Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Finden Sie den KMS Schlüssel für einen AWS CloudHSM Schlüssel
Wenn Sie die Schlüsselreferenz oder ID eines Schlüssels kennen, den er im Cluster kmsuser
besitzt, können Sie diesen Wert verwenden, um den zugehörigen KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu identifizieren.
Wenn das Schlüsselmaterial für einen KMS Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl key list in Cloud verwenden HSMCLI, um den mit dem KMS Schlüssel verknüpften AWS CloudHSM Schlüssel zu identifizieren.
Hinweise
Bei den folgenden Verfahren wird das AWS CloudHSM Client SDK 5-Befehlszeilentool Cloud verwendet HSMCLI. Die Cloud HSM CLI ersetzt key-handle
durchkey-reference
.
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das Cloud HSM Management Utility (CMU) und das Key Management Utility (KMU), eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie HSM CLI im AWS CloudHSM Benutzerhandbuch unter Migration von Client SDK 3 CMU und KMU zu Client SDK 5 Cloud.
Um diese Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, sodass Sie sich als kmsuser
CU anmelden können.
Anmerkung
Solange ein benutzerdefinierter Schlüsselspeicher getrennt ist, schlagen alle Versuche fehl, KMS Schlüssel im benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS Schlüssel für kryptografische Operationen zu verwenden. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
Themen
Identifizieren Sie den KMS Schlüssel, der einer Schlüsselreferenz zugeordnet ist
Die folgenden Verfahren zeigen, wie Sie den Befehl key list in Cloud HSM CLI mit dem key-reference
Attributfilter verwenden, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als
kmsuser
, wie unter beschriebenTrennen und Anmelden. -
Verwenden Sie den Befehl key list in Cloud HSMCLI, um nach dem
key-reference
Attribut zu filtern. Geben Sie dasverbose
Argument an, um alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel einzubeziehen. Wenn Sie dasverbose
Argument nicht angeben, gibt die Schlüssellistenoperation nur die Schlüsselreferenz und das Labelattribut des übereinstimmenden Schlüssels zurück.Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel
key-reference
durch ein gültiges Beispiel aus Ihrem Konto.aws-cloudhsm >
key list --filter attr.key-reference="
0x0000000000120034
" --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "
0xbacking-key-id
", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } } -
Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschriebenAbmelden und erneutes Verbinden.
Identifizieren Sie den KMS Schlüssel, der einer Backing-Key-ID zugeordnet ist
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein additionalEventData
Feld mit dem customKeyStoreId
undbackingKeyId
. Der im backingKeyId
Feld zurückgegebene Wert korreliert mit dem HSM id
Cloud-Schlüsselattribut. Sie können den Schlüssellistenvorgang nach dem id
Attribut filtern, um den Schlüssel zu identifizieren, der einem bestimmten KMS backingKeyId
Schlüssel zugeordnet ist.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als
kmsuser
, wie unter beschriebenTrennen und Anmelden. -
Verwenden Sie den Befehl key list in Cloud HSM CLI mit dem Attributfilter, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
Das folgende Beispiel zeigt, wie Sie nach dem
id
Attribut filtern. AWS CloudHSM erkennt denid
Wert als Hexadezimalwert. Um den Schlüssellistenvorgang nach demid
Attribut zu filtern, müssen Sie zuerst denbackingKeyId
Wert, den Sie in Ihrem CloudTrail Protokolleintrag angegeben haben, in ein Format konvertieren, das AWS CloudHSM ihn erkennt.-
Verwenden Sie den folgenden Linux-Befehl, um die
backingKeyId
in eine hexadezimale Darstellung zu konvertieren.echo
backingKeyId
| tr -d '\n' | xxd -pDas folgende Beispiel zeigt, wie das
backingKeyId
Byte-Array in eine hexadezimale Darstellung konvertiert wird.echo
5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d
| tr -d '\n' | xxd -p35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
-
Stellen Sie der hexadezimalen Darstellung von mit voran.
backingKeyId
0x
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
-
Verwenden Sie den konvertierten
backingKeyId
Wert, um nach dem Attribut zu filtern.id
Geben Sie dasverbose
Argument an, um alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel einzubeziehen. Wenn Sie dasverbose
Argument nicht angeben, gibt die Schlüssellistenoperation nur die Schlüsselreferenz und das Labelattribut des übereinstimmenden Schlüssels zurück.aws-cloudhsm >
key list --filter attr.id="
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
" --verbose{ "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } }
-
-
Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben. Abmelden und erneutes Verbinden