Suchen Sie den AWS CloudHSM Schlüssel für einen KMS-Schlüssel - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Suchen Sie den AWS CloudHSM Schlüssel für einen KMS-Schlüssel

Sie können die KMS-Schlüssel-ID eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher verwenden, um den Schlüssel in Ihrem AWS CloudHSM Cluster zu identifizieren, der als Schlüsselmaterial dient.

Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl key list in der CloudHSM-CLI verwenden, um die Schlüsselressource und die ID des Schlüsselmaterials für den KMS-Schlüssel zu finden.

Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein additionalEventData Feld mit dem und. customKeyStoreId backingKeyId Der im backingKeyId Feld zurückgegebene Wert ist das id AWS CloudHSM Schlüsselattribut. Sie können den AWS CloudHSM CLI-Vorgang mit der Schlüsselliste nach dem KMS-Schlüssel-ARN filtern, um das id CloudHSM-Schlüsselattribut zu identifizieren, das einem bestimmten KMS-Schlüssel zugeordnet ist.

Um dieses Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, damit Sie sich als CU anmelden können. kmsuser

Hinweise

Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool CloudHSM CLI. Die CloudHSM-CLI ersetzt durchkey-handle. key-reference

Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch.AWS CloudHSM

  1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als, wie kmsuser unter beschrieben. Trennen und Anmelden

    Anmerkung

    Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

  2. Verwenden Sie den Befehl key list in der CloudHSM-CLI und filtern Sie label nach, um den KMS-Schlüssel für einen bestimmten Schlüssel in Ihrem AWS CloudHSM Cluster zu finden. Geben Sie das verbose Argument an, das alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel enthalten soll. Wenn Sie das verbose Argument nicht angeben, gibt die Schlüssellistenoperation nur die Schlüsselreferenz - und Labelattribute des übereinstimmenden Schlüssels zurück.

    Das folgende Beispiel zeigt, wie nach dem label Attribut gefiltert wird, das den KMS-Schlüssel ARN speichert. Bevor Sie diesen Befehl ausführen, ersetzen Sie den Beispiel-KMS-Schlüssel-ARN durch einen gültigen aus Ihrem Konto.

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "0xbacking-key-id", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } }
  3. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschriebenAbmelden und erneutes Verbinden.