翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# キーストアで KMS キーと AWS CloudHSM キーマテリアルを検索する
AWS CloudHSM キーストアを管理する場合は、各 AWS CloudHSM キーストアで KMS キーを識別する必要がある場合があります。例えば、次のタスクの一部を実行する必要がある場合があります。
+ AWS CloudTrail ログのキーストアで KMS AWS CloudHSM キーを追跡します。
+ キーストアを切断した場合の KMS AWS CloudHSM キーへの影響を予測します。
+ キーストアを削除する前に、KMS AWS CloudHSM キーの削除をスケジュールします。
さらに、KMS キーのキーマテリアルとして機能する AWS CloudHSM クラスター内のキーを識別することもできます。は KMS キーとキーマテリアル AWS KMS を管理しますが、 AWS CloudHSM クラスターの管理、HSMs とバックアップ、HSM 内のキーの制御と責任は引き続き保持HSMs。キーマテリアルを監査したり、誤って削除されないようにしたり、KMS キーの削除後に HSM やクラスターバックアップから削除したりするために、キーを識別する必要がある場合があります。
キーストアの KMS キーのすべての AWS CloudHSM キーマテリアルは、[`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) によって所有されます。 は、 でのみ表示可能なキーラベル属性を AWS CloudHSM KMS キーの Amazon リソースネーム (ARN) AWS KMS に設定します。
KMS キーとキーマテリアルを検索するには、次のいずれかの方法を使用します。
+ [キーストアで KMS AWS CloudHSM キーを検索する](find-cmk-in-keystore.md) — 1 つまたはすべてのキーストアで KMS AWS CloudHSM キーを識別する方法。
+ [キーストアのすべての AWS CloudHSM キーを検索する](find-all-kmsuser-keys.md) — AWS CloudHSM キーストアで KMS キーのキーマテリアルとして機能する、クラスター内すべてのキーを検索する方法。
+ [KMS AWS CloudHSM キーのキーを検索する](find-handle-for-cmk-id.md) — キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内の AWS CloudHSM キーを見つける方法。
+ [キーの KMS AWS CloudHSM キーを検索する](find-label-for-key-handle.md) — クラスターで特定のキーの KMS キーを検索する方法。
# キーストアで KMS AWS CloudHSM キーを検索する
AWS CloudHSM キーストアを管理する場合は、各 AWS CloudHSM キーストアで KMS キーを識別する必要がある場合があります。この情報を使用して、 AWS CloudTrail ログ内の KMS キーオペレーションを追跡したり、KMS キーに対するカスタムキーストアの切断の影響を予測したり、 AWS CloudHSM キーストアを削除する前に KMS キーの削除をスケジュールしたりできます。
## キーストアで KMS AWS CloudHSM キーを検索するには (コンソール)
特定のキーストアで KMS AWS CloudHSM キーを検索するには、**カスタマーマネージドキー**ページで、**カスタムキーストア名**または**カスタムキーストア ID** フィールドの値を表示します。任意の AWS CloudHSM キーストアで KMS キーを識別するには、**オリジン**値が の KMS キーを探します**AWS CloudHSM**。オプションの列をディスプレイに追加するには、ページの右上隅にある歯車アイコンを選択します。
## キーストア (API) で KMS AWS CloudHSM キーを検索するには
キーストアで KMS AWS CloudHSM キーを検索するには、[ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) オペレーションと [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) オペレーションを使用して、`CustomKeyStoreId`値でフィルタリングします。以下の各例を実行する前に、架空のカスタムキーストア ID の値を有効な値に置き換えます。
------
#### [ Bash ]
特定のキー AWS CloudHSM ストアで KMS キーを検索するには、アカウントとリージョン内のすべての KMS キーを取得します。次に、カスタムキーストア ID でフィルタをかけます。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
アカウントとリージョンの任意のキーストアで KMS AWS CloudHSM キーを取得するには、 の値`CustomKeyStoreType`で を検索します`AWS_CloudHSM`。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
特定の AWS CloudHSM キーストアで KMS キーを検索するには、[Get-KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) および [Get-KmsKey](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) コマンドレットを使用して、アカウントとリージョン内のすべての KMS キーを取得します。次に、カスタムキーストア ID でフィルタをかけます。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
アカウントとリージョンの任意の AWS CloudHSM キーストアで KMS キーを取得するには、CustomKeyStoreType の値をフィルタリングします`AWS_CLOUDHSM`。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# キーストアのすべての AWS CloudHSM キーを検索する
キーストアのキーマテリアル AWS CloudHSM として機能する AWS CloudHSM クラスター内のキーを識別できます。これを行うには、CloudHSM CLI 内で [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用します。
**キーリスト**コマンドを使用して、 キー AWS KMS の AWS CloudHSM を検索することもできます。が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。**[key list]** コマンドは、`key-reference` と `label` を返します。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
この手順を実行するには、CU `kmsuser` としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、 AWS CloudHSM クラスターに存在する現在のユーザーのすべてのキーを検索します。
デフォルトでは、現在ログインしているユーザーのキーは 10 個だけ表示され、出力には `key-reference` と `label` のみ表示されます。その他のオプションについては、「*AWS CloudHSM ユーザーガイド*」の「[key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax)」を参照してください。
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。
# キーの KMS AWS CloudHSM キーを検索する
クラスター内で `kmsuser`が所有するキーのキーリファレンスまたは ID がわかっている場合は、その値を使用して、キーストア内の関連する KMS AWS CloudHSM キーを識別できます。
が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM CLI の [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、 AWS CloudHSM キーに関連付けられた KMS キーを特定できます。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
これらの手順を実行するには、CU `kmsuser` としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
**Topics**
+ [キーリファレンスに関連付けられた KMS キーを特定する](#key-reference-filter)
+ [バッキングキー ID に関連付けられた KMS キーを特定する](#backing-key-id-filter)
## キーリファレンスに関連付けられた KMS キーを特定する
次の手順は、CloudHSM CLI の[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを `key-reference` 属性フィルターと併せて使用することにより、 AWS CloudHSM キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内のキーを検索する方法を示します。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、`key-reference` 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。
このコマンドを実行する前に、サンプル `key-reference` をお使いのアカウントにある有効な値に置き換えてください。
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。
## バッキングキー ID に関連付けられた KMS キーを特定する
AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、 `customKeyStoreId`および を含む `additionalEventData`フィールドが含まれます`backingKeyId`。`backingKeyId` フィールドで返される値は、CloudHSM キー `id` 属性と相互に関連付けられています。`id` 属性で [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) オペレーションをフィルタリングすることで、特定の `backingKeyId` に関連付けられた KMS キーを特定できます。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを属性フィルターと併せて使用することで、 AWS CloudHSM キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内のキーを検索します。
次の例は、`id` 属性でフィルタリングする方法を示します。 AWS CloudHSM は `id` 値を 16 進値として認識します。`id` 属性で**キーリスト**オペレーションをフィルタリングするには、まず CloudTrail ログエントリで識別した`backingKeyId`値を が AWS CloudHSM 認識する形式に変換する必要があります。
1. 次の Linux コマンドを使用して、`backingKeyId` を 16 進数表現に変換します。
```
echo backingKeyId | tr -d '\n' | xxd -p
```
次の例は、`backingKeyId` バイト配列を 16 進数表現に変換する方法を示します。
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. `backingKeyId` の 16 進数表現の先頭に `0x` を付加します。
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 変換された `backingKeyId` 値を使用して、`id` 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。
# KMS AWS CloudHSM キーのキーを検索する
キーストアの KMS キーの KMS AWS CloudHSM キー ID を使用して、キーマテリアルとして機能する AWS CloudHSM クラスター内のキーを識別できます。
が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、KMS キーのキーマテリアルのキーリソースおよび ID を取得できます。
AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、 `customKeyStoreId`および を含む `additionalEventData`フィールドが含まれます`backingKeyId`。`backingKeyId` フィールドで返される値は、`id` AWS CloudHSM キー属性です。KMS キー ARN でキー**リスト** AWS CloudHSM CLI オペレーションをフィルタリングして、特定の KMS キーに関連付けられた CloudHSM キー`id`属性を識別できます。
この手順を実行するには、CU `kmsuser` としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用し、 でフィルタリング`label`して、 AWS CloudHSM クラスター内の特定のキーの KMS キーを検索します。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは、一致するキーのキーリファレンスとラベル属性のみを返します。
次の例は、KMS キー ARN を格納する `label` 属性を用いたフィルタリング方法を示します。このコマンドを実行する前に、KMS キー ARN のサンプル値をお使いのアカウントにある有効な値に置き換えてください。
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。