Recherche des clés KMS et d'éléments de clé - AWS Key Management Service
Rechercher les clés KMS d'un magasin de clés AWS CloudHSMRechercher toutes les clés d'un magasin de clés AWS CloudHSMRechercher la clé KMS pour une clé AWS CloudHSMRechercher la clé AWS CloudHSM pour une clé KMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Recherche des clés KMS et d'éléments de clé

Si vous gérez un magasin de clés AWS CloudHSM, il se peut que vous ayez besoin d'identifier les clés KMS dans chaque magasin de clés AWS CloudHSM. Par exemple, il se peut que vous ayez besoin de faire certaines tâches suivantes.

  • Suivre les clés KMS du magasin de clés AWS CloudHSM dans les journaux AWS CloudTrail.

  • Prédire l'effet de la déconnexion d'un magasin de clés AWS CloudHSM sur les clés KMS.

  • Planifier la suppression des clés KMS avant de supprimer un magasin de clés AWS CloudHSM.

De plus, vous pouvez identifier les clés de votre cluster AWS CloudHSM qui font office de clés pour vos clés KMS. Bien que AWS KMS gère les clés KMS et leurs clés, vous devez toujours conserver le contrôle et la responsabilité de la gestion de votre cluster AWS CloudHSM, ainsi que de son HSM et des sauvegardes et des clés du module HSM. Il se peut que vous ayez besoin d'identifier les clés afin de contrôler les éléments de clé, de les protéger contre les suppressions accidentelles ou de les supprimer des HSM et des sauvegardes de clusters après avoir supprimé la clé KMS.

Tous les éléments de clé des clés KMS de votre magasin de clés AWS CloudHSM sont détenus par l'utilisateur de chiffrement kmsuser (CU). AWS KMS définit l'attribut d'étiquette clé, qui n'est visible que dans AWS CloudHSM, sur l'Amazon Resource Name (ARN) de la clé KMS.

Pour rechercher les clés KMS et les éléments de clé, utilisez l'une des techniques suivantes.

Rechercher les clés KMS d'un magasin de clés AWS CloudHSM

Si vous gérez un magasin de clés AWS CloudHSM, il se peut que vous ayez besoin d'identifier les clés KMS dans chaque magasin de clés AWS CloudHSM. Ces informations vous permettent de suivre les opérations de la clé KMS dans les journaux AWS CloudTrail, de prédire l'effet de la déconnexion d'un magasin de clés personnalisé sur les clés KMS ou de planifier la suppression des clés KMS avant de supprimer un magasin de clés AWS CloudHSM.

Rechercher les clés KMS d'un magasin de clés AWS CloudHSM (console)

Pour rechercher les clés KMS d'un magasin de clés AWS CloudHSM spécifique, sur la page Customer managed keys (Clés gérées par le client), affichez les valeurs des champs Custom Key Store Name (Nom du magasin de clés personnalisé) ou Custom Key Store ID (ID de magasin de clés personnalisé). Pour identifier les clés KMS d'un magasin de clés AWS CloudHSM, recherchez les clés KMS dont le champ Origin (Origine) a la valeur AWS CloudHSM. Pour ajouter des colonnes facultatives à l'affichage, choisissez l'icône d'engrenage dans le coin supérieur droit de la page.

Rechercher les clés KMS d'un magasin de clés AWS CloudHSM (API)

Pour rechercher les clés KMS dans un magasin de AWS CloudHSM clés, utilisez les DescribeKeyopérations ListKeyset filtrez par CustomKeyStoreId valeur. Avant d'exécuter les exemples, remplacez l'exemple d'ID de magasin de clés personnalisé fictif par une valeur valide.

Bash

Pour rechercher les clés KMS d'un magasin de clés AWS CloudHSM spécifique, obtenez l'ensemble de vos clés KMS de vos compte et région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé. 

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done

Pour obtenir les clés KMS d'un magasin de clés AWS CloudHSM dans le compte et la région, recherchez les valeurs de CustomKeyStoreType équivalentes à AWS_CloudHSM.

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreType": "AWS_CloudHSM"' --context 100; done
PowerShell

Pour rechercher des clés KMS dans un magasin de AWS CloudHSM clés en particulier, utilisez les KmsKey applets de commande KmsKeyList Get - pour obtenir toutes vos clés KMS dans le compte et la région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé. 

PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'

Pour obtenir des clés KMS dans n'importe quel magasin de AWS CloudHSM clés du compte et de la région, filtrez en fonction de la CustomKeyStoreType valeur deAWS_CLOUDHSM.

PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreType -eq 'AWS_CLOUDHSM'

Rechercher toutes les clés d'un magasin de clés AWS CloudHSM

Vous pouvez identifier les clés de votre cluster AWS CloudHSM qui font office d'éléments de clé pour votre magasin de clés AWS CloudHSM. Pour ce faire, utilisez la findAllKeyscommande dans cloudhs_mgmt_util pour rechercher les descripteurs de touches de toutes les clés détenues ou partagées. kmsuser À moins que vous ne vous soyez connecté en tant que kmsuser et que vous n'ayez créé des clés en dehors de AWS KMS, toutes les clés que kmsuser possède représentent des éléments de clé pour les clés KMS.

Tout responsable de chiffrement du cluster peut exécuter cette commande sans déconnecter le magasin de clés AWS CloudHSM.

  1. Démarrez cloudhsm_mgmt_util en suivant la procédure décrite dans la rubrique Getting started with CloudHSM Management Utility (CMU) (Démarrer avec CloudHSM Management Utility [CMU]).

  2. Connectez-vous à la commande cloudhsm_mgmt_util à l'aide d'un compte de responsable de chiffrement (CO).

  3. Utilisez la commande listUsers pour trouver l'ID d'utilisateur de l' utilisateur de chiffrement kmsuser.

    Dans cet exemple, kmsuser a l'ID utilisateur 3.

    aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name            MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                      NO               0               NO
         2              AU              app_user                   NO               0               NO
         3              CU              kmsuser                    NO               0               NO

  4. Utilisez la findAllKeyscommande pour trouver les descripteurs de toutes les clés kmsuser détenues ou partagées. Remplacez l'exemple d'ID d'utilisateur (3) par l'ID réel d'utilisateur de kmsuser dans votre cluster.

    L'exemple de sortie montre que kmsuser possède des clés avec les descripteurs de clés 8, 9 et 262162 sur les deux HSM du cluster.

    aws-cloudhsm> findAllKeys 3 0
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 1(10.0.0.2)

Rechercher la clé KMS pour une clé AWS CloudHSM

Si vous connaissez le descripteur de clé d'une clé que kmsuser détient dans le cluster, vous pouvez utiliser l'étiquette de la clé pour identifier la clé KMS associée de votre magasin de clés AWS CloudHSM.

Lorsque AWS KMS crée les éléments de clé d'une clé KMS de votre cluster AWS CloudHSM, il écrit l'Amazon Resource Name (ARN) de la clé KMS dans l'étiquette de la clé. Sauf si vous avez modifié la valeur de l'étiquette, vous pouvez utiliser la commande getAttribute de key_mgmt_util ou cloudhsm_mgmt_util pour associer la clé à sa clé KMS.

Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de clés AWS CloudHSM afin de pouvoir vous connecter comme CU kmsuser.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

  1. Déconnectez le magasin de clés AWS CloudHSM, s'il n'est pas déjà déconnecté, puis connectez-vous à key_mgmt_util en tant que kmsuser, comme expliqué dans Comment se déconnecter et se connecter.

  2. Utilisez la commande getAttribute dans key_mgmt_util ou cloudhsm_mgmt_util pour obtenir l'attribut d'étiquette (OBJ_ATTR_LABEL, attribut 3) d'un descripteur de clé particulier.

    Par exemple, cette commande utilise getAttribute dans cloudhsm_mgmt_util pour obtenir l'attribut d'étiquette (attribut 3) de la clé avec le descripteur de clé 262162. La sortie montre que la clé 262162 sert d'éléments de clé pour la clé KMS avec l'ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Avant d'exécuter cette commande, remplacez l'exemple de descripteur de clé par un descripteur valide.

    Pour obtenir la liste des attributs de clé, utilisez la commande listAttributes ou veuillez consulter la Référence des attributs de clé dans le Guide de l'utilisateur AWS CloudHSM.

    aws-cloudhsm> getAttribute 262162 3

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_LABEL
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  3. Déconnectez-vous de key_mgmt_util ou cloudhsm_mgmt_util et reconnectez le magasin de clés AWS CloudHSM comme expliqué dans Comment se déconnecter et se reconnecter.

Rechercher la clé AWS CloudHSM pour une clé KMS

Vous pouvez utiliser l'ID d'une clé KMS dans un magasin de clés AWS CloudHSM pour identifier la clé de votre cluster AWS CloudHSM qui fait office d'éléments de clé. Vous pouvez ensuite utiliser son descripteur de clé pour identifier la clé dans les commandes du client AWS CloudHSM.

Lorsque AWS KMS crée les éléments de clé d'une clé KMS de votre cluster AWS CloudHSM, il écrit l'Amazon Resource Name (ARN) de la clé KMS dans l'étiquette de la clé. Sauf si vous avez modifié la valeur, vous pouvez utiliser la commande findKey dans l'outil key_mgmt_util pour obtenir le descripteur de clé des éléments de clé de la clé KMS. Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de clés AWS CloudHSM afin de pouvoir vous connecter comme CU kmsuser.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

  1. Déconnectez le magasin de clés AWS CloudHSM, s'il n'est pas déjà déconnecté, puis connectez-vous à key_mgmt_util en tant que kmsuser, comme expliqué dans Comment se déconnecter et se connecter.

  2. Utilisez la commande findKey de l'outil key_mgmt_util pour rechercher une clé avec une étiquette qui correspond à l'ARN d'une clé KMS de votre magasin de clés AWS CloudHSM. Remplacez l'exemple d'ARN de clé KMS dans la valeur du paramètre -l (L en lettres minuscules comme « label ») par un ARN de clé KMS valide.

    Par exemple, cette commande recherche la clé avec une étiquette qui correspond à l'exemple d'ARN d'une clé KMS, par exemple arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. L'exemple de sortie montre que la clé avec le descripteur de clé 262162 possède l'ARN de la clé KMS spécifié dans son étiquette. Vous pouvez désormais utiliser ce descripteur de clé d'autres commandes key_mgmt_util.

    Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1

 number of keys matched from start index 0::1
262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS

  3. Déconnectez-vous de key_mgmt_util et reconnectez le magasin de clés personnalisé comme expliqué dans Comment se déconnecter et se reconnecter.