选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

查找 KMS AWS CloudHSM 密钥的密钥

PDF
RSS
聚焦模式
查找 KMS AWS CloudHSM 密钥的密钥 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

您可以使用密钥存储中 KMS 密钥的 KMS AWS CloudHSM 密钥 ID 来识别 AWS CloudHSM 集群中用作其密钥材料的密钥。

在您的 AWS CloudHSM 集群中为 KMS 密钥 AWS KMS 创建密钥材料时,它会在密钥标签中写入 KMS 密钥的 Amazon 资源名称 (ARN)。除非您已更改标签值,否则可在 CloudHSM CLI 中使用 key list 命令来查找 KMS 密钥的密钥材料的密钥资源和 ID。

密钥存储中使用 KMS 密钥进行加密操作的所有 CloudTrail 日志条目都包含一个带有customKeyStoreIdbackingKeyIdadditionalEventData字段。 AWS CloudHSM backingKeyId字段中返回的值是id AWS CloudHSM 关键属性。您可以按 KMS 密钥 ARN 筛选密钥列表 AWS CloudHSM CLI 操作,以识别与特定 KMS 密钥关联的 CloudHSM 密钥id属性。

要运行此过程,您需要暂时断开 AWS CloudHSM 密钥存储的连接,以便可以以 kmsuser CU 的身份登录。

备注

以下过程使用 AWS CloudHSM 客户端 SDK 5 命令行工具 CloudHSM C LI。CloudHSM CLI 将 key-handle 替换为 key-reference

2025 年 1 月 1 日, AWS CloudHSM 将终止对客户端 SDK 3 命令行工具、CloudHSM 管理实用程序 (CMU) 和密钥管理实用程序 (KMU) 的支持。有关客户端 SDK 3 命令行工具和客户端 SDK 5 命令行工具之间区别的更多信息,请参阅《AWS CloudHSM 用户指南》中的从客户端 SDK 3 CMU 和 KMU 迁移到客户端 SDK 5 CloudHSM CLI

  1. 如果 AWS CloudHSM 密钥存储尚未断开连接,请断开密钥库的连接,然后以身份登录kmsuser,如中所述如何断开和登录

    注意

    虽然自定义密钥存储已断开连接,但在自定义密钥存储中创建 KMS 密钥或在加密操作中使用现有 KMS 密钥的所有尝试都将失败。此操作可以阻止用户存储和访问敏感数据。

  2. 使用 CloudHSM CLI 中的密钥列表命令并按label筛选条件查找集群中特定密钥的 KMS 密钥 AWS CloudHSM 。指定 verbose 参数以包含匹配密钥的所有属性和密钥信息。如果不指定 verbose 参数,则密钥列表操作将仅返回匹配密钥的密钥参考和标签属性。

    以下示例演示如何按存储 KMS 密钥 ARN 的 label 属性进行筛选。在运行此命令之前,请将示例 KMS 密钥 ARN 替换为您账户中的有效的 KMS 密钥 ARN。

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 注销并重新连接 AWS CloudHSM 密钥库,如中所述。如何注销并重新连接

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。