本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 檢視 AWS CloudHSM 金鑰存放區
您可以使用 AWS KMS 主控台或 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 操作來檢視每個帳戶和區域中的 AWS CloudHSM 金鑰存放區。
## 使用 AWS KMS 主控台
當您在 中檢視 AWS CloudHSM 金鑰存放區時 AWS 管理主控台,您可以看到以下內容:
+ 自訂金鑰存放區名稱和 ID
+ 關聯 AWS CloudHSM 叢集的 ID
+ 叢集中 HSM 的數量
+ 目前的連接狀態
連線狀態 (**狀態**) 值**為已中斷**連線,表示自訂金鑰存放區是新的且從未連線,或是刻意[中斷與其 AWS CloudHSM 叢集的連線](disconnect-keystore.md)。不過,如果您嘗試在連接的自訂金鑰存放區中使用 KMS 金鑰失敗,這可能表示自訂金鑰存放區或其 AWS CloudHSM 叢集發生問題。如需協助,請參閱 [如何修正失效的 KMS 金鑰](fix-keystore.md#fix-cmk-failed)。
若要檢視指定帳戶和區域中的 AWS CloudHSM 金鑰存放區,請使用下列程序。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms) 的 AWS Key Management Service (AWS KMS) 主控台。
1. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。
1. 在導覽窗格依次選擇**自訂金鑰存放區**、**AWS CloudHSM 金鑰存放區**。
若要自訂顯示,請按一下出現在 **Create key store (建立金鑰存放區)** 按鈕下的齒輪圖示。
## 使用 AWS KMS API
若要檢視您的 AWS CloudHSM 金鑰存放區,請使用 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 操作。在預設情況下,此操作會傳回帳戶和區域中的所有自訂金鑰存放區。但是,您可以使用 `CustomKeyStoreId` 或 `CustomKeyStoreName` 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的輸出。對於 AWS CloudHSM 金鑰存放區,輸出包含自訂金鑰存放區 ID 和名稱、自訂金鑰存放區類型、相關聯 AWS CloudHSM 叢集的 ID 和連線狀態。如果連接狀態指出錯誤,則輸出也會包含描述錯誤原因的錯誤碼。
本節中的範例使用 [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/),但您可以使用任何支援的程式設計語言。
例如,以下命令會傳回帳戶和區域中的所有自訂金鑰存放區。您可以使用 `Limit` 和 `Marker` 參數來切換輸出中的自訂金鑰存放區頁面。
```
$ aws kms describe-custom-key-stores
```
以下範例命令使用 `CustomKeyStoreName` 參數來取得僅具有 `ExampleCloudHSMKeyStore` 易記名稱的自訂金鑰存放區。您可以在每個命令中使用 `CustomKeyStoreName` 或 `CustomKeyStoreId` 參數 (但不可同時使用)。
下列範例輸出代表連接到其 AWS CloudHSM 叢集的 AWS CloudHSM 金鑰存放區。
**注意**
`CustomKeyStoreType` 欄位已新增至`DescribeCustomKeyStores`回應,以區分 AWS CloudHSM 金鑰存放區與外部金鑰存放區。
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
"CustomKeyStores": [
{
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "CONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
}
]
}
```
`ConnectionState` 的 `Disconnected`表示自訂金鑰存放區從未連線,或刻意[與其 AWS CloudHSM 叢集中斷](disconnect-keystore.md)連線。不過,如果 嘗試在連線的金鑰存放區中使用 KMS AWS CloudHSM 金鑰失敗,這可能表示 AWS CloudHSM 金鑰存放區或其 AWS CloudHSM 叢集發生問題。如需協助,請參閱 [如何修正失效的 KMS 金鑰](fix-keystore.md#fix-cmk-failed)。
如果自訂金鑰存放區的 `ConnectionState` 為 `FAILED`,則 `DescribeCustomKeyStores` 回應會包含一個 `ConnectionErrorCode` 元素,解釋錯誤的原因。
例如,在以下輸出中,`INVALID_CREDENTIALS` 值指出自訂金鑰存放區連接失敗,因為 [`kmsuser` 密碼無效](fix-keystore.md#fix-keystore-password)。如需此錯誤和其他連接錯誤失敗的協助,請參閱[對自訂金鑰存放區進行故障診斷](fix-keystore.md)。
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
{
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS",
"ConnectionState": "FAILED",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"CreationDate": "1.499288695918E9",
"TrustAnchorCertificate": ""
}
]
}
```
**進一步了解:**
+ [檢視外部金鑰存放區](view-xks-keystore.md)
+ [識別金鑰存放區中的 KMS AWS CloudHSM 金鑰](identify-key-types.md#identify-key-hsm-keystore)
+ [使用 記錄 AWS KMS API 呼叫 AWS CloudTrail](logging-using-cloudtrail.md)