Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Neue AWS CloudHSM Schlüsselspeicher sind nicht verbunden. Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwenden AWS KMS keys können, müssen Sie ihn mit dem zugehörigen AWS CloudHSM Cluster verbinden. Sie können Ihren AWS CloudHSM Schlüsselspeicher jederzeit verbinden und die Verbindung trennen und seinen Verbindungsstatus einsehen.
Sie müssen Ihren AWS CloudHSM Schlüsselspeicher nicht verbinden. Sie können einen AWS CloudHSM Schlüsselspeicher auf unbestimmte Zeit in einem getrennten Zustand belassen und ihn nur dann verbinden, wenn Sie ihn benötigen. Möglicherweise möchten Sie die Verbindung jedoch von Zeit zu Zeit testen, um zu prüfen, ob die Einstellungen korrekt sind und eine Verbindungsherstellung möglich ist.
Anmerkung
AWS CloudHSM Schlüsselspeicher haben nur dann einen DISCONNECTED Verbindungsstatus, wenn der Schlüsselspeicher noch nie verbunden war oder wenn Sie die Verbindung explizit trennen. Wenn Ihr AWS CloudHSM Schlüsselspeicher-Verbindungsstatus lautet, Sie CONNECTED aber Probleme bei der Verwendung haben, stellen Sie sicher, dass der zugehörige AWS CloudHSM Cluster aktiv ist und mindestens einen aktiven enthält HSMs. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter Fehlerbehebung für einen Custom Key Store.
Wenn Sie eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herstellen AWS KMS , wird der zugehörige AWS CloudHSM Cluster gefunden, eine Verbindung zu diesem hergestellt, sich als kmsuserCrypto User (CU) beim AWS CloudHSM Client angemeldet und dann das kmsuser Passwort rotiert. AWS KMS bleibt beim AWS CloudHSM Client angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist.
Um die Verbindung herzustellen, AWS KMS erstellt eine Sicherheitsgruppe, die kms- in der Virtual Private Cloud (VPC) des Clusters benannt ist. Die Sicherheitsgruppe hat eine einzige Regel, die eingehenden Datenverkehr von der Cluster-Sicherheitsgruppe zulässt. AWS KMS erstellt außerdem ein elastic network interface (ENI) in jeder Availability Zone des privaten Subnetzes für den Cluster. AWS KMS fügt der ENIs <custom key store ID>kms- Sicherheitsgruppe und der Sicherheitsgruppe für den Cluster hinzu. Die Beschreibung der einzelnen ENIs lautet <cluster ID>KMS managed ENI for cluster
.<cluster-ID>
Der Verbindungsvorgang kann einige Zeit – bis zu 20 Minuten – in Anspruch nehmen.
Bevor Sie eine Verbindung zum AWS CloudHSM Schlüsselspeicher herstellen, stellen Sie sicher, dass er die Anforderungen erfüllt.
-
Der zugehörige AWS CloudHSM Cluster muss mindestens ein aktives HSM enthalten. Um die Anzahl von HSMs im Cluster zu ermitteln, zeigen Sie den Cluster in der AWS CloudHSM Konsole an oder verwenden Sie den DescribeClustersVorgang. Falls erforderlich, können Sie ein HSM hinzufügen.
-
Der Cluster muss über ein kmsuserCrypto-Benutzerkonto (CU) verfügen, aber dieses CU kann nicht beim Cluster angemeldet werden, wenn Sie eine Verbindung zum AWS CloudHSM Schlüsselspeicher herstellen. Hilfe zum Abmelden finden Sie unter Abmelden und erneutes Verbinden.
-
Der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers kann nicht
DISCONNECTINGoder seinFAILED. Verwenden Sie die AWS KMS Konsole oder die DescribeCustomKeyStoresAntwort, um den Verbindungsstatus anzuzeigen. Wenn der VerbindungsstatusFAILEDlautet, trennen Sie den benutzerdefinierten Schlüsselspeicher, lösen Sie das Problem und stellen Sie anschließend die Verbindung her.
Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter Beheben eines Verbindungsfehlers.
Wenn Ihr AWS CloudHSM Schlüsselspeicher verbunden ist, können Sie darin KMS-Schlüssel erstellen und vorhandene KMS-Schlüssel für kryptografische Operationen verwenden.
Connect zu Ihrem AWS CloudHSM Schlüsselspeicher her und stellen Sie erneut eine Verbindung her
Sie können in der AWS KMS Konsole oder mithilfe des Vorgangs eine Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher herstellen oder die Verbindung erneut herstellen. ConnectCustomKeyStore
Um einen AWS CloudHSM Schlüsselspeicher in der zu verbinden AWS Management Console, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite Benutzerdefinierte Schlüsselspeicher aus. Der Verbindungsvorgang kann bis zu 20 Minuten dauern.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Wählen Sie im Navigationsbereich Custom key stores (benutzerdefinierte Schlüsselspeicher) AWS CloudHSM -Schlüsselspeicher aus.
-
Wählen Sie die Zeile des AWS CloudHSM Schlüsselspeichers aus, den Sie verbinden möchten.
Wenn der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers „Fehlgeschlagen“ lautet, müssen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher trennen, bevor Sie eine Verbindung herstellen.
-
Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus.
AWS KMS beginnt mit dem Verbindungsaufbau Ihres benutzerdefinierten Schlüsselspeichers. Der Service findet den zugehörigen AWS CloudHSM -Cluster, schafft die erforderlichen Netzwerkinfrastruktur, stellt eine Verbindung her, meldet sich beim AWS CloudHSM -Cluster als kmsuser-CU an und rotiert das kmsuser-Passwort. Wenn die Produktion abgeschlossen ist, ändert sich der Verbindungsstatus in Verbunden.
Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung der Fehlerursache angezeigt. Bevor Sie erneut versuchen, eine Verbindung herzustellen, überprüfen Sie den Verbindungsstatus Ihres AWS CloudHSM Schlüsselspeichers. Wenn dieser Fehlgeschlagen lautet, müssen Sie die Verbindung des benutzerdefinierten Schlüsselspeichers trennen, bevor Sie erneut eine Verbindung herstellen. Wenn Sie Hilfe benötigen, beachten Sie den Abschnitt Fehlerbehebung für einen Custom Key Store.
Danach: Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen.
Verwenden Sie den ConnectCustomKeyStoreVorgang, um einen getrennten AWS CloudHSM Schlüsselspeicher zu verbinden. Der zugehörige AWS CloudHSM Cluster muss mindestens ein aktives HSM enthalten, und der Verbindungsstatus darf nicht sein. FAILED
Der Verbindungsvorgang nimmt einige Zeit – bis zu 20 Minuten – in Anspruch. Sofern sie nicht schnell fehlschlägt, gibt die Produktion eine HTTP-Antwort 200 und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Informationen zum Ermitteln des Verbindungsstatus des benutzerdefinierten Schlüsselspeichers finden Sie in der DescribeCustomKeyStoresAntwort.
Für diese Beispiele wird die AWS Command Line Interface
(AWS CLI)
Um den AWS CloudHSM Schlüsselspeicher zu identifizieren, verwenden Sie seine benutzerdefinierte Schlüsselspeicher-ID. Sie finden die ID auf der Seite Benutzerdefinierte Schlüsselspeicher in der Konsole oder indem Sie den DescribeCustomKeyStoresVorgang ohne Parameter verwenden. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der ConnectionState-Wert CONNECTED gibt an, dass der benutzerdefinierte Schlüsselspeicher mit seinem AWS CloudHSM
-Cluster verbunden ist.
Anmerkung
Das CustomKeyStoreType Feld wurde der DescribeCustomKeyStores Antwort hinzugefügt, um AWS CloudHSM Schlüsselspeicher von externen Schlüsselspeichern zu unterscheiden.
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}Wenn der ConnectionState-Wert „Failed (Fehlgeschlagen)” lautet, ist im Element ConnectionErrorCode die Fehlerursache angegeben. In diesem Fall AWS KMS konnte in Ihrem Konto kein AWS CloudHSM Cluster mit der Cluster-ID gefunden cluster-1a23b4cdefg werden. Wenn Sie den Cluster gelöscht haben, können Sie ihn von einer Sicherung des ursprünglichen Clusters wiederherstellen und dann die Cluster-ID für den benutzerdefinierten Schlüsselspeicher bearbeiten. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Beheben eines Verbindungsfehlers.
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
"ConnectionErrorCode": "CLUSTER_NOT_FOUND"
],
}