bbd1",
             "class": "my_test_key",
             "encrypt": true,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": false,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": false,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": true,
             "wrap-with-trusted": false,
             "key-length-bytes": 32
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. Cierre sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en. [Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2)