查看 Amazon CloudHSM 密钥存储 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看 Amazon CloudHSM 密钥存储

您可以使用Amazon KMS控制台或DescribeCustomKeyStores操作查看每个账户和区域中的Amazon CloudHSM密钥存储区。

另请参阅:

查看 Amazon CloudHSM 密钥存储(控制台)

在 Amazon Web Services Management Console 中查看 Amazon CloudHSM 密钥存储时,可查看以下内容:

  • 自定义密钥存储名称和 ID

  • 关联的 Amazon CloudHSM 集群的 ID

  • 集群中的 HSM 的数量

  • 当前连接状态

连接状态 [Status(状态)] 值 Disconnected(已断开连接)表示自定义密钥存储是新的且从未连接过,或者已有意断开与其 Amazon CloudHSM 集群的连接。但是,如果您尝试使用已连接的自定义密钥存储中的 KMS 密钥失败,则可能表示自定义密钥存储或其 Amazon CloudHSM 集群存在问题。有关帮助信息,请参阅 如何修复失败的 KMS 密钥

要查看给定账户和区域中的 Amazon CloudHSM 密钥存储,请使用以下过程。

  1. 登录到 Amazon Web Services Management Console,然后通过以下网址打开 Amazon Key Management Service (Amazon KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择自定义密钥存储Amazon CloudHSM 密钥存储

要自定义显示,请单击显示在 Create key store (创建密钥存储) 按钮下方的齿轮图标。

查看 Amazon CloudHSM 密钥存储(API)

要查看您的Amazon CloudHSM密钥存储库,请使用DescribeCustomKeyStores操作。默认情况下,此操作将返回账户和区域中的所有自定义密钥存储。不过,您可以使用 CustomKeyStoreIdCustomKeyStoreName 参数(但不能同时使用两者)将输出限制到特定的自定义密钥存储。对于 Amazon CloudHSM 密钥存储,输出内容包含自定义密钥存储 ID 和名称、自定义密钥存储类型、关联 Amazon CloudHSM 集群的 ID 以及连接状态。如果连接状态指示错误,则输出还包含描述错误原因的错误代码。

本部分中的示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何受支持的编程语言。

例如,以下命令返回账户和区域中的所有自定义密钥存储。您可以使用 LimitMarker 参数来浏览输出中的自定义密钥存储。

$ aws kms describe-custom-key-stores

以下示例命令使用 CustomKeyStoreName 参数以仅获取具有 ExampleCloudHSMKeyStore 友好名称的自定义密钥存储。您可以在每个命令中使用 CustomKeyStoreNameCustomKeyStoreId 参数(但不能同时使用二者)。

以下示例输出表示已连接到其 Amazon CloudHSM 集群的 Amazon CloudHSM 密钥存储。

注意

DescribeCustomKeyStores 响应中添加了 CustomKeyStoreType 字段,以区分 Amazon CloudHSM 密钥存储和外部密钥存储。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "CONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleCloudHSMKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate appears here>" } ] }

ConnectionStateDisconnected 表示自定义密钥存储从未连接过,或者它已有意从其 Amazon CloudHSM 集群断开连接。但是,如果尝试使用已连接的 Amazon CloudHSM 密钥存储中的 KMS 密钥失败,则可能表示 Amazon CloudHSM 密钥存储或其 Amazon CloudHSM 集群存在问题。有关帮助信息,请参阅 如何修复失败的 KMS 密钥

如果自定义密钥存储的 ConnectionStateFAILED,则 DescribeCustomKeyStores 响应包含一个说明错误原因的 ConnectionErrorCode 元素。

例如,在以下输出中,INVALID_CREDENTIALS 值指示自定义密钥存储连接因 kmsuser 密码无效而导致失败。有关此连接失败及其他连接错误失败的帮助,请参阅对自定义密钥存储进行故障排除

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS", "ConnectionState": "FAILED", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleCloudHSMKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "CreationDate": "1.499288695918E9", "TrustAnchorCertificate": "<certificate appears here>" } ] }