AWS CloudHSM キーストアのすべてのキーを検索する - AWS Key Management Service

AWS CloudHSM キーストアのすべてのキーを検索する

AWS CloudHSM クラスターで AWS CloudHSM キーストアのキーマテリアルとして機能するキーを、識別することができます。これを行うには、CloudHSM CLI 内で key list コマンドを使用します。

また、[key list] コマンドを使用して、AWS CloudHSM キーの AWS KMS を検索することもできます。AWS KMS が KMS キーのキーマテリアルを AWS CloudHSM クラスターで作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。[key list] コマンドは、key-referencelabel を返します。

メモ

次の手順では、AWS CloudHSM Client SDK 5 コマンドラインツールである CloudHSM CLI を使用します。CloudHSM CLI は、key-handlekey-reference に置き換えます。

AWS CloudHSM は 2025 年 1 月 1 日を以て、Client SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「AWS CloudHSM ユーザーガイド」の「Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行」を参照してください。

この手順を実行するときは、kmsuser CU としてログインできるよう AWS CloudHSM キーストアを一時的に切断する必要があります。

  1. AWS CloudHSM キーストアがまだ切断されていなければ切断し、切断してログインする方法 の説明に従って kmsuser としてログインします。

    注記

    カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

  2. CloudHSM CLI の [key list] コマンドを使用して、お使いの AWS CloudHSM クラスターに存在する現在のユーザーのすべてのキーを検索します。

    デフォルトでは、現在ログインしているユーザーのキーは 10 個だけ表示され、出力には key-referencelabel のみ表示されます。その他のオプションについては、「AWS CloudHSM ユーザーガイド」の「key list」を参照してください。

    aws-cloudhsm > key list
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000123",
        "attributes": {
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      },
      {
        "key-reference": "0x0000000000000456",
        "attributes": {
          "label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
        }
      },.
      ...8 keys later...
    ],
    "total_key_count": 56,
    "returned_key_count": 10,
    "next_token": "10"
  }
}

  3. いったんログアウトし、ログアウトして再接続する方法 の説明に従って AWS CloudHSM キーストアを再接続します。