Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen

PDF
RSS
Fokusmodus
Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen - AWS Key Management Service
Erstellen Sie einen neuen KMS-Schlüssel in Ihrem CloudHSM-Schlüsselspeicher

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nachdem Sie einen AWS CloudHSM Schlüsselspeicher erstellt haben, können Sie ihn AWS KMS keys in Ihrem Schlüsselspeicher erstellen. Es muss sich um KMS-Schlüssel mit symmetrischer Verschlüsselung und AWS KMS generiertem Schlüsselmaterial handeln. Sie können asymmetrische KMS-Schlüssel, HMAC-KMS-Schlüssel oder KMS-Schlüssel mit importiertem Schlüsselmaterial nicht in einem benutzerdefinierten Schlüsselspeicher erstellen. Außerdem können Sie auch keine KMS-Schlüssel mit symmetrischer Verschlüsselung in einem benutzerdefinierten Schlüsselspeicher verwenden, um asymmetrische Datenschlüsselpaare zu generieren.

Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen, muss der AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbunden sein und der Cluster muss mindestens zwei aktive Schlüssel HSMs in unterschiedlichen Availability Zones enthalten. Den Verbindungsstatus und die Anzahl der HSMs Verbindungen finden Sie auf der Seite mit den AWS CloudHSM Schlüsselspeichern in der AWS Management Console. Wenn Sie die API-Operationen verwenden, verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Verwenden Sie den AWS CloudHSM DescribeClustersVorgang, um die Anzahl der aktiven Personen HSMs im Cluster und deren Availability Zones zu überprüfen.

Wenn Sie einen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS wird der KMS-Schlüssel in erstellt AWS KMS. Es erstellt jedoch das Schlüsselmaterial für den KMS-Schlüssel im zugehörigen AWS CloudHSM Cluster. Insbesondere AWS KMS meldet es sich als die von Ihnen erstellte kmsuser CU beim Cluster an. Anschließend erstellt AWS KMS einen persistenten, nicht extrahierbaren, symmetrischen 256-Bit-AES-Schlüssel (Advanced Encryption Standard) in dem Cluster und legt den Wert für das Schlüsselbezeichnungsattribut, das nur innerhalb des Clusters sichtbar ist, auf den Amazon-Ressourcenname (ARN) des KMS-Schlüssel fest.

Wenn der Befehl erfolgreich ausgeführt wurde, lautet der Schlüsselstatus des neuen KMS-Schlüssels Enabled und der Ursprung AWS_CLOUDHSM. Der Ursprung eines KMS-Schlüssels kann nicht mehr geändert werden, nachdem Sie ihn erstellt haben. Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des DescribeKeyVorgangs anzeigen, können Sie typische Eigenschaften wie die Schlüssel-ID, den Schlüsselstatus und das Erstellungsdatum sehen. Daneben können Sie aber auch die ID des benutzerdefinierten Schlüsselspeichers sowie (optional) die AWS CloudHSM -Cluster-ID.

Wenn Ihr Versuch, einen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu erstellen, fehlschlägt, können Sie anhand der Fehlermeldung die Ursache ermitteln. Dies kann darauf hindeuten, dass der AWS CloudHSM Schlüsselspeicher nicht verbunden ist (CustomKeyStoreInvalidStateException) oder HSMs dass der zugehörige AWS CloudHSM Cluster nicht über die beiden aktiven Elemente verfügt, die für diesen Vorgang erforderlich sind (CloudHsmClusterInvalidConfigurationException). Weitere Informationen dazu finden Sie unter Fehlerbehebung für einen Custom Key Store.

Ein Beispiel für das AWS CloudTrail Protokoll des Vorgangs, bei dem ein KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellt wird, finden Sie unterCreateKey.

Erstellen Sie einen neuen KMS-Schlüssel in Ihrem CloudHSM-Schlüsselspeicher

Sie können einen KMS-Schlüssel mit symmetrischer Verschlüsselung in Ihrem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des Vorgangs erstellen. CreateKey

Gehen Sie wie folgt vor, um einen KMS-Schlüssel mit symmetrischer Verschlüsselung in einem AWS CloudHSM Schlüsselspeicher zu erstellen.

Anmerkung

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie Symmetric (Symmetrisch).

  6. Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht.

  7. Wählen Sie Advanced options (Erweiterte Optionen) aus.

  8. Wählen Sie unter Ursprung des Schlüsselmaterials die Option AWS CloudHSM -Schlüsselspeicher aus.

    Sie können keinen Schlüssel für mehrere Regionen in einem Schlüsselspeicher erstellen. AWS CloudHSM

  9. Wählen Sie Weiter.

  10. Wählen Sie einen AWS CloudHSM Schlüsselspeicher für Ihren neuen KMS-Schlüssel aus. Um einen neuen AWS CloudHSM Schlüsselspeicher zu erstellen, wählen Sie Benutzerdefinierten Schlüsselspeicher erstellen.

    Der AWS CloudHSM Schlüsselspeicher, den Sie auswählen, muss den Status Verbunden haben. Der zugehörige AWS CloudHSM Cluster muss aktiv sein und mindestens zwei aktive Cluster HSMs in unterschiedlichen Availability Zones enthalten.

    Hilfe zum Herstellen einer Verbindung mit einem AWS CloudHSM Schlüsselspeicher finden Sie unterVerbindung zu einem AWS CloudHSM Schlüsselspeicher trennen. Hilfe zum Hinzufügen HSMs finden Sie unter Hinzufügen eines HSM im AWS CloudHSM Benutzerhandbuch.

  11. Wählen Sie Weiter.

  12. Geben Sie einen Alias und eine optionale Beschreibung für den KMS-Schlüssel ein.

  13. (Optional). Fügen Sie auf der Seite Add Tags (Tags hinzufügen) Tags hinzu, um Ihre KMS-Schlüssel identifizieren zu können und sie zu kategorisieren.

    Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Schlagworte in AWS KMS und ABAC für AWS KMS.

  14. Wählen Sie Weiter.

  15. Sie können im Abschnitt Key administrators (Schlüsseladministratoren) die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwalten dürfen. Weitere Informationen finden Sie unter Erlaubt Schlüsseladministratoren die Verwaltung des KMS-Schlüssels.

    Hinweise

    Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssel auch über IAM-Richtlinien erhalten.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID "Allow access for Key Administrators" wichtige Administratoren hinzu. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

  16. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS-Schlüssel löschen, deaktivieren Sie das Kontrollkästchen unten auf der Seite neben Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen).

  17. Wählen Sie Weiter.

  18. Wählen Sie im Abschnitt Dieses Konto die IAM-Benutzer und -Rollen aus AWS-Konto , die den KMS-Schlüssel für kryptografische Operationen verwenden können. Weitere Informationen finden Sie unter Erlaubt Schlüsselbenutzern die Verwendung des KMS-Schlüssels.

    Hinweise

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen "Allow use of the key" und Schlüsselbenutzer hinzu. "Allow attachment of persistent resources" Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

  19. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt Andere die Option Weiteres hinzufügen aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Administratoren der anderen AWS-Konten müssen ebenfalls Zugriff auf den KMS-Schlüssel gewähren, indem sie IAM-Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  20. Wählen Sie Weiter.

  21. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie Bearbeiten aus.

  22. Wählen Sie Weiter.

  23. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  24. Wählen Sie danach Finish (Fertigstellen) aus.

Wenn der Vorgang erfolgreich ist, wird auf dem Display der neue KMS-Schlüssel in dem von Ihnen ausgewählten AWS CloudHSM Schlüsselspeicher angezeigt. Wenn Sie den Namen oder Alias des neuen KMS-Schlüssels wählen, werden auf der zugehörigen Detailseite auf der Registerkarte Kryptografische Konfiguration der Ursprung des KMS-Schlüssels (AWS CloudHSM), der Name, die ID und der Typ des benutzerdefinierten Schlüsselspeichers sowie die ID des AWS CloudHSM Clusters angezeigt. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.

Tipp

Sie können die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher leichter identifizieren, wenn Sie auf der Seite Customer managed keys (kundenverwaltete Schlüssel) festlegen, dass die Spalte Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers) angezeigt wird. Klicken Sie auf das Zahnradsymbol rechts oben und wählen Sie dann Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers) aus. Details hierzu finden Sie unter Passen Sie Ihre Konsolenansicht an.

Gehen Sie wie folgt vor, um einen KMS-Schlüssel mit symmetrischer Verschlüsselung in einem AWS CloudHSM Schlüsselspeicher zu erstellen.

Anmerkung

Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.

  4. Klicken Sie auf Create key.

  5. Wählen Sie Symmetric (Symmetrisch).

  6. Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht.

  7. Wählen Sie Advanced options (Erweiterte Optionen) aus.

  8. Wählen Sie unter Ursprung des Schlüsselmaterials die Option AWS CloudHSM -Schlüsselspeicher aus.

    Sie können keinen Schlüssel für mehrere Regionen in einem Schlüsselspeicher erstellen. AWS CloudHSM

  9. Wählen Sie Weiter.

  10. Wählen Sie einen AWS CloudHSM Schlüsselspeicher für Ihren neuen KMS-Schlüssel aus. Um einen neuen AWS CloudHSM Schlüsselspeicher zu erstellen, wählen Sie Benutzerdefinierten Schlüsselspeicher erstellen.

    Der AWS CloudHSM Schlüsselspeicher, den Sie auswählen, muss den Status Verbunden haben. Der zugehörige AWS CloudHSM Cluster muss aktiv sein und mindestens zwei aktive Cluster HSMs in unterschiedlichen Availability Zones enthalten.

    Hilfe zum Herstellen einer Verbindung mit einem AWS CloudHSM Schlüsselspeicher finden Sie unterVerbindung zu einem AWS CloudHSM Schlüsselspeicher trennen. Hilfe zum Hinzufügen HSMs finden Sie unter Hinzufügen eines HSM im AWS CloudHSM Benutzerhandbuch.

  11. Wählen Sie Weiter.

  12. Geben Sie einen Alias und eine optionale Beschreibung für den KMS-Schlüssel ein.

  13. (Optional). Fügen Sie auf der Seite Add Tags (Tags hinzufügen) Tags hinzu, um Ihre KMS-Schlüssel identifizieren zu können und sie zu kategorisieren.

    Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Markierungen können auch verwendet werden, um den Zugriff auf einen KMS-Schlüssel zu steuern. Weitere Informationen über das Markieren von KMS-Schlüsseln finden Sie unter Schlagworte in AWS KMS und ABAC für AWS KMS.

  14. Wählen Sie Weiter.

  15. Sie können im Abschnitt Key administrators (Schlüsseladministratoren) die IAM-Benutzer und -Rollen auswählen, die den KMS-Schlüssel verwalten dürfen. Weitere Informationen finden Sie unter Erlaubt Schlüsseladministratoren die Verwaltung des KMS-Schlüssels.

    Hinweise

    Daneben können IAM-Benutzer und -Rollen die erforderlichen Berechtigungen zur Verwendung des KMS-Schlüssel auch über IAM-Richtlinien erhalten.

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter der Anweisungs-ID "Allow access for Key Administrators" wichtige Administratoren hinzu. Eine Änderung dieser Anweisungs-ID kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Anweisung vornehmen.

  16. (Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS-Schlüssel löschen, deaktivieren Sie das Kontrollkästchen unten auf der Seite neben Allow key administrators to delete this key (Administratoren erlauben, diesen Schlüssel zu löschen).

  17. Wählen Sie Weiter.

  18. Wählen Sie im Abschnitt Dieses Konto die IAM-Benutzer und -Rollen aus AWS-Konto , die den KMS-Schlüssel für kryptografische Operationen verwenden können. Weitere Informationen finden Sie unter Erlaubt Schlüsselbenutzern die Verwendung des KMS-Schlüssels.

    Hinweise

    Bewährte IAM-Methoden raten von der Verwendung von IAM-Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM-Rollen, die temporäre Anmeldeinformationen bereitstellen. Weitere Informationen finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

    Die AWS KMS Konsole fügt der Schlüsselrichtlinie unter den Anweisungskennungen "Allow use of the key" und Schlüsselbenutzer hinzu. "Allow attachment of persistent resources" Das Ändern dieser Anweisungskennungen kann sich darauf auswirken, wie die Konsole Aktualisierungen anzeigt, die Sie an der Aussage vornehmen.

  19. (Optional) Sie können anderen erlauben, diesen KMS-Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt Andere die Option Weiteres hinzufügen aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.

    Anmerkung

    Administratoren der anderen AWS-Konten müssen ebenfalls Zugriff auf den KMS-Schlüssel gewähren, indem sie IAM-Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern in anderen Konten die Verwendung des KMS-Schlüssels erlauben.

  20. Wählen Sie Weiter.

  21. Lesen Sie die wichtigsten Richtlinienerklärungen für den Schlüssel. Um Änderungen an der wichtigsten Richtlinie vorzunehmen, wählen Sie Bearbeiten aus.

  22. Wählen Sie Weiter.

  23. Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.

  24. Wählen Sie danach Finish (Fertigstellen) aus.

Wenn der Vorgang erfolgreich ist, wird auf dem Display der neue KMS-Schlüssel in dem von Ihnen ausgewählten AWS CloudHSM Schlüsselspeicher angezeigt. Wenn Sie den Namen oder Alias des neuen KMS-Schlüssels wählen, werden auf der zugehörigen Detailseite auf der Registerkarte Kryptografische Konfiguration der Ursprung des KMS-Schlüssels (AWS CloudHSM), der Name, die ID und der Typ des benutzerdefinierten Schlüsselspeichers sowie die ID des AWS CloudHSM Clusters angezeigt. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.

Tipp

Sie können die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher leichter identifizieren, wenn Sie auf der Seite Customer managed keys (kundenverwaltete Schlüssel) festlegen, dass die Spalte Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers) angezeigt wird. Klicken Sie auf das Zahnradsymbol rechts oben und wählen Sie dann Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers) aus. Details hierzu finden Sie unter Passen Sie Ihre Konsolenansicht an.

Verwenden Sie den CreateKeyVorgang, um einen neuen AWS KMS key ( AWS CloudHSM KMS-Schlüssel) in Ihrem Schlüsselspeicher zu erstellen. Verwenden Sie den Parameter CustomKeyStoreId, um den benutzerdefinierten Schlüsselspeicher zu identifizieren und den Origin-Wert auf AWS_CLOUDHSM festzulegen.

Gegebenenfalls können Sie auch mit dem Parameter Policy eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie (PutKeyPolicy) jederzeit ändern und optionale Elemente wie eine Beschreibung und Tags hinzufügen.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Das folgende Beispiel beginnt mit einem Aufruf des DescribeCustomKeyStoresVorgangs, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbunden ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Um nur einen bestimmten AWS CloudHSM Schlüsselspeicher zu beschreiben, verwenden Sie dessen CustomKeyStoreName Parameter CustomKeyStoreId oder (aber nicht beide).

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

Anmerkung

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Der nächste Beispielbefehl verwendet den DescribeClustersVorgang, um zu überprüfen, ob der AWS CloudHSM Cluster, der dem ExampleKeyStore (cluster-1a23b4cdefg) zugeordnet ist, mindestens zwei aktive Cluster hat. HSMs Wenn der Cluster weniger als zwei hat, schlägt der Vorgang fehl. HSMs CreateKey

$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}

In diesem Beispielbefehl wird der CreateKeyVorgang verwendet, um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen. Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen, müssen Sie die benutzerdefinierte Schlüsselspeicher-ID des AWS CloudHSM Schlüsselspeichers und den Origin Wert angebenAWS_CLOUDHSM.

Die Antwort umfasst die IDs des benutzerdefinierten Schlüsselspeichers und des AWS CloudHSM Clusters.

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}

Verwenden Sie den CreateKeyVorgang, um einen neuen AWS KMS key ( AWS CloudHSM KMS-Schlüssel) in Ihrem Schlüsselspeicher zu erstellen. Verwenden Sie den Parameter CustomKeyStoreId, um den benutzerdefinierten Schlüsselspeicher zu identifizieren und den Origin-Wert auf AWS_CLOUDHSM festzulegen.

Gegebenenfalls können Sie auch mit dem Parameter Policy eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie (PutKeyPolicy) jederzeit ändern und optionale Elemente wie eine Beschreibung und Tags hinzufügen.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Das folgende Beispiel beginnt mit einem Aufruf des DescribeCustomKeyStoresVorgangs, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbunden ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Um nur einen bestimmten AWS CloudHSM Schlüsselspeicher zu beschreiben, verwenden Sie dessen CustomKeyStoreName Parameter CustomKeyStoreId oder (aber nicht beide).

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

Anmerkung

Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description oder Tags ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Der nächste Beispielbefehl verwendet den DescribeClustersVorgang, um zu überprüfen, ob der AWS CloudHSM Cluster, der dem ExampleKeyStore (cluster-1a23b4cdefg) zugeordnet ist, mindestens zwei aktive Cluster hat. HSMs Wenn der Cluster weniger als zwei hat, schlägt der Vorgang fehl. HSMs CreateKey

$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}

In diesem Beispielbefehl wird der CreateKeyVorgang verwendet, um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen. Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen, müssen Sie die benutzerdefinierte Schlüsselspeicher-ID des AWS CloudHSM Schlüsselspeichers und den Origin Wert angebenAWS_CLOUDHSM.

Die Antwort umfasst die IDs des benutzerdefinierten Schlüsselspeichers und des AWS CloudHSM Clusters.

Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.