Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Trova la chiave KMS per una chiave AWS CloudHSM
Se conosci il riferimento o l'ID di una chiave di cui è `kmsuser` proprietario nel cluster, puoi utilizzare quel valore per identificare la chiave KMS associata nel tuo archivio di AWS CloudHSM chiavi.
Quando AWS KMS crea il materiale chiave per una chiave KMS nel tuo AWS CloudHSM cluster, scrive l'Amazon Resource Name (ARN) della chiave KMS nell'etichetta della chiave. A meno che tu non abbia modificato il valore dell'etichetta, puoi utilizzare il comando [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) nella CLI di CloudHSM per identificare la chiave KMS associata alla chiave. AWS CloudHSM
**Note**
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *
Per eseguire queste procedure è necessario disconnettere temporaneamente l'archivio delle AWS CloudHSM chiavi in modo da poter accedere come CU. `kmsuser`
**Nota**
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
**Topics**
+ [Identifica la chiave KMS associata a un riferimento chiave](#key-reference-filter)
+ [Identifica la chiave KMS associata all'ID di una chiave di backup](#backing-key-id-filter)
## Identifica la chiave KMS associata a un riferimento chiave
Le seguenti procedure mostrano come utilizzare il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) nella CLI di CloudHSM `key-reference` con il filtro degli attributi per trovare la chiave nel cluster che funge da materiale chiave per una particolare chiave KMS nel tuo archivio di chiavi. AWS CloudHSM
1. Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi accedi come spiegato in. `kmsuser` [Come disconnettersi ed eseguire l'accesso](fix-keystore.md#login-kmsuser-1)
1. Utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) nella CLI di CloudHSM per filtrare in base all'attributo. `key-reference` Specificate l'`verbose`argomento per includere tutti gli attributi e le informazioni chiave per la chiave corrispondente. Se non si specifica l'`verbose`argomento, l'operazione di **elenco delle chiavi** restituisce solo il riferimento di chiave e l'attributo label della chiave corrispondente.
Prima di eseguire questo comando, sostituisci l'esempio `key-reference` con uno valido dal tuo account.
```
aws-cloudhsm > key list --filter attr.key-reference="{{0x0000000000120034}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0xbacking-key-id}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto in[Come scollegarsi e riconnettersi](fix-keystore.md#login-kmsuser-2).
## Identifica la chiave KMS associata all'ID di una chiave di backup
Tutte le voci di CloudTrail registro per le operazioni crittografiche con una chiave KMS in un archivio di AWS CloudHSM chiavi includono un `additionalEventData` campo con e. `customKeyStoreId` `backingKeyId` Il valore restituito nel `backingKeyId` campo è correlato all'attributo chiave `id` CloudHSM. È possibile filtrare l'operazione dell'[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) in base all'`id`attributo per identificare la chiave KMS associata a uno specifico. `backingKeyId`
1. Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi accedi come spiegato `kmsuser` in. [Come disconnettersi ed eseguire l'accesso](fix-keystore.md#login-kmsuser-1)
1. Utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) nella CLI di CloudHSM con il filtro degli attributi per trovare la chiave nel cluster che funge da materiale chiave per una particolare chiave KMS nel tuo archivio di chiavi. AWS CloudHSM
L'esempio seguente mostra come filtrare in base all'attributo. `id` AWS CloudHSM riconosce il `id` valore come valore esadecimale. Per filtrare l'operazione dell'**elenco di chiavi** in base all'`id`attributo, è necessario innanzitutto convertire il `backingKeyId` valore identificato nella voce di CloudTrail registro in un formato che lo riconosca. AWS CloudHSM
1. Utilizzate il seguente comando Linux per convertire il file `backingKeyId` in una rappresentazione esadecimale.
```
echo {{backingKeyId}} | tr -d '\n' | xxd -p
```
L'esempio seguente mostra come convertire l'array di `backingKeyId` byte in una rappresentazione esadecimale.
```
echo {{5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d}} | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Antepone la rappresentazione esadecimale di with. `backingKeyId` `0x`
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. Utilizzate il `backingKeyId` valore convertito per filtrare in base all'attributo. `id` Specificate l'`verbose`argomento per includere tutti gli attributi e le informazioni chiave per la chiave corrispondente. Se non si specifica l'`verbose`argomento, l'operazione di **elenco delle chiavi** restituisce solo il riferimento di chiave e l'attributo label della chiave corrispondente.
```
aws-cloudhsm > key list --filter attr.id="{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto in. [Come scollegarsi e riconnettersi](fix-keystore.md#login-kmsuser-2)