Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Trouvez les clés KMS et le matériel clé dans un magasin de AWS CloudHSM clés
Si vous gérez un magasin de AWS CloudHSM clés, vous devrez peut-être identifier les clés KMS dans chaque magasin de AWS CloudHSM clés. Par exemple, il se peut que vous ayez besoin de faire certaines tâches suivantes.
+ Suivez les clés KMS dans le magasin de AWS CloudHSM clés dans AWS CloudTrail les journaux.
+ Prédisez l'effet sur les clés KMS de la déconnexion d'un magasin de AWS CloudHSM clés.
+ Planifiez la suppression des clés KMS avant de supprimer un magasin de AWS CloudHSM clés.
En outre, vous souhaiterez peut-être identifier les clés de votre AWS CloudHSM cluster qui servent de matériau clé pour vos clés KMS. Bien AWS KMS que vous gériez les clés KMS et le matériel clé, vous conservez le contrôle et la responsabilité de la gestion de votre AWS CloudHSM cluster, ainsi que des sauvegardes HSMs et des clés contenues dans le HSMs. Vous devrez peut-être identifier les clés afin d'auditer le contenu clé, de le protéger contre toute suppression accidentelle ou de le supprimer HSMs des sauvegardes de clusters après avoir supprimé la clé KMS.
Tous les éléments clés des clés KMS de votre magasin de AWS CloudHSM clés appartiennent à l'[utilisateur `kmsuser` cryptographique](keystore-cloudhsm.md#concept-kmsuser) (CU). AWS KMS définit l'attribut key label, qui n'est visible que dans AWS CloudHSM, sur le nom de ressource Amazon (ARN) de la clé KMS.
Pour rechercher les clés KMS et les éléments de clé, utilisez l'une des techniques suivantes.
+ [Trouvez les clés KMS dans un magasin de AWS CloudHSM clés](find-cmk-in-keystore.md)— Comment identifier les clés KMS dans l'un ou l'ensemble de vos magasins de AWS CloudHSM clés.
+ [Trouvez toutes les clés d'un magasin de AWS CloudHSM clés](find-all-kmsuser-keys.md) : comment trouver toutes les clés de votre cluster qui font office d'éléments de clé pour les clés KMS dans votre magasin de clés AWS CloudHSM .
+ [Trouvez la AWS CloudHSM clé d'une clé KMS](find-handle-for-cmk-id.md)— Comment trouver la clé de votre cluster qui sert de matériau clé pour une clé KMS particulière dans votre magasin de AWS CloudHSM clés.
+ [Trouvez la clé KMS pour une AWS CloudHSM clé](find-label-for-key-handle.md) — Comment trouver la clé KMS pour une clé particulière de votre cluster.
# Trouvez les clés KMS dans un magasin de AWS CloudHSM clés
Si vous gérez un magasin de AWS CloudHSM clés, vous devrez peut-être identifier les clés KMS dans chaque magasin de AWS CloudHSM clés. Vous pouvez utiliser ces informations pour suivre les opérations relatives aux clés KMS dans AWS CloudTrail les journaux, prévoir l'effet de la déconnexion d'un magasin de clés personnalisé sur les clés KMS ou planifier la suppression des clés KMS avant de supprimer un magasin de AWS CloudHSM clés.
## Pour trouver les clés KMS dans un magasin de AWS CloudHSM clés (console)
Pour trouver les clés KMS dans un magasin de AWS CloudHSM clés en particulier, sur la page des **clés gérées par le client**, consultez les valeurs des champs **Nom du magasin de clés personnalisé** **ou ID du magasin de clés personnalisé**. Pour identifier les clés KMS dans n'importe quel magasin de AWS CloudHSM clés, recherchez les clés KMS dont la valeur d'**origine** est de **AWS CloudHSM**. Pour ajouter des colonnes facultatives à l'affichage, choisissez l'icône d'engrenage dans le coin supérieur droit de la page.
## Pour trouver les clés KMS dans un magasin de AWS CloudHSM clés (API)
Pour rechercher les clés KMS dans un magasin de AWS CloudHSM clés, utilisez les [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)opérations [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)et filtrez par `CustomKeyStoreId` valeur. Avant d'exécuter les exemples suivants, remplacez les valeurs fictives de l'identifiant du magasin de clés personnalisé par une valeur valide.
------
#### [ Bash ]
Pour trouver des clés KMS dans un magasin de AWS CloudHSM clés en particulier, procurez-vous toutes vos clés KMS dans le compte et dans la région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
Pour obtenir des clés KMS dans n'importe quel magasin de AWS CloudHSM clés du compte et de la région, recherchez `CustomKeyStoreType` avec une valeur de`AWS_CloudHSM`.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
Pour rechercher des clés KMS dans un magasin de AWS CloudHSM clés en particulier, utilisez les KmsKey applets de commande KmsKeyList [Get [-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html)](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) pour obtenir toutes vos clés KMS dans le compte et la région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
Pour obtenir des clés KMS dans n'importe quel magasin de AWS CloudHSM clés du compte et de la région, filtrez en fonction de la CustomKeyStoreType valeur de`AWS_CLOUDHSM`.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# Trouvez toutes les clés d'un magasin de AWS CloudHSM clés
Vous pouvez identifier les clés de votre AWS CloudHSM cluster qui servent de matériau clé pour votre magasin de AWS CloudHSM clés. Pour ce faire, utilisez la commande [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) dans la CLI CloudHSM.
Vous pouvez également utiliser la commande de **liste de touches** pour rechercher la AWS CloudHSM touche « AWS KMS for an ». Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. La commande **key list** renvoie le `key-reference` et le`label`.
**Remarques**
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *
Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que `kmsuser` CU.
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
**Note**
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour rechercher toutes les clés de l'utilisateur actuel présent AWS CloudHSM dans votre cluster.
Par défaut, seules 10 touches de l'utilisateur actuellement connecté sont affichées, et seules les touches `key-reference` et `label` sont affichées en sortie. Pour plus d'options, consultez la [liste des clés](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax) dans le *guide de AWS CloudHSM l'utilisateur*.
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
# Trouvez la clé KMS pour une AWS CloudHSM clé
Si vous connaissez la référence clé ou l'ID d'une clé qu'il `kmsuser` possède dans le cluster, vous pouvez utiliser cette valeur pour identifier la clé KMS associée dans votre magasin de AWS CloudHSM clés.
Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. À moins que vous n'ayez modifié la valeur de l'étiquette, vous pouvez utiliser la commande [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour identifier la clé KMS associée AWS CloudHSM à la clé.
**Remarques**
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *
Pour exécuter ces procédures, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que `kmsuser` CU.
**Note**
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
**Topics**
+ [Identifier la clé KMS associée à une référence clé](#key-reference-filter)
+ [Identifiez la clé KMS associée à un ID de clé de sauvegarde](#backing-key-id-filter)
## Identifier la clé KMS associée à une référence clé
Les procédures suivantes montrent comment utiliser la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) dans la CLI CloudHSM `key-reference` avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour filtrer `key-reference` en fonction de l'attribut. Spécifiez l'`verbose`argument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'`verbose`argument, l'opération de **liste de clés** renvoie uniquement la référence clé et l'attribut label de la clé correspondante.
Avant d'exécuter cette commande, remplacez l'exemple `key-reference` par un exemple valide provenant de votre compte.
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
## Identifiez la clé KMS associée à un ID de clé de sauvegarde
Toutes les entrées de CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKeyId`. La valeur renvoyée dans le `backingKeyId` champ est en corrélation avec l'attribut clé `id` CloudHSM. Vous pouvez filtrer l'opération de [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) par `id` attribut afin d'identifier la clé KMS associée à une clé spécifique`backingKeyId`.
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de matériau clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.
L'exemple suivant montre comment filtrer en fonction de l'`id`attribut. AWS CloudHSM reconnaît la `id` valeur sous forme de valeur hexadécimale. Pour filtrer l'opération de **liste de clés** en fonction de l'`id`attribut, vous devez d'abord convertir la `backingKeyId` valeur que vous avez identifiée dans votre entrée de CloudTrail journal dans un format AWS CloudHSM reconnu.
1. Utilisez la commande Linux suivante pour convertir le `backingKeyId` en une représentation hexadécimale.
```
echo backingKeyId | tr -d '\n' | xxd -p
```
L'exemple suivant montre comment convertir le tableau d'`backingKeyId`octets en une représentation hexadécimale.
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Ajoutez la représentation hexadécimale du `backingKeyId` with`0x`.
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Utilisez la `backingKeyId` valeur convertie pour filtrer en fonction de l'`id`attribut. Spécifiez l'`verbose`argument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'`verbose`argument, l'opération de **liste de clés** renvoie uniquement la référence clé et l'attribut label de la clé correspondante.
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).
# Trouvez la AWS CloudHSM clé d'une clé KMS
Vous pouvez utiliser l'ID de clé KMS d'une clé KMS dans un magasin de AWS CloudHSM clés pour identifier la clé de votre AWS CloudHSM cluster qui lui sert de matériau clé.
Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. À moins que vous n'ayez modifié la valeur de l'étiquette, vous pouvez utiliser la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) de la CLI CloudHSM pour trouver la ressource clé et l'identifiant du matériau clé pour la clé KMS.
Toutes les entrées du CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un `additionalEventData` champ avec le `customKeyStoreId` et`backingKeyId`. La valeur renvoyée dans le `backingKeyId` champ est l'attribut `id` AWS CloudHSM clé. Vous pouvez filtrer l'opération de la AWS CloudHSM CLI de **liste de clés** par ARN de clé KMS afin d'identifier l'attribut `id` clé CloudHSM associé à une clé KMS spécifique.
Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que `kmsuser` CU.
**Remarques**
Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI `key-handle` CloudHSM remplace par. `key-reference`
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. *Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section [Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) dans le guide de l'utilisateur.AWS CloudHSM *
1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant que`kmsuser`, comme expliqué dans[Comment se déconnecter et se connecter](fix-keystore.md#login-kmsuser-1).
**Note**
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
1. Utilisez la commande [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) dans la CLI CloudHSM et `label` filtrez par pour trouver la clé KMS correspondant à une clé AWS CloudHSM spécifique dans votre cluster. Spécifiez l'`verbose`argument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas d'`verbose`argument, l'opération de **liste de clés** renvoie uniquement les attributs de référence et d'étiquette de la clé correspondante.
L'exemple suivant montre comment filtrer en fonction de l'`label`attribut qui stocke l'ARN de la clé KMS. Avant d'exécuter cette commande, remplacez l'exemple d'ARN de la clé KMS par une clé valide provenant de votre compte.
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dans[Comment se déconnecter et se reconnecter](fix-keystore.md#login-kmsuser-2).