找到KMS钥匙的 AWS CloudHSM 钥匙 - AWS Key Management Service
识别与KMS密钥引用关联的密钥识别与备用KMS密钥 ID 关联的密钥

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

找到KMS钥匙的 AWS CloudHSM 钥匙

如果您知道集群中kmsuser拥有的密钥的密钥引用或 ID,则可以使用该值来标识KMS密钥库中的关联 AWS CloudHSM 密钥。

在为 AWS CloudHSM 集群中的密钥 AWS KMS 创建KMS密钥材料时,它会在密钥标签中写入该KMS密钥的 Amazon 资源名称 (ARN)。除非您更改了标签值,否则您可以在 Cloud 中使用 key lis t 命令HSMCLI来识别与KMS密钥关联的 AWS CloudHSM 密钥。

注意

以下过程使用 AWS CloudHSM 客户端 SDK 5 命令行工具 Cloud HSM CLI。云取而HSMCLI代key-handle之的是key-reference

2025 年 1 月 1 日, AWS CloudHSM 将终止对客户端 SDK 3 命令行工具、云HSM管理实用程序 (CMU) 和密钥管理实用程序 (KMU) 的支持。有关客户端 SDK 3 命令行工具和客户端 SDK 5 命令行工具之间区别的更多信息,请参阅《AWS CloudHSM 用户指南》HSMCLI中的从客户端 SDK 3 CMU 迁移KMU到客户端 SDK 5 Cloud

要运行这些过程,你需要暂时断开 AWS CloudHSM 密钥存储的连接,这样你才能以 kmsuser CU 的身份登录。

注意

当自定义密钥存储断开连接时,所有在自定义KMS密钥存储中创建密钥或在加密操作中使用现有KMS密钥的尝试都将失败。此操作可以阻止用户存储和访问敏感数据。

识别与KMS密钥引用关联的密钥

以下过程演示如何使用 Cloud HSM CLI 中的密钥列表命令和key-reference属性筛选器,在集群中查找用作密钥存储中特定密钥的KMS密钥材料的 AWS CloudHSM 密钥。

  1. 如果 AWS CloudHSM 密钥存储尚未断开连接,请断开密钥库的连接,然后以身份登录kmsuser,如中所述如何断开和登录

  2. 在 Cloud HSM CLI 中使用 key lis t 命令按key-reference属性进行筛选。指定 verbose 参数以包含匹配密钥的所有属性和密钥信息。如果不指定 verbose 参数,则密钥列表操作将仅返回匹配密钥的密钥参考和标签属性。

    在运行此命令之前,请将示例 key-reference 替换为您账户中的有效密钥 ID。

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 注销并重新连接 AWS CloudHSM 密钥库,如中所述。如何注销并重新连接

显示更多显示更少

识别与备用KMS密钥 ID 关联的密钥

使用密钥存储库中的KMS密钥进行加密操作的所有 CloudTrail 日志条目都包含一个带有customKeyStoreIdbackingKeyIdadditionalEventData字段。 AWS CloudHSM 该backingKeyId字段中返回的值与 Cloud HSM 密钥id属性相关。您可以按id属性筛选密钥列表操作,以识别与特定KMS密钥关联的密钥backingKeyId

  1. 如果 AWS CloudHSM 密钥存储尚未断开连接,请断开密钥库的连接,然后以身份登录kmsuser,如中所述如何断开和登录

  2. 使用 Cloud HSM CLI 中的密钥列表命令和属性筛选器,在集群中查找用作密钥存储中特定密钥的KMS密钥材料的 AWS CloudHSM 密钥。

    以下示例演示如何按 id 属性进行筛选。 AWS CloudHSM 将 id 值识别为十六进制值。要按id属性筛选密钥列表操作,必须先将您在 CloudTrail 日志条目中标识的backingKeyId值转换为可 AWS CloudHSM 识别的格式。

    1. 使用以下 Linux 命令将 backingKeyId 转换为十六进制表示形式。

      echo backingKeyId | tr -d '\n' |  xxd -p

      以下示例演示了如何将 backingKeyId 字节数组转换为十六进制表示形式。

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. backingKeyId 的十六进制表示形式前面加上 0x

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. 使用转换后的 backingKeyId 值按 id 属性进行筛选。指定 verbose 参数以包含匹配密钥的所有属性和密钥信息。如果不指定 verbose 参数,则密钥列表操作将仅返回匹配密钥的密钥参考和标签属性。

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. 注销并重新连接 AWS CloudHSM 密钥库,如中所述。如何注销并重新连接

显示更多显示更少