Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Trouvez la clé KMS pour une AWS CloudHSM clé

PDF
RSS
Mode de mise au point
Trouvez la clé KMS pour une AWS CloudHSM clé - AWS Key Management Service
Identifier la clé KMS associée à une référence cléIdentifiez la clé KMS associée à un ID de clé de sauvegarde

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Si vous connaissez la référence clé ou l'ID d'une clé qu'il kmsuser possède dans le cluster, vous pouvez utiliser cette valeur pour identifier la clé KMS associée dans votre magasin de AWS CloudHSM clés.

Lorsque vous AWS KMS créez le matériel clé pour une clé KMS dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la clé KMS dans le libellé de la clé. À moins que vous n'ayez modifié la valeur de l'étiquette, vous pouvez utiliser la commande key list de la CLI CloudHSM pour identifier la clé KMS associée AWS CloudHSM à la clé.

Remarques

Les procédures suivantes utilisent l'outil de ligne de commande du SDK AWS CloudHSM client 5, CloudHSM CLI. La CLI key-handle CloudHSM remplace par. key-reference

Le 1er janvier 2025, la prise en charge des outils de ligne de commande du SDK client 3, de l'utilitaire de gestion CloudHSM (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande du SDK client 3 et l'outil de ligne de commande du SDK client 5, consultez la section Migrer de la CMU et de la KMU du SDK client 3 vers la CLI CloudHSM du SDK client 5 dans le guide de l'utilisateur.AWS CloudHSM

Pour exécuter ces procédures, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que kmsuser CU.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Identifier la clé KMS associée à une référence clé

Les procédures suivantes montrent comment utiliser la commande key list dans la CLI CloudHSM key-reference avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.

  1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant quekmsuser, comme expliqué dansComment se déconnecter et se connecter.

  2. Utilisez la commande key list de la CLI CloudHSM pour filtrer key-reference en fonction de l'attribut. Spécifiez l'verboseargument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'verboseargument, l'opération de liste de clés renvoie uniquement la référence clé et l'attribut label de la clé correspondante.

    Avant d'exécuter cette commande, remplacez l'exemple key-reference par un exemple valide provenant de votre compte.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dansComment se déconnecter et se reconnecter.

Identifiez la clé KMS associée à un ID de clé de sauvegarde

Toutes les entrées de CloudTrail journal relatives aux opérations cryptographiques effectuées avec une clé KMS dans un magasin de AWS CloudHSM clés incluent un additionalEventData champ avec le customKeyStoreId etbackingKeyId. La valeur renvoyée dans le backingKeyId champ est en corrélation avec l'attribut clé id CloudHSM. Vous pouvez filtrer l'opération de liste de clés par id attribut afin d'identifier la clé KMS associée à une clé spécifiquebackingKeyId.

  1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant quekmsuser, comme expliqué dansComment se déconnecter et se connecter.

  2. Utilisez la commande key list de la CLI CloudHSM avec le filtre d'attributs pour trouver la clé de votre cluster qui sert de matériau clé pour une clé KMS spécifique AWS CloudHSM dans votre magasin de clés.

    L'exemple suivant montre comment filtrer en fonction de l'idattribut. AWS CloudHSM reconnaît la id valeur sous forme de valeur hexadécimale. Pour filtrer l'opération de liste de clés par id attribut, vous devez d'abord convertir la backingKeyId valeur que vous avez identifiée dans votre entrée de CloudTrail journal dans un format AWS CloudHSM reconnu.

    1. Utilisez la commande Linux suivante pour convertir le backingKeyId en une représentation hexadécimale.

      echo backingKeyId | tr -d '\n' |  xxd -p

      L'exemple suivant montre comment convertir le tableau d'backingKeyIdoctets en une représentation hexadécimale.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. Ajoutez la représentation hexadécimale du backingKeyId with0x.

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. Utilisez la backingKeyId valeur convertie pour filtrer en fonction de l'idattribut. Spécifiez l'verboseargument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas l'verboseargument, l'opération de liste de clés renvoie uniquement la référence clé et l'attribut label de la clé correspondante.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dansComment se déconnecter et se reconnecter.

Sur cette page

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.