KMS キーの AWS CloudHSM キーを検索する - AWS Key Management Service

KMS キーの AWS CloudHSM キーを検索する

AWS CloudHSM キーストア内で KMS キーの KMS キー ID を使用すれば、キーマテリアルとして機能する AWS CloudHSM クラスターでキーを識別できます。

AWS KMS が KMS キーのキーマテリアルを AWS CloudHSM クラスターで作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM CLI の [key list] コマンドを使用して、KMS キーのキーマテリアルのキーリソースおよび ID を取得できます。

AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、customKeyStoreIdbackingKeyId を持つ additionalEventData フィールドが含まれます。backingKeyId フィールドで返される値は、id AWS CloudHSM キー属性です。KMS キー ARN で [key list] AWS CloudHSM CLI オペレーションをフィルタリングすることで、特定の KMS キーに関連付けられた CloudHSM キー id 属性を特定できます。

この手順を実行するときは、kmsuser CU としてログインできるよう AWS CloudHSM キーストアを一時的に切断する必要があります。

メモ

次の手順では、AWS CloudHSM Client SDK 5 コマンドラインツールである CloudHSM CLI を使用します。CloudHSM CLI は、key-handlekey-reference に置き換えます。

AWS CloudHSM は 2025 年 1 月 1 日を以て、Client SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「AWS CloudHSM ユーザーガイド」の「Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行」を参照してください。

  1. AWS CloudHSM キーストアがまだ切断されていなければ切断し、切断してログインする方法 の説明に従って kmsuser としてログインします。

    注記

    カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

  2. CloudHSM CLI の [key list] コマンドを使用して label でフィルタリングすることで、AWS CloudHSM クラスター内の特定のキーの KMS キーを検索します。一致するキーのすべての属性とキー情報を含める verbose 引数を指定します。verbose 引数を指定しない場合、[key list] オペレーションは、一致するキーのキーリファレンスとラベル属性のみを返します。

    次の例は、KMS キー ARN を格納する label 属性を用いたフィルタリング方法を示します。このコマンドを実行する前に、KMS キー ARN のサンプル値をお使いのアカウントにある有効な値に置き換えてください。

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. いったんログアウトし、ログアウトして再接続する方法 の説明に従って AWS CloudHSM キーストアを再接続します。