本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 查看密 AWS CloudHSM 钥库
<a name="view-keystore"></a>

您可以使用 AWS KMS 控制台或[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)操作查看每个账户和区域中的 AWS CloudHSM 密钥存储区。

## 使用控制 AWS KMS 台
<a name="view-keystore-console"></a>

在中查看 AWS CloudHSM 密钥存储库时 AWS 管理控制台，可以看到以下内容：
+ 自定义密钥存储名称和 ID
+ 关联 AWS CloudHSM 集群的 ID
+ 集群 HSMs 中的数量
+ 当前连接状态

连接**状态（状态**）值为 “**已断开连接**” 表示自定义密钥库是新的，从未连接过，或者是故意与[其 AWS CloudHSM 集群断开连接](disconnect-keystore.md)。但是，如果您尝试在连接的自定义密钥存储中使用 KMS 密钥失败，则可能表明自定义密钥存储或其 AWS CloudHSM 集群存在问题。有关帮助信息，请参阅 [如何修复失败的 KMS 密钥](fix-keystore.md#fix-cmk-failed)。

要查看给定账户和区域中的 AWS CloudHSM 密钥存储，请按以下步骤操作。

1. 登录 AWS 管理控制台 并在 [https://console.aws.amazon.com/km](https://console.aws.amazon.com/kms) s 处打开 AWS Key Management Service (AWS KMS) 控制台。

1. 要更改 AWS 区域，请使用页面右上角的区域选择器。

1. 在导航窗格中，选择**自定义密钥存储**、**AWS CloudHSM 密钥存储**。

要自定义显示，请单击显示在 **Create key store (创建密钥存储)** 按钮下方的齿轮图标。

## 使用 AWS KMS API
<a name="view-keystore-api"></a>

要查看您的 AWS CloudHSM 密钥存储库，请使用[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)操作。默认情况下，此操作将返回账户和区域中的所有自定义密钥存储。不过，您可以使用 `CustomKeyStoreId` 或 `CustomKeyStoreName` 参数（但不能同时使用两者）将输出限制到特定的自定义密钥存储。对于 AWS CloudHSM 密钥存储，输出包括自定义密钥库 ID 和名称、自定义密钥库类型、关联 AWS CloudHSM 集群的 ID 以及连接状态。如果连接状态指示错误，则输出还包含描述错误原因的错误代码。

本部分中的示例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/)，但您可以使用任何受支持的编程语言。

例如，以下命令返回账户和区域中的所有自定义密钥存储。您可以使用 `Limit` 和 `Marker` 参数来浏览输出中的自定义密钥存储。

```
$ aws kms describe-custom-key-stores
```

以下示例命令使用 `CustomKeyStoreName` 参数以仅获取具有 `ExampleCloudHSMKeyStore` 友好名称的自定义密钥存储。您可以在每个命令中使用 `CustomKeyStoreName` 或 `CustomKeyStoreId` 参数（但不能同时使用二者）。

以下示例输出表示已连接到其 AWS CloudHSM 集群的 AWS CloudHSM 密钥库。

**注意**  
该`CustomKeyStoreType`字段已添加到`DescribeCustomKeyStores`响应中，以区分 AWS CloudHSM 密钥存储库和外部密钥存储。

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

如果为`ConnectionState`，`Disconnected`则表示自定义密钥库从未连接过，或者它被故意与[其 AWS CloudHSM 集群断开连接](disconnect-keystore.md)。但是，如果尝试在连接的密钥存储中使用 KMS AWS CloudHSM 密钥失败，则可能表示 AWS CloudHSM 密钥存储或其 AWS CloudHSM 集群存在问题。有关帮助信息，请参阅 [如何修复失败的 KMS 密钥](fix-keystore.md#fix-cmk-failed)。

如果自定义密钥存储的 `ConnectionState` 为 `FAILED`，则 `DescribeCustomKeyStores` 响应包含一个说明错误原因的 `ConnectionErrorCode` 元素。

例如，在以下输出中，`INVALID_CREDENTIALS` 值指示自定义密钥存储连接因 [`kmsuser` 密码无效](fix-keystore.md#fix-keystore-password)而导致失败。有关此连接失败及其他连接错误失败的帮助，请参阅[对自定义密钥存储进行故障排除](fix-keystore.md)。

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**了解更多：**
+ [查看外部密钥存储](view-xks-keystore.md)
+ [识别密钥库中的 KMS AWS CloudHSM 密钥](identify-key-types.md#identify-key-hsm-keystore)
+ [使用记录 AWS KMS API 调用 AWS CloudTrail](logging-using-cloudtrail.md)