Temukan kunci KMS di toko AWS CloudHSM kunci Temukan semua kunci untuk toko AWS CloudHSM kunci Temukan kunci KMS untuk kunci AWS CloudHSM Temukan AWS CloudHSM kunci untuk kunci KMS

Menemukan kunci KMS dan bahan utama

Jika Anda mengelola toko AWS CloudHSM kunci, Anda mungkin perlu mengidentifikasi kunci KMS di setiap toko AWS CloudHSM kunci. Misalnya, Anda mungkin perlu melakukan beberapa tugas berikut.

Lacak kunci KMS di toko AWS CloudHSM kunci di AWS CloudTrail log.
Memprediksi efek pada kunci KMS untuk memutuskan penyimpanan AWS CloudHSM kunci.
Jadwalkan penghapusan kunci KMS sebelum Anda menghapus toko kunci. AWS CloudHSM

Selain itu, Anda mungkin ingin mengidentifikasi kunci di AWS CloudHSM cluster Anda yang berfungsi sebagai bahan utama untuk kunci KMS Anda. Meskipun AWS KMS mengelola kunci KMS dan materi utama, Anda masih mempertahankan kendali dan tanggung jawab untuk pengelolaan AWS CloudHSM cluster Anda, serta HSM dan cadangan dan kunci di HSM. Anda mungkin perlu mengidentifikasi kunci untuk mengaudit materi kunci, melindunginya dari penghapusan yang tidak disengaja, atau menghapusnya dari HSM dan cadangan cluster setelah menghapus kunci KMS.

Semua materi kunci untuk kunci KMS di toko AWS CloudHSM kunci Anda dimiliki oleh pengguna kmsuser kripto (CU). AWS KMSmenetapkan atribut label kunci, yang hanya dapat dilihat diAWS CloudHSM, ke Amazon Resource Name (ARN) dari kunci KMS.

Untuk menemukan kunci KMS dan bahan kunci, gunakan salah satu teknik berikut.

Temukan kunci KMS di toko AWS CloudHSM kunci— Cara mengidentifikasi kunci KMS di satu atau semua toko AWS CloudHSM utama Anda.
Temukan semua kunci untuk toko AWS CloudHSM kunci— Cara menemukan semua kunci di cluster Anda yang berfungsi sebagai bahan utama untuk kunci KMS di toko AWS CloudHSM kunci Anda.
Temukan AWS CloudHSM kunci untuk kunci KMS— Cara menemukan kunci di cluster Anda yang berfungsi sebagai bahan utama untuk kunci KMS tertentu di toko AWS CloudHSM kunci Anda.
Temukan kunci KMS untuk kunci AWS CloudHSM— Cara menemukan kunci KMS untuk kunci tertentu di cluster Anda.

Temukan kunci KMS di toko AWS CloudHSM kunci

Jika Anda mengelola toko AWS CloudHSM kunci, Anda mungkin perlu mengidentifikasi kunci KMS di setiap toko AWS CloudHSM kunci. Anda dapat menggunakan informasi ini melacak operasi kunci KMS di AWS CloudTrail log, memprediksi efek pada kunci KMS untuk memutuskan penyimpanan kunci kustom, atau menjadwalkan penghapusan kunci KMS sebelum Anda menghapus penyimpanan kunci. AWS CloudHSM

Untuk menemukan kunci KMS di toko AWS CloudHSM kunci (konsol)

Untuk menemukan kunci KMS di toko AWS CloudHSM kunci tertentu, pada halaman Kunci yang dikelola Pelanggan, lihat nilai di bidang Nama Toko Kunci Kustom atau ID Toko Kunci Kustom. Untuk mengidentifikasi kunci KMS di toko AWS CloudHSM kunci apa pun, cari kunci KMS dengan nilai Asal. AWS CloudHSM Untuk menambahkan kolom opsional ke layar, pilih ikon roda gigi di sudut kanan atas halaman.

Untuk menemukan kunci KMS di toko AWS CloudHSM kunci (API)

Untuk menemukan kunci KMS di toko AWS CloudHSM kunci, gunakan DescribeKeyoperasi ListKeysdan kemudian filter berdasarkan CustomKeyStoreId nilai. Sebelum menjalankan contoh, ganti nilai ID penyimpanan kunci kustom fiktif dengan nilai valid.

Temukan semua kunci untuk toko AWS CloudHSM kunci

Anda dapat mengidentifikasi kunci di AWS CloudHSM cluster Anda yang berfungsi sebagai bahan utama untuk toko AWS CloudHSM kunci Anda. Untuk melakukan itu, gunakan findAllKeysperintah di cloudhsm_mgmt_util untuk menemukan pegangan kunci dari semua kunci yang memiliki atau berbagi. kmsuser Kecuali Anda telah masuk sebagai kmsuser dan membuat kunci di luarAWS KMS, semua kunci yang kmsuser dimiliki mewakili materi kunci untuk kunci KMS.

Petugas crypto mana pun di cluster dapat menjalankan perintah ini tanpa memutuskan penyimpanan AWS CloudHSM kunci.

Mulai cloudhsm_mgmt_util dengan menggunakan prosedur yang dijelaskan dalam topik Memulai dengan CloudHSM Management Utility (CMU).
Masuk ke cloudhsm_mgmt_util menggunakan akun petugas kripto (CO).

Gunakan perintah listUsers untuk menemukan ID pengguna dari pengguna kripto kmsuser.

Dalam contoh ini, kmsuser memiliki ID pengguna 3.


aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name            MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                      NO               0               NO
         2              AU              app_user                   NO               0               NO
         3              CU              kmsuser                    NO               0               NO

Gunakan findAllKeysperintah untuk menemukan pegangan kunci dari semua kunci yang kmsuser memiliki atau berbagi. Ganti contoh ID pengguna (3) dengan ID pengguna aktual kmsuser di cluster Anda.

Contoh output menunjukkan bahwa kmsuser memiliki kunci dengan nama kunci 8, 9, dan 262162 pada kedua HSM di klaster.


aws-cloudhsm> findAllKeys 3 0
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 1(10.0.0.2)

Temukan kunci KMS untuk kunci AWS CloudHSM

Jika Anda mengetahui pegangan kunci dari kunci yang kmsuser dimiliki di cluster, Anda dapat menggunakan label kunci untuk mengidentifikasi kunci KMS terkait di toko AWS CloudHSM kunci Anda.

Saat AWS KMS membuat materi kunci untuk kunci KMS di AWS CloudHSM cluster Anda, ia menulis Amazon Resource Name (ARN) dari kunci KMS di label kunci. Kecuali Anda telah mengubah nilai label, Anda dapat menggunakan perintah getAttribute di key_mgmt_util atau cloudhsm_mgmt_util untuk mengaitkan kunci dengan kunci KMS-nya.

Untuk menjalankan prosedur ini, Anda harus memutuskan sambungan penyimpanan AWS CloudHSM kunci sementara sehingga Anda dapat masuk sebagai kmsuser CU.

catatan

Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Putuskan sambungan penyimpanan AWS CloudHSM kunci, jika belum terputus., lalu masuk ke key_mgmt_util as, seperti yang dijelaskan di. kmsuser Cara memutuskan koneksi dan login
Gunakan perintah getAttribute key_mgmt_util atau cloudhsm_mgmt_util untuk mendapatkan atribut label (OBJ_ATTR_LABEL, atribut 3) untuk nama kunci tertentu.

Sebagai contoh, perintah ini menggunakan getAttribute di cloudhsm_mgmt_util untuk mendapatkan atribut label (atribut 3) dari kunci dengan nama kunci 262162. Output menunjukkan bahwa kunci 262162 berfungsi sebagai bahan kunci untuk kunci KMS dengan ARNarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Sebelum menjalankan perintah ini, ganti nama kunci contoh dengan yang valid.

Untuk daftar atribut kunci, gunakan perintah listAttributes atau lihat Referensi Atribut Kunci di Panduan Pengguna AWS CloudHSM.
```
aws-cloudhsm> getAttribute 262162 3

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_LABEL
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
Keluar dari key_mgmt_util atau cloudhsm_mgmt_util dan sambungkan kembali penyimpanan kunci seperti yang dijelaskan di. AWS CloudHSM Cara logout dan menghubungkan kembali

Temukan AWS CloudHSM kunci untuk kunci KMS

Anda dapat menggunakan ID kunci KMS dari kunci KMS di toko AWS CloudHSM kunci untuk mengidentifikasi kunci di AWS CloudHSM cluster Anda yang berfungsi sebagai materi utamanya. Kemudian Anda dapat menggunakan nama kunci untuk mengidentifikasi kunci di perintah klien AWS CloudHSM.

Saat AWS KMS membuat materi kunci untuk kunci KMS di AWS CloudHSM cluster Anda, ia menulis Amazon Resource Name (ARN) dari kunci KMS di label kunci. Kecuali Anda telah mengubah nilai label, Anda dapat menggunakan perintah FindKey di key_mgmt_util untuk mendapatkan pegangan kunci dari bahan kunci untuk kunci KMS. Untuk menjalankan prosedur ini, Anda harus memutuskan sambungan penyimpanan AWS CloudHSM kunci sementara sehingga Anda dapat masuk sebagai kmsuser CU.

catatan

Putuskan sambungan penyimpanan AWS CloudHSM kunci, jika belum terputus, lalu masuk ke key_mgmt_util as, seperti yang dijelaskan di. kmsuser Cara memutuskan koneksi dan login
Gunakan perintah FindKey di key_mgmt_util untuk mencari kunci dengan label yang cocok dengan ARN kunci KMS di toko kunci Anda. AWS CloudHSM Ganti contoh ARN kunci KMS dalam nilai parameter (huruf kecil L untuk 'label') dengan ARN kunci KMS yang valid. -l

Misalnya, perintah ini menemukan kunci dengan label yang cocok dengan contoh kunci KMS arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab ARN,. Output contoh menunjukkan bahwa kunci dengan pegangan kunci 262162 memiliki ARN kunci KMS yang ditentukan dalam labelnya. Anda sekarang dapat menggunakan nama kunci ini dalam perintah key_mgmt_util lainnya.
```
Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1

 number of keys matched from start index 0::1
262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
```
Keluar dari key_mgmt_util dan hubungkan kembali penyimpanan kunci kustom seperti yang dijelaskan dalam Cara logout dan menghubungkan kembali.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Menggunakan kunci KMS di toko AWS CloudHSM kunci

Penjadwalan penghapusan kunci KMS dari toko kunci AWS CloudHSM