Localizar a chave do KMS para uma chave do AWS CloudHSM - AWS Key Management Service
Identificar a chave do KMS associada a uma referência de chaveIdentificar a chave do KMS associada a um ID de chave de reserva

Localizar a chave do KMS para uma chave do AWS CloudHSM

Se você souber a referência ou o ID de uma chave de propriedade do kmsuser no cluster, poderá usar esse valor para identificar a chave do KMS associada em seu repositório de chaves do AWS CloudHSM.

Quando o AWS KMS cria o material de chave para uma chave do KMS no seu cluster do AWS CloudHSM, ele grava o Amazon Resource Name (ARN) dessa chave do KMS no rótulo de chave. A menos que tenha alterado o valor do rótulo, você pode usar o comando key list na CLI do CloudHSM para identificar a chave do KMS associada à chave do AWS CloudHSM.

Observações

Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do CloudHSM. A CLI do CloudHSM substitui key-handle por key-reference.

Em 1.º de janeiro de 2025, o AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI no Guia do usuário do AWS CloudHSM.

Para executar esses procedimentos, você precisa desconectar temporariamente o repositório de chaves do AWS CloudHSM para poder fazer login como o usuário de criptografia kmsuser.

nota

Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Identificar a chave do KMS associada a uma referência de chave

Os procedimentos a seguir demonstram como usar o comando key list na CLI do CloudHSM com o filtro de atributos key-reference para encontrar a chave no seu cluster que atua como material de chave para uma chave do KMS específica no seu repositório de chaves do AWS CloudHSM.

  1. Desconecte o repositório de chaves do AWS CloudHSM, caso ainda não tenha desconectado, e faça login como kmsuser conforme explicado em Como desconectar e fazer login.

  2. Use o comando key list na CLI do CloudHSM para filtrar pelo atributo key-reference. Especifique o argumento verbose para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento verbose, a operação key list retornará somente a referência de chave e o atributo de rótulo da chave correspondente.

    Antes de executar esse comando, substitua o exemplo de key-reference por um elemento válido da sua conta.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Encerre e reconecte o repositório de chaves do AWS CloudHSM, como descrito em Como fazer logout e se conectar novamente.

Mostrar maisMostrar menos

Identificar a chave do KMS associada a um ID de chave de reserva

Todas as entradas de log do CloudTrail para operações criptográficas com uma chave do KMS em um repositório de chaves do AWS CloudHSM incluem um campo additionalEventData com customKeyStoreId e backingKeyId. O valor retornado no campo backingKeyId está correlacionado ao atributo id da chave do CloudHSM. Você pode filtrar a operação key list pelo atributo id para identificar a chave do KMS associada a uma backingKeyId específica.

  1. Desconecte o repositório de chaves do AWS CloudHSM, caso ainda não tenha desconectado, e faça login como kmsuser conforme explicado em Como desconectar e fazer login.

  2. Use o comando key list na CLI do CloudHSM com o filtro de atributos para encontrar a chave no seu cluster que atua como material de chave para uma chave do KMS específica no seu repositório de chaves do AWS CloudHSM.

    O exemplo a seguir demonstra como filtrar pelo id atributo. O AWS CloudHSM reconhece o valor de id como um valor hexadecimal. Para filtrar a operação key list pelo atributo id, primeiro você deve converter o valor backingKeyId identificado na sua entrada de log do CloudTrail em um formato que o AWS CloudHSM reconheça.

    1. Use o seguinte comando do Linux para converter backingKeyId em uma representação hexadecimal.

      echo backingKeyId | tr -d '\n' |  xxd -p

      O exemplo a seguir demonstra como converter a matriz de bytes backingKeyId em uma representação hexadecimal.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. Prefixe a representação hexadecimal de backingKeyId com 0x.

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. Use o valor backingKeyId convertido para filtrar pelo atributo id. Especifique o argumento verbose para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento verbose, a operação key list retornará somente a referência de chave e o atributo de rótulo da chave correspondente.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Encerre e reconecte o repositório de chaves do AWS CloudHSM, como descrito em Como fazer logout e se conectar novamente.

Mostrar maisMostrar menos