Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Suchen Sie den KMS-Schlüssel für einen AWS CloudHSM Schlüssel
Wenn Sie die Schlüsselreferenz oder ID eines Schlüssels kennen, den er im Cluster `kmsuser` besitzt, können Sie diesen Wert verwenden, um den zugehörigen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu identifizieren.
Wenn das Schlüsselmaterial für einen KMS-Schlüssel in Ihrem AWS CloudHSM Cluster AWS KMS erstellt wird, schreibt es den Amazon-Ressourcennamen (ARN) des KMS-Schlüssels in die Schlüsselbezeichnung. Sofern Sie den Labelwert nicht geändert haben, können Sie den Befehl [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM CLI verwenden, um den KMS-Schlüssel zu identifizieren, der dem Schlüssel zugeordnet ist. AWS CloudHSM
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
Um diese Verfahren auszuführen, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher vorübergehend trennen, sodass Sie sich als CU anmelden können. `kmsuser`
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
**Topics**
+ [Identifizieren Sie den KMS-Schlüssel, der einer Schlüsselreferenz zugeordnet ist](#key-reference-filter)
+ [Identifizieren Sie den KMS-Schlüssel, der einer Backing-Key-ID zugeordnet ist](#backing-key-id-filter)
## Identifizieren Sie den KMS-Schlüssel, der einer Schlüsselreferenz zugeordnet ist
Die folgenden Verfahren zeigen, wie Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI mit dem `key-reference` Attributfilter verwenden, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann wie unter `kmsuser` beschrieben an. [Trennen und Anmelden](fix-keystore.md#login-kmsuser-1)
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI, um nach dem `key-reference` Attribut zu filtern. Geben Sie das `verbose` Argument an, das alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel enthalten soll. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** und das Labelattribut des übereinstimmenden Schlüssels zurück.
Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel `key-reference` durch ein gültiges Beispiel aus Ihrem Konto.
```
aws-cloudhsm > key list --filter attr.key-reference="{{0x0000000000120034}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0xbacking-key-id}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).
## Identifizieren Sie den KMS-Schlüssel, der einer Backing-Key-ID zugeordnet ist
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem `customKeyStoreId` und`backingKeyId`. Der im `backingKeyId` Feld zurückgegebene Wert korreliert mit dem CloudHSM-Schlüsselattribut. `id` Sie können den [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) nach dem `id` Attribut filtern, um den KMS-Schlüssel zu identifizieren, der einem bestimmten Schlüssel zugeordnet ist. `backingKeyId`
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich dann an als`kmsuser`, wie unter beschrieben[Trennen und Anmelden](fix-keystore.md#login-kmsuser-1).
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in der CloudHSM-CLI mit dem Attributfilter, um den Schlüssel in Ihrem Cluster zu finden, der als Schlüsselmaterial für einen bestimmten KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher dient.
Das folgende Beispiel zeigt, wie Sie nach dem `id` Attribut filtern. AWS CloudHSM erkennt den `id` Wert als Hexadezimalwert. Um den **Schlüssellistenvorgang** nach dem `id` Attribut zu filtern, müssen Sie zuerst den `backingKeyId` Wert, den Sie in Ihrem CloudTrail Protokolleintrag angegeben haben, in ein Format konvertieren, das AWS CloudHSM ihn erkennt.
1. Verwenden Sie den folgenden Linux-Befehl, um die `backingKeyId` in eine hexadezimale Darstellung zu konvertieren.
```
echo {{backingKeyId}} | tr -d '\n' | xxd -p
```
Das folgende Beispiel zeigt, wie das `backingKeyId` Byte-Array in eine hexadezimale Darstellung konvertiert wird.
```
echo {{5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d}} | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Stellen Sie der hexadezimalen Darstellung von mit voran. `backingKeyId` `0x`
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Verwenden Sie den konvertierten `backingKeyId` Wert, um nach dem Attribut zu filtern. `id` Geben Sie das `verbose` Argument an, um alle Attribute und Schlüsselinformationen für den übereinstimmenden Schlüssel einzubeziehen. Wenn Sie das `verbose` Argument nicht angeben, gibt die **Schlüssellistenoperation nur die Schlüsselreferenz** und das Labelattribut des übereinstimmenden Schlüssels zurück.
```
aws-cloudhsm > key list --filter attr.id="{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben. [Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2)