Buscar la clave de KMS para una clave de AWS CloudHSM - AWS Key Management Service
Identificación de la clave KMS asociada a una clave de referenciaIdentificación de la clave de KMS asociada a un ID de clave de respaldo

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Buscar la clave de KMS para una clave de AWS CloudHSM

Si conoce el identificador o la referencia de clave de una clave que es propiedad de kmsuser en el clúster, puede utilizar ese valor para identificar la clave KMS asociada en su almacén de claves de AWS CloudHSM.

Cuando AWS KMS crea el material de claves para una clave KMS en su clúster de AWS CloudHSM, este escribe el Nombre de recurso de Amazon (ARN) de la clave KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede utilizar el comando key list en la CLI de CloudHSM para identificar la clave KMS asociada a la clave de AWS CloudHSM.

Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos Client SDK 5 de AWS CloudHSM, la CLI de CloudHSM. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de prestar soporte a las herramientas de línea de comandos Client SDK 3, la utilidad de administración de CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migración de CMU y KMU de Client SDK 3 a la CLI de CloudHSM de Client SDK 5 en la Guía del usuario de AWS CloudHSM.

Para ejecutar estos procedimientos, debe desconectar temporalmente el almacén de claves de AWS CloudHSM para poder iniciar sesión como el CU kmsuser.

nota

Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

Identificación de la clave KMS asociada a una clave de referencia

Los siguientes procedimientos muestran cómo utilizar el comando key list en la CLI de CloudHSM con el filtro de atributos key-reference para encontrar la clave en el clúster que actúa como material de claves para una clave KMS en particular en su almacén de claves de AWS CloudHSM.

  1. Desconecte el almacén de claves de AWS CloudHSM, si no lo está todavía, e inicie sesión como kmsuser, tal como se explica en Cómo desconectar e iniciar sesión.

  2. Utilice el comando key list en la CLI de CloudHSM para filtrar por el atributo key-reference. Especifique el argumento verbose para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento verbose, la operación key list solo devuelve la referencia de clave y el atributo de etiqueta de la clave coincidente.

    Antes de ejecutar este comando, reemplace el key-reference de ejemplo por uno válido de su cuenta.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Cierre la sesión y vuelva a conectar el almacén de claves de AWS CloudHSM tal como se describe en Cómo cerrar sesión y volver a conectar.

Mostrar másMostrar menos

Identificación de la clave de KMS asociada a un ID de clave de respaldo

Todas las entradas de registro de CloudTrail para operaciones criptográficas con una clave KMS en un almacén de claves de AWS CloudHSM incluyen un campo additionalEventData con el customKeyStoreId y backingKeyId. El valor devuelto en el campo backingKeyId se correlaciona con el atributo id de clave de CloudHSM. Puede filtrar la operación key list por el atributo id para identificar la clave KMS asociada a un backingKeyId específico.

  1. Desconecte el almacén de claves de AWS CloudHSM, si no lo está todavía, e inicie sesión como kmsuser, tal como se explica en Cómo desconectar e iniciar sesión.

  2. Utilice el comando key list en la CLI de CloudHSM con el filtro de atributo para encontrar la clave en el clúster que actúa como material de claves para una clave KMS en particular en su almacén de claves de AWS CloudHSM.

    En el siguiente ejemplo se muestra cómo filtrar por atributo id. AWS CloudHSM reconoce el valor de id como un valor hexadecimal. Para filtrar la operación key list por el atributo id, primero debe convertir el valor de backingKeyId que identificó en la entrada de registro de CloudTrail a un formato que AWS CloudHSM reconozca.

    1. Utilice el siguiente comando de Linux para convertir backingKeyId en una representación hexadecimal.

      echo backingKeyId | tr -d '\n' |  xxd -p

      El siguiente ejemplo muestra cómo convertir la matriz de bytes de backingKeyId en una representación hexadecimal.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. Anexe la representación hexadecimal del backingKeyId con 0x.

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. Utilice el valor de backingKeyId convertido para filtrar por atributo id. Especifique el argumento verbose para incluir todos los atributos y la información de claves de la clave coincidente. Si no especifica el argumento verbose, la operación key list solo devuelve la referencia de clave y el atributo de etiqueta de la clave coincidente.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Cierre la sesión y vuelva a conectar el almacén de claves de AWS CloudHSM tal como se describe en Cómo cerrar sesión y volver a conectar.

Mostrar másMostrar menos