本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 在 金鑰存放區中尋找 KMS 金鑰和 AWS CloudHSM 金鑰材料
如果您管理 AWS CloudHSM 金鑰存放區,您可能需要識別每個 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。例如,您可能需要執行下列一些任務。
+ 在 AWS CloudTrail 日誌中追蹤 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。
+ 預測中斷連接金鑰存放區對 KMS AWS CloudHSM 金鑰的影響。
+ 先排程刪除 KMS 金鑰,再刪除 AWS CloudHSM 金鑰存放區。
此外,您可能想要識別 AWS CloudHSM 叢集中做為 KMS 金鑰金鑰材料的金鑰。雖然 會 AWS KMS 管理 KMS 金鑰和金鑰材料,但您仍保有管理 AWS CloudHSM 叢集的控制權和責任,以及 HSMs 中的 HSMs 和備份和金鑰。您可能需要識別金鑰,以稽核金鑰材料、避免意外刪除它,或在刪除 KMS 金鑰後從 HSM 和叢集備份中刪除它。
金鑰存放區中 KMS 金鑰的所有 AWS CloudHSM 金鑰材料都由[`kmsuser`加密使用者](keystore-cloudhsm.md#concept-kmsuser) (CU) 擁有。 會將金鑰標籤屬性 AWS KMS 設定為 KMS 金鑰的 Amazon Resource Name (ARN) AWS CloudHSM中只能檢視。
若要尋找 KMS 金鑰和金鑰材料,請使用下列任何技巧。
+ [在 金鑰存放區中尋找 KMS AWS CloudHSM 金鑰](find-cmk-in-keystore.md) — 如何識別一個或所有金鑰存放區中的 KMS AWS CloudHSM 金鑰。
+ [尋找 金鑰存放區的所有 AWS CloudHSM 金鑰](find-all-kmsuser-keys.md) – 如何在叢集內尋找金鑰,這些金鑰全部作為 AWS CloudHSM 金鑰存放區中的 KMS 金鑰的金鑰材料。
+ [尋找 KMS AWS CloudHSM 金鑰的金鑰](find-handle-for-cmk-id.md) — 如何在叢集中尋找做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
+ [尋找 金鑰的 KMS AWS CloudHSM 金鑰](find-label-for-key-handle.md) – 如何尋找叢集中特定金鑰的 KMS 金鑰。
# 在 金鑰存放區中尋找 KMS AWS CloudHSM 金鑰
如果您管理 AWS CloudHSM 金鑰存放區,您可能需要識別每個 AWS CloudHSM 金鑰存放區中的 KMS 金鑰。您可以使用此資訊來追蹤 AWS CloudTrail 日誌中的 KMS 金鑰操作、預測在 KMS 金鑰上中斷連接自訂金鑰存放區的效果,或在刪除金鑰存放區之前排程刪除 KMS AWS CloudHSM 金鑰。
## 在 金鑰存放區中尋找 KMS AWS CloudHSM 金鑰 (主控台)
若要尋找特定金鑰存放區中的 KMS AWS CloudHSM 金鑰,請在**客戶受管金鑰**頁面上,檢視**自訂金鑰存放區名稱**或**自訂金鑰存放區 ID** 欄位中的值。若要識別任何金鑰存放區中的 KMS AWS CloudHSM 金鑰,請尋找**原始伺服器**值為 的 KMS 金鑰**AWS CloudHSM**。若要將選用欄新增到畫面上,請選擇頁面右上角的齒輪圖示。
## 在 金鑰存放區 (API) 中尋找 KMS AWS CloudHSM 金鑰
若要在金鑰存放區中尋找 KMS AWS CloudHSM 金鑰,請使用 [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html) 和 [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html) 操作,然後依`CustomKeyStoreId`值篩選。執行下列範例之前,請將虛構的自訂金鑰存放區 ID 值取代為有效的值。
------
#### [ Bash ]
若要在特定金鑰存放區中尋找 KMS AWS CloudHSM 金鑰,請取得帳戶和區域中的所有 KMS 金鑰。然後按自訂金鑰存放區的 ID 進行篩選。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
若要在帳戶和區域的任何 AWS CloudHSM 金鑰存放區中取得 KMS 金鑰,請搜尋值`CustomKeyStoreType`為 的 `AWS_CloudHSM`。
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
若要在特定金鑰存放區中尋找 KMS AWS CloudHSM 金鑰,請使用 [Get-KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) 和 [Get-KmsKey](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html) cmdlet 取得帳戶和區域中的所有 KMS 金鑰。然後按自訂金鑰存放區的 ID 進行篩選。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
若要在帳戶和區域的任何 AWS CloudHSM 金鑰存放區中取得 KMS 金鑰,請篩選 CustomKeyStoreType 值 `AWS_CLOUDHSM`。
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# 尋找 金鑰存放區的所有 AWS CloudHSM 金鑰
您可以識別 AWS CloudHSM 叢集中做為金鑰存放區金鑰材料的 AWS CloudHSM 金鑰。若要這樣做,請使用 CloudHSM CLI 中的[金鑰清單](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令。
您也可以使用**金鑰清單**命令來尋找 AWS KMS 金鑰 AWS CloudHSM 的 。當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。**金鑰清單**命令會傳回 `key-reference`和 `label`。
**備註**
下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。
2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。
若要執行此程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,尋找 AWS CloudHSM 叢集中目前使用者的所有金鑰。
根據預設,僅顯示目前登入使用者的 10 個金錀,且只顯示 `key-reference` 和 `label` 作為輸出。如需更多選項,請參閱*AWS CloudHSM 《 使用者指南*》中的[金鑰清單](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax)。
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。
# 尋找 金鑰的 KMS AWS CloudHSM 金鑰
如果您知道 叢集中`kmsuser`擁有之金鑰的 AWS CloudHSM 金鑰參考或 ID,您可以使用該值來識別金鑰存放區中相關聯的 KMS 金鑰。
當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。除非您已變更標籤值,否則您可以使用 CloudHSM CLI 中的[金鑰清單](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令來識別與金鑰相關聯的 KMS AWS CloudHSM 金鑰。
**備註**
下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。
2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。
若要執行這些程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
**Topics**
+ [識別與金鑰參考相關聯的 KMS 金鑰](#key-reference-filter)
+ [識別與備份金鑰 ID 相關聯的 KMS 金鑰](#backing-key-id-filter)
## 識別與金鑰參考相關聯的 KMS 金鑰
下列程序示範如何在 CloudHSM CLI 中使用[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令搭配`key-reference`屬性篩選條件,以尋找叢集中做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,依 `key-reference` 屬性篩選。指定引`verbose`數以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的 key-reference 和 label 屬性。
執行此命令之前,請將範例取代`key-reference`為您的帳戶中有效的範例。
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。
## 識別與備份金鑰 ID 相關聯的 KMS 金鑰
金鑰 AWS CloudHSM 存放區中具有 KMS 金鑰之密碼編譯操作的所有 CloudTrail 日誌項目都包含具有 `customKeyStoreId`和 `additionalEventData`的欄位`backingKeyId`。欄位傳回的值與 CloudHSM 金鑰`id`屬性`backingKeyId`相關。您可以依 `id` 屬性篩選[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)操作,以識別與特定 相關聯的 KMS 金鑰`backingKeyId`。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令搭配屬性篩選條件,尋找叢集中做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
下列範例示範如何依 `id` 屬性篩選 。 會將`id`值 AWS CloudHSM 辨識為十六進位值。若要依 `id` 屬性篩選**金鑰清單**操作,您必須先將 CloudTrail 日誌項目中識別`backingKeyId`的值轉換為可 AWS CloudHSM 辨識的格式。
1. 使用下列 Linux 命令將 `backingKeyId` 轉換為十六進位表示法。
```
echo backingKeyId | tr -d '\n' | xxd -p
```
下列範例示範如何將`backingKeyId`位元組陣列轉換為十六進位表示法。
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 在 的十六進位表示法前面`backingKeyId`加上 `0x`。
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 使用轉換`backingKeyId`的值依 `id` 屬性篩選。指定引`verbose`數以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的 key-reference 和 label 屬性。
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。
# 尋找 KMS AWS CloudHSM 金鑰的金鑰
您可以使用 金鑰存放區中 KMS 金鑰的 KMS AWS CloudHSM 金鑰 ID,來識別 AWS CloudHSM 叢集中做為其金鑰材料的金鑰。
當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。除非您已變更標籤值,否則您可以使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令來尋找 KMS 金鑰之金鑰材料的金鑰資源和 ID。
金鑰 AWS CloudHSM 存放區中具有 KMS 金鑰之密碼編譯操作的所有 CloudTrail 日誌項目都包含具有 `customKeyStoreId`和 `additionalEventData`的欄位`backingKeyId`。`backingKeyId` 欄位中傳回的值是`id` AWS CloudHSM 金鑰屬性。您可以依 KMS 金鑰 ARN 篩選金鑰**清單** AWS CloudHSM CLI 操作,以識別與特定 KMS 金鑰相關聯的 CloudHSM 金鑰`id`屬性。
若要執行此程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。
**備註**
下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。
2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,並依 篩選`label`,以尋找 AWS CloudHSM 叢集中特定金鑰的 KMS 金鑰。指定引`verbose`數,以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的金鑰參考和標籤屬性。
下列範例示範如何依存放 KMS 金鑰 ARN 的 `label` 屬性進行篩選。執行此命令之前,請將範例 KMS 金鑰 ARN 取代為您的帳戶中的有效金鑰 ARN。
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。