Buscar las claves KMS y material de claves - AWS Key Management Service
Buscar las claves de KMS en un almacén de claves de AWS CloudHSMBuscar todas las claves para un almacén de claves de AWS CloudHSMBuscar la clave de KMS para una clave de AWS CloudHSMBuscar la clave de AWS CloudHSM de una clave de KMS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Buscar las claves KMS y material de claves

Si administra un almacén de claves de AWS CloudHSM, es posible que tenga que identificar las claves de KMS en cada almacén de claves de AWS CloudHSM. Por ejemplo, es probable que deba realizar algunas de las siguientes tareas.

  • Realizar el seguimiento de las claves de KMS en un almacén de claves de AWS CloudHSM en registros de AWS CloudTrail.

  • Predecir qué efecto tendrá sobre las claves de KMS desconectar un almacén de claves de AWS CloudHSM.

  • Programar la eliminación de claves de KMS antes de eliminar un almacén de claves de AWS CloudHSM.

Además, debería identificar las claves de su clúster de AWS CloudHSM que actúa como material de claves para sus claves KMS. Aunque AWS KMS administra las claves KMS y su material de claves, sigue controlando y es responsable de la administración de su clúster de AWS CloudHSM, sus HSM y las copias de seguridad, y las claves en los HSM. Es probable que deba identificar las claves para poder auditar el material de claves, protegerlo de ser eliminado por error o eliminarlo de los HSM y de las copias de seguridad del clúster tras eliminar la clave KMS.

Todo el material de claves para las claves de KMS en su almacén de claves de AWS CloudHSM es propiedad del usuario de criptografía kmsuser (CU). AWS KMS establece el atributo de la etiqueta de claves, que solo puede verse en AWS CloudHSM, en el Nombre de recurso de Amazon (ARN) de la clave de KMS.

Para buscar las claves KMS y el material de claves, puede utilizar cualquiera de las técnicas siguientes.

Buscar las claves de KMS en un almacén de claves de AWS CloudHSM

Si administra un almacén de claves de AWS CloudHSM, es posible que tenga que identificar las claves de KMS en cada almacén de claves de AWS CloudHSM. Puede utilizar esta información para realizar el seguimiento de las operaciones de las claves de KMS en registros de AWS CloudTrail, predecir qué efecto tendrá sobre las claves de KMS la desconexión de un almacén de claves personalizado o programar la eliminación de las claves de KMS antes de eliminar un almacén de claves de AWS CloudHSM.

Para buscar las claves de KMS en un almacén de claves de AWS CloudHSM (consola)

Para buscar las claves de KMS en un almacén de claves de AWS CloudHSM determinado, en la página Customer managed keys (Claves administradas por el cliente) consulte los valores de los campos Custom Key Store Name (Nombre del almacén de claves personalizado) o Custom Key Store ID (ID del almacén de claves personalizado). Para identificar las claves de KMS en cualquier almacén de claves de AWS CloudHSM, busque las claves de KMS con el valor de Origin (Origen) establecido en AWS CloudHSM. Para agregar columnas opcionales a la pantalla, elija el icono de engranaje en la esquina superior derecha de la página.

Para buscar las claves de KMS en un almacén de claves de AWS CloudHSM (API)

Para buscar las claves de KMS en un almacén de AWS CloudHSM claves, utilice las DescribeKeyoperaciones ListKeysy y, a continuación, filtre por CustomKeyStoreId valor. Antes de ejecutar los ejemplos, reemplace los valores ficticios del ID del almacén de claves personalizado por un ID válido.

Bash

Para buscar las claves de KMS en un almacén de claves de AWS CloudHSM en particular, recopile todas las claves de KMS de la cuenta y la región. A continuación, filtre por el ID del almacén de claves personalizado. 

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done

Para obtener una clave de KMS en cualquier almacén de claves de AWS CloudHSM en la cuenta y región, busque CustomKeyStoreType con valores de AWS_CloudHSM.

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
PowerShell

Para buscar las claves de KMS en un almacén de AWS CloudHSM claves concreto, utilice los KmsKey cmdlets Get KmsKeyList y Get para obtener todas las claves de KMS de la cuenta y la región. A continuación, filtre por el ID del almacén de claves personalizado. 

PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'

Para obtener las claves de KMS en cualquier almacén de AWS CloudHSM claves de la cuenta y la región, filtra por el CustomKeyStoreType valor de. AWS_CLOUDHSM

PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'

Buscar todas las claves para un almacén de claves de AWS CloudHSM

Puede identificar las claves en su clúster de AWS CloudHSM que actúan como material de claves para su almacén de claves de AWS CloudHSM. Para ello, usa el findAllKeyscomando de cloudhsm_mgmt_util para encontrar los identificadores de todas las claves que posean o compartan. kmsuser A menos que haya iniciado sesión como kmsuser y haya creado claves fuera de AWS KMS, todas las claves que posee kmsuser representan material de claves para las claves de KMS.

Cualquier responsable de criptografía del clúster puede ejecutar este comando sin desconectar el almacén de claves de AWS CloudHSM.

  1. Inicie cloudhsm_mgmt_util mediante el procedimiento descrito en el tema Getting started with CloudHSM Management Utility (CMU) (Introducción a la utilidad de administración (CMU) de CloudHSM).

  2. Inicie sesión en cloudhsm_mgmt_util con la cuenta del responsable de criptografía (CO).

  3. Use el comando listUsers para buscar el ID del usuario de criptografía kmsuser.

    En este ejemplo, kmsuser tiene el ID de usuario 3.

    aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name            MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                      NO               0               NO
         2              AU              app_user                   NO               0               NO
         3              CU              kmsuser                    NO               0               NO

  4. Usa el findAllKeyscomando para buscar los identificadores de todas las claves que posean o compartan. kmsuser Reemplace el ID (3) de usuario de ejemplo por el ID de usuario real de kmsuser en su clúster.

    El resultado del ejemplo muestra que kmsuser es propietario de claves con los identificadores de claves 8, 9 y 262162 en ambos HSM del clúster.

    aws-cloudhsm> findAllKeys 3 0
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 1(10.0.0.2)

Buscar la clave de KMS para una clave de AWS CloudHSM

Si conoce el identificador de clave de una clave que es propiedad de kmsuser en el clúster, puede utilizar la etiqueta de claves para identificar la clave de KMS asociada en su almacén de claves de AWS CloudHSM.

Cuando AWS KMS crea el material de claves para una clave KMS en su clúster de AWS CloudHSM, este escribe el Nombre de recurso de Amazon (ARN) de la clave KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede utilizar el comando getAttribute en key_mgmt_util o cloudhsm_mgmt_util para asociar la clave con su clave KMS.

Para ejecutar este procedimiento, debe desconectar temporalmente el almacén de claves de AWS CloudHSM para poder iniciar sesión como el CU kmsuser.

nota

Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

  1. Desconecte el almacén de claves de AWS CloudHSM, si no lo está todavía, e inicie sesión en key_mgmt_util como kmsuser, tal como se explica en Cómo desconectar e iniciar sesión.

  2. Use el comando getAttribute en key_mgmt_util o cloudhsm_mgmt_util para obtener el atributo de la etiqueta (OBJ_ATTR_LABEL, atributo 3) para un identificador de claves determinado.

    Por ejemplo, este comando utiliza getAttribute en cloudhsm_mgmt_util para obtener el atributo de la etiqueta (atributo 3) de la clave con el identificador de claves 262162. El resultado muestra que la clave 262162 actúa como material de claves para la clave KMS con el ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Antes de ejecutar este comando, reemplace el identificador de claves de ejemplo por uno válido.

    Para obtener una lista de los atributos de clave, use el comando listAttributes o consulte el tema Referencia de los atributos de claves en la Guía del usuario de AWS CloudHSM.

    aws-cloudhsm> getAttribute 262162 3

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_LABEL
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  3. Cierre la sesión de key_mgmt_util o cloudhsm_mgmt_util y vuelva a conectar el almacén de claves de AWS CloudHSM tal como se explica en Cómo cerrar sesión y volver a conectar.

Buscar la clave de AWS CloudHSM de una clave de KMS

Puede utilizar el ID de una clave de KMS en un almacén de claves de AWS CloudHSM para identificar la clave del clúster de AWS CloudHSM que actúa como su material de claves. A continuación, puede usar su clave para identificar la clave en otros comandos del cliente AWS CloudHSM.

Cuando AWS KMS crea el material de claves para una clave KMS en su clúster de AWS CloudHSM, este escribe el Nombre de recurso de Amazon (ARN) de la clave KMS en la etiqueta de la clave. A menos que haya cambiado el valor de la etiqueta, puede usar el comando findKey en key_mgmt_util para obtener el identificador de claves del material de claves para la clave KMS. Para ejecutar este procedimiento, debe desconectar temporalmente el almacén de claves de AWS CloudHSM para poder iniciar sesión como el CU kmsuser.

nota

Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

  1. Desconecte el almacén de claves de AWS CloudHSM, si no lo está todavía, e inicie sesión en key_mgmt_util como kmsuser, tal como se explica en Cómo desconectar e iniciar sesión.

  2. Use el comando findKey en key_mgmt_util para buscar una clave con una etiqueta que coincida con el ARN de la clave de KMS de su almacén de claves de AWS CloudHSM. Reemplace el ARN de la clave KMS de ejemplo en el valor del parámetro -l (L en minúscula por "label") por un ARN de la clave KMS válido.

    Por ejemplo, este comando encuentra la clave con una etiqueta que coincide con el ARN de la clave KMS de ejemplo, arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. El resultado del ejemplo muestra que la clave con el identificador de clave 262162 tiene el ARN de la clave KMS especificado en su etiqueta. Ahora puede utilizar este identificador de claves en otros comandos key_mgmt_util.

    Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1

 number of keys matched from start index 0::1
262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

  3. Cierre la sesión de key_mgmt_util y vuelva a conectar el almacén de claves personalizado tal como se explica en Cómo cerrar sesión y volver a conectar.