Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher Finden aller Schlüssel für einen AWS CloudHSM-Schlüsselspeicher Ermitteln des KMS-Schlüssels für einen AWS CloudHSM-Schlüssel Ermitteln des AWS CloudHSM-Schlüssels für einen KMS-Schlüssel

Ermitteln von KMS-Schlüssel und Schlüsselmaterial

Bei der Verwaltung eines AWS CloudHSM-Schlüsselspeichers müssen Sie möglicherweise die KMS-Schlüssel in den einzelnen AWS CloudHSM-Schlüsselspeichern ermitteln. Beispielsweise könnte es sein, dass Sie eine der folgenden Aufgaben ausführen müssen:

Nachverfolgung der KMS-Schlüssel im AWS CloudHSM-Schlüsselspeicher in AWS CloudTrail-Protokollen
Die Auswirkung der Trennung eines AWS CloudHSM-Schlüsselspeichers auf KMS-Schlüssel prognostizieren.
Einplanen des Löschens von KMS-Schlüsseln vor dem Löschen eines AWS CloudHSM-Schlüsselspeichers

Vielleicht möchten Sie auch die Schlüssel in Ihrem AWS CloudHSM-Cluster ermitteln, die als Schlüsselmaterial für Ihre KMS-Schlüssel dienen. Zwar verwaltet AWS KMS die KMS-Schlüssel und ihr Schlüsselmaterial, Sie behalten jedoch die Kontrolle über Ihren AWS CloudHSM-Cluster, seine HSMs und Sicherungen sowie die Schlüssel in den HSMs und sind weiterhin für deren Verwaltung zuständig. Möglicherweise müssen Sie die Schlüssel ermitteln, um das Schlüsselmaterial zu prüfen, es vor versehentlichem Löschen zu schützen oder es nach dem Löschen des KMS-Schlüssels aus HSMs und Cluster-Sicherungen zu löschen.

Alle Schlüsselinformationen für die KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher sind Eigentum des kmsuser-Kryptobenutzers (CU). AWS KMS legt für das Attribut für die Schlüsselbezeichnung, das nur in AWS CloudHSM angezeigt werden kann, den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels fest.

Wenden Sie zum Suchen der KMS-Schlüssel und Schlüsselmaterial eine der folgenden Methoden an.

Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher – Ermitteln der KMS-Schlüssel in einem oder allen Ihren AWS CloudHSM-Schlüsselspeichern.
Finden aller Schlüssel für einen AWS CloudHSM-Schlüsselspeicher – Ermitteln aller Schlüssel in Ihrem Cluster, die als Schlüsselmaterial für die KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher dienen.
Ermitteln des AWS CloudHSM-Schlüssels für einen KMS-Schlüssel – Ermitteln des Schlüssels in Ihrem Cluster, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher dient.
Ermitteln des KMS-Schlüssels für einen AWS CloudHSM-Schlüssel – Ermitteln des KMS-Schlüssels für einen bestimmten Schlüssel in Ihrem Cluster.

Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher

Bei der Verwaltung eines AWS CloudHSM-Schlüsselspeichers müssen Sie möglicherweise die KMS-Schlüssel in den einzelnen AWS CloudHSM-Schlüsselspeichern ermitteln. Mithilfe dieser Informationen können Sie die KMS-Schlüssel-Produktionen in AWS CloudTrail-Protokollen nachverfolgen, die Auswirkung der Trennung eines benutzerdefinierten Schlüsselspeichers auf die KMS-Schlüssel prognostizieren oder das Löschen von KMS-Schlüssel vor dem Löschen eines AWS CloudHSM-Schlüsselspeichers einplanen.

Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher (Konsole)

Zeigen Sie zum Ermitteln der KMS-Schlüssel in einem bestimmten AWS CloudHSM-Schlüsselspeicher auf der Seite Customer managed keys (kundenverwaltete Schlüssel) die Werte in den Feldern Custom Key Store Name (Name des benutzerdefinierten Schlüsselspeichers) oder Custom Key Store ID (ID des benutzerdefinierten Schlüsselspeichers) an. Um KMS-Schlüssel in allen AWS CloudHSM-Schlüsselspeichern zu identifizieren, suchen Sie nach KMS-Schlüsseln mit dem Wert AWS CloudHSM für Origin (Ursprung). Wenn Sie der Anzeige optionale Spalten hinzufügen möchten, wählen Sie das Zahnradsymbol rechts oben auf der Seite aus.

Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher (API)

Um die KMS-Schlüssel in einem -AWS CloudHSMSchlüsselspeicher zu finden, verwenden Sie die DescribeKey Operationen ListKeys und und filtern Sie dann nach CustomKeyStoreId Wert. Bevor Sie die Beispiele ausführen, ersetzen Sie die fiktiven Werte für die ID des benutzerdefinierten Schlüsselspeichers durch einen gültigen Wert.

Finden aller Schlüssel für einen AWS CloudHSM-Schlüsselspeicher

Sie können die Schlüssel in Ihrem AWS CloudHSM-Cluster ermitteln, die als Schlüsselmaterial für Ihren AWS CloudHSM-Schlüsselspeicher dienen. Verwenden Sie dazu den findAllKeys Befehl in cloudhsm_mgmt_util, um die Schlüsselhandles aller Schlüssel zu finden, die kmsuser besitzt oder gemeinsam nutzen. Wenn Sie sich nicht als kmsuser angemeldet haben und Schlüssel außerhalb von AWS KMS erstellt haben, stellen alle Schlüssel im Besitz von kmsuser Schlüsselmaterial für KMS-Schlüssel dar.

Jeder Verschlüsselungsverantwortliche im Cluster kann diesen Befehl ausführen, ohne den AWS CloudHSM-Schlüsselspeicher zu trennen.

Starten Sie cloudhsm_mgmt_util wie im Abschnitt Erste Schritte mit CloudHSM Management Utility (CMU) des -Benutzerhandbuchs beschrieben.
Melden Sie sich bei cloudhsm_mgmt_util unter Verwendung des Kontos eines Verschlüsselungsverantwortlichen (Crypto Officer, CO) an.

Verwenden Sie den Befehl listUsers, um die Benutzer-ID des kmsuser-Kryptobenutzers zu finden.

In diesem Beispiel hat kmsuser die Benutzer-ID 3.


aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name            MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                      NO               0               NO
         2              AU              app_user                   NO               0               NO
         3              CU              kmsuser                    NO               0               NO

Verwenden Sie den findAllKeys Befehl , um die Schlüssel-Handles aller Schlüssel zu finden, die kmsuser besitzt oder gemeinsam nutzen. Ersetzen Sie die Beispielbenutzer-ID (3) durch die tatsächliche Benutzer-ID von kmsuser in Ihrem Cluster.

Die Beispielausgabe zeigt, dass kmsuser Besitzer von Schlüsseln mit den Schlüssel-Handles 8, 9 und 262162 in beiden HSMs im Cluster ist.
```
aws-cloudhsm> findAllKeys 3 0
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 1(10.0.0.2)
```

Ermitteln des KMS-Schlüssels für einen AWS CloudHSM-Schlüssel

Wenn Sie das Schlüssel-Handle eines Schlüssels in dem Cluster kennen, dessen Eigentümer kmsuser ist, können Sie anhand der Schlüsselmarkierung den zugehörigen KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher ermitteln.

Zur Ausführung dieses Verfahrens müssen Sie den AWS CloudHSM-Schlüsselspeicher vorübergehend trennen, damit Sie sich als kmsuser-CU anmelden können.

Anmerkung

Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

Trennen Sie den AWS CloudHSM-Schlüsselspeicher (sofern nicht bereits geschehen) und melden Sie sich anschließend als kmsuser in key_mgmt_util an, wie unter Trennen und Anmelden erläutert.
Verwenden Sie den getAttribute-Befehl in key_mgmt_util oder cloudhsm_mgmt_util, um das Markierungsattribut (OBJ_ATTR_LABEL, Attribut 3) für ein bestimmtes Schlüssel-Handle abzurufen.

Bei diesem Befehl beispielsweise wird getAttribute in cloudhsm_mgmt_util zum Abrufen des Bezeichnungsattributs (Attribut 3) des Schlüssels mit dem Schlüssel-Handle 262162 verwendet. Die Ausgabe zeigt, dass der Schlüssel 262162 als Schlüsselmaterial für den KMS-Schlüssel mit dem ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab dient. Ersetzen Sie vor Ausführung dieses Befehls das Beispiel-Schlüssel-Handle durch ein gültiges Handle.

Wenn Sie eine Liste der Schlüsselattribute abrufen möchten, verwenden Sie den listAttributes-Befehl oder beachten Sie die Schlüsselattribut-Referenz im AWS CloudHSM-Benutzerhandbuch.
```
aws-cloudhsm> getAttribute 262162 3

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_LABEL
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
Melden Sie sich von key_mgmt_util oder cloudhsm_mgmt_util ab und stellen Sie die Verbindung des AWS CloudHSM-Schlüsselspeichers wieder her, wie im Abschnitt Abmelden und erneutes Verbinden erläutert.

Ermitteln des AWS CloudHSM-Schlüssels für einen KMS-Schlüssel

Mithilfe der KMS-Schlüssel-ID eines KMS-Schlüssels in einem AWS CloudHSM-Schlüsselspeicher können Sie den Schlüssel in Ihrem AWS CloudHSM-Cluster ermitteln, der als Schlüsselmaterial dient. Anschließend können Sie das betreffende Schlüssel-Handle zur Ermittlung des Schlüssels in AWS CloudHSM-Client-Befehlen verwenden.

Wenn AWS KMS das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM-Cluster erstellt, wird der Amazon-Ressourcenname (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung geschrieben. Wenn Sie den Bezeichnungswert nicht geändert haben, können Sie den Befehl findKey in key_mgmt_util verwenden, um das Schlüssel-Handle des Schlüsselmaterials für den KMS-Schlüssel abzurufen. Zur Ausführung dieses Verfahrens müssen Sie den AWS CloudHSM-Schlüsselspeicher vorübergehend trennen, damit Sie sich als kmsuser-CU anmelden können.

Anmerkung

Trennen Sie den AWS CloudHSM-Schlüsselspeicher (sofern nicht bereits geschehen) und melden Sie sich anschließend als kmsuser in key_mgmt_util an, wie unter Trennen und Anmelden erläutert.
Verwenden Sie den findKey-Befehl in key_mgmt_util, um nach einem Schlüssel zu suchen, dessen Markierung dem ARN eines KMS-Schlüssels in Ihrem AWS CloudHSM-Schlüsselspeicher entspricht. Ersetzen Sie den Beispiel-KMS-Schlüssel-ARN im Wert des -l-Parameters (kleingeschriebenes L für Label) durch einen gültigen KMS-Schlüssel-ARN.

Dieser Befehl sucht beispielsweise den Schlüssel mit einer Markierung, die dem Beispiel-KMS-Schlüssel-ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab entspricht. Die Beispielausgabe zeigt, dass der Schlüssel mit dem Schlüssel-Handle 262162 den angegebenen KMS-Schlüssel-ARN in seiner Markierung enthält. Sie können nun dieses Schlüssel-Handle in anderen Befehlen von key_mgmt_util verwenden.
```
Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1

 number of keys matched from start index 0::1
262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
```
Melden Sie sich von key_mgmt_util ab und stellen Sie die Verbindung des benutzerdefinierten Schlüsselspeichers wieder her, wie im Abschnitt Abmelden und erneutes Verbinden erläutert.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Verwenden von KMS-Schlüsseln in einem AWS CloudHSM-Schlüsselspeicher

Planen der Löschung von KMS-Schlüsseln aus einem AWS CloudHSM-Schlüsselspeicher