Ricerca di chiavi KMS e di materiale della chiave - AWS Key Management Service
Ricerca delle chiavi KMS in un archivio delle chiavi di AWS CloudHSMRicerca di tutte le chiavi per un archivio delle chiavi di AWS CloudHSMRicerca della chiave KMS per una chiave di AWS CloudHSMRicerca della chiave di AWS CloudHSM per una chiave KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ricerca di chiavi KMS e di materiale della chiave

Se gestisci un archivio delle chiavi di AWS CloudHSM, potresti dover identificare le chiavi KMS in ogni archivio delle chiavi di AWS CloudHSM. Ad esempio, potresti aver bisogno di eseguire alcune delle operazioni seguenti.

  • Monitorare le chiavi KMS presenti nell'archivio delle chiavi di AWS CloudHSM nei log AWS CloudTrail.

  • Prevedere l'effetto sulle chiavi KMS della disconnessione di un archivio delle chiavi di AWS CloudHSM.

  • Pianifica l'eliminazione di chiavi KMS prima di eliminare un archivio delle chiavi di AWS CloudHSM.

Inoltre, potresti voler identificare nel cluster AWS CloudHSM le chiavi che fungono da materiale della chiave per le chiavi KMS. Sebbene AWS KMS gestisca le chiavi KMS e il relativo materiale della chiave, hai sempre il controllo e la responsabilità della gestione del cluster AWS CloudHSM, dei relativi HSM e backup nonché delle chiavi negli HSM. È possibile che sia necessario identificare le chiavi per controllare il materiale della chiave, proteggerlo da un'eliminazione accidentale o eliminarlo dagli HSM e dai backup del cluster dopo l'eliminazione della chiave KMS.

Tutto il materiale per le chiavi KMS nel tuo archivio delle chiavi di AWS CloudHSM è di proprietà del crypto user (CU) kmsuser. AWS KMS imposta l'attributo dell'etichetta di chiave, visualizzabile solo in AWS CloudHSM, nel nome della risorsa Amazon (ARN) della chiave KMS.

Per trovare le chiavi KMS e il materiale della chiave, utilizza una delle tecniche seguenti.

Ricerca delle chiavi KMS in un archivio delle chiavi di AWS CloudHSM

Se gestisci un archivio delle chiavi di AWS CloudHSM, potresti dover identificare le chiavi KMS in ogni archivio delle chiavi di AWS CloudHSM. Puoi utilizzare queste informazioni per monitorare le operazioni della chiave KMS nei log AWS CloudTrail, prevedere l'effetto sulle chiavi KMS della disconnessione di un archivio delle chiavi personalizzate o pianificare l'eliminazione di chiavi KMS prima di eliminare un archivio delle chiavi di AWS CloudHSM.

Per trovare le chiavi KMS in un archivio delle chiavi di AWS CloudHSM (console)

Per trovare le chiavi KMS in un determinato archivio delle chiavi di AWS CloudHSM, nella pagina Customer managed keys (Chiavi gestite dal cliente), visualizza i valori dei campi Custom Key Store Name (Nome dell'archivio delle chiavi personalizzate) o Custom Key Store ID (ID dell'archivio chiavi personalizzate). Per identificare le chiavi KMS in qualsiasi archivio delle chiavi di AWS CloudHSM, cerca le chiavi KMS il cui campo Origin (Origine) ha valore AWS CloudHSM. Per aggiungere colonne facoltative alla visualizzazione, scegli l'icona che raffigura un ingranaggio nell'angolo in alto a destra della pagina.

Per trovare le chiavi KMS in un archivio delle chiavi di AWS CloudHSM (API)

Per trovare le chiavi KMS in un archivio AWS CloudHSM chiavi, usa le DescribeKeyoperazioni ListKeysand, quindi filtra per CustomKeyStoreId valore. Prima di eseguire gli esempi, sostituisci i valori dell'ID store chiavi personalizzate fittizio con una valore valido.

Bash

Per trovare le chiavi KMS in un determinato archivio delle chiavi di AWS CloudHSM, ottieni tutte le chiavi KMS dell'account e della regione. Quindi filtra in base all'ID dell'archivio delle chiavi personalizzate. 

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done

Per ottenere le chiavi KMS di qualsiasi archivio delle chiavi di AWS CloudHSM nell'account e nella regione, cerca CustomKeyStoreType con il valore AWS_CloudHSM.

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
PowerShell

Per trovare le chiavi KMS in un particolare archivio AWS CloudHSM chiavi, utilizza i KmsKey cmdlet Get- KmsKeyList e Get- per ottenere tutte le chiavi KMS nell'account e nella regione. Quindi filtra in base all'ID dell'archivio delle chiavi personalizzate. 

PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'

Per ottenere le chiavi KMS in qualsiasi AWS CloudHSM archivio di chiavi dell'account e della regione, filtra in base al valore di. CustomKeyStoreType AWS_CLOUDHSM

PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'

Ricerca di tutte le chiavi per un archivio delle chiavi di AWS CloudHSM

Nel cluster AWS CloudHSM puoi identificare le chiavi che fungono da materiale della chiave per il tuo archivio delle chiavi di AWS CloudHSM. Per farlo, usa il findAllKeyscomando in cloudhsm_mgmt_util per trovare gli handle delle chiavi di tutte le chiavi che possiede o condivide. kmsuser Se non hai eseguito l'accesso come kmsuser e creato chiavi al di fuori di AWS KMS, tutte le chiavi di cui kmsuser è proprietario rappresentano il materiale della chiave per le chiavi KMS .

Qualsiasi crypto officer nel cluster può eseguire questo comando senza disconnettere l'archivio delle chiavi di AWS CloudHSM.

  1. Avvia cloudhsm_mgmt_util utilizzando la procedura descritta nell'argomento Getting started with CloudHSM Management Utility (CMU) (Nozioni di base su CloudHSM Management Utility [CMU]).

  2. Accedere a cloudhsm_mgmt_util utilizzando un account di crypto officer (CO).

  3. Utilizzare il comando listUsers per trovare l'ID utente del crypto user (CU) kmsuser.

    In questo esempio, l'ID utente di kmsuser è 3.

    aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name            MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                      NO               0               NO
         2              AU              app_user                   NO               0               NO
         3              CU              kmsuser                    NO               0               NO

  4. Usa il findAllKeyscomando per trovare gli handle dei tasti di tutte le chiavi che possiedono o condividono. kmsuser Sostituisci l'ID utente di esempio (3) con l'ID utente effettivo di kmsuser nel cluster.

    L'output di esempio mostra che kmsuser possiede chiavi con gli handle di chiave 8, 9 e 262162 su entrambi gli HSM nel cluster.

    aws-cloudhsm> findAllKeys 3 0
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 1(10.0.0.2)

Ricerca della chiave KMS per una chiave di AWS CloudHSM

Se conosci l'handle della chiave di cui kmsuser è proprietario nel cluster, puoi utilizzare l'etichetta di chiave per identificare la chiave KMS associata nell'archivio delle chiavi di AWS CloudHSM.

Quando AWS KMS crea il materiale della chiave per una chiave KMS nel cluster AWS CloudHSM, scrive l'Amazon Resource Name (ARN) della chiave KMS nell'etichetta di chiave. Se non hai modificato il valore dell'etichetta, puoi utilizzare il comando getAttribute in key_mgmt_util o cloudhsm_mgmt_util per associare la chiave alla relativa chiave KMS.

Per eseguire questa procedura, devi disconnettere temporaneamente l'archivio delle chiavi di AWS CloudHSM, in modo da poter accedere come CU kmsuser.

Nota

Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

  1. Se non è già disconnesso, disconnetti l'archivio delle chiavi di AWS CloudHSM, quindi accedi a key_mgmt_util come kmsuser, come descritto in Come disconnettersi ed eseguire l'accesso.

  2. Utilizzare il comando getAttribute in key_mgmt_util o cloudhsm_mgmt_util per ottenere l'attributo dell'etichetta (OBJ_ATTR_LABEL, attributo 3) per un determinato handle di chiave.

    Ad esempio, questo comando utilizza getAttribute in cloudhsm_mgmt_util per ottenere l'attributo dell'etichetta (attributo 3) della chiave con l'handle di chiave 262162. L'output indica che la chiave 262162 funge da materiale della chiave per la chiave KMS con l'ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Prima di eseguire questo comando, sostituire l'handle di chiave di esempio con uno valido.

    Per un elenco di attributi delle chiavi, utilizza il comando listAttributes o consulta Documentazione di riferimento per l'attributo della chiave nella Guida per l'utente di AWS CloudHSM.

    aws-cloudhsm> getAttribute 262162 3

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_LABEL
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  3. Disconnettiti da key_mgmt_util o cloudhsm_mgmt_util e connettiti nuovamente all'archivio delle chiavi di AWS CloudHSM, come descritto in Come scollegarsi e riconnettersi.

Ricerca della chiave di AWS CloudHSM per una chiave KMS

Puoi utilizzare l'ID di una chiave KMS in un archivio delle chiavi di AWS CloudHSM per identificare nel cluster AWS CloudHSM la chiave che funge da materiale della chiave. Puoi quindi utilizzare il relativo handle di chiave per identificare la chiave nei comandi del client AWS CloudHSM.

Quando AWS KMS crea il materiale della chiave per una chiave KMS nel cluster AWS CloudHSM, scrive l'Amazon Resource Name (ARN) della chiave KMS nell'etichetta di chiave. Se non hai modificato il valore dell'etichetta, puoi utilizzare il comando findKey in key_mgmt_util per ottenere l'handle di chiave del materiale della chiave per la chiave KMS. Per eseguire questa procedura, devi disconnettere temporaneamente l'archivio delle chiavi di AWS CloudHSM, in modo da poter accedere come CU kmsuser.

Nota

Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

  1. Se non è già disconnesso, disconnetti l'archivio delle chiavi di AWS CloudHSM, quindi accedi a key_mgmt_util come kmsuser, come descritto in Come disconnettersi ed eseguire l'accesso.

  2. Utilizza il comando findKey in key_mgmt_util per cercare una chiave con un'etichetta corrispondente all'ARN di una chiave KMS nell'archivio delle chiavi di AWS CloudHSM. Sostituire l'ARN della chiave KMS di esempio nel valore del parametro -l (L minuscola per "label" (etichetta)) con un ARN della chiave KMS valido.

    Ad esempio, questo comando trova la chiave con un'etichetta che corrisponde all'ARN della chiave KMS di esempio, ovvero arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. L'output di esempio mostra che la chiave con l'handle di chiave 262162 include l'ARN della chiave KMS specificato nella relativa etichetta. A questo punto è possibile utilizzare questo handle di chiave in altri comandi key_mgmt_util.

    Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1

 number of keys matched from start index 0::1
262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

  3. Scollegarsi da key_mgmt_util e riconnettere lo store delle chiavi personalizzate come descritto in Come scollegarsi e riconnettersi.