Localizar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM Localizar todas as chaves de um armazenamento de chaves do AWS CloudHSM Localizar a chave do KMS para uma chave do AWS CloudHSM Localizar a chave do AWS CloudHSM para uma chave do KMS

Encontrar chaves do KMS e materiais de chave

Se você gerencia um armazenamento de chaves do AWS CloudHSM, pode ser necessário identificar as chaves do KMS em cada armazenamento de chaves do AWS CloudHSM. Por exemplo, pode ser necessário executar uma das seguintes tarefas.

Acompanhe as chaves do KMS no armazenamento de chaves do AWS CloudHSM em logs do AWS CloudTrail.
Preveja o efeito nas chaves do KMS de desconectar um armazenamento de chaves do AWS CloudHSM.
Agende a exclusão de chaves do KMS antes de excluir um armazenamento de chaves do AWS CloudHSM.

Além disso, é recomendável identificar as chaves no cluster do AWS CloudHSM que funcionam como material de chave para as suas chaves do KMS. Embora o AWS KMS gerencie as chaves do KMS e seu material de chave, você ainda mantém o controle e a responsabilidade pelo gerenciamento do cluster do AWS CloudHSM, bem como dos seus HSMs e backups e as chaves nos HSMs. Talvez você precise identificar as chaves para auditar o material de chave, protegê-lo contra exclusão acidental ou excluí-lo de HSMs e backups de cluster após a exclusão da chave do KMS.

Todo o material de chave para as suas chaves do KMS no armazenamento de chaves do AWS CloudHSM pertence ao usuário de criptografia kmsuser. O AWS KMS define o atributo do rótulo de chave, que pode ser visualizado apenas no AWS CloudHSM, ao nome do recurso da Amazon (ARN) das chaves do KMS.

Para encontrar as chaves do KMS e o material de chave, use uma das técnicas a seguir.

Localizar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM: como identificar as chaves do KMS em um ou todos os seus armazenamentos de chaves do AWS CloudHSM.
Localizar todas as chaves de um armazenamento de chaves do AWS CloudHSM: como encontrar todas as chaves no cluster que funcionam como material de chave para as chaves do KMS no armazenamento de chaves do AWS CloudHSM.
Localizar a chave do AWS CloudHSM para uma chave do KMS: como encontrar a chave em seu cluster que funciona como material de chave para uma chave do KMS específica no armazenamento de chaves do AWS CloudHSM.
Localizar a chave do KMS para uma chave do AWS CloudHSM: como encontrar a chave do KMS para uma determinada chave no seu cluster.

Localizar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM

Se você gerencia um armazenamento de chaves do AWS CloudHSM, pode ser necessário identificar as chaves do KMS em cada armazenamento de chaves do AWS CloudHSM. Você pode usar essas informações para rastrear as operações de chaves do KMS em logs do AWS CloudTrail, prever o efeito nas chaves do KMS ao desconectar um armazenamento de chaves personalizado ou agendar a exclusão de chaves do KMS antes de excluir um armazenamento de chaves do AWS CloudHSM.

Como encontrar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM (console)

Para encontrar as chaves do KMS em um determinado armazenamento de chaves do AWS CloudHSM, na página Customer Managed Keys (Chaves gerenciadas pelo cliente), visualize os valores nos campos Custom Key Store Name (Nome do armazenamento de chaves personalizado) ou Custom Key Store ID (ID do armazenamento de chaves personalizado). Para identificar chaves do KMS em qualquer armazenamento de chaves do AWS CloudHSM, procure chaves do KMS com um valor de Origin (Origem) do AWS CloudHSM. Para adicionar colunas opcionais à exibição, selecione o ícone de engrenagem no canto superior direito da página.

Para encontrar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM (API)

Para encontrar as chaves KMS em um armazenamento de AWS CloudHSM chaves, use as DescribeKeyoperações ListKeyse e depois filtre por CustomKeyStoreId valor. Antes de executar os exemplos, substitua os valores de ID fictícios do armazenamento de chaves personalizado por um valor válido.

Localizar todas as chaves de um armazenamento de chaves do AWS CloudHSM

Você pode identificar as chaves no cluster do AWS CloudHSM que funcionam como material de chaves para o armazenamento de chaves do AWS CloudHSM. Para fazer isso, use o findAllKeyscomando em cloudhsm_mgmt_util para encontrar os identificadores de chave de todas as chaves que possuem ou compartilham. kmsuser A menos que você tenha se conectado como kmsuser e criado chaves fora do AWS KMS, todas as chaves que o kmsuser possui representam materiais de chave para chaves do KMS.

Qualquer responsável pela criptografia no cluster pode executar esse comando sem desconectar o armazenamento de chaves do AWS CloudHSM.

Inicie cloudhsm_mgmt_util usando o procedimento descrito no tópico Getting started with CloudHSM Management Utility (CMU) (Conceitos básicos do CloudHSM Management Utility [CMU]).
Faça login no cloudhsm_mgmt_util usando a conta de um responsável pela criptografia (CO).

Use o comando listUsers para encontrar o ID de usuário do usuário de criptografia kmsuser.

Neste exemplo, o kmsuser possui ID de usuário 3.


aws-cloudhsm> listUsers
Users on server 0(10.0.0.1):
Number of users found:3

    User Id             User Type       User Name            MofnPubKey    LoginFailureCnt         2FA
         1              PCO             admin                      NO               0               NO
         2              AU              app_user                   NO               0               NO
         3              CU              kmsuser                    NO               0               NO

Use o findAllKeyscomando para encontrar os identificadores de teclas de todas as chaves que kmsuser possuem ou compartilham. Substitua o ID de usuário de exemplo (3) pelo o ID de usuário real do kmsuser no cluster.

A saída de exemplo mostra que o kmsuser possui chaves com identificadores de chave 8, 9 e 262162 em ambos os HSMs no cluster.
```
aws-cloudhsm> findAllKeys 3 0
Keys on server 0(10.0.0.1):
Number of keys found 3
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 0(10.0.0.1)

Keys on server 1(10.0.0.2):
Number of keys found 6
number of keys matched from start index 0::6
8,9,262162
findAllKeys success on server 1(10.0.0.2)
```

Localizar a chave do KMS para uma chave do AWS CloudHSM

Se você conhece o identificador de uma chave que o kmsuser possui no cluster, pode usar o rótulo da chaves para identificar a chave do KMS associada no armazenamento de chaves do AWS CloudHSM.

Para executar esse procedimento, você precisa desconectar temporariamente o armazenamento de chaves do AWS CloudHSM para poder fazer login como usuário de criptografia kmsuser.

nota

Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Desconecte o armazenamento de chaves do AWS CloudHSM, caso ainda não tenha sido desconectado, e faça login no key_mgmt_util como kmsuser, conforme explicado em Como desconectar e fazer login.
Use o comando getAttribute em key_mgmt_util ou cloudhsm_mgmt_util para obter o atributo do rótulo (OBJ_ATTR_LABEL, atributo 3) para um determinado identificador de chave.

Por exemplo, esse comando usa getAttribute em cloudhsm_mgmt_util para obter o atributo do rótulo (atributo 3) da chave com o identificador de chave 262162. A saída mostra que a chave 262162 serve como material de chave para a chave do KMS com o ARN arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. Antes de executar um comando como esse, substitua o identificador de chave de exemplo por um válido.

Para obter uma lista de atributos de chave, use o comando listAttributes ou consulte a Referência de atributos de chave no Manual do usuário do AWS CloudHSM.
```
aws-cloudhsm> getAttribute 262162 3

Attribute Value on server 0(10.0.1.10):
OBJ_ATTR_LABEL
arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
```
Encerre a sessão do key_mgmt_util ou cloudhsm_mgmt_util e reconecte o armazenamento de chaves do AWS CloudHSM, conforme descrito em Como fazer logout e se conectar novamente.

Localizar a chave do AWS CloudHSM para uma chave do KMS

Você pode usar o ID de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM para identificar a chave no cluster do AWS CloudHSM que serve como material de chave. Você pode usar o identificador de chave para identificar a chave em comandos do cliente AWS CloudHSM.

Quando o AWS KMS cria o material de chave para uma chave do KMS no seu cluster do AWS CloudHSM, ele grava o Amazon Resource Name (ARN) dessa chave do KMS no rótulo de chave. A menos que você tenha alterado o valor do rótulo, pode usar o comando findKey em key_mgmt_util para obter o identificador de chaves do material de chave da chave do KMS. Para executar esse procedimento, você precisa desconectar temporariamente o armazenamento de chaves do AWS CloudHSM para poder fazer login como usuário de criptografia kmsuser.

nota

Desconecte o armazenamento de chaves do AWS CloudHSM, caso ainda não tenha sido desconectado e faça login no key_mgmt_util como kmsuser, conforme explicado em Como desconectar e fazer login.
Use o comando findKey em key_mgmt_util para procurar uma chave com um rótulo que corresponda ao ARN de uma chave do KMS no armazenamento de chaves do AWS CloudHSM. Substitua o exemplo de ARN da chave do KMS no valor do parâmetro -l (L minúsculo de "label") por um ARN de chave do KMS válido.

Por exemplo, esse comando encontra a chave com um rótulo que corresponde ao exemplo de ARN de chave do KMS, arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab. O exemplo de saída mostra que a chave com identificador 262162 tem o ARN de chave do KMS especificado em seu rótulo. Agora você pode usar esse identificador de chave em outros comandos key_mgmt_util.
```
Command: findKey -l arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab
Total number of keys present 1

 number of keys matched from start index 0::1
262162

        Cluster Error Status
        Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
        Node id 0 and err state 0x00000000 : HSM Return: SUCCESS

        Cfm3FindKey returned: 0x00 : HSM Return: SUCCESS
```
Encerre a sessão do key_mgmt_util e reconecte o armazenamento de chaves personalizado, conforme descrito em Como fazer logout e se conectar novamente.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar chaves do KMS em um armazenamento de chaves do AWS CloudHSM

Agendar a exclusão de chaves do KMS de um armazenamento de chaves do AWS CloudHSM