Trova la KMS chiave per una AWS CloudHSM chiave - AWS Key Management Service
Identifica la KMS chiave associata a un riferimento chiaveIdentifica la KMS chiave associata all'ID di una chiave di backup

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Trova la KMS chiave per una AWS CloudHSM chiave

Se conosci il riferimento o l'ID di una chiave di cui è kmsuser proprietaria nel cluster, puoi utilizzare quel valore per identificare la KMS chiave associata nel tuo archivio di AWS CloudHSM chiavi.

Quando AWS KMS crea il materiale chiave per una KMS chiave nel tuo AWS CloudHSM cluster, scrive l'Amazon Resource Name (ARN) della KMS chiave nell'etichetta della chiave. A meno che tu non abbia modificato il valore dell'etichetta, puoi utilizzare il comando key list in Cloud HSM CLI per identificare la KMS chiave associata alla AWS CloudHSM chiave.

Note

Le seguenti procedure utilizzano lo strumento da riga di comando di AWS CloudHSM Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle conkey-reference.

Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nella Guida per l'AWS CloudHSM utente.

Per eseguire queste procedure è necessario disconnettere temporaneamente l'archivio delle AWS CloudHSM chiavi in modo da poter accedere come CU. kmsuser

Nota

Mentre un archivio chiavi personalizzato è disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare le KMS chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Identifica la KMS chiave associata a un riferimento chiave

Le seguenti procedure mostrano come utilizzare il comando key list in Cloud HSM CLI con il filtro key-reference degli attributi per trovare la chiave nel cluster che funge da materiale chiave per una particolare KMS chiave nel tuo archivio di AWS CloudHSM chiavi.

  1. Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi accedi come kmsuser spiegato in. Come disconnettersi ed eseguire l'accesso

  2. Usa il comando key list in Cloud HSM CLI per filtrare in base all'key-referenceattributo. Specificate l'verboseargomento per includere tutti gli attributi e le informazioni chiave per la chiave corrispondente. Se non si specifica l'verboseargomento, l'operazione di elenco delle chiavi restituisce solo il riferimento di chiave e l'attributo label della chiave corrispondente.

    Prima di eseguire questo comando, sostituisci l'esempio key-reference con uno valido dal tuo account.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto inCome scollegarsi e riconnettersi.

Mostra piùMostra meno

Identifica la KMS chiave associata all'ID di una chiave di backup

Tutte le voci di CloudTrail registro per le operazioni crittografiche con una KMS chiave in un archivio di AWS CloudHSM chiavi includono un additionalEventData campo con e. customKeyStoreId backingKeyId Il valore restituito nel backingKeyId campo è correlato all'attributo HSM chiave id Cloud. È possibile filtrare l'operazione dell'elenco di chiavi in base all'idattributo per identificare la KMS chiave associata a uno specificobackingKeyId.

  1. Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi accedi come kmsuser spiegato in. Come disconnettersi ed eseguire l'accesso

  2. Usa il comando key list in Cloud HSM CLI con il filtro degli attributi per trovare la chiave nel tuo cluster che funge da materiale chiave per una particolare KMS chiave nel tuo archivio di AWS CloudHSM chiavi.

    L'esempio seguente mostra come filtrare in base all'idattributo. AWS CloudHSM riconosce il id valore come valore esadecimale. Per filtrare l'operazione dell'elenco di chiavi in base all'idattributo, è necessario innanzitutto convertire il backingKeyId valore identificato nella voce di CloudTrail registro in un formato che lo riconosca. AWS CloudHSM

    1. Utilizzate il seguente comando Linux per convertire il file backingKeyId in una rappresentazione esadecimale.

      echo backingKeyId | tr -d '\n' |  xxd -p

      L'esempio seguente mostra come convertire l'array di backingKeyId byte in una rappresentazione esadecimale.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. Antepone la rappresentazione esadecimale di with. backingKeyId 0x

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. Utilizzate il backingKeyId valore convertito per filtrare in base all'attributo. id Specificate l'verboseargomento per includere tutti gli attributi e le informazioni chiave per la chiave corrispondente. Se non si specifica l'verboseargomento, l'operazione di elenco delle chiavi restituisce solo il riferimento di chiave e l'attributo label della chiave corrispondente.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto in. Come scollegarsi e riconnettersi

Mostra piùMostra meno