As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Encontre a chave KMS para uma AWS CloudHSM chave
Se você souber a referência de chave ou o ID de uma chave que `kmsuser` possui no cluster, você pode usar esse valor para identificar a chave KMS associada em seu armazenamento de AWS CloudHSM chaves.
Quando AWS KMS cria o material de chave para uma chave KMS em seu AWS CloudHSM cluster, ele grava o Amazon Resource Name (ARN) da chave KMS no rótulo da chave. A menos que tenha alterado o valor do rótulo, você pode usar o comando [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM para identificar a chave do KMS associada à chave do AWS CloudHSM .
**Observações**
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.
Para executar esses procedimentos, você precisa desconectar temporariamente o armazenamento de AWS CloudHSM chaves para poder fazer login como `kmsuser` UC.
**nota**
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.
**Topics**
+ [Identificar a chave do KMS associada a uma referência de chave](#key-reference-filter)
+ [Identificar a chave do KMS associada a um ID de chave de reserva](#backing-key-id-filter)
## Identificar a chave do KMS associada a uma referência de chave
Os procedimentos a seguir demonstram como usar o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM com o filtro de atributos `key-reference` para encontrar a chave no seu cluster que atua como material de chave para uma chave do KMS específica no seu repositório de chaves do AWS CloudHSM .
1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login como`kmsuser`, conforme explicado em. [Como desconectar e fazer login](fix-keystore.md#login-kmsuser-1)
1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM para filtrar pelo atributo `key-reference`. Especifique o argumento `verbose` para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento `verbose`, a operação **key list** retornará somente a referência de chave e o atributo de rótulo da chave correspondente.
Antes de executar esse comando, substitua o exemplo de `key-reference` por um elemento válido da sua conta.
```
aws-cloudhsm > key list --filter attr.key-reference="{{0x0000000000120034}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0xbacking-key-id}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito em[Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).
## Identificar a chave do KMS associada a um ID de chave de reserva
Todas as entradas de CloudTrail registro para operações criptográficas com uma chave KMS em um armazenamento de AWS CloudHSM chaves incluem um `additionalEventData` campo com e. `customKeyStoreId` `backingKeyId` O valor retornado no campo `backingKeyId` está correlacionado ao atributo `id` da chave do CloudHSM. Você pode filtrar a operação [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) pelo atributo `id` para identificar a chave do KMS associada a uma `backingKeyId` específica.
1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login como`kmsuser`, conforme explicado em. [Como desconectar e fazer login](fix-keystore.md#login-kmsuser-1)
1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) na CLI do CloudHSM com o filtro de atributos para encontrar a chave no seu cluster que atua como material de chave para uma chave do KMS específica no seu repositório de chaves do AWS CloudHSM .
O exemplo a seguir demonstra como filtrar pelo `id` atributo. O AWS CloudHSM reconhece o valor de `id` como um valor hexadecimal. Para filtrar a operação da **lista de chaves** pelo `id` atributo, você deve primeiro converter o `backingKeyId` valor identificado na entrada do CloudTrail registro em um formato que AWS CloudHSM reconheça.
1. Use o seguinte comando do Linux para converter `backingKeyId` em uma representação hexadecimal.
```
echo {{backingKeyId}} | tr -d '\n' | xxd -p
```
O exemplo a seguir demonstra como converter a matriz de bytes `backingKeyId` em uma representação hexadecimal.
```
echo {{5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d}} | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Prefixe a representação hexadecimal de `backingKeyId` com `0x`.
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Use o valor `backingKeyId` convertido para filtrar pelo atributo `id`. Especifique o argumento `verbose` para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento `verbose`, a operação **key list** retornará somente a referência de chave e o atributo de rótulo da chave correspondente.
```
aws-cloudhsm > key list --filter attr.id="{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito em[Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).