Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Anda dapat menggunakan ID kunci KMS dari kunci KMS di toko AWS CloudHSM kunci untuk mengidentifikasi kunci di AWS CloudHSM cluster Anda yang berfungsi sebagai materi utamanya.
Saat AWS KMS membuat materi kunci untuk kunci KMS di AWS CloudHSM cluster Anda, ia menulis Amazon Resource Name (ARN) dari kunci KMS di label kunci. Kecuali Anda telah mengubah nilai label, Anda dapat menggunakan perintah daftar kunci di CloudHSM CLI untuk menemukan sumber daya kunci dan id dari bahan kunci untuk kunci KMS.
Semua entri CloudTrail log untuk operasi kriptografi dengan kunci KMS di toko AWS CloudHSM kunci menyertakan additionalEventData bidang dengan dan. customKeyStoreId backingKeyId Nilai yang dikembalikan di backingKeyId bidang adalah atribut id AWS CloudHSM kunci. Anda dapat memfilter operasi AWS CloudHSM
CLI daftar kunci dengan ARN kunci KMS untuk mengidentifikasi atribut kunci CloudHSM yang terkait dengan kunci KMS tertentu. id
Untuk menjalankan prosedur ini, Anda harus memutuskan sambungan penyimpanan AWS CloudHSM kunci sementara sehingga Anda dapat masuk sebagai kmsuser CU.
Catatan
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, CloudHSM CLI. CloudHSM CLI key-handle menggantikan dengan. key-reference
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM CLI di Panduan Pengguna.AWS CloudHSM
-
Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu masuk seperti
kmsuseryang dijelaskan. Cara memutuskan koneksi dan logincatatan
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.
-
Gunakan perintah daftar kunci di CloudHSM CLI dan
labelfilter untuk menemukan kunci KMS untuk kunci tertentu di cluster Anda. AWS CloudHSM Tentukanverboseargumen untuk menyertakan semua atribut dan informasi kunci untuk kunci yang cocok. Jika Anda tidak menentukanverboseargumen, operasi daftar kunci hanya mengembalikan atribut kunci-referensi dan label kunci yang cocok.Contoh berikut menunjukkan bagaimana memfilter dengan
labelatribut yang menyimpan ARN kunci KMS. Sebelum menjalankan perintah ini, ganti contoh kunci KMS ARN dengan yang valid dari akun Anda.aws-cloudhsm >key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "0xbacking-key-id", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } } -
Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan diCara logout dan menghubungkan kembali.
