在 AWS CloudHSM 密钥存储中查找 KMS 密钥
如果您管理 AWS CloudHSM 密钥存储,则可能需要在每个 AWS CloudHSM 密钥存储中标识 KMS 密钥。您可以使用此信息在 AWS CloudTrail 日志中跟踪 KMS 密钥操作,预测断开自定义密钥存储对 KMS 密钥的影响,或在删除 AWS CloudHSM 密钥存储前计划删除 KMS 密钥。
在 AWS CloudHSM 密钥存储中查找 KMS 密钥(控制台)
要在特定的 AWS CloudHSM 密钥存储中查找 KMS 密钥,请在 Customer managed keys(客户托管密钥)页面上,查看 Custom Key Store Name(自定义密钥存储名称)或 Custom Key Store ID(自定义密钥存储 ID)字段中的值。要确定任何 AWS CloudHSM 密钥存储中的 KMS 密钥,请查找 Origin(源)值为 AWS CloudHSM 的 KMS 密钥。要向显示添加可选列,请选择页面右上角的齿轮图标。
在 AWS CloudHSM 密钥存储中查找 KMS 密钥(API)
要在 AWS CloudHSM 密钥存储中查找 KMS 密钥,请使用 ListKeys 和 DescribeKey 操作,然后按 CustomKeyStoreId 值进行筛选。在运行以下示例之前,请将虚构的自定义密钥存储 ID 值替换为有效值。
- Bash
-
要在特定的 AWS CloudHSM 密钥存储中查找 KMS 密钥,请获取账户和区域中的所有 KMS 密钥。然后,按自定义密钥存储 ID 进行筛选。
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
要获取账户和区域中任何 AWS CloudHSM 密钥存储的 KMS 密钥,请搜索值为 AWS_CloudHSM 的 CustomKeyStoreType。
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
- PowerShell
-
要在特定的 AWS CloudHSM 密钥存储中查找 KMS 密钥,请使用 Get-KmsKeyList 和 Get-KmsKey cmdlet 获取账户和区域中的所有 KMS 密钥。然后,按自定义密钥存储 ID 进行筛选。
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
要获取账户和区域中任何 AWS CloudHSM 密钥存储的 KMS 密钥,请筛选 AWS_CLOUDHSM 的 CustomKeyStoreType 值。
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
