Finden Sie den KMS Schlüssel für einen AWS CloudHSM Schlüssel - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Finden Sie den KMS Schlüssel für einen AWS CloudHSM Schlüssel

Wenn Sie die Schlüsselreferenz oder ID eines Schlüssels kennen, den er im Cluster kmsuser besitzt, können Sie diesen Wert verwenden, um den zugehörigen KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu identifizieren.

Wenn das Schlüsselmaterial für einen KMS Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl key list in Cloud verwenden HSMCLI, um den mit dem KMS Schlüssel verknüpften AWS CloudHSM Schlüssel zu identifizieren.

Hinweise

Bei den folgenden Verfahren wird das AWS CloudHSM Client SDK 5-Befehlszeilentool Cloud verwendet HSMCLI. Die Cloud HSM CLI ersetzt key-handle durchkey-reference.

Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das Cloud HSM Management Utility (CMU) und das Key Management Utility (KMU), eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie HSM CLI im AWS CloudHSM Benutzerhandbuch unter Migration von Client SDK 3 CMU und KMU zu Client SDK 5 Cloud.

Um diese Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, sodass Sie sich als kmsuser CU anmelden können.

Anmerkung

Solange ein benutzerdefinierter Schlüsselspeicher getrennt ist, schlagen alle Versuche fehl, KMS Schlüssel im benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS Schlüssel für kryptografische Operationen zu verwenden. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

Identifizieren Sie den KMS Schlüssel, der einer Schlüsselreferenz zugeordnet ist

Die folgenden Verfahren zeigen, wie Sie den Befehl key list in Cloud HSM CLI mit dem key-reference Attributfilter verwenden, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.

  1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an alskmsuser, wie unter beschriebenTrennen und Anmelden.

  2. Verwenden Sie den Befehl key list in Cloud HSMCLI, um nach dem key-reference Attribut zu filtern. Geben Sie das verbose Argument an, um alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel einzubeziehen. Wenn Sie das verbose Argument nicht angeben, gibt die Schlüssellistenoperation nur die Schlüsselreferenz und das Labelattribut des übereinstimmenden Schlüssels zurück.

    Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel key-reference durch ein gültiges Beispiel aus Ihrem Konto.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "0xbacking-key-id", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } }
  3. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschriebenAbmelden und erneutes Verbinden.

Identifizieren Sie den KMS Schlüssel, der einer Backing-Key-ID zugeordnet ist

Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein additionalEventData Feld mit dem customKeyStoreId undbackingKeyId. Der im backingKeyId Feld zurückgegebene Wert korreliert mit dem HSM id Cloud-Schlüsselattribut. Sie können den Schlüssellistenvorgang nach dem id Attribut filtern, um den Schlüssel zu identifizieren, der einem bestimmten KMS backingKeyId Schlüssel zugeordnet ist.

  1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an alskmsuser, wie unter beschriebenTrennen und Anmelden.

  2. Verwenden Sie den Befehl key list in Cloud HSM CLI mit dem Attributfilter, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.

    Das folgende Beispiel zeigt, wie Sie nach dem id Attribut filtern. AWS CloudHSM erkennt den id Wert als Hexadezimalwert. Um den Schlüssellistenvorgang nach dem id Attribut zu filtern, müssen Sie zuerst den backingKeyId Wert, den Sie in Ihrem CloudTrail Protokolleintrag angegeben haben, in ein Format konvertieren, das AWS CloudHSM ihn erkennt.

    1. Verwenden Sie den folgenden Linux-Befehl, um die backingKeyId in eine hexadezimale Darstellung zu konvertieren.

      echo backingKeyId | tr -d '\n' | xxd -p

      Das folgende Beispiel zeigt, wie das backingKeyId Byte-Array in eine hexadezimale Darstellung konvertiert wird.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' | xxd -p 35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
    2. Stellen Sie der hexadezimalen Darstellung von mit voran. backingKeyId 0x

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
    3. Verwenden Sie den konvertierten backingKeyId Wert, um nach dem Attribut zu filtern. id Geben Sie das verbose Argument an, um alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel einzubeziehen. Wenn Sie das verbose Argument nicht angeben, gibt die Schlüssellistenoperation nur die Schlüsselreferenz und das Labelattribut des übereinstimmenden Schlüssels zurück.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } }
  3. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben. Abmelden und erneutes Verbinden