Recherche des clés KMS et d'éléments de clé - AWS Key Management Service

Recherche des clés KMS et d'éléments de clé

Si vous gérez un magasin de clés personnalisé, il se peut que vous ayez besoin d'identifier les clés KMS dans chaque magasin de clés personnalisé. Par exemple, il se peut que vous ayez besoin de faire certaines tâches suivantes.

  • Suivez les clés KMS du magasin de clés personnalisé dans les journaux AWS CloudTrail.

  • Prédisez l'effet sur les clés KMS de la déconnexion d'un magasin de clés personnalisé.

  • Planifiez la suppression des clés KMS avant de supprimer un magasin de clés personnalisé.

De plus, vous pouvez identifier les clés de votre cluster AWS CloudHSM qui font office de clés pour vos clés KMS. Bien que AWS KMS gère les clés KMS et leurs clés, vous devez toujours conserver le contrôle et la responsabilité de la gestion de votre cluster AWS CloudHSM, ainsi que de son HSM et des sauvegardes et des clés du module HSM. Il se peut que vous ayez besoin d'identifier les clés afin de contrôler les éléments de clé, de les protéger contre les suppressions accidentelles ou de les supprimer des HSM et des sauvegardes de clusters après avoir supprimé la clé KMS.

Tous les éléments de clé pour les clés KMS de votre magasin de clés personnalisé sont détenus par l' kmsuser utilisateur de chiffrement (CU). AWS KMS définit l'attribut d'étiquette clé, qui est uniquement visible dans AWS CloudHSM, sur l'Amazon Resource Name (ARN) de la clé KMS.

Pour rechercher les clés KMS et les éléments de clé, utilisez l'une des techniques suivantes.

Rechercher les clés KMS d'un magasin de clés personnalisé

Si vous gérez un magasin de clés personnalisé, il se peut que vous ayez besoin d'identifier les clés KMS dans chaque magasin de clés personnalisé. Ces informations vous permettent de suivre les opérations de la clé KMS dans les journaux AWS CloudTrail, de prédire l'effet sur les clés KMS de la déconnexion d'un magasin de clés personnalisé ou de planifier la suppression des clés KMS avant de supprimer un magasin de clés personnalisé.

Pour rechercher les clés KMS d'un magasin de clés personnalisé (console)

Pour rechercher les clés KMS d'un magasin de clés personnalisé, sur la page des clés gérées par le client, affichez les valeurs des champs Custom Key Store Name (Nom du magasin de clés personnalisé) ou Custom Key Store ID (ID du magasin de clés personnalisé). Pour identifier les clés KMS d'un magasin de clés personnalisé, recherchez les clés KMS dont le champ Origin (Origine) a la valeur CloudHSM. Pour ajouter des colonnes facultatives à l'affichage, choisissez l'icône d'engrenage dans le coin supérieur droit de la page.

Pour rechercher les clés KMS d'un magasin de clés personnalisé (API)

Pour rechercher les clés KMS d'un magasin de clés personnalisé, utilisez les opérations ListKeys et DescribeKey, puis filtrez la valeur CustomKeyStoreId. Avant d'exécuter les exemples, remplacez l'exemple d'ID de magasin de clés personnalisé fictif par une valeur valide.

Bash

Pour rechercher les clés KMS d'un magasin de clés personnalisé particulier, obtenez l'ensemble de vos clés KMS de vos compte et région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé.

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; do aws kms describe-key --key-id $key | grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done

Pour obtenir les clés KMS d'un magasin de clés personnalisé dans le compte et la région, recherchez les valeurs CustomKeyStoreId qui commencent par cks-.

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; do aws kms describe-key --key-id $key | grep '"CustomKeyStoreId": "cks-"' --context 100; done
PowerShell

Pour rechercher les clés KMS d'un magasin de clé personnalisé spécifique, utilisez les applets de commande Get-KmsKeyList et Get-KmsKey pour obtenir l'ensemble de vos clés KMS de vos compte et région. Ensuite, filtrez sur l'ID de magasin de clés personnalisé.

PS C:\> (Get-KMSKeyList).KeyArn | foreach {Get-KMSKey -KeyId $_} | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'

Pour obtenir les clés KMS d'un magasin de clés personnalisé de vos compte et région, utilisez l'opérateur de comparaison -like. Tous les identificateurs de magasin de clés personnalisé commencent par cks-.

PS C:\> (Get-KMSKeyList).KeyArn | foreach {Get-KMSKey -KeyId $_} | where CustomKeyStoreId -like 'cks*'

Rechercher toutes les clés d'un magasin de clés personnalisé

Vous pouvez identifier les clés de votre cluster AWS CloudHSM qui font office de clés pour votre magasin de clés personnalisé. Pour ce faire, utilisez la commande findAllKeys dans cloudhsm_mgmt_util pour trouver les descripteurs de clés de toutes les clés que kmsuser possède ou partage. Sauf si vous vous êtes connecté en tant que kmsuser et créé les clés en dehors de AWS KMS, toutes les clés que kmsuser possède représentent des éléments de clé pour les clés KMS AWS KMS.

Toute responsable de chiffrement du cluster peut exécuter cette commande sans déconnecter le magasin de clés personnalisé.

  1. Démarrez cloudhsm_mgmt_util en suivant la procédure décrite dans la rubrique Préparation pour exécuter la commande cloudhsm_mgmt_util.

  2. Connectez-vous à la commande cloudhsm_mgmt_util à l'aide d'un compte de responsable de chiffrement (CO).

  3. Utilisez la commande listUsers pour trouver l'ID d'utilisateur de l' utilisateur de chiffrement kmsuser.

    Dans cet exemple, kmsuser a l'ID utilisateur 3.

    aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO
  4. Utilisez la commande findAllKeys pour rechercher les descripteurs de clés de toutes les clés que kmsuser possède ou partage. Remplacez l'exemple d'ID d'utilisateur par l'ID d'utilisateur de kmsuser dans votre cluster.

    L'exemple de sortie montre que kmsuser possède des clés avec les descripteurs de clés 8, 9 et 262162 sur les deux HSM du cluster.

    aws-cloudhsm> findAllKeys 3 0 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 1(10.0.0.2)

Rechercher la clé KMS pour une clé

Si vous connaissez le descripteur de clé d'une clé que kmsuser détient dans le cluster, vous pouvez utiliser l'étiquette de la clé pour identifier la clé KMS associée de votre magasin de clés personnalisé.

Lorsque AWS KMS crée les éléments de clé d'une clé KMS de votre cluster AWS CloudHSM, il écrit l'Amazon Resource Name (ARN) de la clé KMS dans l'étiquette de la clé. Sauf si vous avez modifié la valeur de l'étiquette, vous pouvez utiliser la commande getAttribute de key_mgmt_util ou cloudhsm_mgmt_util pour associer la clé à sa clé KMS.

Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de clés personnalisé afin de pouvoir vous connecter comme utilisateur de chiffrement kmsuser.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

  1. Déconnectez le magasin de clés personnalisé, s'il n'est pas déjà déconnecté., puis connectez-vous à key_mgmt_util en tant que kmsuser, comme expliqué dans Comment se déconnecter et se connecter.

  2. Utilisez la commande getAttribute dans key_mgmt_util ou cloudhsm_mgmt_util pour obtenir l'attribut d'étiquette (OBJ_ATTR_LABEL, attribut 3) d'un descripteur de clé particulier.

    Par exemple, cette commande utilise getAttribute dans cloudhsm_mgmt_util pour obtenir l'attribut d'étiquette (attribut 3) de la clé avec le descripteur de clé 262162. La sortie montre que la clé 262162 sert d'éléments de clé pour la clé KMS avec l'ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Avant d'exécuter cette commande, remplacez l'exemple de descripteur de clé par un descripteur valide.

    Pour obtenir la liste des attributs de clé, utilisez la commande listAttributes ou veuillez consulter la Référence des attributs de clé dans le Guide de l'utilisateur AWS CloudHSM.

    aws-cloudhsm> getAttribute 262162 3 Attribute Value on server 0(10.0.1.10): OBJ_ATTR_LABEL arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
  3. Déconnectez-vous de key_mgmt_util ou cloudhsm_mgmt_util et reconnectez le magasin de clés personnalisé comme expliqué dans Comment se déconnecter et se reconnecter.

Rechercher la clé pour une clé KMS

Vous pouvez utiliser l'ID CMK d'une clé KMS dans un magasin de clé personnalisé pour identifier la clé de votre cluster qui sert d'éléments de clé. Vous pouvez ensuite utiliser son descripteur de clé pour identifier la clé dans les commandes du client AWS CloudHSM.

Lorsque AWS KMS crée les éléments de clé d'une clé KMS de votre cluster AWS CloudHSM, il écrit l'Amazon Resource Name (ARN) de la clé KMS dans l'étiquette de la clé. Sauf si vous avez modifié la valeur, vous pouvez utiliser la commande findKey dans l'outil key_mgmt_util pour obtenir le descripteur de clé des éléments de clé de la clé KMS. Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de clés personnalisé afin de pouvoir vous connecter comme utilisateur de chiffrement kmsuser.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

  1. Déconnectez le magasin de clés personnalisé, s'il n'est pas déjà déconnecté, puis connectez-vous à key_mgmt_util en tant que kmsuser, comme expliqué dans Comment se déconnecter et se connecter.

  2. Utilisez la commande findKey de l'outil key_mgmt_util pour rechercher une clé avec une étiquette qui correspond à l'ARN d'une clé KMS de votre magasin de clés personnalisé. Remplacez l'exemple d'ARN de clé KMS dans la valeur du paramètre -l (L en lettres minuscules comme « label ») par un ARN de clé KMS valide.

    Par exemple, cette commande recherche la clé avec une étiquette qui correspond à l'exemple d'ARN d'une clé KMS, par exemple ., arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. L'exemple de sortie montre que la clé avec le descripteur de clé 262162 possède l'ARN de la clé KMS spécifié dans son étiquette. Vous pouvez désormais utiliser ce descripteur de clé d'autres commandes key_mgmt_util.

    Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Total number of keys present 1 number of keys matched from start index 0::1 262162 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
  3. Déconnectez-vous de key_mgmt_util et reconnectez le magasin de clés personnalisé comme expliqué dans Comment se déconnecter et se reconnecter.