翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# キーの KMS AWS CloudHSM キーを検索する
クラスター内で `kmsuser`が所有するキーのキーリファレンスまたは ID がわかっている場合は、その値を使用して、キーストア内の関連する KMS AWS CloudHSM キーを識別できます。
が AWS CloudHSM クラスター内の KMS キーのキーマテリアル AWS KMS を作成すると、キーラベルに KMS キーの Amazon リソースネーム (ARN) が書き込まれます。ラベル値を変更しない限り、CloudHSM CLI の [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、 AWS CloudHSM キーに関連付けられた KMS キーを特定できます。
**注意事項**
次の手順では、 AWS CloudHSM クライアント SDK 5 コマンドラインツール [CloudHSM CLI ](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)を使用します。CloudHSM CLI は、`key-handle` を `key-reference` に置き換えます。
2025 年 1 月 1 日、 AWS CloudHSM はクライアント SDK 3 コマンドラインツール、CloudHSM 管理ユーティリティ (CMU)、およびキー管理ユーティリティ (KMU) のサポートを終了します。Client SDK 3 コマンドラインツールと Client SDK 5 コマンドラインツールの違いの詳細については、「*AWS CloudHSM ユーザーガイド*」の「[Client SDK 3 CMU および KMU から Client SDK 5 CloudHSM CLI への移行](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)」を参照してください。
これらの手順を実行するには、CU `kmsuser` としてログインできるように、 AWS CloudHSM キーストアを一時的に切断する必要があります。
**注記**
カスタムキーストアが切断されている間は、カスタムキーストアで KMS キーを作成したり、暗号化オペレーションで既存の KMS キーを使用したりする試みはすべて失敗します。このオペレーションにより、ユーザーが機密データを保存したりアクセスしたりすることを防ぐことができます。
**Topics**
+ [キーリファレンスに関連付けられた KMS キーを特定する](#key-reference-filter)
+ [バッキングキー ID に関連付けられた KMS キーを特定する](#backing-key-id-filter)
## キーリファレンスに関連付けられた KMS キーを特定する
次の手順は、CloudHSM CLI の[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを `key-reference` 属性フィルターと併せて使用することにより、 AWS CloudHSM キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内のキーを検索する方法を示します。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを使用して、`key-reference` 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。
このコマンドを実行する前に、サンプル `key-reference` をお使いのアカウントにある有効な値に置き換えてください。
```
aws-cloudhsm > key list --filter attr.key-reference="{{0x0000000000120034}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0xbacking-key-id}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。
## バッキングキー ID に関連付けられた KMS キーを特定する
AWS CloudHSM キーストアの KMS キーを使用した暗号化オペレーションのすべての CloudTrail ログエントリには、 `customKeyStoreId`および を含む `additionalEventData`フィールドが含まれます`backingKeyId`。`backingKeyId` フィールドで返される値は、CloudHSM キー `id` 属性と相互に関連付けられています。`id` 属性で [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) オペレーションをフィルタリングすることで、特定の `backingKeyId` に関連付けられた KMS キーを特定できます。
1. AWS CloudHSM キーストアがまだ切断されていない場合は、「」の説明`kmsuser`に従って としてログインします[切断してログインする方法](fix-keystore.md#login-kmsuser-1)。
1. CloudHSM CLI の [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) コマンドを属性フィルターと併せて使用することで、 AWS CloudHSM キーストア内の特定の KMS キーのキーマテリアルとして機能するクラスター内のキーを検索します。
次の例は、`id` 属性でフィルタリングする方法を示します。 AWS CloudHSM は `id` 値を 16 進値として認識します。`id` 属性で**キーリスト**オペレーションをフィルタリングするには、まず CloudTrail ログエントリで識別した`backingKeyId`値を が AWS CloudHSM 認識する形式に変換する必要があります。
1. 次の Linux コマンドを使用して、`backingKeyId` を 16 進数表現に変換します。
```
echo {{backingKeyId}} | tr -d '\n' | xxd -p
```
次の例は、`backingKeyId` バイト配列を 16 進数表現に変換する方法を示します。
```
echo {{5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d}} | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. `backingKeyId` の 16 進数表現の先頭に `0x` を付加します。
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 変換された `backingKeyId` 値を使用して、`id` 属性でフィルタリングします。一致するキーのすべての属性とキー情報を含める `verbose` 引数を指定します。`verbose` 引数を指定しない場合、**[key list]** オペレーションは一致するキーのキーリファレンスとラベル属性のみを返します。
```
aws-cloudhsm > key list --filter attr.id="{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 「」の説明に従って、ログアウトし、 AWS CloudHSM キーストアを再接続します[ログアウトして再接続する方法](fix-keystore.md#login-kmsuser-2)。