Localizar a chave do AWS CloudHSM para uma chave do KMS - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Localizar a chave do AWS CloudHSM para uma chave do KMS

Você pode usar o ID de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM para identificar a chave no cluster do AWS CloudHSM que serve como material de chave.

Quando o AWS KMS cria o material de chave para uma chave do KMS no seu cluster do AWS CloudHSM, ele grava o Amazon Resource Name (ARN) dessa chave do KMS no rótulo de chave. A menos que tenha alterado o valor do rótulo, você pode usar o comando key list na CLI do CloudHSM para encontrar o recurso de chave e o id do material de chave da chave do KMS.

Todas as entradas de log do CloudTrail para operações criptográficas com uma chave do KMS em um repositório de chaves do AWS CloudHSM incluem um campo additionalEventData com customKeyStoreId e backingKeyId. O valor retornado no campo backingKeyId é o atributo de chave AWS CloudHSM do id. Você pode filtrar a operação key list da CLI do AWS CloudHSM pelo ARN da chave do KMS para identificar o atributo id da chave do CloudHSM associado a uma chave do KMS específica.

Para executar esse procedimento, você precisa desconectar temporariamente o armazenamento de chaves do AWS CloudHSM para poder fazer login como usuário de criptografia kmsuser.

Observações

Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do CloudHSM. A CLI do CloudHSM substitui key-handle por key-reference.

Em 1.º de janeiro de 2025, o AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI no Guia do usuário do AWS CloudHSM.

  1. Desconecte o repositório de chaves do AWS CloudHSM, caso ainda não tenha desconectado, e faça login como kmsuser conforme explicado em Como desconectar e fazer login.

    nota

    Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

  2. Use o comando key list na CLI do CloudHSM e filtre por label para encontrar a chave do KMS de uma chave específica em seu cluster do AWS CloudHSM. Especifique o argumento verbose para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento verbose, a operação key list retornará somente os atributos de referência e rótulo de chave da chave correspondente.

    O exemplo a seguir demonstra como filtrar pelo atributo label que armazena o ARN da chave do KMS. Antes de executar esse comando, substitua o ARN de chave do KSM de exemplo por um valor válido da sua conta.

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Encerre e reconecte o repositório de chaves do AWS CloudHSM, como descrito em Como fazer logout e se conectar novamente.