翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
KMS キーとキーマテリアルを検索する
AWS CloudHSM キーストアを管理するときに、各 AWS CloudHSM キーストア内の KMS キーの識別が必要になる場合があります。例えば、次のタスクの一部を実行する必要がある場合があります。
-
AWS CloudTrail ログで、AWS CloudHSM キーストアの KMS キーを追跡します。
-
AWS CloudHSM キーストアの切断による KMS キーへの影響を予想します。
-
AWS CloudHSM キーストアを削除する前に、KMS キーの削除をスケジュールします。
また、KMS キーのキーマテリアルとして機能する AWS CloudHSM クラスター内のキーを特定してください。AWS KMS は KMS キーとキーマテリアルを管理しますが、AWS CloudHSM クラスター、HSM とバックアップ、HSM のキーの制御と管理に関する責任は引き続きユーザーが保持します。キーマテリアルを監査したり、誤って削除されないようにしたり、KMS キーの削除後に HSM やクラスターバックアップから削除したりするために、キーを識別する必要がある場合があります。
AWS CloudHSM キーストア内にある KMS キーの、すべてのキーマテリアルは、kmsuser Crypto User (CU) が所有します。AWS KMS は、KMS キーの Amazon リソースネーム (ARN) に対して、AWS CloudHSM のみで閲覧できるキーラベルの属性を設定します。
KMS キーとキーマテリアルを検索するには、次のいずれかの方法を使用します。
-
AWS CloudHSM キーストアで KMS キーを検索する — 1 つまたは全部の AWS CloudHSM キーストアの KMS キーを識別する方法。
-
AWS CloudHSM キーストアのすべてのキーを検索する — AWS CloudHSM キーストアで KMS キーのキーマテリアルとして機能する、クラスター内すべてのキーを検索する方法。
-
KMS キーの AWS CloudHSM キーを検索する — AWS CloudHSM キーストアで特定の KMS キーのキーマテリアルとして機能する、クラスターのキーを検索する方法。
-
AWS CloudHSM キーの KMS キーを検索する — クラスターで特定のキーの KMS キーを検索する方法。
AWS CloudHSM キーストアで KMS キーを検索する
AWS CloudHSM キーストアを管理するときに、各 AWS CloudHSM キーストア内の KMS キーの識別が必要になる場合があります。この情報を使用すると、AWS CloudTrail ログで KMS キーオペレーションを追跡したり、カスタムキーストアの切断による KMS キーへの影響を予想したり、AWS CloudHSM キーストアを削除する前に KMS キーの削除をスケジュールしたりできます。
AWS CloudHSM キーストアで KMS キーを検索するには (コンソール)
特定の AWS CloudHSM キーストアで KMS キーを検索するには、[Customer Managed Keys] (カスタマーマネージドキー) ページで、[Custom Key Store Name] (カスタムキーストア名) フィールドまたは [Custom Key Store ID] (カスタムキーストア ID) フィールドの値を表示します。任意の AWS CloudHSM キーストアで KMS キーを識別するには、AWS CloudHSM の [Origin] (オリジン) 値で KMS キーを特定します。オプションの列をディスプレイに追加するには、ページの右上隅にある歯車アイコンを選択します。
AWS CloudHSM キーストアで KMS キーを検索するには (API)
キーストアで KMS AWS CloudHSMキーを検索するには、 ListKeys および DescribeKeyオペレーションを使用し、CustomKeyStoreId
値でフィルタリングします。例を実行する前に、架空のカスタムキーストア ID の値を有効な値に置き換えます。
AWS CloudHSM キーストアのすべてのキーを検索する
AWS CloudHSM クラスターで AWS CloudHSM キーストアのキーマテリアルとして機能するキーを、識別することができます。そのためには、cloudhsm_mgmt_util の findAllKeys コマンドを使用して、 がkmsuser
所有または共有するすべてのキーのキーハンドルを見つけます。kmsuser
としてログインせず、また AWS KMS の外部でキーを作成していなければ、kmsuser
が所有するすべてのキーは KMS キーのキーマテリアルを表します。
クラスター内のすべての Crypto Officer は、AWS CloudHSM キーストアを切断することなくこのコマンドを実行できます。
-
cloudhsm_mgmt_util を、「Getting started with CloudHSM Management Utility (CMU)」(CloudHSM 管理ユーティリティ (CMU) の使用方法) のトピックに記載された手順に従って起動します。
-
Crypto Officer (CO) アカウントを使用してcloudhsm_mgmt_util にログインします。
-
listUsers コマンドを使用して、
kmsuser
暗号ユーザのユーザ ID を検索します。この例では、
kmsuser
にユーザー ID 3 があります。aws-cloudhsm>
listUsers
Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO
-
findAllKeys コマンドを使用して、 が
kmsuser
所有または共有するすべてのキーのキーハンドルを検索します。例にあるユーザー ID (3) を、クラスター内のkmsuser
の、実際のユーザー ID に置き換えます。出力例では、クラスター内の両方の HSM で、
kmsuser
が、キーハンドルが 8、9、および 262162 のキーを所有していることを示しています。aws-cloudhsm> findAllKeys 3 0 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 1(10.0.0.2)
AWS CloudHSM キーの KMS キーを検索する
kmsuser
がクラスター内で所有するキーのキーハンドルがわかっている場合は、キーラベルを使用すれば、AWS CloudHSM キーストアにある、関連付けられた KMS キーを識別できます。
AWS KMS が KMS キーのキーマテリアルを AWS CloudHSM クラスターで作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、key_mgmt_util または cloudhsm_mgmt_util の getAttribute コマンドを使用して、キーを KMS キーに関連付けることができます。
この手順を実行するときは、kmsuser
CU としてログインできるよう AWS CloudHSM キーストアを一時的に切断する必要があります。
注記
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
-
AWS CloudHSM キーストアがまだ切断されていなければ切断し、切断してログインする方法 の説明に従って
kmsuser
として key_mgmt_util にログインします。 -
key_mgmt_util または cloudhsm_mgmt_util で
getAttribute
コマンドを使用して、特定のキーハンドルのためのラベル属性 (OBJ_ATTR_LABEL
、属性3
) を取得します。例えば、このコマンドは、cloudhsm_mgmt_util で
getAttribute
を使用して、キーハンドルが3
のキーのラベルの属性 (属性262162
) を取得します。出力は、キー262162
が ARNarn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
を使用して、KMS キーのキーマテリアルとして機能することを示します。このコマンドを実行する前に、キーハンドル例を有効なキーハンドルに置き換えます。キー属性のリストについては、listAttributes コマンドを使用するか、AWS CloudHSMユーザーガイドのキー属性リファレンスを参照してください。
aws-cloudhsm>
getAttribute
262162
3Attribute Value on server 0(10.0.1.10): OBJ_ATTR_LABEL arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
-
key_mgmt_util または cloudhsm_mgmt_util からログアウトし、「ログアウトして再接続する方法」の説明に従って AWS CloudHSM キーストアを再接続します。
KMS キーの AWS CloudHSM キーを検索する
AWS CloudHSM キーストア内で KMS キーの KMS キー ID を使用すれば、キーマテリアルとして機能する AWS CloudHSM クラスターでキーを識別できます。その後、そのキーハンドルを使用して、AWS CloudHSM クライアントコマンドでキーを識別できます。
AWS KMS が KMS キーのキーマテリアルを AWS CloudHSM クラスターで作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、key_mgmt_util の findKey コマンドを使用して、KMS キーのキーマテリアルのキーハンドルを取得できます。この手順を実行するときは、kmsuser
CU としてログインできるよう AWS CloudHSM キーストアを一時的に切断する必要があります。
注記
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
-
AWS CloudHSM キーストアがまだ切断されていなければ切断し、切断してログインする方法 の説明に従って
kmsuser
として key_mgmt_util にログイン します。 -
key_mgmt_util の findKey コマンドを使用して、AWS CloudHSM キーストア内で KMS キーの ARN に一致するラベルを持つキーを検索します。
-l
(「ラベル」の L は小文字) パラメータ値のサンプル KMS キー ARN を、有効な KMS キー ARN と置き換えます。例えば、このコマンドでは、サンプル KMS キー ARN、
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
と一致するラベルを持つキーを検索します。出力例は、キーハンドル262162
のキーが、そのラベルに指定された KMS キー ARN を持つことを示しています。他の key_mgmt_util コマンドで、このキーハンドルを使用できるようになりました。Command:
findKey -l
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1 number of keys matched from start index 0::1 262162 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
-
key_mgmt_util からログアウトし、の説明に従ってカスタムキーストアを再接続 ログアウトして再接続する方法します。