Encontrar chaves do KMS e material de chave em um repositório de chaves do AWS CloudHSM - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Encontrar chaves do KMS e material de chave em um repositório de chaves do AWS CloudHSM

Se você gerencia um armazenamento de chaves do AWS CloudHSM, pode ser necessário identificar as chaves do KMS em cada armazenamento de chaves do AWS CloudHSM. Por exemplo, pode ser necessário executar uma das seguintes tarefas.

  • Acompanhe as chaves do KMS no armazenamento de chaves do AWS CloudHSM em logs do AWS CloudTrail.

  • Preveja o efeito nas chaves do KMS de desconectar um armazenamento de chaves do AWS CloudHSM.

  • Agende a exclusão de chaves do KMS antes de excluir um armazenamento de chaves do AWS CloudHSM.

Além disso, é recomendável identificar as chaves no cluster do AWS CloudHSM que funcionam como material de chave para as suas chaves do KMS. Embora o AWS KMS gerencie as chaves do KMS e seu material de chave, você ainda mantém o controle e a responsabilidade pelo gerenciamento do cluster do AWS CloudHSM, bem como dos seus HSMs e backups e as chaves nos HSMs. Talvez você precise identificar as chaves para auditar o material de chave, protegê-lo contra exclusão acidental ou excluí-lo de HSMs e backups de cluster após a exclusão da chave do KMS.

Todo o material de chave para as suas chaves do KMS no armazenamento de chaves do AWS CloudHSM pertence ao usuário de criptografia kmsuser. O AWS KMS define o atributo do rótulo de chave, que pode ser visualizado apenas no AWS CloudHSM, ao nome do recurso da Amazon (ARN) das chaves do KMS.

Para encontrar as chaves do KMS e o material de chave, use uma das técnicas a seguir.