Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Suchen Sie den AWS CloudHSM Schlüssel für einen KMS-Schlüssel
Sie können die KMS-Schlüssel-ID eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher verwenden, um den Schlüssel in Ihrem AWS CloudHSM Cluster zu identifizieren, der als Schlüsselmaterial dient.
Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl key list in der CloudHSM-CLI verwenden, um die Schlüsselressource und die ID des Schlüsselmaterials für den KMS-Schlüssel zu finden.
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein additionalEventData
Feld mit dem und. customKeyStoreId
backingKeyId
Der im backingKeyId
Feld zurückgegebene Wert ist das id
AWS CloudHSM Schlüsselattribut. Sie können den AWS CloudHSM
CLI-Vorgang mit der Schlüsselliste nach dem KMS-Schlüssel-ARN filtern, um das id
CloudHSM-Schlüsselattribut zu identifizieren, das einem bestimmten KMS-Schlüssel zugeordnet ist.
Um dieses Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, damit Sie sich als CU anmelden können. kmsuser
Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool CloudHSM CLI. Die CloudHSM-CLI ersetzt durchkey-handle
. key-reference
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch.AWS CloudHSM
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als, wie
kmsuser
unter beschrieben. Trennen und AnmeldenAnmerkung
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
-
Verwenden Sie den Befehl key list in der CloudHSM-CLI und filtern Sie
label
nach, um den KMS-Schlüssel für einen bestimmten Schlüssel in Ihrem AWS CloudHSM Cluster zu finden. Geben Sie dasverbose
Argument an, das alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel enthalten soll. Wenn Sie dasverbose
Argument nicht angeben, gibt die Schlüssellistenoperation nur die Schlüsselreferenz - und Labelattribute des übereinstimmenden Schlüssels zurück.Das folgende Beispiel zeigt, wie nach dem
label
Attribut gefiltert wird, das den KMS-Schlüssel ARN speichert. Bevor Sie diesen Befehl ausführen, ersetzen Sie den Beispiel-KMS-Schlüssel-ARN durch einen gültigen aus Ihrem Konto.aws-cloudhsm >
key list --filter attr.label="
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
" --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "
0xbacking-key-id
", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } } -
Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschriebenAbmelden und erneutes Verbinden.