Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Trouvez la AWS CloudHSM clé d'une KMS clé

PDF
RSS
Mode de mise au point
Trouvez la AWS CloudHSM clé d'une KMS clé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez utiliser l'KMSidentifiant d'une KMS clé dans un magasin de AWS CloudHSM clés pour identifier la clé de votre AWS CloudHSM cluster qui lui sert de matériau clé.

Lorsque vous AWS KMS créez le matériau clé d'une KMS clé dans votre AWS CloudHSM cluster, il écrit le nom de ressource Amazon (ARN) de la KMS clé dans le libellé de la clé. À moins que vous n'ayez modifié la valeur de l'étiquette, vous pouvez utiliser la commande de liste de touches dans Cloud HSM CLI pour rechercher la ressource clé et l'identifiant du matériau clé de la KMS clé.

Toutes les entrées de CloudTrail journal relatives à une opération cryptographique avec une KMS clé dans un magasin de AWS CloudHSM clés incluent un additionalEventData champ avec le customKeyStoreId etbackingKeyId. La valeur renvoyée dans le backingKeyId champ est l'attribut id AWS CloudHSM clé. Vous pouvez filtrer l' AWS CloudHSM CLIopération de liste de KMS clés par clé ARN pour identifier l'idattribut HSM clé Cloud associé à une KMS clé spécifique.

Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de AWS CloudHSM clés afin de pouvoir vous connecter en tant que kmsuser CU.

Remarques

Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.

  1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous en tant quekmsuser, comme expliqué dansComment se déconnecter et se connecter.

    Note

    Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

  2. Utilisez la commande de liste de touches dans Cloud HSM CLI et filtrez par label pour trouver la KMS clé correspondant à une clé spécifique dans votre AWS CloudHSM cluster. Spécifiez l'verboseargument pour inclure tous les attributs et les informations clés de la clé correspondante. Si vous ne spécifiez pas d'verboseargument, l'opération de liste de clés renvoie uniquement les attributs de référence et d'étiquette de la clé correspondante.

    L'exemple suivant montre comment filtrer en fonction de l'labelattribut qui stocke la KMS cléARN. Avant d'exécuter cette commande, remplacez l'exemple de KMS clé ARN par une clé valide provenant de votre compte.

    aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dansComment se déconnecter et se reconnecter.

ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.