查看密 Amazon CloudHSM 钥库 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看密 Amazon CloudHSM 钥库

您可以使用 Amazon KMS 控制台或DescribeCustomKeyStores操作查看每个账户和区域中的 Amazon CloudHSM 密钥存储区。

在中查看 Amazon CloudHSM 密钥存储库时 Amazon Web Services Management Console,可以看到以下内容:

  • 自定义密钥存储名称和 ID

  • 关联 Amazon CloudHSM 集群的 ID

  • 集群 HSMs 中的数量

  • 当前连接状态

连接状态(状态)值为 “已断开连接” 表示自定义密钥库是新的,从未连接过,或者是故意与其 Amazon CloudHSM 集群断开连接。但是,如果您尝试在连接的自定义密钥存储库中使用 KMS 密钥失败,则可能表明自定义密钥存储或其 Amazon CloudHSM 集群存在问题。有关帮助信息,请参阅 如何修复失败的 KMS 密钥

要查看给定账户和区域中的 Amazon CloudHSM 密钥存储,请按以下步骤操作。

  1. 登录 Amazon Web Services Management Console 并在 https://console.aws.amazon.com/km s 处打开 Amazon Key Management Service (Amazon KMS) 控制台。

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择自定义密钥存储Amazon CloudHSM 密钥存储

要自定义显示,请单击显示在 Create key store (创建密钥存储) 按钮下方的齿轮图标。

要查看您的 Amazon CloudHSM 密钥存储库,请使用DescribeCustomKeyStores操作。默认情况下,此操作将返回账户和区域中的所有自定义密钥存储。不过,您可以使用 CustomKeyStoreIdCustomKeyStoreName 参数(但不能同时使用两者)将输出限制到特定的自定义密钥存储。对于 Amazon CloudHSM 密钥存储,输出包括自定义密钥库 ID 和名称、自定义密钥库类型、关联 Amazon CloudHSM 集群的 ID 以及连接状态。如果连接状态指示错误,则输出还包含描述错误原因的错误代码。

本部分中的示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何受支持的编程语言。

例如,以下命令返回账户和区域中的所有自定义密钥存储。您可以使用 LimitMarker 参数来浏览输出中的自定义密钥存储。

$ aws kms describe-custom-key-stores

以下示例命令使用 CustomKeyStoreName 参数以仅获取具有 ExampleCloudHSMKeyStore 友好名称的自定义密钥存储。您可以在每个命令中使用 CustomKeyStoreNameCustomKeyStoreId 参数(但不能同时使用二者)。

以下示例输出表示已连接到其 Amazon CloudHSM 集群的 Amazon CloudHSM 密钥库。

注意

CustomKeyStoreType字段已添加到DescribeCustomKeyStores响应中,以区分 Amazon CloudHSM 密钥存储库和外部密钥存储。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}

如果为ConnectionStateDisconnected则表示自定义密钥库从未连接过,或者它被故意与其 Amazon CloudHSM 集群断开连接。但是,如果尝试在连接的密钥存储中使用 KMS Amazon CloudHSM 密钥失败,则可能表示 Amazon CloudHSM 密钥存储或其 Amazon CloudHSM 集群存在问题。有关帮助信息,请参阅 如何修复失败的 KMS 密钥

如果自定义密钥存储的 ConnectionStateFAILED,则 DescribeCustomKeyStores 响应包含一个说明错误原因的 ConnectionErrorCode 元素。

例如,在以下输出中,INVALID_CREDENTIALS 值指示自定义密钥存储连接因 kmsuser 密码无效而导致失败。有关此连接失败及其他连接错误失败的帮助,请参阅对自定义密钥存储进行故障排除

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
了解更多: