KMSSchlüssel erstellen in einem AWS CloudHSM Schlüsselspeicher - AWS Key Management Service
Erstellen Sie einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher (Konsole)Erstellen Sie einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher (API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KMSSchlüssel erstellen in einem AWS CloudHSM Schlüsselspeicher

Nachdem Sie ein erstellt haben AWS CloudHSM Schlüsselspeicher, den Sie erstellen können AWS KMS keysin Ihrem Schlüsselspeicher. Es muss sich um symmetrische KMS Verschlüsselungsschlüssel mit Schlüsselmaterial handeln, das AWS KMS generiert. Sie können keine asymmetrischen KMS Schlüssel, Schlüssel oder HMACKMSKMSSchlüssel mit importiertem Schlüsselmaterial in einem benutzerdefinierten Schlüsselspeicher erstellen. Außerdem können Sie in einem benutzerdefinierten Schlüsselspeicher keine symmetrischen KMS Verschlüsselungsschlüssel verwenden, um asymmetrische Datenschlüsselpaare zu generieren.

Um einen KMS Schlüssel in einem zu erstellen AWS CloudHSM Schlüsselspeicher, der AWS CloudHSM Der Schlüsselspeicher muss mit dem zugehörigen verbunden sein AWS CloudHSM Cluster und Cluster müssen mindestens zwei aktive Mitglieder HSMs in unterschiedlichen Availability Zones enthalten. Den Verbindungsstatus und die Anzahl der HSMs Verbindungen finden Sie in der AWS CloudHSM Seite mit Schlüsselspeichern im AWS Management Console. Wenn Sie die API Operationen verwenden, verwenden Sie die DescribeCustomKeyStoresOperation, um zu überprüfen, ob AWS CloudHSM Der Schlüsselspeicher ist verbunden. Um die Anzahl der aktiven Personen HSMs im Cluster und deren Availability Zones zu überprüfen, verwenden Sie den AWS CloudHSM DescribeClustersBetrieb.

Wenn Sie einen KMS Schlüssel in Ihrem erstellen AWS CloudHSM Schlüsselspeicher, AWS KMS erstellt den KMS Schlüssel in AWS KMS. Aber es erzeugt das Schlüsselmaterial für den KMS Schlüssel in der zugehörigen AWS CloudHSM Cluster. Konkret AWS KMS meldet sich als die von Ihnen erstellte kmsuser CU beim Cluster an. Anschließend wird ein persistenter, nicht extrahierbarer symmetrischer 256-Bit-Advanced Encryption Standard (AES) -Schlüssel im Cluster erstellt. AWS KMS setzt den Wert des Schlüssel-Label-Attributs, das nur im Cluster sichtbar ist, auf Amazon Resource Name (ARN) des KMS Schlüssels.

Wenn der Befehl erfolgreich ist, lautet der Schlüsselstatus des neuen KMS Schlüssels Enabled und sein Ursprung istAWS_CLOUDHSM. Sie können den Ursprung eines KMS Schlüssels nicht mehr ändern, nachdem Sie ihn erstellt haben. Wenn Sie einen KMS Schlüssel in einem anzeigen AWS CloudHSM Schlüsselspeicher im AWS KMS In der Konsole oder mithilfe der DescribeKeyOperation können Sie typische Eigenschaften wie die Schlüssel-ID, den Schlüsselstatus und das Erstellungsdatum anzeigen. Sie können aber auch die benutzerdefinierte Schlüsselspeicher-ID und (optional) die AWS CloudHSM Cluster-ID. Details hierzu finden Sie unter KMSSchlüssel in einem anzeigen AWS CloudHSM Schlüsselspeicher.

Wenn Sie versuchen, einen KMS Schlüssel in Ihrem zu erstellen AWS CloudHSM Der Schlüsselspeicher schlägt fehl, verwenden Sie die Fehlermeldung, um die Ursache zu ermitteln. Dies könnte darauf hindeuten, dass AWS CloudHSM Der Schlüsselspeicher ist nicht verbunden (CustomKeyStoreInvalidStateException) oder der zugehörige AWS CloudHSM Der Cluster hat nicht die beiden aktivenHSMs, die für diesen Vorgang erforderlich sind (CloudHsmClusterInvalidConfigurationException). Weitere Informationen dazu finden Sie unter Fehlerbehebung für einen Custom Key Store.

Für ein Beispiel für AWS CloudTrail Protokoll des Vorgangs, der einen KMS Schlüssel in einem erstellt AWS CloudHSM Schlüsselspeicher, sieheCreateKey.

Erstellen Sie einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher (Konsole)

Gehen Sie wie folgt vor, um einen symmetrischen KMS Verschlüsselungsschlüssel in einem AWS CloudHSM Schlüsselspeicher.

Anmerkung

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext erscheinen.

  1. Melden Sie sich an bei AWS Management Console und öffne das AWS Key Management Service (AWS KMS) Konsole bei https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie Symmetric (Symmetrisch).

  6. Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht.

  7. Wählen Sie Advanced options (Erweiterte Optionen) aus.

  8. Wählen Sie für Herkunft des Hauptmaterials die Option AWS CloudHSM Schlüsselspeicher.

    Sie können keinen Schlüssel für mehrere Regionen in einem erstellen AWS CloudHSM Schlüsselspeicher.

  9. Wählen Sie Weiter.

  10. Wählen Sie ein AWS CloudHSM Schlüsselspeicher für Ihren neuen KMS Schlüssel. Um einen neuen zu erstellen AWS CloudHSM Schlüsselspeicher, wählen Sie Benutzerdefinierten Schlüsselspeicher erstellen aus.

    Das Tool AWS CloudHSM Der Schlüsselspeicher, den Sie auswählen, muss den Status Verbunden haben. Es ist verknüpft AWS CloudHSM Der Cluster muss aktiv sein und mindestens zwei aktive Cluster HSMs in unterschiedlichen Availability Zones enthalten.

    Für Hilfe beim Verbinden eines AWS CloudHSM Schlüsselspeicher, sieheConnect und Trennen eines AWS CloudHSM Schlüsselspeicher. Hilfe beim Hinzufügen HSMs finden Sie unter Hinzufügen eines HSM AWS CloudHSM Benutzerleitfaden.

  11. Wählen Sie Weiter.

  12. Geben Sie einen Alias und optional eine Beschreibung für den KMS Schlüssel ein.

  13. (Optional). Fügen Sie auf der Seite „Tags hinzufügen“ Tags hinzu, die Ihren KMS Schlüssel identifizieren oder kategorisieren.

    Wenn Sie Tags zu Ihrem hinzufügen AWS Ressourcen, AWS generiert einen Kostenzuordnungsbericht mit Nutzung und Kosten, die nach Tags zusammengefasst sind. Tags können auch verwendet werden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Hinweise zum Markieren von KMS Schlüsseln finden Sie unter Tagging von Schlüsseln undABAC für AWS KMS.

  14. Wählen Sie Weiter.

  15. Wählen Sie im Abschnitt Schlüsseladministratoren die IAM Benutzer und Rollen aus, die den KMS Schlüssel verwalten können. Weitere Informationen finden Sie unter Ermöglicht Schlüsseladministratoren die Verwaltung des KMS Schlüssels.

    Anmerkung

    IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.

    IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

  16. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS Schlüssel löschen, deaktivieren Sie das Kästchen unten auf der Seite für Schlüsseladministratoren das Löschen dieses Schlüssels zulassen.

  17. Wählen Sie Weiter.

  18. Wählen Sie im Abschnitt Dieses Konto die IAM Benutzer und Rollen in diesem Bereich aus AWS-Konto die den KMS Schlüssel für kryptografische Operationen verwenden können. Weitere Informationen finden Sie unter Ermöglicht Schlüsselbenutzern die Verwendung des KMS Schlüssels.

    Anmerkung

    IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.

    IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.

  19. (Optional) Sie können andere zulassen AWS-Konten um diesen KMS Schlüssel für kryptografische Operationen zu verwenden. Um das zu tun, im Anderen AWS-KontenWählen Sie unten auf der Seite im Abschnitt Weitere hinzufügen aus AWS-Kontound geben Sie den AWS-Konto ID eines externen Kontos. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Administratoren des anderen AWS-Konten müssen auch den Zugriff auf den KMS Schlüssel ermöglichen, indem sie IAM Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  20. Wählen Sie Weiter.

  21. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  22. Wählen Sie danach Finish (Fertigstellen) aus.

Wenn das Verfahren erfolgreich ist, zeigt das Display den neuen KMS Schlüssel im AWS CloudHSM Schlüsselspeicher, den Sie ausgewählt haben. Wenn Sie den Namen oder Alias des neuen KMS Schlüssels wählen, wird auf der zugehörigen Detailseite auf der Registerkarte Kryptografische Konfiguration der Ursprung des KMS Schlüssels angezeigt (AWS CloudHSM), den Namen, die ID und den Typ des benutzerdefinierten Schlüsselspeichers sowie die ID des AWS CloudHSM Cluster. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.

Tipp

Um die Identifizierung von KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher zu vereinfachen, fügen Sie auf der Seite vom Kunden verwaltete Schlüssel die Spalte ID des benutzerdefinierten Schlüsselspeichers zur Anzeige hinzu. Klicken Sie auf das Zahnradsymbol rechts oben und wählen Sie dann Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers) aus. Details hierzu finden Sie unter Anpassen Ihrer Schlüsseltabellen KMS.

Erstellen Sie einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher (API)

Um ein neues zu erstellen AWS KMS key(KMSSchlüssel) in deinem AWS CloudHSM Schlüsselspeicher, benutze die CreateKeyOperation. Verwenden Sie den Parameter CustomKeyStoreId, um den benutzerdefinierten Schlüsselspeicher zu identifizieren und den Origin-Wert auf AWS_CLOUDHSM festzulegen.

Gegebenenfalls können Sie auch mit dem Parameter Policy eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie (PutKeyPolicy) jederzeit ändern und optionale Elemente wie eine Beschreibung und Tags hinzufügen.

Die Beispiele in diesem Abschnitt verwenden die AWS Command Line Interface (AWS CLI), aber Sie können jede unterstützte Programmiersprache verwenden.

Das folgende Beispiel beginnt mit einem Aufruf der DescribeCustomKeyStoresOperation, um zu überprüfen, ob AWS CloudHSM Der Schlüsselspeicher ist mit dem zugehörigen verbunden AWS CloudHSM Cluster. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Um nur ein bestimmtes zu beschreiben AWS CloudHSM Schlüsselspeicher, verwenden Sie seinen CustomKeyStoreName Parameter CustomKeyStoreId oder (aber nicht beide).

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

Anmerkung

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Der nächste Beispielbefehl verwendet den DescribeClustersVorgang, um zu überprüfen, ob AWS CloudHSM Der Cluster, der dem ExampleKeyStore (cluster-1a23b4cdefg) zugeordnet ist, hat mindestens zwei aktive. HSMs Wenn der Cluster weniger als zwei hat, schlägt der Vorgang fehl. HSMs CreateKey

$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}

In diesem Beispielbefehl wird der CreateKeyVorgang verwendet, um einen KMS Schlüssel in einem zu erstellen AWS CloudHSM Schlüsselspeicher. Um einen KMS Schlüssel in einem zu erstellen AWS CloudHSM Schlüsselspeicher, Sie müssen die benutzerdefinierte Schlüsselspeicher-ID des AWS CloudHSM Schlüsselspeicher und geben Sie einen Origin Wert von anAWS_CLOUDHSM.

Die Antwort beinhaltet die IDs des benutzerdefinierten Schlüsselspeichers und die AWS CloudHSM Cluster.

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}