KMS キーの AWS CloudHSM キーを検索する - AWS Key Management Service
KMS キーリファレンスに関連付けられたキーを識別するバッキングKMSキー ID に関連付けられたキーを識別する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

KMS キーの AWS CloudHSM キーを検索する

クラスター内で kmsuser が所有するキーのキーリファレンスまたは ID がわかっている場合は、その値を使用して、 AWS CloudHSM キーストア内の関連付けられたKMSキーを識別できます。

が AWS CloudHSM クラスター内のキーのKMSキーマテリアル AWS KMS を作成すると、キーラベルにKMSキーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM のキーリストコマンドを使用してKMS、キーに関連付けられた AWS CloudHSM キーCLIを識別できます。

メモ

次の手順では、 AWS CloudHSM Client SDK 5 コマンドラインツール CloudHSM CLIを使用します。クラウドHSMは key-handleに置き換えCLIられますkey-reference

2025 年 1 月 1 日、 AWS CloudHSM は Client SDK 3 コマンドラインツール、CloudHSM Management Utility (CMU)、および Key Management Utility () のサポートを終了しますKMU。Client SDK3 コマンドラインツールと Client 5 コマンドラインツールの違いの詳細については、AWS CloudHSM 「 ユーザーガイド」の「クライアント 3 SDK からクライアント 5 クラウドへの移行」を参照してください。 SDK CMU KMU SDK HSM CLI

これらの手順を実行するには、CU kmsuser としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。

注記

カスタムキーストアが切断されている間、カスタムキーストアでKMSキーを作成したり、暗号化オペレーションで既存のKMSキーを使用したりしようとするすべての試みは失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

KMS キーリファレンスに関連付けられたキーを識別する

次の手順では、CloudHSM のキーリストコマンドをkey-reference属性フィルターCLIで使用して、キーストア内の特定のキーのキーマテリアルとして機能するクラスターKMS内の AWS CloudHSM キーを検索する方法を示します。

  1. AWS CloudHSM キーストアを切断し、まだ切断されていない場合は、「」の説明に従って kmsuserとしてログインします切断してログインする方法

  2. CloudHSM のキーリストコマンドCLIを使用して、 key-reference 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める verbose 引数を指定します。verbose 引数を指定しない場合、[key list] オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。

    このコマンドを実行する前に、サンプル key-reference をお使いのアカウントにある有効な値に置き換えてください。

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 「」の説明に従って、キー AWS CloudHSM ストアをログアウトして再接続しますログアウトして再接続する方法

表示を増やす表示を減らす

バッキングKMSキー ID に関連付けられたキーを識別する

AWS CloudHSM キーストアにKMSキーを持つ暗号化オペレーションのすべての CloudTrail ログエントリには、 customKeyStoreIdおよび を含む additionalEventData フィールドが含まれますbackingKeyIdbackingKeyId フィールドで返される値は、CloudHSM キーid属性と相関します。属性でキーリストオペレーションをフィルタリングidして、特定の に関連付けられたKMSキーを識別できますbackingKeyId

  1. AWS CloudHSM キーストアを切断し、まだ切断されていない場合は、「」の説明に従って kmsuserとしてログインします切断してログインする方法

  2. 属性フィルターCLIで CloudHSM のキーリストコマンドを使用して、キーストア内の特定のキーのキーマテリアルとして機能するクラスターKMS内の AWS CloudHSM キーを検索します。

    次の例は、id 属性でフィルタリングする方法を示します。 AWS CloudHSM は id 値を 16 進値として認識します。id 属性でキーリストオペレーションをフィルタリングするには、まず、 CloudTrail ログエントリで識別したbackingKeyId値を が AWS CloudHSM 認識する形式に変換する必要があります。

    1. 次の Linux コマンドを使用して、backingKeyId を 16 進数表現に変換します。

      echo backingKeyId | tr -d '\n' |  xxd -p

      次の例は、backingKeyId バイト配列を 16 進数表現に変換する方法を示します。

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. backingKeyId の 16 進数表現の先頭に 0x を付加します。

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. 変換された backingKeyId 値を使用して、id 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める verbose 引数を指定します。verbose 引数を指定しない場合、[key list] オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 「」の説明に従って、キー AWS CloudHSM ストアをログアウトして再接続しますログアウトして再接続する方法

表示を増やす表示を減らす