本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 尋找 金鑰的 KMS AWS CloudHSM 金鑰
如果您知道 叢集中`kmsuser`擁有之金鑰的 AWS CloudHSM 金鑰參考或 ID,您可以使用該值來識別金鑰存放區中相關聯的 KMS 金鑰。
當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。除非您已變更標籤值,否則您可以使用 CloudHSM CLI 中的[金鑰清單](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令來識別與金鑰相關聯的 KMS AWS CloudHSM 金鑰。
**備註**
下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。
2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。
若要執行這些程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。
**注意**
當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。
**Topics**
+ [識別與金鑰參考相關聯的 KMS 金鑰](#key-reference-filter)
+ [識別與備份金鑰 ID 相關聯的 KMS 金鑰](#backing-key-id-filter)
## 識別與金鑰參考相關聯的 KMS 金鑰
下列程序示範如何在 CloudHSM CLI 中使用[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令搭配`key-reference`屬性篩選條件,以尋找叢集中做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,依 `key-reference` 屬性篩選。指定引`verbose`數以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的 key-reference 和 label 屬性。
執行此命令之前,請將範例取代`key-reference`為您的帳戶中有效的範例。
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。
## 識別與備份金鑰 ID 相關聯的 KMS 金鑰
金鑰 AWS CloudHSM 存放區中具有 KMS 金鑰之密碼編譯操作的所有 CloudTrail 日誌項目都包含具有 `customKeyStoreId`和 `additionalEventData`的欄位`backingKeyId`。欄位傳回的值與 CloudHSM 金鑰`id`屬性`backingKeyId`相關。您可以依 `id` 屬性篩選[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)操作,以識別與特定 相關聯的 KMS 金鑰`backingKeyId`。
1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。
1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令搭配屬性篩選條件,尋找叢集中做為金鑰存放區中特定 KMS 金鑰之金鑰材料的 AWS CloudHSM 金鑰。
下列範例示範如何依 `id` 屬性篩選 。 會將`id`值 AWS CloudHSM 辨識為十六進位值。若要依 `id` 屬性篩選**金鑰清單**操作,您必須先將 CloudTrail 日誌項目中識別`backingKeyId`的值轉換為可 AWS CloudHSM 辨識的格式。
1. 使用下列 Linux 命令將 `backingKeyId` 轉換為十六進位表示法。
```
echo backingKeyId | tr -d '\n' | xxd -p
```
下列範例示範如何將`backingKeyId`位元組陣列轉換為十六進位表示法。
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 在 的十六進位表示法前面`backingKeyId`加上 `0x`。
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 使用轉換`backingKeyId`的值依 `id` 屬性篩選。指定引`verbose`數以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的 key-reference 和 label 屬性。
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。