찾기 CMKs 주요 재료 - AWS Key Management Service

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

찾기 CMKs 주요 재료

사용자 지정 키 저장소를 관리하는 경우 CMKs 각 사용자 지정 키 스토어에서. 예를 들어, 다음 작업 중 일부를 수행해야 할 수 있습니다.

  • 추적 CMKs 의 사용자 지정 키 스토어에서 AWS CloudTrail 로그.

  • 미치는 영향 예측 CMKs 사용자 정의 키 저장소를 분리합니다.

  • 일정 삭제 CMKs 사용자 지정 키 저장소를 삭제하기 전에.

또한 여러분은 AWS CloudHSM 중요한 역할을 하는 CMKs. 비록 AWS KMS 관리를 CMKs 주요 자료를 통해 여러분은 AWS CloudHSM 클러스터, 그 hsm 및 백업과 hsm의 키. 키 자료를 감사하거나 실수로 삭제로부터 보호하거나 삭제한 후 hsmms와 클러스터 백업에서 삭제하기 위해 키를 식별해야 할 수 있습니다. CMK.

모든 주요 재료 CMKs 사용자 지정 키 스토어에 있는 kmsuser crypto 사용자 (CU). AWS KMS 에서는 AWS CloudHSM의 아마존 자원 이름(ARN)에 CMK.

검색하려면 CMKs 및 키 재료를 사용하여 다음 기법을 사용합니다.

찾기 CMKs 사용자 지정 키 스토어에서

사용자 지정 키 저장소를 관리하는 경우 CMKs 각 사용자 지정 키 스토어에서. 이 정보를 사용하여 CMK 작업 AWS CloudTrail 로그, 미치는 영향 예측 CMKs 사용자 정의 키 저장소를 분리하거나 CMKs 사용자 지정 키 저장소를 삭제하기 전에.

을(를) 찾으려면 CMKs 사용자 지정 키 저장소(콘솔)

을(를) 찾으려면 CMKs 특정 사용자 지정 키 스토어에서 고객 관리 키 페이지, 사용자 지정 키 저장소 이름 또는 사용자 지정 키 매장 ID 필드. 식별하려면 CMKs 모든 사용자 지정 키 스토어에서 CMKs with an 원산지cloudhsm. 화면에 열 옵션을 추가하려면 페이지의 오른쪽 상단 모서리에서 기어 아이콘을 선택합니다.

을(를) 찾으려면 CMKs API(Custom Key Store)에서

을(를) 찾으려면 CMKs 사용자정의 키 스토어에서 listkey and 설명 작업을 수행한 후 CustomKeyStoreId 값. 예제를 실행하기 앞서 가상의 사용자 지정 키 스토어 ID를 유효한 값으로 대체합니다.

Bash

검색하려면 CMKs 특정 사용자 지정 키 스토어에서 CMKs &t=<B>계정&t=; 및 &t=<B 그런 다음, 사용자 지정 키 스토어의 ID를 필터링합니다.

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; do aws kms describe-key --key-id $key | grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done

받기 위해 CMKs 고객 및 지역의 사용자 지정 키 스토어에서 검색 CustomKeyStoreId 값이 cks-.

for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; do aws kms describe-key --key-id $key | grep '"CustomKeyStoreId": "cks-"' --context 100; done
PowerShell

검색하려면 CMKs 특정 사용자 지정 키 스토어에서 kmskeylist 가져오기 Get-kmskey cmdlet에서 CMKs &t=<B>계정&t=; 및 &t=<B 그런 다음, 사용자 지정 키 스토어의 ID를 필터링합니다.

PS C:\> (Get-KMSKeyList).KeyArn | foreach {Get-KMSKey -KeyId $_} | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'

받기 위해 CMKs 사용자 지정 키 스토어에 있는 모든 사용자 지정 키 스토어에서 -like 비교 연산자. 모든 사용자 지정 키 스토어 식별자는 cks-로 시작합니다.

PS C:\> (Get-KMSKeyList).KeyArn | foreach {Get-KMSKey -KeyId $_} | where CustomKeyStoreId -like 'cks*'

사용자 지정 키 스토어에서 모든 키 찾기

사용자 지정 키 스토어에서 키 구성 요소 역할을 하는 AWS CloudHSM 클러스터의 키를 식별할 수 있습니다. 이를 위해 cloudhsm_mgmt_util의 findAllKeys 명령을 사용하여 kmsuser가 소유 또는 공유하는 모든 키의 키 핸들을 찾습니다. 로그인하지 않은 경우 kmsuser 이외의 키를 AWS KMS, 모든 키는 kmsuser 소유권은 AWS KMS CMKs.

클러스터의 CO(Crypto Officer)는 사용자 지정 키 스토어의 연결을 해제하지 않고도 이 명령을 실행할 수 있습니다.

  1. cloudhsm_mgmt_util 실행 준비 주제에 설명된 절차를 사용하여 cloudhsm_mgmt_util을 시작합니다.

  2. CO(Crypto Officer) 계정을 사용해 cloudhsm_mgmt_util에 로그인합니다.

  3. listUsers 명령을 사용해 kmsuser CU(Crypto User)의 사용자 ID를 찾습니다.

    이 예제에서 kmsuser의 사용자 ID는 3입니다.

    aws-cloudhsm> listUsers Users on server 0(10.0.0.1): Number of users found:3 User Id User Type User Name MofnPubKey LoginFailureCnt 2FA 1 PCO admin NO 0 NO 2 AU app_user NO 0 NO 3 CU kmsuser NO 0 NO
  4. findAllKeys 명령을 사용해 kmsuser가 소유 또는 공유하는 모든 키의 키 핸들을 찾습니다. 예제 사용자 ID를 클러스터에 있는 kmsuser의 실제 사용자 ID로 바꿉니다.

    예제 출력은 클러스터의 두 HSM 모두에서 kmsuser가 키 핸들이 8, 9 및 262162인 키를 소유하고 있음을 보여줍니다.

    aws-cloudhsm> findAllKeys 3 0 Keys on server 0(10.0.0.1): Number of keys found 3 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 0(10.0.0.1) Keys on server 1(10.0.0.2): Number of keys found 6 number of keys matched from start index 0::6 8,9,262162 findAllKeys success on server 1(10.0.0.2)

찾기 CMK 핵심적인

핵심 핸들을 알고 있는 경우 kmsuser 클러스터에서 소유하는 경우, CMK 사용자 지정 키 스토어에서.

언제 AWS KMS 주요 재질을 CMK 여러분의 AWS CloudHSM 클러스터를 사용하여 CMK 키 라벨 에서. 라벨 값을 변경하지 않은 경우 getattribute key_mgmt_util 또는 cloudhsm_mgmt_util 명령을 사용하여 키를 CMK.

이 절차를 실행하려면 kmsuser CU로 로그인할 수 있도록 사용자 지정 키 스토어를 임시로 연결 해제해야 합니다.

참고

사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성하거나, 암호화 작업을 위해 기존 CMK를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.

  1. 이미 연결이 해제되지 않은 경우에는 사용자 지정 키 스토어의 연결을 해제한 다음, kmsuser로 key_mgmt_util에 로그인합니다(연결 해제 및 로그인 방법 설명 참조).

  2. key_mgmt_util 또는 cloudhsm_mgmt_util에서 getAttribute 명령을 사용해 특정 키 핸들의 라벨 속성(OBJ_ATTR_LABEL, 속성 3)을 확인합니다.

    예를 들어, 이 명령은 getAttribute cloudhsm_mgmt_util에서 레이블 애트리뷰트를 가져옵니다(애트리뷰트) 3키 핸들 포함 키 262162. 출력에 키 표시 262162 이 기능은 CMK ARN 포함 arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. 이 명령을 실행하기 전에 예제 키 핸들을 유효한 1로 교체합니다.

    주요 속성 목록을 보려면 리제트리트 명령 또는 주요 특성 참조 in the AWS CloudHSM User Guide.

    aws-cloudhsm> getAttribute 262162 3 Attribute Value on server 0(10.0.1.10): OBJ_ATTR_LABEL arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Attribute Value on server 1(10.0.1.12): OBJ_ATTR_EXTRACTABLE arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
  3. key_mgmt_util 또는 cloudhsm_mgmt_util을 로그아웃하고 사용자 지정 키 스토어의 연결을 해제합니다(로그아웃 및 재연결 방법 참조).

의 키 찾기 CMK

귀하는 CMK ID CMK 사용자 정의 키 스토어에서 핵심 재료 역할을 하는 클러스터의 키를 식별합니다. 그런 다음, 키 핸들을 사용해 AWS CloudHSM 클라이언트 명령에서 키를 식별할 수 있습니다.

언제 AWS KMS 주요 재질을 CMK 여러분의 AWS CloudHSM 클러스터를 사용하여 CMK 키 라벨 에서. 라벨 값을 변경하지 않은 경우 핀키 key_mgmt_util 명령을 사용하여 키 재질의 키 핸들을 CMK. 이 절차를 실행하려면 kmsuser CU로 로그인할 수 있도록 사용자 지정 키 스토어를 임시로 연결 해제해야 합니다.

참고

사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 고객 마스터 키(CMK)를 생성하거나, 암호화 작업을 위해 기존 CMK를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.

  1. 이미 연결이 해제되지 않은 경우에는 사용자 지정 키 스토어의 연결을 해제한 다음, kmsuser로 key_mgmt_util에 로그인합니다(연결 해제 및 로그인 방법 설명 참조).

  2. 사용 핀키 key_mgmt_util에서 명령을 검색하여 CMK 사용자 지정 키 스토어에서. 예 대체 CMK ARN의 가치 -l 유효한 ('라벨') 매개 변수에 유효한 CMK ARN.

    예를 들어, 이 명령은 예를 일치하는 레이블의 키를 찾습니다. CMK ARN, arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. 예제 출력에 키 핸들이 있는 키가 표시됩니다. 262162 님이 CMK ARN의 라벨. 이제 다른 key_mgmt_util 명령에서 이 키 핸들을 사용할 수 있습니다.

    Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Total number of keys present 1 number of keys matched from start index 0::1 262162 Cluster Error Status Node id 1 and err state 0x00000000 : HSM Return: SUCCESS Node id 0 and err state 0x00000000 : HSM Return: SUCCESS Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
  3. key_mgmt_util에서 로그아웃하고 사용자 지정 키 스토어를 다시 연결합니다(로그아웃 및 재연결 방법 설명 참조).