Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Suchen Sie KMS-Schlüssel und Schlüsselmaterial in einem AWS CloudHSM Schlüsselspeicher
Wenn Sie einen AWS CloudHSM Schlüsselspeicher verwalten, müssen Sie möglicherweise die KMS-Schlüssel in jedem AWS CloudHSM Schlüsselspeicher identifizieren. Beispielsweise könnte es sein, dass Sie eine der folgenden Aufgaben ausführen müssen:
+ Verfolgen Sie die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher in AWS CloudTrail Protokollen.
+ Prognostizieren Sie die Auswirkungen einer Unterbrechung der Verbindung zu einem AWS CloudHSM Schlüsselspeicher auf KMS-Schlüssel.
+ Planen Sie das Löschen von KMS-Schlüsseln, bevor Sie einen AWS CloudHSM Schlüsselspeicher löschen.
Darüber hinaus möchten Sie möglicherweise die Schlüssel in Ihrem AWS CloudHSM Cluster identifizieren, die als Schlüsselmaterial für Ihre KMS-Schlüssel dienen. AWS KMS Verwaltet zwar die KMS-Schlüssel und das Schlüsselmaterial, Sie behalten jedoch weiterhin die Kontrolle und Verantwortung für die Verwaltung Ihres AWS CloudHSM Clusters sowie für die Backups HSMs und Schlüssel in der HSMs. Möglicherweise müssen Sie die Schlüssel identifizieren, um das Schlüsselmaterial zu prüfen, es vor versehentlichem Löschen zu schützen oder es nach dem Löschen des KMS-Schlüssels aus HSMs den Cluster-Backups zu löschen.
Das gesamte Schlüsselmaterial für die KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher gehört dem [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU). AWS KMS setzt das Schlüsselbezeichnungsattribut, das nur in sichtbar ist AWS CloudHSM, auf den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels.
Wenden Sie zum Suchen der KMS-Schlüssel und Schlüsselmaterial eine der folgenden Methoden an.
+ [Suchen Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher](find-cmk-in-keystore.md)— So identifizieren Sie die KMS-Schlüssel in einem oder allen Ihrer AWS CloudHSM Schlüsselspeicher.
+ [Suchen Sie nach allen Schlüsseln für einen AWS CloudHSM Schlüsselspeicher](find-all-kmsuser-keys.md) – Ermitteln aller Schlüssel in Ihrem Cluster, die als Schlüsselmaterial für die KMS-Schlüssel in Ihrem AWS CloudHSM -Schlüsselspeicher dienen.
+ [Suchen Sie den AWS CloudHSM Schlüssel für einen KMS-Schlüssel](find-handle-for-cmk-id.md)— So finden Sie den Schlüssel in Ihrem Cluster, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
+ [Suchen Sie den KMS-Schlüssel für einen AWS CloudHSM Schlüssel](find-label-for-key-handle.md) – Ermitteln des KMS-Schlüssels für einen bestimmten Schlüssel in Ihrem Cluster.
# Suchen Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher
Wenn Sie einen AWS CloudHSM Schlüsselspeicher verwalten, müssen Sie möglicherweise die KMS-Schlüssel in jedem AWS CloudHSM Schlüsselspeicher identifizieren. Sie können diese Informationen verwenden, um die KMS-Schlüsseloperationen in AWS CloudTrail Protokollen nachzuverfolgen, die Auswirkungen der Trennung eines benutzerdefinierten Schlüsselspeichers auf KMS-Schlüssel vorherzusagen oder das Löschen von KMS-Schlüsseln zu planen, bevor Sie einen AWS CloudHSM Schlüsselspeicher löschen.
## So finden Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher (Konsole)
Um die KMS-Schlüssel in einem bestimmten AWS CloudHSM Schlüsselspeicher zu finden, sehen Sie sich auf der Seite vom **Kunden verwaltete Schlüssel** die Werte in den Feldern **Custom Key Store Name** oder **Custom Key Store ID** an. Um KMS-Schlüssel in einem beliebigen AWS CloudHSM Schlüsselspeicher zu identifizieren, suchen Sie nach KMS-Schlüsseln mit dem **Origin-Wert** von **AWS CloudHSM**. Wenn Sie der Anzeige optionale Spalten hinzufügen möchten, wählen Sie das Zahnradsymbol rechts oben auf der Seite aus.
## So finden Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher (API)
Um die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu finden, verwenden Sie die [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Operationen [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)und und filtern Sie dann nach `CustomKeyStoreId` Wert. Bevor Sie die folgenden Beispiele ausführen, ersetzen Sie die fiktiven ID-Werte des benutzerdefinierten Schlüsselspeichers durch einen gültigen Wert.
------
#### [ Bash ]
Um KMS-Schlüssel in einem bestimmten AWS CloudHSM Schlüsselspeicher zu finden, rufen Sie alle Ihre KMS-Schlüssel im Konto und in der Region ab. Filtern Sie anschließend nach der ID des benutzerdefinierten Schlüsselspeichers.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
Um KMS-Schlüssel in einem beliebigen AWS CloudHSM Schlüsselspeicher des Kontos und der Region abzurufen, suchen Sie nach `CustomKeyStoreType` dem Wert`AWS_CloudHSM`.
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
```
------
#### [ PowerShell ]
Um KMS-Schlüssel in einem bestimmten AWS CloudHSM Schlüsselspeicher zu finden, verwenden Sie die KmsKey Cmdlets [Get- KmsKeyList](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKeyList.html) [und Get-](https://docs.aws.amazon.com/powershell/latest/reference/items/Get-KMSKey.html), um alle Ihre KMS-Schlüssel im Konto und in der Region abzurufen. Filtern Sie anschließend nach der ID des benutzerdefinierten Schlüsselspeichers.
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
Um KMS-Schlüssel in einem beliebigen AWS CloudHSM Schlüsselspeicher des Kontos und der Region abzurufen, filtern Sie nach dem CustomKeyStoreType Wert von. `AWS_CLOUDHSM`
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'
```
------
# Suchen Sie nach allen Schlüsseln für einen AWS CloudHSM Schlüsselspeicher
Sie können die Schlüssel in Ihrem AWS CloudHSM Cluster identifizieren, die als Schlüsselmaterial für Ihren AWS CloudHSM Schlüsselspeicher dienen. Verwenden Sie dazu den Befehl [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI.
Sie können auch den Befehl **key list** verwenden, um nach einem AWS CloudHSM Schlüssel zu suchen. AWS KMS Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Der Befehl **key list** gibt das `key-reference` und das zurück`label`.
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
Um dieses Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, sodass Sie sich als CU anmelden können. `kmsuser`
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als`kmsuser`, wie unter beschrieben[Trennen und Anmelden](fix-keystore.md#login-kmsuser-1).
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI, um alle Schlüssel für den aktuellen Benutzer in Ihrem AWS CloudHSM Cluster zu finden.
Standardmäßig werden nur 10 Schlüssel des aktuell angemeldeten Benutzers angezeigt, und nur die Schlüssel `key-reference` und `label` werden als Ausgabe angezeigt. Weitere Optionen finden Sie in [der Schlüsselliste](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html#chsm-cli-key-list-syntax) im *AWS CloudHSM Benutzerhandbuch*.
```
aws-cloudhsm > key list
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000000123",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
},
{
"key-reference": "0x0000000000000456",
"attributes": {
"label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
}
},.
...8 keys later...
],
"total_key_count": 56,
"returned_key_count": 10,
"next_token": "10"
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).
# Suchen Sie den KMS-Schlüssel für einen AWS CloudHSM Schlüssel
Wenn Sie die Schlüsselreferenz oder ID eines Schlüssels kennen, den er im Cluster `kmsuser` besitzt, können Sie diesen Wert verwenden, um den zugehörigen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu identifizieren.
Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM CLI verwenden, um den KMS-Schlüssel zu identifizieren, der dem Schlüssel zugeordnet ist. AWS CloudHSM
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
Um diese Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, sodass Sie sich als CU anmelden können. `kmsuser`
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
**Topics**
+ [Identifizieren Sie den KMS-Schlüssel, der einer Schlüsselreferenz zugeordnet ist](#key-reference-filter)
+ [Identifizieren Sie den KMS-Schlüssel, der einer Backing-Key-ID zugeordnet ist](#backing-key-id-filter)
## Identifizieren Sie den KMS-Schlüssel, der einer Schlüsselreferenz zugeordnet ist
Die folgenden Verfahren zeigen, wie Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI mit dem `key-reference` Attributfilter verwenden, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann wie unter `kmsuser` beschrieben an. [Trennen und Anmelden](fix-keystore.md#login-kmsuser-1)
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI, um nach dem `key-reference` Attribut zu filtern. Geben Sie das `verbose` Argument an, das alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel enthalten soll. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** und das Labelattribut des übereinstimmenden Schlüssels zurück.
Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel `key-reference` durch ein gültiges Beispiel aus Ihrem Konto.
```
aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).
## Identifizieren Sie den KMS-Schlüssel, der einer Backing-Key-ID zugeordnet ist
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem `customKeyStoreId` und`backingKeyId`. Der im `backingKeyId` Feld zurückgegebene Wert korreliert mit dem CloudHSM-Schlüsselattribut. `id` Sie können den [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) nach dem `id` Attribut filtern, um den KMS-Schlüssel zu identifizieren, der einem bestimmten Schlüssel zugeordnet ist. `backingKeyId`
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als`kmsuser`, wie unter beschrieben[Trennen und Anmelden](fix-keystore.md#login-kmsuser-1).
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI mit dem Attributfilter, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
Das folgende Beispiel zeigt, wie Sie nach dem `id` Attribut filtern. AWS CloudHSM erkennt den `id` Wert als Hexadezimalwert. Um den **Schlüssellistenvorgang** nach dem `id` Attribut zu filtern, müssen Sie zuerst den `backingKeyId` Wert, den Sie in Ihrem CloudTrail Protokolleintrag angegeben haben, in ein Format konvertieren, das AWS CloudHSM ihn erkennt.
1. Verwenden Sie den folgenden Linux-Befehl, um die `backingKeyId` in eine hexadezimale Darstellung zu konvertieren.
```
echo backingKeyId | tr -d '\n' | xxd -p
```
Das folgende Beispiel zeigt, wie das `backingKeyId` Byte-Array in eine hexadezimale Darstellung konvertiert wird.
```
echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Stellen Sie der hexadezimalen Darstellung von mit voran. `backingKeyId` `0x`
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Verwenden Sie den konvertierten `backingKeyId` Wert, um nach dem Attribut zu filtern. `id` Geben Sie das `verbose` Argument an, um alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel einzubeziehen. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** und das Labelattribut des übereinstimmenden Schlüssels zurück.
```
aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben. [Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2)
# Suchen Sie den AWS CloudHSM Schlüssel für einen KMS-Schlüssel
Sie können die KMS-Schlüssel-ID eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher verwenden, um den Schlüssel in Ihrem AWS CloudHSM Cluster zu identifizieren, der als Schlüsselmaterial dient.
Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI verwenden, um die Schlüsselressource und die ID des Schlüsselmaterials für den KMS-Schlüssel zu finden.
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem und. `customKeyStoreId` `backingKeyId` Der im `backingKeyId` Feld zurückgegebene Wert ist das `id` AWS CloudHSM Schlüsselattribut. Sie können den AWS CloudHSM CLI-Vorgang mit der **Schlüsselliste** nach dem KMS-Schlüssel-ARN filtern, um das `id` CloudHSM-Schlüsselattribut zu identifizieren, das einem bestimmten KMS-Schlüssel zugeordnet ist.
Um dieses Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, damit Sie sich als CU anmelden können. `kmsuser`
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als, wie `kmsuser` unter beschrieben. [Trennen und Anmelden](fix-keystore.md#login-kmsuser-1)
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI und filtern Sie `label` nach, um den KMS-Schlüssel für einen bestimmten Schlüssel in Ihrem AWS CloudHSM Cluster zu finden. Geben Sie das `verbose` Argument an, das alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel enthalten soll. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** - und Labelattribute des übereinstimmenden Schlüssels zurück.
Das folgende Beispiel zeigt, wie nach dem `label` Attribut gefiltert wird, das den KMS-Schlüssel ARN speichert. Bevor Sie diesen Befehl ausführen, ersetzen Sie den Beispiel-KMS-Schlüssel-ARN durch einen gültigen aus Ihrem Konto.
```
aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "0xbacking-key-id",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).