Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Temukan kunci KMS untuk kunci AWS CloudHSM

PDF
RSS
Mode fokus
Temukan kunci KMS untuk kunci AWS CloudHSM - AWS Key Management Service
Identifikasi kunci KMS yang terkait dengan referensi kunciIdentifikasi kunci KMS yang terkait dengan ID kunci dukungan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jika Anda mengetahui referensi kunci atau ID kunci yang kmsuser dimiliki di cluster, Anda dapat menggunakan nilai tersebut untuk mengidentifikasi kunci KMS terkait di penyimpanan AWS CloudHSM kunci Anda.

Saat AWS KMS membuat materi kunci untuk kunci KMS di AWS CloudHSM cluster Anda, ia menulis Amazon Resource Name (ARN) dari kunci KMS di label kunci. Kecuali Anda telah mengubah nilai label, Anda dapat menggunakan perintah daftar kunci di CloudHSM CLI untuk mengidentifikasi kunci KMS yang terkait dengan kunci. AWS CloudHSM

Catatan

Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, CloudHSM CLI. CloudHSM CLI key-handle menggantikan dengan. key-reference

Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM CLI di Panduan Pengguna.AWS CloudHSM

Untuk menjalankan prosedur ini, Anda perlu memutuskan sambungan penyimpanan AWS CloudHSM kunci sementara sehingga Anda dapat masuk sebagai kmsuser CU.

catatan

Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Identifikasi kunci KMS yang terkait dengan referensi kunci

Prosedur berikut menunjukkan cara menggunakan perintah daftar kunci di CloudHSM CLI key-reference dengan filter atribut untuk menemukan kunci di cluster Anda yang berfungsi sebagai bahan kunci untuk kunci KMS tertentu di toko kunci Anda. AWS CloudHSM

  1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu masuk seperti kmsuser yang dijelaskan. Cara memutuskan koneksi dan login

  2. Gunakan perintah daftar kunci di CloudHSM CLI untuk memfilter berdasarkan atribut. key-reference Tentukan verbose argumen untuk menyertakan semua atribut dan informasi kunci untuk kunci yang cocok. Jika Anda tidak menentukan verbose argumen, operasi daftar kunci hanya mengembalikan atribut kunci-referensi dan label kunci yang cocok.

    Sebelum menjalankan perintah ini, ganti contoh key-reference dengan yang valid dari akun Anda.

    aws-cloudhsm > key list --filter attr.key-reference="0x0000000000120034" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0xbacking-key-id",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan diCara logout dan menghubungkan kembali.

Identifikasi kunci KMS yang terkait dengan ID kunci dukungan

Semua entri CloudTrail log untuk operasi kriptografi dengan kunci KMS di toko AWS CloudHSM kunci menyertakan additionalEventData bidang dengan dan. customKeyStoreId backingKeyId Nilai yang dikembalikan di backingKeyId bidang berkorelasi dengan atribut kunci CloudHSM. id Anda dapat memfilter operasi daftar kunci dengan id atribut untuk mengidentifikasi kunci KMS yang terkait dengan spesifikbackingKeyId.

  1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu masuk seperti kmsuser yang dijelaskan. Cara memutuskan koneksi dan login

  2. Gunakan perintah daftar kunci di CloudHSM CLI dengan filter atribut untuk menemukan kunci di cluster Anda yang berfungsi sebagai bahan kunci untuk kunci KMS tertentu di toko kunci Anda. AWS CloudHSM

    Contoh berikut menunjukkan bagaimana untuk memfilter oleh id atribut. AWS CloudHSM mengenali id nilai sebagai nilai heksadesimal. Untuk memfilter operasi daftar kunci berdasarkan id atribut, Anda harus terlebih dahulu mengonversi backingKeyId nilai yang Anda identifikasi dalam entri CloudTrail log Anda ke dalam format yang AWS CloudHSM mengenali.

    1. Gunakan perintah Linux berikut untuk mengubah backingKeyId menjadi representasi heksadesimal.

      echo backingKeyId | tr -d '\n' |  xxd -p

      Contoh berikut menunjukkan bagaimana mengkonversi array backingKeyId byte menjadi representasi heksadesimal.

      echo 5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d | tr -d '\n' |  xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    2. Tambahkan representasi heksadesimal dari with. backingKeyId 0x

      0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964

    3. Gunakan backingKeyId nilai yang dikonversi untuk memfilter berdasarkan id atribut. Tentukan verbose argumen untuk menyertakan semua atribut dan informasi kunci untuk kunci yang cocok. Jika Anda tidak menentukan verbose argumen, operasi daftar kunci hanya mengembalikan atribut kunci-referensi dan label kunci yang cocok.

      aws-cloudhsm > key list --filter attr.id="0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964" --verbose
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000120034",
        "key-info": {
          "key-owners": [
            {
              "username": "kmsuser",
              "key-coverage": "full"
            }
          ],
          "shared-users": [],
          "cluster-coverage": "full"
        },
        "attributes": {
          "key-type": "aes",
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
          "id": "0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964",
          "check-value": "0x29bbd1",
          "class": "my_test_key",
          "encrypt": true,
          "decrypt": true,
          "token": true,
          "always-sensitive": true,
          "derive": false,
          "destroyable": true,
          "extractable": false,
          "local": true,
          "modifiable": true,
          "never-extractable": false,
          "private": true,
          "sensitive": true,
          "sign": false,
          "trusted": false,
          "unwrap": true,
          "verify": false,
          "wrap": true,
          "wrap-with-trusted": false,
          "key-length-bytes": 32
        }
      }
    ],
    "total_key_count": 1,
    "returned_key_count": 1
  }
}

  3. Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan diCara logout dan menghubungkan kembali.

Di halaman ini

PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.