Recherche des clés KMS et d'éléments de clé
Si vous gérez un magasin de clés personnalisé, il se peut que vous ayez besoin d'identifier les clés KMS dans chaque magasin de clés personnalisé. Par exemple, il se peut que vous ayez besoin de faire certaines tâches suivantes.
-
Suivez les clés KMS du magasin de clés personnalisé dans les journaux AWS CloudTrail.
-
Prédisez l'effet sur les clés KMS de la déconnexion d'un magasin de clés personnalisé.
-
Planifiez la suppression des clés KMS avant de supprimer un magasin de clés personnalisé.
De plus, vous pouvez identifier les clés de votre cluster AWS CloudHSM qui font office de clés pour vos clés KMS. Bien que AWS KMS gère les clés KMS et leurs clés, vous devez toujours conserver le contrôle et la responsabilité de la gestion de votre cluster AWS CloudHSM, ainsi que de son HSM et des sauvegardes et des clés du module HSM. Il se peut que vous ayez besoin d'identifier les clés afin de contrôler les éléments de clé, de les protéger contre les suppressions accidentelles ou de les supprimer des HSM et des sauvegardes de clusters après avoir supprimé la clé KMS.
Tous les éléments de clé pour les clés KMS de votre magasin de clés personnalisé sont détenus par l' kmsuser utilisateur de chiffrement (CU). AWS KMS définit l'attribut d'étiquette clé, qui est uniquement visible dans AWS CloudHSM, sur l'Amazon Resource Name (ARN) de la clé KMS.
Pour rechercher les clés KMS et les éléments de clé, utilisez l'une des techniques suivantes.
-
Rechercher les clés KMS d'un magasin de clés personnalisé — Comment identifier les clés KMS dans un ou tous vos magasins de clés personnalisés.
-
Rechercher toutes les clés d'un magasin de clés personnalisé — Procédure pour trouver toutes les clés de votre cluster qui font office d'éléments de clé pour les clés KMS de votre magasin de clés personnalisé.
-
Rechercher la clé pour une clé KMS — Procédure pour trouver la clé de votre cluster qui fait office d'éléments de clé pour une clé particulière de votre magasin de clés personnalisé.
-
Rechercher la clé KMS pour une clé — Comment trouver la clé KMS pour une clé particulière de votre cluster.
Rechercher les clés KMS d'un magasin de clés personnalisé
Si vous gérez un magasin de clés personnalisé, il se peut que vous ayez besoin d'identifier les clés KMS dans chaque magasin de clés personnalisé. Ces informations vous permettent de suivre les opérations de la clé KMS dans les journaux AWS CloudTrail, de prédire l'effet sur les clés KMS de la déconnexion d'un magasin de clés personnalisé ou de planifier la suppression des clés KMS avant de supprimer un magasin de clés personnalisé.
Pour rechercher les clés KMS d'un magasin de clés personnalisé (console)
Pour rechercher les clés KMS d'un magasin de clés personnalisé, sur la page des clés gérées par le client, affichez les valeurs des champs Custom Key Store Name (Nom du magasin de clés personnalisé) ou Custom Key Store ID (ID du magasin de clés personnalisé). Pour identifier les clés KMS d'un magasin de clés personnalisé, recherchez les clés KMS dont le champ Origin (Origine) a la valeur CloudHSM. Pour ajouter des colonnes facultatives à l'affichage, choisissez l'icône d'engrenage dans le coin supérieur droit de la page.
Pour rechercher les clés KMS d'un magasin de clés personnalisé (API)
Pour rechercher les clés KMS d'un magasin de clés personnalisé, utilisez les opérations ListKeys et DescribeKey, puis filtrez la valeur CustomKeyStoreId
. Avant d'exécuter les exemples, remplacez l'exemple d'ID de magasin de clés personnalisé fictif par une valeur valide.
Rechercher toutes les clés d'un magasin de clés personnalisé
Vous pouvez identifier les clés de votre cluster AWS CloudHSM qui font office de clés pour votre magasin de clés personnalisé. Pour ce faire, utilisez la commande findAllKeys dans cloudhsm_mgmt_util pour trouver les descripteurs de clés de toutes les clés que kmsuser
possède ou partage. Sauf si vous vous êtes connecté en tant que kmsuser
et créé les clés en dehors de AWS KMS, toutes les clés que kmsuser
possède représentent des éléments de clé pour les clés KMS AWS KMS.
Toute responsable de chiffrement du cluster peut exécuter cette commande sans déconnecter le magasin de clés personnalisé.
-
Démarrez cloudhsm_mgmt_util en suivant la procédure décrite dans la rubrique Préparation pour exécuter la commande cloudhsm_mgmt_util.
-
Connectez-vous à la commande cloudhsm_mgmt_util à l'aide d'un compte de responsable de chiffrement (CO).
-
Utilisez la commande listUsers pour trouver l'ID d'utilisateur de l' utilisateur de chiffrement
kmsuser
.Dans cet exemple,
kmsuser
a l'ID utilisateur 3.aws-cloudhsm>
listUsers
Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO
-
Utilisez la commande findAllKeys pour rechercher les descripteurs de clés de toutes les clés que
kmsuser
possède ou partage. Remplacez l'exemple d'ID d'utilisateur par l'ID d'utilisateur dekmsuser
dans votre cluster.L'exemple de sortie montre que
kmsuser
possède des clés avec les descripteurs de clés 8, 9 et 262162 sur les deux HSM du cluster.aws-cloudhsm> findAllKeys 3 0 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 1(10.0.0.2)
Rechercher la clé KMS pour une clé
Si vous connaissez le descripteur de clé d'une clé que kmsuser
détient dans le cluster, vous pouvez utiliser l'étiquette de la clé pour identifier la clé KMS associée de votre magasin de clés personnalisé.
Lorsque AWS KMS crée les éléments de clé d'une clé KMS de votre cluster AWS CloudHSM, il écrit l'Amazon Resource Name (ARN) de la clé KMS dans l'étiquette de la clé. Sauf si vous avez modifié la valeur de l'étiquette, vous pouvez utiliser la commande getAttribute de key_mgmt_util ou cloudhsm_mgmt_util pour associer la clé à sa clé KMS.
Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de clés personnalisé afin de pouvoir vous connecter comme utilisateur de chiffrement kmsuser
.
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
-
Déconnectez le magasin de clés personnalisé, s'il n'est pas déjà déconnecté., puis connectez-vous à key_mgmt_util en tant que
kmsuser
, comme expliqué dans Comment se déconnecter et se connecter. -
Utilisez la commande
getAttribute
dans key_mgmt_util ou cloudhsm_mgmt_util pour obtenir l'attribut d'étiquette (OBJ_ATTR_LABEL
, attribut3
) d'un descripteur de clé particulier.Par exemple, cette commande utilise
getAttribute
dans cloudhsm_mgmt_util pour obtenir l'attribut d'étiquette (attribut3
) de la clé avec le descripteur de clé262162
. La sortie montre que la clé262162
sert d'éléments de clé pour la clé KMS avec l'ARNarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
. Avant d'exécuter cette commande, remplacez l'exemple de descripteur de clé par un descripteur valide.Pour obtenir la liste des attributs de clé, utilisez la commande listAttributes ou veuillez consulter la Référence des attributs de clé dans le Guide de l'utilisateur AWS CloudHSM.
aws-cloudhsm>
getAttribute
262162
3Attribute Value on server 0(10.0.1.10): OBJ_ATTR_LABEL arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
Déconnectez-vous de key_mgmt_util ou cloudhsm_mgmt_util et reconnectez le magasin de clés personnalisé comme expliqué dans Comment se déconnecter et se reconnecter.
Rechercher la clé pour une clé KMS
Vous pouvez utiliser l'ID CMK d'une clé KMS dans un magasin de clé personnalisé pour identifier la clé de votre cluster qui sert d'éléments de clé. Vous pouvez ensuite utiliser son descripteur de clé pour identifier la clé dans les commandes du client AWS CloudHSM.
Lorsque AWS KMS crée les éléments de clé d'une clé KMS de votre cluster AWS CloudHSM, il écrit l'Amazon Resource Name (ARN) de la clé KMS dans l'étiquette de la clé. Sauf si vous avez modifié la valeur, vous pouvez utiliser la commande findKey dans l'outil key_mgmt_util pour obtenir le descripteur de clé des éléments de clé de la clé KMS. Pour exécuter cette procédure, vous devez déconnecter temporairement le magasin de clés personnalisé afin de pouvoir vous connecter comme utilisateur de chiffrement kmsuser
.
Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
-
Déconnectez le magasin de clés personnalisé, s'il n'est pas déjà déconnecté, puis connectez-vous à key_mgmt_util en tant que
kmsuser
, comme expliqué dans Comment se déconnecter et se connecter. -
Utilisez la commande findKey de l'outil key_mgmt_util pour rechercher une clé avec une étiquette qui correspond à l'ARN d'une clé KMS de votre magasin de clés personnalisé. Remplacez l'exemple d'ARN de clé KMS dans la valeur du paramètre
-l
(L en lettres minuscules comme « label ») par un ARN de clé KMS valide.Par exemple, cette commande recherche la clé avec une étiquette qui correspond à l'exemple d'ARN d'une clé KMS, par exemple .,
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
. L'exemple de sortie montre que la clé avec le descripteur de clé262162
possède l'ARN de la clé KMS spécifié dans son étiquette. Vous pouvez désormais utiliser ce descripteur de clé d'autres commandes key_mgmt_util.Command:
findKey -l
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1 number of keys matched from start index 0::1 262162 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
-
Déconnectez-vous de key_mgmt_util et reconnectez le magasin de clés personnalisé comme expliqué dans Comment se déconnecter et se reconnecter.