查找 Amazon CloudHSM 密钥存储的所有密钥 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

查找 Amazon CloudHSM 密钥存储的所有密钥

您可以标识 Amazon CloudHSM 集群中用作 Amazon CloudHSM 密钥存储的密钥材料的密钥。为此,请在 CloudHSM CLI 中使用 key list 命令。

您也可以使用 key list 命令来查找 Amazon CloudHSM 密钥的 Amazon KMS。当 Amazon KMS 在 Amazon CloudHSM 集群中为 KMS 密钥创建密钥材料时,它会在密钥标签中写入 KMS 密钥的 Amazon Resource Name (ARN)。key list 命令返回 key-referencelabel

备注

以下过程使用 Amazon CloudHSM 客户端 SDK 5 命令行工具 CloudHSM CLI。CloudHSM CLI 将 key-handle 替换为 key-reference

2025 年 1 月 1 日,Amazon CloudHSM 将终止对客户端 SDK 3 命令行工具、CloudHSM 管理实用程序(CMU)和密钥管理实用程序(KMU)的支持。有关客户端 SDK 3 命令行工具和客户端 SDK 5 命令行工具之间区别的更多信息,请参阅《Amazon CloudHSM 用户指南》中的从客户端 SDK 3 CMU 和 KMU 迁移到客户端 SDK 5 CloudHSM CLI

要运行此过程,您需要临时断开 Amazon CloudHSM 密钥存储,以便能以 kmsuser CU 身份登录。

  1. 断开 Amazon CloudHSM 密钥存储(如果尚未断开),然后以 kmsuser 身份登录,如 如何断开和登录 中所述。

    注意

    虽然自定义密钥存储已断开连接,但在自定义密钥存储中创建 KMS 密钥或在加密操作中使用现有 KMS 密钥的所有尝试都将失败。此操作可以阻止用户存储和访问敏感数据。

  2. 在 CloudHSM CLI 中使用 key list 命令查找 Amazon CloudHSM 集群中当前用户的所有密钥。

    默认情况下,仅显示当前登录用户的 10 个按键,并且输出中仅显示 key-referencelabel。有关更多选项,请参阅《Amazon CloudHSM 用户指南》中的密钥列表

    aws-cloudhsm > key list
{
  "error_code": 0,
  "data": {
    "matched_keys": [
      {
        "key-reference": "0x0000000000000123",
        "attributes": {
          "label": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
      },
      {
        "key-reference": "0x0000000000000456",
        "attributes": {
          "label": "arn:aws:kms:us-west-2:111122223333:key/0987dcba-09fe-87dc-65ba-ab0987654321"
        }
      },.
      ...8 keys later...
    ],
    "total_key_count": 56,
    "returned_key_count": 10,
    "next_token": "10"
  }
}

  3. 注销并重新连接 Amazon CloudHSM 密钥存储,如 如何注销并重新连接 中所述。