檢視 AWS CloudHSM 金鑰存放區 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視 AWS CloudHSM 金鑰存放區

您可以使用 AWS KMS 主控台或 DescribeCustomKeyStores操作來檢視每個帳戶和區域中的 AWS CloudHSM 金鑰存放區。

當您在 中檢視 AWS CloudHSM 金鑰存放區時 AWS Management Console,您可以看到以下內容:

  • 自訂金鑰存放區名稱和 ID

  • 關聯 AWS CloudHSM 叢集的 ID

  • 叢集HSMs中的 數目

  • 目前的連接狀態

已中斷連線的連線狀態 (狀態 ) 值表示自訂金鑰存放區是新的,而且從未連線,或是刻意中斷與其 AWS CloudHSM 叢集的連線。不過,如果您嘗試在連接的自訂KMS金鑰存放區中使用金鑰失敗,這可能表示自訂金鑰存放區或其 AWS CloudHSM 叢集發生問題。如需協助,請參閱 如何修正失敗的KMS金鑰

若要檢視指定帳戶和區域中的 AWS CloudHSM 金鑰存放區,請使用下列程序。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選取器。

  3. 在導覽窗格依次選擇自訂金鑰存放區AWS CloudHSM 金鑰存放區

若要自訂顯示,請按一下出現在 Create key store (建立金鑰存放區) 按鈕下的齒輪圖示。

若要檢視您的 AWS CloudHSM 金鑰存放區,請使用 DescribeCustomKeyStores操作。在預設情況下,此操作會傳回帳戶和區域中的所有自訂金鑰存放區。但是,您可以使用 CustomKeyStoreIdCustomKeyStoreName 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的輸出。對於 AWS CloudHSM 金鑰存放區,輸出包含自訂金鑰存放區 ID 和名稱、自訂金鑰存放區類型、關聯 AWS CloudHSM 叢集的 ID 和連線狀態。如果連接狀態指出錯誤,則輸出也會包含描述錯誤原因的錯誤碼。

本節中的範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

例如,以下命令會傳回帳戶和區域中的所有自訂金鑰存放區。您可以使用 LimitMarker 參數來切換輸出中的自訂金鑰存放區頁面。

$ aws kms describe-custom-key-stores

以下範例命令使用 CustomKeyStoreName 參數來取得僅具有 ExampleCloudHSMKeyStore 易記名稱的自訂金鑰存放區。您可以在每個命令中使用 CustomKeyStoreNameCustomKeyStoreId 參數 (但不可同時使用)。

下列範例輸出代表連接至其 AWS CloudHSM 叢集的 AWS CloudHSM 金鑰存放區。

注意

CustomKeyStoreType 欄位已新增至DescribeCustomKeyStores回應,以區分 AWS CloudHSM 金鑰存放區與外部金鑰存放區。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}

ConnectionStateDisconnected表示自訂金鑰存放區從未連線,或刻意中斷與其 AWS CloudHSM 叢集的連線。不過,如果嘗試在已連線KMS的金鑰存放區中使用 AWS CloudHSM 金鑰失敗,則可能表示 AWS CloudHSM 金鑰存放區或其 AWS CloudHSM 叢集發生問題。如需協助,請參閱 如何修正失敗的KMS金鑰

如果自訂金鑰存放區的 ConnectionStateFAILED,則 DescribeCustomKeyStores 回應會包含一個 ConnectionErrorCode 元素,解釋錯誤的原因。

例如,在以下輸出中,INVALID_CREDENTIALS 值指出自訂金鑰存放區連接失敗,因為 kmsuser 密碼無效。如需此錯誤和其他連接錯誤失敗的協助,請參閱對自訂金鑰存放區進行故障診斷

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
進一步了解: