KMS 키의 AWS CloudHSM 키 찾기 - AWS Key Management Service
KMS 키 참조와 연결된 키 식별백업 KMS 키 ID와 연결된 키를 식별합니다.

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

KMS 키의 AWS CloudHSM 키 찾기

가 클러스터에 kmsuser 소유한 키의 키 참조 또는 ID를 알고 있는 경우 해당 값을 사용하여 AWS CloudHSM 키 스토어에서 연결된 KMS 키를 식별할 수 있습니다.

가 AWS CloudHSM 클러스터에 있는 키의 KMS 키 구성 요소를 AWS KMS 생성하면 키 레이블에 KMS 키의 Amazon 리소스 이름(ARN)을 씁니다. 레이블 값을 변경하지 않은 경우 CloudHSM의 키 목록 명령을 사용하여 키와 연결된 KMS 키를 CLI 식별할 수 있습니다 AWS CloudHSM .

참고

다음 절차에서는 AWS CloudHSM Client SDK 5 명령줄 도구인 CloudHSM CLI를 사용합니다. 클라우드HSM는 key-handle로 CLI 대체됩니다key-reference.

는 2025년 1월 1일에 Client SDK 3 명령줄 도구, CloudHSM Management Utility(CMU) 및 Key Management Utility()에 대한 지원을 AWS CloudHSM 종료합니다KMU. Client SDK 3 명령줄 도구와 Client SDK 5 명령줄 도구의 차이점에 대한 자세한 내용은 AWS CloudHSM 사용 설명서Client 3에서 Client SDK SDK5 클라우드CMUKMUHSM로 마이그레이션CLI을 참조하세요.

이러한 절차를 실행하려면 kmsuser CU로 로그인할 수 있도록 AWS CloudHSM 키 스토어를 일시적으로 연결 해제해야 합니다.

참고

사용자 지정 키 스토어의 연결이 끊어지는 동안 사용자 지정 키 스토어에서 KMS 키를 생성하거나 암호화 작업에서 기존 KMS 키를 사용하려는 모든 시도는 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.

KMS 키 참조와 연결된 키 식별

다음 절차에서는 key-reference 속성 필터와 CLI 함께 CloudHSM에서 키 목록 명령을 사용하여 키 AWS CloudHSM 스토어의 특정 키에 대한 키 구성 요소 역할을 하는 클러스터의 KMS 키를 찾는 방법을 보여줍니다.

  1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우 에 설명된 kmsuser대로 로 로그인합니다연결 해제 및 로그인 방법.

  2. CloudHSM의 키 목록 명령을 사용하여 key-reference 속성을 기준으로 CLI 필터링합니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 verbose 인수를 지정합니다. verbose 인수를 지정하지 않으면 key list 작업은 일치하는 키의 키 참조 및 레이블 속성만 반환합니다.

    이 명령을 실행하기 전에 예제 키 key-reference를 계정의 유효한 값으로 바꿉니다.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 에 설명된 대로 로그아웃하고 AWS CloudHSM 키 스토어를 다시 연결합니다로그아웃 및 재연결 방법.

더보기간략히 보기

백업 KMS 키 ID와 연결된 키를 식별합니다.

AWS CloudHSM 키 스토어에 KMS 키가 있는 암호화 작업에 대한 모든 CloudTrail 로그 항목에는 customKeyStoreId 및 가 있는 additionalEventData 필드가 포함됩니다backingKeyId. backingKeyId 필드에 반환된 값은 클라우드HSM 키 id 속성과 관련이 있습니다. id 속성별로 키 목록 작업을 필터링하여 특정 와 연결된 KMS 키를 식별할 수 있습니다backingKeyId.

  1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우 에 설명된 kmsuser대로 로 로그인합니다연결 해제 및 로그인 방법.

  2. 속성 필터CLI와 함께 CloudHSM의 키 목록 명령을 사용하여 키 AWS CloudHSM 스토어의 특정 키에 대한 키 구성 요소 역할을 하는 클러스터의 KMS 키를 찾습니다.

    다음 예제에서는 id 속성을 기준으로 필터링하는 방법을 보여줍니다. AWS CloudHSM 은 id 값을 16진수 값으로 인식합니다. id 속성별로 키 목록 작업을 필터링하려면 먼저 CloudTrail 로그 항목에서 식별한 backingKeyId 값을 가 AWS CloudHSM 인식하는 형식으로 변환해야 합니다.

    1. 다음 Linux 명령을 사용하여 backingKeyId를 16진수 표현으로 변환합니다.

      echo backingKeyId | tr -d '\n' |  xxd -p

      다음 예제에서는 backingKeyId 바이트 배열을 16진수 표현으로 변환하는 방법을 보여줍니다.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. 0x를 사용하여 backingKeyId의 16진수 표현을 준비합니다.

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. 변환된 backingKeyId 값을 사용하여 id 속성을 기준으로 필터링합니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 verbose 인수를 지정합니다. verbose 인수를 지정하지 않으면 key list 작업은 일치하는 키의 키 참조 및 레이블 속성만 반환합니다.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 에 설명된 대로 로그아웃하고 AWS CloudHSM 키 스토어를 다시 연결합니다로그아웃 및 재연결 방법.

더보기간략히 보기