Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Ermitteln von KMS-Schlüssel und Schlüsselmaterial
Bei der Verwaltung eines AWS CloudHSM-Schlüsselspeichers müssen Sie möglicherweise die KMS-Schlüssel in den einzelnen AWS CloudHSM-Schlüsselspeichern ermitteln. Beispielsweise könnte es sein, dass Sie eine der folgenden Aufgaben ausführen müssen:
-
Nachverfolgung der KMS-Schlüssel im AWS CloudHSM-Schlüsselspeicher in AWS CloudTrail-Protokollen
-
Die Auswirkung der Trennung eines AWS CloudHSM-Schlüsselspeichers auf KMS-Schlüssel prognostizieren.
-
Einplanen des Löschens von KMS-Schlüsseln vor dem Löschen eines AWS CloudHSM-Schlüsselspeichers
Vielleicht möchten Sie auch die Schlüssel in Ihrem AWS CloudHSM-Cluster ermitteln, die als Schlüsselmaterial für Ihre KMS-Schlüssel dienen. Zwar verwaltet AWS KMS die KMS-Schlüssel und ihr Schlüsselmaterial, Sie behalten jedoch die Kontrolle über Ihren AWS CloudHSM-Cluster, seine HSMs und Sicherungen sowie die Schlüssel in den HSMs und sind weiterhin für deren Verwaltung zuständig. Möglicherweise müssen Sie die Schlüssel ermitteln, um das Schlüsselmaterial zu prüfen, es vor versehentlichem Löschen zu schützen oder es nach dem Löschen des KMS-Schlüssels aus HSMs und Cluster-Sicherungen zu löschen.
Alle Schlüsselinformationen für die KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher sind Eigentum des kmsuser-Kryptobenutzers (CU). AWS KMS legt für das Attribut für die Schlüsselbezeichnung, das nur in AWS CloudHSM angezeigt werden kann, den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels fest.
Wenden Sie zum Suchen der KMS-Schlüssel und Schlüsselmaterial eine der folgenden Methoden an.
-
Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher – Ermitteln der KMS-Schlüssel in einem oder allen Ihren AWS CloudHSM-Schlüsselspeichern.
-
Finden aller Schlüssel für einen AWS CloudHSM-Schlüsselspeicher – Ermitteln aller Schlüssel in Ihrem Cluster, die als Schlüsselmaterial für die KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher dienen.
-
Ermitteln des AWS CloudHSM-Schlüssels für einen KMS-Schlüssel – Ermitteln des Schlüssels in Ihrem Cluster, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher dient.
-
Ermitteln des KMS-Schlüssels für einen AWS CloudHSM-Schlüssel – Ermitteln des KMS-Schlüssels für einen bestimmten Schlüssel in Ihrem Cluster.
Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher
Bei der Verwaltung eines AWS CloudHSM-Schlüsselspeichers müssen Sie möglicherweise die KMS-Schlüssel in den einzelnen AWS CloudHSM-Schlüsselspeichern ermitteln. Mithilfe dieser Informationen können Sie die KMS-Schlüssel-Produktionen in AWS CloudTrail-Protokollen nachverfolgen, die Auswirkung der Trennung eines benutzerdefinierten Schlüsselspeichers auf die KMS-Schlüssel prognostizieren oder das Löschen von KMS-Schlüssel vor dem Löschen eines AWS CloudHSM-Schlüsselspeichers einplanen.
Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher (Konsole)
Zeigen Sie zum Ermitteln der KMS-Schlüssel in einem bestimmten AWS CloudHSM-Schlüsselspeicher auf der Seite Customer managed keys (kundenverwaltete Schlüssel) die Werte in den Feldern Custom Key Store Name (Name des benutzerdefinierten Schlüsselspeichers) oder Custom Key Store ID (ID des benutzerdefinierten Schlüsselspeichers) an. Um KMS-Schlüssel in allen AWS CloudHSM-Schlüsselspeichern zu identifizieren, suchen Sie nach KMS-Schlüsseln mit dem Wert AWS CloudHSM für Origin (Ursprung). Wenn Sie der Anzeige optionale Spalten hinzufügen möchten, wählen Sie das Zahnradsymbol rechts oben auf der Seite aus.
Ermitteln der KMS-Schlüssel in einem AWS CloudHSM-Schlüsselspeicher (API)
Um die KMS-Schlüssel in einem -AWS CloudHSMSchlüsselspeicher zu finden, verwenden Sie die DescribeKey Operationen ListKeys und und filtern Sie dann nach CustomKeyStoreId
Wert. Bevor Sie die Beispiele ausführen, ersetzen Sie die fiktiven Werte für die ID des benutzerdefinierten Schlüsselspeichers durch einen gültigen Wert.
Finden aller Schlüssel für einen AWS CloudHSM-Schlüsselspeicher
Sie können die Schlüssel in Ihrem AWS CloudHSM-Cluster ermitteln, die als Schlüsselmaterial für Ihren AWS CloudHSM-Schlüsselspeicher dienen. Verwenden Sie dazu den findAllKeys Befehl in cloudhsm_mgmt_util, um die Schlüsselhandles aller Schlüssel zu finden, die kmsuser
besitzt oder gemeinsam nutzen. Wenn Sie sich nicht als kmsuser
angemeldet haben und Schlüssel außerhalb von AWS KMS erstellt haben, stellen alle Schlüssel im Besitz von kmsuser
Schlüsselmaterial für KMS-Schlüssel dar.
Jeder Verschlüsselungsverantwortliche im Cluster kann diesen Befehl ausführen, ohne den AWS CloudHSM-Schlüsselspeicher zu trennen.
-
Starten Sie cloudhsm_mgmt_util wie im Abschnitt Erste Schritte mit CloudHSM Management Utility (CMU) des -Benutzerhandbuchs beschrieben.
-
Melden Sie sich bei cloudhsm_mgmt_util unter Verwendung des Kontos eines Verschlüsselungsverantwortlichen (Crypto Officer, CO) an.
-
Verwenden Sie den Befehl listUsers, um die Benutzer-ID des
kmsuser
-Kryptobenutzers zu finden.In diesem Beispiel hat
kmsuser
die Benutzer-ID 3.aws-cloudhsm>
listUsers
Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO
-
Verwenden Sie den findAllKeys Befehl , um die Schlüssel-Handles aller Schlüssel zu finden, die
kmsuser
besitzt oder gemeinsam nutzen. Ersetzen Sie die Beispielbenutzer-ID (3) durch die tatsächliche Benutzer-ID vonkmsuser
in Ihrem Cluster.Die Beispielausgabe zeigt, dass
kmsuser
Besitzer von Schlüsseln mit den Schlüssel-Handles 8, 9 und 262162 in beiden HSMs im Cluster ist.aws-cloudhsm> findAllKeys 3 0 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 1(10.0.0.2)
Ermitteln des KMS-Schlüssels für einen AWS CloudHSM-Schlüssel
Wenn Sie das Schlüssel-Handle eines Schlüssels in dem Cluster kennen, dessen Eigentümer kmsuser
ist, können Sie anhand der Schlüsselmarkierung den zugehörigen KMS-Schlüssel in Ihrem AWS CloudHSM-Schlüsselspeicher ermitteln.
Wenn AWS KMS das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM-Cluster erstellt, wird der Amazon-Ressourcenname (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung geschrieben. Wenn Sie den Bezeichnungswert nicht geändert haben, können Sie mit dem getAttribute-Befehl in key_mgmt_util oder cloudhsm_mgmt_util den Schlüssel seinem KMS-Schlüssel zuweisen.
Zur Ausführung dieses Verfahrens müssen Sie den AWS CloudHSM-Schlüsselspeicher vorübergehend trennen, damit Sie sich als kmsuser
-CU anmelden können.
Anmerkung
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
-
Trennen Sie den AWS CloudHSM-Schlüsselspeicher (sofern nicht bereits geschehen) und melden Sie sich anschließend als
kmsuser
in key_mgmt_util an, wie unter Trennen und Anmelden erläutert. -
Verwenden Sie den
getAttribute
-Befehl in key_mgmt_util oder cloudhsm_mgmt_util, um das Markierungsattribut (OBJ_ATTR_LABEL
, Attribut3
) für ein bestimmtes Schlüssel-Handle abzurufen.Bei diesem Befehl beispielsweise wird
getAttribute
in cloudhsm_mgmt_util zum Abrufen des Bezeichnungsattributs (Attribut3
) des Schlüssels mit dem Schlüssel-Handle262162
verwendet. Die Ausgabe zeigt, dass der Schlüssel262162
als Schlüsselmaterial für den KMS-Schlüssel mit dem ARNarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
dient. Ersetzen Sie vor Ausführung dieses Befehls das Beispiel-Schlüssel-Handle durch ein gültiges Handle.Wenn Sie eine Liste der Schlüsselattribute abrufen möchten, verwenden Sie den listAttributes-Befehl oder beachten Sie die Schlüsselattribut-Referenz im AWS CloudHSM-Benutzerhandbuch.
aws-cloudhsm>
getAttribute
262162
3Attribute Value on server 0(10.0.1.10): OBJ_ATTR_LABEL arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
Melden Sie sich von key_mgmt_util oder cloudhsm_mgmt_util ab und stellen Sie die Verbindung des AWS CloudHSM-Schlüsselspeichers wieder her, wie im Abschnitt Abmelden und erneutes Verbinden erläutert.
Ermitteln des AWS CloudHSM-Schlüssels für einen KMS-Schlüssel
Mithilfe der KMS-Schlüssel-ID eines KMS-Schlüssels in einem AWS CloudHSM-Schlüsselspeicher können Sie den Schlüssel in Ihrem AWS CloudHSM-Cluster ermitteln, der als Schlüsselmaterial dient. Anschließend können Sie das betreffende Schlüssel-Handle zur Ermittlung des Schlüssels in AWS CloudHSM-Client-Befehlen verwenden.
Wenn AWS KMS das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM-Cluster erstellt, wird der Amazon-Ressourcenname (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung geschrieben. Wenn Sie den Bezeichnungswert nicht geändert haben, können Sie den Befehl findKey in key_mgmt_util verwenden, um das Schlüssel-Handle des Schlüsselmaterials für den KMS-Schlüssel abzurufen. Zur Ausführung dieses Verfahrens müssen Sie den AWS CloudHSM-Schlüsselspeicher vorübergehend trennen, damit Sie sich als kmsuser
-CU anmelden können.
Anmerkung
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
-
Trennen Sie den AWS CloudHSM-Schlüsselspeicher (sofern nicht bereits geschehen) und melden Sie sich anschließend als
kmsuser
in key_mgmt_util an, wie unter Trennen und Anmelden erläutert. -
Verwenden Sie den findKey-Befehl in key_mgmt_util, um nach einem Schlüssel zu suchen, dessen Markierung dem ARN eines KMS-Schlüssels in Ihrem AWS CloudHSM-Schlüsselspeicher entspricht. Ersetzen Sie den Beispiel-KMS-Schlüssel-ARN im Wert des
-l
-Parameters (kleingeschriebenes L für Label) durch einen gültigen KMS-Schlüssel-ARN.Dieser Befehl sucht beispielsweise den Schlüssel mit einer Markierung, die dem Beispiel-KMS-Schlüssel-ARN
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
entspricht. Die Beispielausgabe zeigt, dass der Schlüssel mit dem Schlüssel-Handle262162
den angegebenen KMS-Schlüssel-ARN in seiner Markierung enthält. Sie können nun dieses Schlüssel-Handle in anderen Befehlen von key_mgmt_util verwenden.Command:
findKey -l
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1 number of keys matched from start index 0::1 262162 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
-
Melden Sie sich von key_mgmt_util ab und stellen Sie die Verbindung des benutzerdefinierten Schlüsselspeichers wieder her, wie im Abschnitt Abmelden und erneutes Verbinden erläutert.