Visualizar chaves do KMS em um armazenamento de chaves do AWS CloudHSM - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Visualizar chaves do KMS em um armazenamento de chaves do AWS CloudHSM

Para visualizar o AWS KMS keys em um armazenamento de chaves do AWS CloudHSM, use as mesmas técnicas que você usaria para visualizar qualquer chave gerenciada pelo cliente do AWS KMS. Para aprender os conceitos básicos, consulte Visualizar chaves. Para identificar as chaves no cluster do AWS CloudHSM que funcionam como material de chave para a sua chave do KMS, consulte Encontrar chaves do KMS e materiais de chave. Para obter informações sobre como visualizar os logs do AWS CloudTrail que registram todas as operações da API em um armazenamento de chaves personalizado, consulte Registrar em log chamadas de API do AWS KMS com o AWS CloudTrail.

No console do AWS KMS, as chaves do KMS do armazenamento de chaves personalizado são exibidas na página Customer managed keys (Chaves gerenciadas pelo cliente) juntamente com todas as outras chaves gerenciadas pelo cliente em sua Conta da AWS e região.

No entanto, os seguintes valores são específicos para chaves do KMS em um armazenamento de chaves do AWS CloudHSM.

  • O nome e o ID do armazenamento de chaves do AWS CloudHSM que armazena a chave do KMS.

  • O ID do cluster do AWS CloudHSM associado que contém seu material de chaves.

  • Um valor Origin de AWS CloudHSM no console do AWS KMS ou AWS_CLOUDHSM em respostas de API.

  • O valor do estado da chave pode estar Unavailable. Para obter ajuda para resolver o status, consulte Como corrigir chaves do KMS indisponíveis.

Para visualizar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM (console)

  1. Abra o console do AWS KMS em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, escolha Customer managed keys (Chaves gerenciadas pelo cliente).

  4. No canto superior direito, selecione o ícone de engrenagem, escolha Custom key store ID (ID de armazenamento de chaves personalizado) e Origin (Origem) e escolha Confirm (Confirmar).

  5. Para identificar chaves do KMS em qualquer armazenamento de chaves do AWS CloudHSM, procure chaves do KMS com um valor de Origin (Origem) do AWS CloudHSM. Para identificar chaves do KMS em um determinado armazenamento de chaves do AWS CloudHSM, visualize os valores na coluna Custom key store ID (ID de armazenamento de chaves personalizado).

  6. Escolha o alias ou ID de chave de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM.

    Essa página exibe informações detalhadas sobre a chave do KMS, incluindo seu Amazon Resource Name (ARN), sua política de chaves e suas etiquetas.

  7. Selecione a guia Cryptographic configuration (Configuração criptográfica). As guias estão abaixo da seção General configuration (Configuração geral).

    Essa seção inclui informações sobre o armazenamento de chaves do AWS CloudHSM e o cluster do AWS CloudHSM associado às chaves do KMS.

Para visualizar as chaves do KMS em um armazenamento de chaves personalizado (API)

Você usa as mesmas operações de AWS KMS API para visualizar as chaves KMS em um armazenamento de AWS CloudHSM chaves que você usaria para qualquer chave KMS, incluindo ListKeysDescribeKey, e. GetKeyPolicy Por exemplo, a seguinte operação describe-key na AWS CLI mostra os campos especiais de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM. Antes de executar um comando como esse, substitua o ID de exemplo por um valor válido.

$ aws kms describe-key --key-id 1234abcd-12ab-34cd-56ef-1234567890ab

{
   "KeyMetadata": { 
      "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
      "AWSAccountId": "111122223333",      
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CreationDate": 1537582718.431,
      "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
      "CustomKeyStoreId": "cks-1234567890abcdef0", 
      "Description": "Key in custom key store",
      "Enabled": true,
      "EncryptionAlgorithms": [
         "SYMMETRIC_DEFAULT"
      ],
      "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",      
      "KeyManager": "CUSTOMER",
      "KeySpec": "SYMMETRIC_DEFAULT",
      "KeyState": "Enabled",
      "KeyUsage": "ENCRYPT_DECRYPT",
      "MultiRegion": false,
      "Origin": "AWS_CLOUDHSM"
   }
}

Para ajudar a encontrar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM ou identificar as chaves no cluster do AWS CloudHSM que funcionam como material de chave para a sua chave do KMS, consulte Encontrar chaves do KMS e materiais de chave.