Localizar todas as chaves de um armazenamento de chaves do AWS CloudHSM - AWS Key Management Service

Localizar todas as chaves de um armazenamento de chaves do AWS CloudHSM

Você pode identificar as chaves no cluster do AWS CloudHSM que funcionam como material de chaves para o armazenamento de chaves do AWS CloudHSM. Para fazer isso, use o comando key list na CLI do CloudHSM.

Você também pode usar o comando key list para encontrar o AWS KMS de uma chave do AWS CloudHSM. Quando o AWS KMS cria o material de chave para uma chave do KMS no seu cluster do AWS CloudHSM, ele grava o Amazon Resource Name (ARN) dessa chave do KMS no rótulo de chave. O comando key list retorna key-reference e label.

Observações

Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do CloudHSM. A CLI do CloudHSM substitui key-handle por key-reference.

Em 1.º de janeiro de 2025, o AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI no Guia do usuário do AWS CloudHSM.

Para executar esse procedimento, você precisa desconectar temporariamente o repositório de chaves do AWS CloudHSM para poder fazer login como o usuário de criptografia kmsuser.

  1. Desconecte o repositório de chaves do AWS CloudHSM, caso ainda não tenha desconectado, e faça login como kmsuser conforme explicado em Como desconectar e fazer login.

    nota

    Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

  2. Use o comando key list na CLI do CloudHSM para localizar todas as chaves do usuário atual presentes em seu cluster do AWS CloudHSM.

    Por padrão, somente 10 chaves do usuário atualmente conectado são exibidas, e somente o key-reference e label são exibidos como saída. Para mais opções, consulte key list no Guia do usuário do AWS CloudHSM.

    aws-cloudhsm > key list
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000123",
        "attributes": {
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      },
      {
        "key-reference": "0x0000000000000456",
        "attributes": {
          "label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
        }
      },.
      ...8 keys later...
    ],
    "total_key_count": 56,
    "returned_key_count": 10,
    "next_token": "10"
  }
}

  3. Encerre e reconecte o repositório de chaves do AWS CloudHSM, como descrito em Como fazer logout e se conectar novamente.