기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
# 키의 KMS AWS CloudHSM 키 찾기
가 클러스터에서 `kmsuser` 소유한 키의 키 참조 또는 ID를 알고 있는 경우 해당 값을 사용하여 AWS CloudHSM 키 스토어에서 연결된 KMS 키를 식별할 수 있습니다.
가 AWS CloudHSM 클러스터의 KMS 키에 대한 키 구성 요소를 AWS KMS 생성하면 키 레이블에 KMS 키의 Amazon 리소스 이름(ARN)을 기록합니다. 레이블 값을 변경하지 않은 한 CloudHSM CLI의 [key list](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 AWS CloudHSM 키와 연결된 KMS 키를 식별할 수 있습니다.
**참고**
다음 절차에서는 AWS CloudHSM 클라이언트 SDK 5 명령줄 도구인 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)를 사용합니다. CloudHSM CLI에서 `key-handle`을 `key-reference`로 대체합니다.
2025년 1월 1일에 AWS CloudHSM 는 클라이언트 SDK 3 명령줄 도구, CloudHSM 관리 유틸리티(CMU) 및 키 관리 유틸리티(KMU)에 대한 지원을 종료합니다. Client SDK 3 명령줄 도구와 Client SDK 5 명령줄 도구의 차이점에 대한 자세한 내용은 *AWS CloudHSM 사용 설명서*의 [클라이언트 SDK 3 CMU 및 KMU에서 클라이언트 SDK 5 CloudHSM CLI로 마이그레이션](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)을 참조하세요.
이러한 절차를 실행하려면 `kmsuser` CU로 로그인할 수 있도록 AWS CloudHSM 키 스토어의 연결을 일시적으로 끊어야 합니다.
**참고**
사용자 지정 키 스토어의 연결이 해제된 상태에서는 사용자 지정 키 스토어에서 KMS 키를 생성하거나, 암호화 작업을 위해 기존 KMS 키를 사용하려는 모든 시도가 실패합니다. 이 작업은 사용자가 기밀 데이터를 저장하거나 액세스하지 못하도록 차단합니다.
**Topics**
+ [키 참조와 연결된 KMS 키 식별](#key-reference-filter)
+ [백업 키 ID와 연결된 KMS 키 식별](#backing-key-id-filter)
## 키 참조와 연결된 KMS 키 식별
다음 절차에서는 `key-reference` 속성 필터와 함께 CloudHSM CLI에서 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 키 저장소의 특정 KMS 키의 키 구성 요소 역할을 하는 AWS CloudHSM 키를 클러스터에서 찾는 방법을 보여줍니다.
1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우에 설명된 `kmsuser`대로 로 로그인합니다[연결 해제 및 로그인 방법](fix-keystore.md#login-kmsuser-1).
1. CloudHSM CLI의 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 `key-reference` 속성을 기준으로 필터링합니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 `verbose` 인수를 지정합니다. `verbose` 인수를 지정하지 않으면 **key list** 작업은 일치하는 키의 키 참조 및 레이블 속성만 반환합니다.
이 명령을 실행하기 전에 예제 키 `key-reference`를 계정의 유효한 값으로 바꿉니다.
```
aws-cloudhsm > key list --filter attr.key-reference="{{0x0000000000120034}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0xbacking-key-id}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 에 설명된 대로 AWS CloudHSM 키 스토어를 로그아웃하고 다시 연결합니다[로그아웃 및 재연결 방법](fix-keystore.md#login-kmsuser-2).
## 백업 키 ID와 연결된 KMS 키 식별
AWS CloudHSM 키 스토어에서 KMS 키를 사용하는 암호화 작업에 대한 모든 CloudTrail 로그 항목에는 `customKeyStoreId` 및가 있는 `additionalEventData` 필드가 포함됩니다`backingKeyId`. `backingKeyId` 필드에 반환된 값은 CloudHSM 키 `id` 속성과 관련이 있습니다. `id` 속성을 기준으로 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 작업을 필터링하여 특정 `backingKeyId`와 연결된 KMS 키를 식별할 수 있습니다.
1. AWS CloudHSM 키 스토어가 아직 연결 해제되지 않은 경우에 설명된 `kmsuser`대로 로 로그인합니다[연결 해제 및 로그인 방법](fix-keystore.md#login-kmsuser-1).
1. 속성 필터와 함께 CloudHSM CLI의 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 명령을 사용하여 AWS CloudHSM 키 저장소의 특정 KMS 키에 대한 키 구성 요소 역할을 하는 키를 클러스터에서 찾습니다.
다음 예제에서는 `id` 속성을 기준으로 필터링하는 방법을 보여줍니다. AWS CloudHSM 은 `id` 값을 16진수 값으로 인식합니다. `id` 속성을 기준으로 **키 목록** 작업을 필터링하려면 먼저 CloudTrail 로그 항목에서 식별한 `backingKeyId` 값을가 AWS CloudHSM 인식하는 형식으로 변환해야 합니다.
1. 다음 Linux 명령을 사용하여 `backingKeyId`를 16진수 표현으로 변환합니다.
```
echo {{backingKeyId}} | tr -d '\n' | xxd -p
```
다음 예제에서는 `backingKeyId` 바이트 배열을 16진수 표현으로 변환하는 방법을 보여줍니다.
```
echo {{5890723622dc15f699aa9ab2387a9f744b2b884c18b2186ee8ada4f556a2eb9d}} | tr -d '\n' | xxd -p
35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. `0x`를 사용하여 `backingKeyId`의 16진수 표현을 준비합니다.
```
0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964
```
1. 변환된 `backingKeyId` 값을 사용하여 `id` 속성을 기준으로 필터링합니다. 일치하는 키에 대한 모든 속성과 키 정보를 포함하도록 `verbose` 인수를 지정합니다. `verbose` 인수를 지정하지 않으면 **key list** 작업은 일치하는 키의 키 참조 및 레이블 속성만 반환합니다.
```
aws-cloudhsm > key list --filter attr.id="{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}" --verbose
{
"error_code": 0,
"data": {
"matched_keys": [
{
"key-reference": "0x0000000000120034",
"key-info": {
"key-owners": [
{
"username": "kmsuser",
"key-coverage": "full"
}
],
"shared-users": [],
"cluster-coverage": "full"
},
"attributes": {
"key-type": "aes",
"label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"id": "{{0x35383930373233363232646331356636393961613961623233383761396637343462326238383463313862323138366565386164613466353536613265623964}}",
"check-value": "0x29bbd1",
"class": "my_test_key",
"encrypt": true,
"decrypt": true,
"token": true,
"always-sensitive": true,
"derive": false,
"destroyable": true,
"extractable": false,
"local": true,
"modifiable": true,
"never-extractable": false,
"private": true,
"sensitive": true,
"sign": false,
"trusted": false,
"unwrap": true,
"verify": false,
"wrap": true,
"wrap-with-trusted": false,
"key-length-bytes": 32
}
}
],
"total_key_count": 1,
"returned_key_count": 1
}
}
```
1. 에 설명된 대로 AWS CloudHSM 키 스토어를 로그아웃하고 다시 연결합니다[로그아웃 및 재연결 방법](fix-keystore.md#login-kmsuser-2).