Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Temukan kunci KMS untuk kunci AWS CloudHSM
<a name="find-label-for-key-handle"></a>

Jika Anda mengetahui referensi kunci atau ID kunci yang `kmsuser` dimiliki di cluster, Anda dapat menggunakan nilai tersebut untuk mengidentifikasi kunci KMS terkait di penyimpanan AWS CloudHSM kunci Anda.

Saat AWS KMS membuat materi kunci untuk kunci KMS di AWS CloudHSM cluster Anda, ia menulis Amazon Resource Name (ARN) dari kunci KMS di label kunci. Kecuali Anda telah mengubah nilai label, Anda dapat menggunakan perintah [daftar kunci](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) di CloudHSM CLI untuk mengidentifikasi kunci KMS yang terkait dengan kunci. AWS CloudHSM 

**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

Untuk menjalankan prosedur ini, Anda perlu memutuskan sambungan penyimpanan AWS CloudHSM kunci sementara sehingga Anda dapat masuk sebagai `kmsuser` CU.

**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

**Topics**
+ [Identifikasi kunci KMS yang terkait dengan referensi kunci](#key-reference-filter)
+ [Identifikasi kunci KMS yang terkait dengan ID kunci dukungan](#backing-key-id-filter)

## Identifikasi kunci KMS yang terkait dengan referensi kunci
<a name="key-reference-filter"></a>

Prosedur berikut menunjukkan cara menggunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) di CloudHSM CLI `key-reference` dengan filter atribut untuk menemukan kunci di cluster Anda yang berfungsi sebagai bahan kunci untuk kunci KMS tertentu di toko kunci Anda. AWS CloudHSM 

1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu masuk seperti `kmsuser` yang dijelaskan. [Cara memutuskan koneksi dan login](fix-keystore.md#login-kmsuser-1)

1. Gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) di CloudHSM CLI untuk memfilter berdasarkan atribut. `key-reference` Tentukan `verbose` argumen untuk menyertakan semua atribut dan informasi kunci untuk kunci yang cocok. Jika Anda tidak menentukan `verbose` argumen, operasi **daftar kunci** hanya mengembalikan atribut kunci-referensi dan label kunci yang cocok.

   Sebelum menjalankan perintah ini, ganti contoh `key-reference` dengan yang valid dari akun Anda.

   ```
   aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
   {
     "error_code": 0,
     "data": {
       "matched_keys": [
         {
           "key-reference": "0x0000000000120034",
           "key-info": {
             "key-owners": [
               {
                 "username": "kmsuser",
                 "key-coverage": "full"
               }
             ],
             "shared-users": [],
             "cluster-coverage": "full"
           },
           "attributes": {
             "key-type": "aes",
             "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
             "id": "0xbacking-key-id",
             "check-value": "0x29bbd1",
             "class": "my_test_key",
             "encrypt": true,
             "decrypt": true,
             "token": true,
             "always-sensitive": true,
             "derive": false,
             "destroyable": true,
             "extractable": false,
             "local": true,
             "modifiable": true,
             "never-extractable": false,
             "private": true,
             "sensitive": true,
             "sign": false,
             "trusted": false,
             "unwrap": true,
             "verify": false,
             "wrap": true,
             "wrap-with-trusted": false,
             "key-length-bytes": 32
           }
         }
       ],
       "total_key_count": 1,
       "returned_key_count": 1
     }
   }
   ```

1. Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan di[Cara logout dan menghubungkan kembali](fix-keystore.md#login-kmsuser-2).

## Identifikasi kunci KMS yang terkait dengan ID kunci dukungan
<a name="backing-key-id-filter"></a>

Semua entri CloudTrail log untuk operasi kriptografi dengan kunci KMS di toko AWS CloudHSM kunci menyertakan `additionalEventData` bidang dengan dan. `customKeyStoreId` `backingKeyId` Nilai yang dikembalikan di `backingKeyId` bidang berkorelasi dengan atribut kunci CloudHSM. `id` Anda dapat memfilter operasi [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) dengan `id` atribut untuk mengidentifikasi kunci KMS yang terkait dengan spesifik`backingKeyId`.

1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu masuk seperti `kmsuser` yang dijelaskan. [Cara memutuskan koneksi dan login](fix-keystore.md#login-kmsuser-1)

1. Gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) di CloudHSM CLI dengan filter atribut untuk menemukan kunci di cluster Anda yang berfungsi sebagai bahan kunci untuk kunci KMS tertentu di toko kunci Anda. AWS CloudHSM 

   Contoh berikut menunjukkan bagaimana untuk memfilter oleh `id` atribut. AWS CloudHSM mengenali `id` nilai sebagai nilai heksadesimal. Untuk memfilter operasi **daftar kunci** berdasarkan `id` atribut, Anda harus terlebih dahulu mengonversi `backingKeyId` nilai yang Anda identifikasi dalam entri CloudTrail log Anda ke dalam format yang AWS CloudHSM mengenali.

   1. Gunakan perintah Linux berikut untuk mengubah `backingKeyId` menjadi representasi heksadesimal.

      ```
      echo backingKeyId | tr -d '\n' |  xxd -p
      ```

      Contoh berikut menunjukkan bagaimana mengkonversi array `backingKeyId` byte menjadi representasi heksadesimal.

      ```
      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
      35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
      ```

   1. Tambahkan representasi heksadesimal dari with. `backingKeyId` `0x`

      ```
      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
      ```

   1. Gunakan `backingKeyId` nilai yang dikonversi untuk memfilter berdasarkan `id` atribut. Tentukan `verbose` argumen untuk menyertakan semua atribut dan informasi kunci untuk kunci yang cocok. Jika Anda tidak menentukan `verbose` argumen, operasi **daftar kunci** hanya mengembalikan atribut kunci-referensi dan label kunci yang cocok.

      ```
      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
      {
        "error_code": 0,
        "data": {
          "matched_keys": [
            {
              "key-reference": "0x0000000000120034",
              "key-info": {
                "key-owners": [
                  {
                    "username": "kmsuser",
                    "key-coverage": "full"
                  }
                ],
                "shared-users": [],
                "cluster-coverage": "full"
              },
              "attributes": {
                "key-type": "aes",
                "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
                "check-value": "0x29bbd1",
                "class": "my_test_key",
                "encrypt": true,
                "decrypt": true,
                "token": true,
                "always-sensitive": true,
                "derive": false,
                "destroyable": true,
                "extractable": false,
                "local": true,
                "modifiable": true,
                "never-extractable": false,
                "private": true,
                "sensitive": true,
                "sign": false,
                "trusted": false,
                "unwrap": true,
                "verify": false,
                "wrap": true,
                "wrap-with-trusted": false,
                "key-length-bytes": 32
              }
            }
          ],
          "total_key_count": 1,
          "returned_key_count": 1
        }
      }
      ```

1. Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan di[Cara logout dan menghubungkan kembali](fix-keystore.md#login-kmsuser-2).