在 Amazon CloudHSM 密钥存储中查找 KMS 密钥
如果您管理 Amazon CloudHSM 密钥存储,则可能需要在每个 Amazon CloudHSM 密钥存储中标识 KMS 密钥。例如,您可能需要执行以下某些任务。
-
在 Amazon CloudTrail 日志中跟踪 Amazon CloudHSM 密钥存储中的 KMS 密钥。
-
预测断开 Amazon CloudHSM 密钥存储对 KMS 密钥的影响。
-
在删除 Amazon CloudHSM 密钥存储之前计划删除 KMS 密钥。
此外,您可能需要标识 Amazon CloudHSM 集群中用作 KMS 密钥的密钥材料的密钥。尽管 Amazon KMS 管理 KMS 密钥和密钥材料,但您仍可以控制并负责管理 Amazon CloudHSM 集群、HSM 和备份以及 HSM 中的密钥。您可能需要标识密钥以便审核密钥材料,防止意外删除密钥材料或在删除 KMS 密钥后将密钥材料从 HSM 和集群备份中删除。
Amazon CloudHSM 密钥存储中 KMS 密钥的所有密钥材料由 kmsuser 加密用户(CU)拥有。Amazon KMS 将密钥标签属性(该属性仅在 Amazon CloudHSM 中可查看)设置为 KMS 密钥的 Amazon 资源名称(ARN)。
要查找 KMS 密钥和密钥材料,请使用下列任一方法。
-
在 Amazon CloudHSM 密钥存储中查找 KMS 密钥 – 如何在一个或所有 Amazon CloudHSM 密钥存储中标识 KMS 密钥。
-
查找 Amazon CloudHSM 密钥存储的所有密钥 – 如何在集群中查找用作 Amazon CloudHSM 密钥存储中 KMS 密钥的密钥材料的所有密钥。
-
查找 KMS 密钥的 Amazon CloudHSM 密钥 – 如何在集群中查找用作 Amazon CloudHSM 密钥存储中特定 KMS 密钥的密钥材料的密钥。
-
查找 Amazon CloudHSM 密钥的 KMS 密钥 — 如何在集群中查找特定密钥的 KMS 密钥。