KMS 키의 AWS CloudHSM 키 찾기 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMS 키의 AWS CloudHSM 키 찾기

AWS CloudHSM 키 스토어에서 KMS 키의 KMS 키 ID를 사용해 키 구성 요소 역할을 하는 AWS CloudHSM 클러스터의 키를 식별할 수 있습니다.

AWS KMS는 AWS CloudHSM 클러스터에서 KMS 키용 키 구성 요소를 생성할 때 키 라벨에 KMS 키의 Amazon 리소스 이름(ARN)을 기록합니다. 레이블 값을 변경하지 않은 경우 CloudHSM CLI에서 findKey 명령을 사용해 KMS 키대한 키 구성 요소의 key-resource와 ID를 찾을 수 있습니다.

AWS CloudHSM 키 저장소의 KMS 키를 사용하는 암호화 작업에 대한 모든 CloudTrail 로그 항목에는 customKeyStoreIdbackingKeyId가 있는 additionalEventData 필드가 포함됩니다. backingKeyId 필드에 반환되는 값은 id AWS CloudHSM 키 속성입니다. key list AWS CloudHSM CLI 작업을 KMS 키 ARN으로 필터링하여 특정 KMS 키와 연결된 CloudHSM 키 id 속성을 식별할 수 있습니다.

이 절차를 실행하려면 kmsuser CU로 로그인할 수 있도록 AWS CloudHSM 키 스토어를 임시로 연결 해제해야 합니다.

Notes

다음 절차에서는 AWS CloudHSM Client SDK 5 명령줄 도구인 CloudHSM CLI를 사용합니다. CloudHSM CLI에서 key-handlekey-reference로 대체합니다.

2025년 1월 1일에 AWS CloudHSM는 클라이언트 SDK 3 명령줄 도구인 CloudHSM 관리 유틸리티(CMU) 및 키 관리 유틸리티(KMU)에 대한 지원을 종료합니다. Client SDK 3 명령줄 도구와 Client SDK 5 명령줄 도구의 차이점에 대한 자세한 내용은 AWS CloudHSM 사용 설명서클라이언트 SDK 3 CMU 및 KMU에서 클라이언트 SDK 5 CloudHSM CLI로 마이그레이션을 참조하세요.

  1. 아직 연결 해제되지 않은 경우에는 AWS CloudHSM 키 저장소를 연결 해제한 다음, kmsuser로 로그인합니다(연결 해제 및 로그인 방법 설명 참조).

    참고

    사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.

  2. CloudHSM CLI의 key list 명령을 사용하고 label로 필터링하여 AWS CloudHSM 클러스터의 특정 키에 대한 KMS 키를 찾습니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 verbose 인수를 지정합니다. verbose 인수를 지정하지 않으면 key list 작업은 일치하는 키의 key-reference 및 label 속성만 반환합니다.

    다음 예제에서는 KMS 키 ARN을 저장하는 label 속성을 기준으로 필터링하는 방법을 보여줍니다. 이 명령을 실행하기 전에 예제 KMS 키 ARN을 계정의 유효한 값으로 대체합니다.

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 로그아웃했다가 AWS CloudHSM 키 저장소를 다시 연결합니다(로그아웃 및 재연결 방법 설명 참조).