Trouvez la clé KMS pour une AWS CloudHSM clé - AWS Key Management Service
Identifier la clé KMS associée à une référence cléIdentifiez la clé KMS associée à un ID de clé de sauvegarde

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Trouvez la clé KMS pour une AWS CloudHSM clé

Si vous connaissez la référence clé ou l'ID d'une clé qu'il kmsuser possède dans le cluster, vous pouvez utiliser cette valeur pour identifier la clé KMS associée dans votre magasin de AWS CloudHSM clés.

Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. À moins que vous n'ayez modifié la valeur de l'étiquette, vous pouvez utiliser la commande key list de la CLI CloudHSM pour identifier la clé KMS associée AWS CloudHSM à la clé.

Remarques

Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, CloudHSM CLI. La CLI key-handle CloudHSM remplace par. key-reference

Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5 dans le guide de l'utilisateur.AWS CloudHSM

Pour exécuter ces procédures, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que kmsuser CU.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Identifier la clé KMS associée à une référence clé

Les procédures suivantes montrent comment utiliser la commande key list dans la CLI CloudHSM key-reference avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.

  1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant quekmsuser, comme expliqué dansComment se déconnecter et se connecter.

  2. Utilisez la commande key list de la CLI CloudHSM pour filtrer key-reference en fonction de l'attribut. Spécifiez l'verboseargument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'verboseargument, l'opération de liste de clés renvoie uniquement la référence clé et l'attribut label de la clé correspondante.

    Avant d'exécuter cette commande, remplacez l'exemple key-reference par un exemple valide provenant de votre compte.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dansComment se déconnecter et se reconnecter.

Afficher plusAfficher moins

Identifiez la clé KMS associée à un ID de clé de sauvegarde

Toutes les entrées de CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un additionalEventData champ avec le customKeyStoreId etbackingKeyId. La valeur renvoyée dans le backingKeyId champ est en corrélation avec l'attribut clé id CloudHSM. Vous pouvez filtrer l'opération de liste de clés par id attribut afin d'identifier la clé KMS associée à une clé spécifiquebackingKeyId.

  1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant quekmsuser, comme expliqué dansComment se déconnecter et se connecter.

  2. Utilisez la commande key list de la CLI CloudHSM avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de matériau clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.

    L'exemple suivant montre comment filtrer en fonction de l'idattribut. AWS CloudHSM reconnaît la id valeur sous forme de valeur hexadécimale. Pour filtrer l'opération de liste de clés en fonction de l'idattribut, vous devez d'abord convertir la backingKeyId valeur que vous avez identifiée dans votre entrée de CloudTrail journal dans un format AWS CloudHSM reconnu.

    1. Utilisez la commande Linux suivante pour convertir le backingKeyId en une représentation hexadécimale.

      echo backingKeyId | tr -d '\n' |  xxd -p

      L'exemple suivant montre comment convertir le tableau d'backingKeyIdoctets en une représentation hexadécimale.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. Ajoutez la représentation hexadécimale du backingKeyId with0x.

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. Utilisez la backingKeyId valeur convertie pour filtrer en fonction de l'idattribut. Spécifiez l'verboseargument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'verboseargument, l'opération de liste de clés renvoie uniquement la référence clé et l'attribut label de la clé correspondante.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dansComment se déconnecter et se reconnecter.

Afficher plusAfficher moins