CMK と キーマテリアルの検索 - AWS Key Management Service

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CMK と キーマテリアルの検索

カスタムキーストアを管理する場合は、各カスタムキーストア内の CMK を識別することが必要になる場合があります。たとえば、次のタスクの一部を実行する必要がある場合があります。

  • AWS CloudTrail ログで、カスタムキーストアの CMK を追跡します。

  • カスタムキーストアの切断の CMK への影響を予想します。

  • カスタムキーストアを削除する前に、CMK の削除をスケジュールします。

また、CMK のキーマテリアルとして機能する AWS CloudHSM クラスター内のキーを特定してください。AWS KMS は CMK とそのキーマテリアルを管理しますが、AWS CloudHSM クラスター、その HSM とバックアップ、HSM のキーの制御と管理に対する責任は引き続きユーザーが保持します。キーマテリアルを監査したり、誤って削除されないようにしたり、CMK を削除した後で HSM やクラスターバックアップから削除したりするために、キーを識別する必要がある場合があります。

カスタムキーストア内の CMK のすべてのキーマテリアルは、kmsuser暗号化ユーザー (CU) が所有します。AWS KMS は、CMK の Amazon リソースネーム (ARN) に対して、AWS CloudHSM でのみ表示されるキーラベルの属性を設定します。

CMK とキーマテリアルを検索するには、次のいずれかの方法を使用します。

カスタムキーストアで CMK を検索する

カスタムキーストアを管理する場合は、各カスタムキーストア内の CMK を識別することが必要になる場合があります。この情報を使用して、AWS CloudTrail ログで CMK オペレーションを追跡したり、カスタムキーストアの切断の CMK への影響を予想したり、カスタムキーストアを削除する前に CMK の削除をスケジュールしたりすることができます。

カスタムキーストアで CMK を検索するには (コンソール)

特定のカスタムキーストアで CMK を検索するには、[Customer Managed Keys (カスタマー管理型のキー)] ページで、[Custom Key Store Name (カスタムキーストア名)] フィールドまたは [Custom Key Store ID (カスタムキーストア ID)] フィールドの値を参照します。カスタムキーストアの CMK を識別するには、Origin (オリジン)CloudHSM。オプションの列をディスプレイに追加するには、ページの右上隅にある歯車アイコンを選択します。

カスタムキーストアで CMK を検索するには (API)

カスタムキーストアの CMK を検索するには、 ListKey s 操作と DescribeKey 操作を使用し、 CustomKeyStoreId 値をフィルタリングします。例を実行する前に、架空のカスタムキーストア ID の値を有効な値に置き換えます。

Bash

特定のカスタムキーストアで CMK を検索するには、アカウントとリージョンのすべての CMK を取得します。次に、カスタムキーストアの ID をフィルタリングします。

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; do aws kms describe-key --key-id $key | grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done

アカウントおよびリージョン内のカスタムキーストアで CMK を取得するには、cks- で始まる CustomKeyStoreId 値を検索します。

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; do aws kms describe-key --key-id $key | grep '"CustomKeyStoreId": "cks-"' --context 100; done
PowerShell

特定のカスタムキーストアの CMK を検索するには、 Get-KMSKeyList Get-KMSkey コマンドレットを使用して、アカウントとリージョンにあるすべての CMK を取得します。次に、カスタムキーストアの ID をフィルタリングします。

PS C:\> (Get-KMSKeyList).KeyArn | foreach {Get-KMSKey -KeyId $_} | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'

アカウントとリージョン内のいずれかのカスタムキーストアで CMK を取得するには、-like 比較演算子を使用します。すべてのカスタムキーストア識別子は、cks- で始まります。

PS C:\> (Get-KMSKeyList).KeyArn | foreach {Get-KMSKey -KeyId $_} | where CustomKeyStoreId -like 'cks*'

カスタムキーストアのすべてのキーを検索する

カスタムキーストアのキーマテリアルとして機能する AWS CloudHSM クラスターで、キーを識別できます。これを行うには、cloudhsm_mgmt_util の FindAlKey s コマンドを使用して、 kmsuser 所有または共有するすべてのキーのキーハンドルを検索します。kmsuser としてログインしておらず、AWS KMS の外部でキーを作成していない限り、kmsuser が所有するすべてのキーが AWS KMS CMK のキーマテリアルを表します。

クラスター内のすべての Crypto Officer は、カスタムキーストアを切断することなく、このコマンドを実行できます。

  1. cloudhsm_mgmt_util を起動するには、「 cloudhsm_mgmt_util を実行するための準備 」トピックで説明されている手順を使用します。

  2. 暗号担当者 (CO) アカウントを使用してcloudhsm_mgmt_util にログインします。

  3. listUsers コマンドを使用して、 kmsuser 暗号ユーザのユーザ ID を検索します。

    この例では、kmsuser にユーザー ID 3 があります。

    aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO
  4. FindalKeys コマンドを使用して、 kmsuser 所有または共有するすべてのキーのキーハンドルを検索します。ユーザー ID 例をクラスター内の kmsuser の実際のユーザー ID に置き換えます。

    出力例では、クラスター内の両方の HSM で、kmsuser が、キーハンドルが 8、9、および 262162 のキーを所有していることを示しています。

    aws-cloudhsm> findAllKeys 3 0 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 1(10.0.0.2)

キーの CMK を検索する

kmsuser がクラスター内に所有しているキーのキーハンドルがわかっている場合は、キーレベルを使用して、カスタムキーストアで関連する CMK を識別できます。

AWS KMS が CMK のキーマテリアルを AWS CloudHSM クラスターに作成すると、キーラベルに CMK の Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、key_mgmt_util または cloudhsm_mgmt_util の g etAttribute コマンドを使用して、キーを CMK に関連付けることができます。

この手順を実行するには、カスタムキーストアを一時的に切断して、kmsuser CU としてログインできるようにする必要があります。

注記

カスタムキーストアが切断されているときは、カスタムキーストアでカスタマーマスターキー (CMK) を作成したり、既存の CMK を暗号化オペレーションに使用しようとすると、すべて失敗します。この操作により、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

  1. カスタムキーストアを切断していない場合は、切断します。の説明に従って kmsuser, 、key_mgmt_util にログイン 切断してログインする方法します。

  2. の使用getAttributeのコマンドkey_mgmt_utilまたはcloudhsm_mgmt_utilを使用してラベル属性(OBJ_ATTR_LABEL属性3)を特定のキーハンドルのために使用します。

    たとえば、このコマンドは、cloudhsm_mgmt_util で getAttribute を使用して、キーハンドルが 262162 のキーのラベルの属性 (属性3) を取得します。出力は、キーが ARN を持つ CMK のキーマテリアル 262162 として機能することを示しています arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。このコマンドを実行する前に、キーハンドル例を有効なキーハンドルに置き換えます。

    キー属性のリストについては、listAttributesコマンドを実行するか、キー属性リファレンス()AWS CloudHSMユーザーガイド

    aws-cloudhsm> getAttribute 262162 3 Attribute Value on server 0(10.0.1.10): OBJ_ATTR_LABEL arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
  3. key_mgmt_util または cloudhsm_mgmt_util からログアウトし、「」の説明に従ってカスタムキーストアを再接続 ログアウトして再接続する方法します。

CMK の キーを検索する

カスタムキーストア内の CMK の CMK ID を使用して、キーマテリアルとして機能するクラスターでキーを識別できます。その後、そのキーハンドルを使用して、AWS CloudHSM クライアントコマンドでキーを識別できます。

AWS KMS が CMK のキーマテリアルを AWS CloudHSM クラスターに作成すると、キーラベルに CMK の Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、key_mgmt_util の FindKe y コマンドを使用して、CMK のキーマテリアルのキーハンドルを取得できます。この手順を実行するには、カスタムキーストアを一時的に切断して、kmsuser CU としてログインできるようにする必要があります。

注記

カスタムキーストアが切断されているときは、カスタムキーストアでカスタマーマスターキー (CMK) を作成したり、既存の CMK を暗号化オペレーションに使用しようとすると、すべて失敗します。この操作により、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。

  1. カスタムキーストアを切断し、まだ切断されていない場合は、の説明に従って key_mgmt_util にログイン 切断してログインする方法します。 kmsuser,

  2. key_mgmt_util の FindKe y コマンドを使用して、カスタムキーストア内の CMK の ARN に一致するラベルを持つキーを検索します。-l (「label」の小文字の L) パラメータの値の CMK ARN 例を、有効な CMK ARN と置き換えます。

    たとえば、このコマンドは、CMK ARN の例に一致するラベルを持つキーを検索します arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab。出力例は、キーハンドルが 262162 のキーのラベルに、指定した CMK ARN があることを示しています。他の key_mgmt_util コマンドで、このキーハンドルを使用できるようになりました。

    Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Total number of keys present 1 number of keys matched from start index 0::1 262162 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
  3. key_mgmt_util からログアウトし、の説明に従ってカスタムキーストアを再接続 ログアウトして再接続する方法します。