KMS AWS CloudHSM キーのキーを検索する - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

KMS AWS CloudHSM キーのキーを検索する

キーストアの KMS キーの KMS AWS CloudHSM キー ID を使用して、キーマテリアルとして機能する AWS CloudHSM クラスター内のキーを識別できます。

が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM CLI の [key list] コマンドを使用して、KMS キーのキーマテリアルのキーリソースおよび ID を取得できます。

AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、 customKeyStoreIdおよび を含む additionalEventDataフィールドが含まれますbackingKeyIdbackingKeyId フィールドで返される値は、id AWS CloudHSM キー属性です。KMS キー ARN でキーリスト AWS CloudHSM CLI オペレーションをフィルタリングして、特定の KMS キーに関連付けられた CloudHSM キーid属性を識別できます。

この手順を実行するには、CU kmsuser としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。

メモ

次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール CloudHSM CLI を使用します。CloudHSM CLI は、key-handlekey-reference に置き換えます。

2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「AWS CloudHSM ユーザーガイド」の「Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行」を参照してください。

  1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明kmsuserに従って としてログインします切断してログインする方法

    注記

    カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

  2. CloudHSM CLI の key list コマンドを使用し、 でフィルタリングlabelして、 AWS CloudHSM クラスター内の特定のキーの KMS キーを検索します。一致するキーのすべての属性とキー情報を含める verbose 引数を指定します。verbose 引数を指定しない場合、[key list] オペレーションは、一致するキーのキーリファレンスとラベル属性のみを返します。

    次の例は、KMS キー ARN を格納する label 属性を用いたフィルタリング方法を示します。このコマンドを実行する前に、KMS キー ARN のサンプル値をお使いのアカウントにある有効な値に置き換えてください。

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続しますログアウトして再接続する方法