本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 尋找 KMS AWS CloudHSM 金鑰的金鑰 您可以使用 金鑰存放區中 KMS 金鑰的 KMS AWS CloudHSM 金鑰 ID,來識別 AWS CloudHSM 叢集中做為其金鑰材料的金鑰。 當 在 AWS CloudHSM 叢集中 AWS KMS 建立 KMS 金鑰的金鑰材料時,它會在金鑰標籤中寫入 KMS 金鑰的 Amazon Resource Name (ARN)。除非您已變更標籤值,否則您可以使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令來尋找 KMS 金鑰之金鑰材料的金鑰資源和 ID。 金鑰 AWS CloudHSM 存放區中具有 KMS 金鑰之密碼編譯操作的所有 CloudTrail 日誌項目都包含具有 `customKeyStoreId`和 `additionalEventData`的欄位`backingKeyId`。`backingKeyId` 欄位中傳回的值是`id` AWS CloudHSM 金鑰屬性。您可以依 KMS 金鑰 ARN 篩選金鑰**清單** AWS CloudHSM CLI 操作,以識別與特定 KMS 金鑰相關聯的 CloudHSM 金鑰`id`屬性。 若要執行此程序,您需要暫時中斷連接 AWS CloudHSM 金鑰存放區,以便以 CU `kmsuser` 身分登入。 **備註** 下列程序使用 AWS CloudHSM 用戶端 SDK 5 命令列工具 [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html)。CloudHSM CLI `key-handle`會取代為 `key-reference`。 2025 年 1 月 1 日, AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、CloudHSM 管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱*AWS CloudHSM 《 使用者指南*》中的[從用戶端 SDK 3 CMU 和 KMU 遷移至用戶端 SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html)。 1. 如果 AWS CloudHSM 金鑰存放區尚未中斷連線,請以 身分登入`kmsuser`,如 中所述[如何中斷連線和登入](fix-keystore.md#login-kmsuser-1)。 **注意** 當自訂金鑰存放區中斷連接時,所有在自訂金鑰存放區中建立 KMS 金鑰的嘗試,或在密碼編譯操作中使用現有 KMS 金鑰的嘗試,均會失敗。此動作可防止使用者存放和存取敏感資料。 1. 使用 CloudHSM CLI 中的[https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-list.html)命令,並依 篩選`label`,以尋找 AWS CloudHSM 叢集中特定金鑰的 KMS 金鑰。指定引`verbose`數,以包含相符金鑰的所有屬性和金鑰資訊。如果您未指定`verbose`引數,**金鑰清單**操作只會傳回相符金鑰的金鑰參考和標籤屬性。 下列範例示範如何依存放 KMS 金鑰 ARN 的 `label` 屬性進行篩選。執行此命令之前,請將範例 KMS 金鑰 ARN 取代為您的帳戶中的有效金鑰 ARN。 ``` aws-cloudhsm > key list --filter attr.label="{{arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab}}" --verbose { "error_code": 0, "data": { "matched_keys": [ { "key-reference": "0x0000000000120034", "key-info": { "key-owners": [ { "username": "kmsuser", "key-coverage": "full" } ], "shared-users": [], "cluster-coverage": "full" }, "attributes": { "key-type": "aes", "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "id": "{{0xbacking-key-id}}", "check-value": "0x29bbd1", "class": "my_test_key", "encrypt": true, "decrypt": true, "token": true, "always-sensitive": true, "derive": false, "destroyable": true, "extractable": false, "local": true, "modifiable": true, "never-extractable": false, "private": true, "sensitive": true, "sign": false, "trusted": false, "unwrap": true, "verify": false, "wrap": true, "wrap-with-trusted": false, "key-length-bytes": 32 } } ], "total_key_count": 1, "returned_key_count": 1 } } ``` 1. 如中所述登出並重新連接 AWS CloudHSM 金鑰存放區[如何登出和重新連線](fix-keystore.md#login-kmsuser-2)。