Encontre a KMS chave para uma AWS CloudHSM chave - AWS Key Management Service
Identifique a KMS chave associada a uma referência chaveIdentifique a KMS chave associada a um ID de chave de apoio

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Encontre a KMS chave para uma AWS CloudHSM chave

Se você souber a referência de chave ou o ID de uma chave que kmsuser possui no cluster, você pode usar esse valor para identificar a KMS chave associada em seu armazenamento de AWS CloudHSM chaves.

Quando AWS KMS cria o material de chave para uma KMS chave em seu AWS CloudHSM cluster, ele grava o Amazon Resource Name (ARN) da KMS chave no rótulo da chave. A menos que você tenha alterado o valor do rótulo, você pode usar o comando key list no Cloud HSM CLI para identificar a KMS chave associada à AWS CloudHSM chave.

Observações

Os procedimentos a seguir usam a ferramenta de linha de comando AWS CloudHSM do Client SDK 5, Cloud HSM CLI. A nuvem HSM CLI substitui key-handle por. key-reference

Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte para as ferramentas de linha de comando do Client SDK 3, o Cloud HSM Management Utility (CMU) e o Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Cliente SDK 3 e a ferramenta de linha de comando do Cliente SDK 5, consulte Migrar do Cliente SDK 3 CMU KMU para a Nuvem do Cliente SDK 5 HSM CLI no Guia do AWS CloudHSM Usuário.

Para executar esses procedimentos, você precisa desconectar temporariamente o armazenamento de AWS CloudHSM chaves para poder fazer login como kmsuser UC.

nota

Enquanto um armazenamento de chaves personalizadas estiver desconectado, todas as tentativas de criar KMS chaves no armazenamento de chaves personalizadas ou de usar KMS chaves existentes em operações criptográficas falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Identifique a KMS chave associada a uma referência chave

Os procedimentos a seguir demonstram como usar o comando key list no Cloud HSM CLI com o filtro de key-reference atributos para encontrar a chave em seu cluster que serve como material chave para uma KMS chave específica em seu armazenamento de AWS CloudHSM chaves.

  1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login comokmsuser, conforme explicado em. Como desconectar e fazer login

  2. Use o comando key list no Cloud HSM CLI para filtrar pelo key-reference atributo. Especifique o argumento verbose para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento verbose, a operação key list retornará somente a referência de chave e o atributo de rótulo da chave correspondente.

    Antes de executar esse comando, substitua o exemplo de key-reference por um elemento válido da sua conta.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito emComo fazer logout e se conectar novamente.

Mostrar maisMostrar menos

Identifique a KMS chave associada a um ID de chave de apoio

Todas as entradas de CloudTrail registro para operações criptográficas com uma KMS chave em um armazenamento de AWS CloudHSM chaves incluem um additionalEventData campo com customKeyStoreId e. backingKeyId O valor retornado no backingKeyId campo está correlacionado ao atributo Cloud HSM keyid. Você pode filtrar a operação da lista de chaves pelo id atributo para identificar a KMS chave associada a uma específicabackingKeyId.

  1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça login comokmsuser, conforme explicado em. Como desconectar e fazer login

  2. Use o comando key list no Cloud HSM CLI com o filtro de atributos para encontrar a chave em seu cluster que serve como material de chave para uma KMS chave específica em seu armazenamento de AWS CloudHSM chaves.

    O exemplo a seguir demonstra como filtrar pelo id atributo. O AWS CloudHSM reconhece o valor de id como um valor hexadecimal. Para filtrar a operação da lista de chaves pelo id atributo, você deve primeiro converter o backingKeyId valor identificado na entrada do CloudTrail registro em um formato que AWS CloudHSM reconheça.

    1. Use o seguinte comando do Linux para converter backingKeyId em uma representação hexadecimal.

      echo backingKeyId | tr -d '\n' |  xxd -p

      O exemplo a seguir demonstra como converter a matriz de bytes backingKeyId em uma representação hexadecimal.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. Prefixe a representação hexadecimal de backingKeyId com 0x.

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. Use o valor backingKeyId convertido para filtrar pelo atributo id. Especifique o argumento verbose para incluir todos os atributos e as informações de chave da chave correspondente. Se você não especificar o argumento verbose, a operação key list retornará somente a referência de chave e o atributo de rótulo da chave correspondente.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito emComo fazer logout e se conectar novamente.

Mostrar maisMostrar menos