本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 查找 KMS AWS CloudHSM 密钥的密钥 您可以使用密钥存储中 KMS 密钥的 KMS AWS CloudHSM 密钥 ID 来识别 AWS CloudHSM 集群中用作其密钥材料的密钥。 在您的 AWS CloudHSM 集群中为 KMS 密钥 AWS KMS 创建密钥材料时,它会在密钥标签中写入 KMS 密钥的 Amazon 资源名称 (ARN)。除非您已更改标签值,否则可在 CloudHSM CLI 中使用 [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html) 命令来查找 KMS 密钥的密钥材料的密钥资源和 ID。 密钥存储中使用 KMS 密钥进行加密操作的所有 CloudTrail 日志条目都包含一个带有`customKeyStoreId`和`backingKeyId`的`additionalEventData`字段。 AWS CloudHSM `backingKeyId`字段中返回的值是`id` AWS CloudHSM 关键属性。您可以按 KMS **密钥 ARN 筛选密钥列表** AWS CloudHSM CLI 操作,以识别与特定 KMS 密钥关联的 CloudHSM 密钥`id`属性。 要运行此过程,您需要暂时断开 AWS CloudHSM 密钥存储的连接,以便可以以 `kmsuser` CU 的身份登录。 **注意** 以下过程使用 AWS CloudHSM 客户端 SDK 5 命令行工具 [CloudHSM C](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) LI。CloudHSM CLI 将 `key-handle` 替换为 `key-reference`。 2025 年 1 月 1 日, AWS CloudHSM 将终止对客户端 SDK 3 命令行工具、CloudHSM 管理实用程序 (CMU) 和密钥管理实用程序 (KMU) 的支持。有关客户端 SDK 3 命令行工具和客户端 SDK 5 命令行工具之间区别的更多信息,请参阅《AWS CloudHSM 用户指南》**中的[从客户端 SDK 3 CMU 和 KMU 迁移到客户端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。 1. 如果 AWS CloudHSM 密钥存储尚未断开连接,请断开密钥库的连接,然后以身份登录`kmsuser`,如中所述[如何断开和登录](fix-keystore.md#login-kmsuser-1)。 **注意** 虽然自定义密钥存储已断开连接,但在自定义密钥存储中创建 KMS 密钥或在加密操作中使用现有 KMS 密钥的所有尝试都将失败。此操作可以阻止用户存储和访问敏感数据。 1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令并按`label`筛选条件查找集群中特定密钥的 KMS 密钥 AWS CloudHSM 。指定 `verbose` 参数以包含匹配密钥的所有属性和密钥信息。如果不指定 `verbose` 参数,则**密钥列表**操作将仅返回匹配密钥的密钥参考和标签属性。 以下示例演示如何按存储 KMS 密钥 ARN 的 `label` 属性进行筛选。在运行此命令之前,请将示例 KMS 密钥 ARN 替换为您账户中的有效的 KMS 密钥 ARN。 ``` aws-cloudhsm > key list --filter attr.label="arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "0xbacking-key-id", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } } ``` 1. 注销并重新连接 AWS CloudHSM 密钥库,如中所述。[如何注销并重新连接](fix-keystore.md#login-kmsuser-2)