Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erstellen Sie einen AWS CloudHSM Schlüsselspeicher
Sie können einen oder mehrere AWS CloudHSM Schlüsselspeicher in Ihrem Konto erstellen. Jeder AWS CloudHSM Schlüsselspeicher ist einem AWS CloudHSM Cluster in derselben AWS-Konto Region zugeordnet. Vor dem Erstellen des AWS CloudHSM -Schlüsselspeichers müssen Sie einige Voraussetzungen erfüllen. Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher verwenden können, müssen Sie ihn dann mit seinem AWS CloudHSM Cluster verbinden.
Hinweise
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne Verbindung zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück.
Sie müssen Ihren AWS CloudHSM Schlüsselspeicher nicht sofort verbinden. Sie können die Verbindung getrennt lassen, bis Sie zur Verwendung bereit sind. Wenn Sie jedoch prüfen möchten, ob die Konfiguration ordnungsgemäß erfolgt ist, können Sie eine Verbindung herstellen, den Verbindungsstatus anzeigen und anschließend die Verbindung wieder trennen.
Erfüllen der Voraussetzungen
Jeder AWS CloudHSM Schlüsselspeicher wird von einem AWS CloudHSM Cluster unterstützt. Um einen AWS CloudHSM Schlüsselspeicher zu erstellen, müssen Sie einen aktiven AWS CloudHSM Cluster angeben, der noch keinem anderen Schlüsselspeicher zugeordnet ist. Sie müssen außerdem einen dedizierten Crypto-Benutzer (CU) in den Clustern einrichtenHSMs, mit dem Sie Schlüssel in Ihrem Namen erstellen und verwalten AWS KMS können.
Bevor Sie einen AWS CloudHSM Schlüsselspeicher erstellen, gehen Sie wie folgt vor:
- Wählen Sie einen AWS CloudHSM Cluster aus
-
Jeder AWS CloudHSM Schlüsselspeicher ist genau einem AWS CloudHSM Cluster zugeordnet. Wenn Sie AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS erstellt die KMS wichtigsten Metadaten, z. B. eine ID und einen Amazon-Ressourcennamen (ARN) in AWS KMS. Anschließend wird das Schlüsselmaterial im HSMs zugehörigen Cluster erstellt. Sie können einen neuen AWS CloudHSM Cluster erstellen oder einen vorhandenen verwenden. AWS KMS erfordert keinen exklusiven Zugriff auf den Cluster.
Der AWS CloudHSM Cluster, den Sie auswählen, ist dauerhaft mit dem AWS CloudHSM Schlüsselspeicher verknüpft. Nachdem Sie den AWS CloudHSM Schlüsselspeicher erstellt haben, können Sie die Cluster-ID des zugehörigen Clusters ändern. Der von Ihnen angegebene Cluster muss jedoch einen Backup-Verlauf mit dem ursprünglichen Cluster gemeinsam nutzen. Um einen Cluster zu verwenden, der nichts miteinander zu tun hat, müssen Sie einen neuen AWS CloudHSM Schlüsselspeicher erstellen.
Der AWS CloudHSM Cluster, den Sie auswählen, muss die folgenden Eigenschaften aufweisen:
-
Der Cluster muss aktiv sein.
Sie müssen den Cluster erstellen, initialisieren, die AWS CloudHSM Client-Software für Ihre Plattform installieren und dann den Cluster aktivieren. Ausführliche Anweisungen finden Sie im Abschnitt Erste Schritte AWS CloudHSM im AWS CloudHSM -Benutzerhandbuch.
-
Der Cluster muss sich im selben Konto und in derselben Region wie der AWS CloudHSM Schlüsselspeicher befinden. Sie können einen AWS CloudHSM Schlüsselspeicher in einer Region nicht einem Cluster in einer anderen Region zuordnen. Um eine Schlüsselinfrastruktur in mehreren Regionen zu erstellen, müssen Sie in jeder Region AWS CloudHSM Schlüsselspeicher und Cluster erstellen.
-
Der Cluster kann nicht mit einem anderen benutzerdefinierten Schlüsselspeicher desselben Kontos und derselben Region verknüpft werden. Jeder AWS CloudHSM Schlüsselspeicher im Konto und in der Region muss einem anderen AWS CloudHSM Cluster zugeordnet sein. Sie können keinen Cluster angeben, der bereits einem benutzerdefinierten Schlüsselspeicher zugeordnet ist, und auch keinen Cluster, der einen gemeinsamen Sicherungsverlauf mit einem zugeordneten Cluster hat. Cluster mit einem gemeinsamen Sicherungsverlauf haben dasselbe Cluster-Zertifikat. Um das Clusterzertifikat eines Clusters anzuzeigen, verwenden Sie die AWS CloudHSM Konsole oder den DescribeClustersVorgang.
Wenn Sie einen AWS CloudHSM -Cluster in einer anderen Region sichern, wird er als anderer Cluster betrachtet, und Sie können die Sicherung mit einem benutzerdefinierten Schlüsselspeicher in seiner Region verknüpfen. Die KMS Schlüssel in den beiden benutzerdefinierten Schlüsselspeichern sind jedoch nicht interoperabel, selbst wenn sie denselben Backing-Schlüssel haben. AWS KMS bindet Metadaten an den Chiffretext, sodass dieser nur mit dem Schlüssel entschlüsselt werden kann, mit dem KMS er verschlüsselt wurde.
-
Der Cluster muss mit privaten Subnetzen in mindestens zwei Availability Zones in der Region konfiguriert werden. Da AWS CloudHSM dies nicht in allen Availability Zones unterstützt wird, empfehlen wir, private Subnetze in allen Availability Zones in der Region zu erstellen. Sie können die Subnetze für einen vorhandenen Cluster nicht neu konfigurieren, haben jedoch die Möglichkeit, einen Cluster von einer Sicherung zu erstellen, mit anderen Subnetzen in der Cluster-Konfiguration.
Wichtig
Nachdem Sie Ihren AWS CloudHSM Schlüsselspeicher erstellt haben, löschen Sie keines der privaten Subnetze, die für seinen AWS CloudHSM Cluster konfiguriert sind. Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche, eine Verbindung zum benutzerdefinierten Schlüsselspeicher herzustellen, fehl und es wird ein
SUBNET_NOT_FOUNDVerbindungsfehler angezeigt. Details hierzu finden Sie unter Beheben eines Verbindungsfehlers. -
Die Sicherheitsgruppe für den Cluster (
cloudhsm-cluster-) muss Regeln für eingehenden und ausgehenden Datenverkehr enthalten, die den TCP Datenverkehr an den Ports 2223-2225 zulassen. Die Angabe für Source (Quelle) in den eingehenden Regeln und für Destination (Ziel) in den ausgehenden Regeln muss mit der Sicherheitsgruppen-ID übereinstimmen. Diese Regeln werden standardmäßig festgelegt, wenn Sie den Cluster erstellen. Sie dürfen nicht gelöscht oder geändert werden.<cluster-id>-sg -
Der Cluster muss mindestens zwei aktive HSMs Mitglieder in unterschiedlichen Availability Zones enthalten. Verwenden Sie die AWS CloudHSM Konsole oder den DescribeClustersVorgangHSMs, um die Anzahl von zu überprüfen. Bei Bedarf können Sie eine hinzufügen HSM.
-
- Finden des Trust Anchor-Zertifikats
-
Wenn Sie einen benutzerdefinierten Schlüsselspeicher erstellen, müssen Sie das Trust Anchor-Zertifikat für den AWS CloudHSM Cluster hochladen AWS KMS. AWS KMS benötigt das Trust Anchor-Zertifikat, um den AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster zu verbinden.
Jeder aktive AWS CloudHSM Cluster verfügt über ein Trust Anchor-Zertifikat. Wenn Sie den Cluster initialisieren, generieren Sie dieses Zertifikat, speichern es in der Datei
customerCA.crtund kopieren es auf Hosts, die eine Verbindung zu dem Cluster herstellen. - Erstellen Sie den
kmsuserCrypto-Benutzer für AWS KMS -
Um Ihren AWS CloudHSM Schlüsselspeicher zu verwalten, melden Sie AWS KMS sich beim kmsuserCrypto User (CU) -Konto im ausgewählten Cluster an. Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen, müssen Sie die
kmsuserCU erstellen. Wenn Sie dann Ihren AWS CloudHSM Schlüsselspeicher erstellen, geben Sie das Passwort fürkmsuserto ein AWS KMS. Immer wenn Sie den AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbinden, AWS KMS meldet sich das Passwort als ankmsuserund wechselt das PasswortkmsuserWichtig
Geben Sie nicht die Option
2FAbeim Erstellen deskmsuser-CU an. Wenn Sie dies tun, AWS KMS können Sie sich nicht anmelden und Ihr AWS CloudHSM Schlüsselspeicher kann nicht mit diesem AWS CloudHSM Cluster verbunden werden. Wenn Sie 2FA angeben, können Sie dies nicht rückgängig machen. Sie müssen dann den CU löschen und neu erstellen.Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool Cloud HSM CLI. Die Cloud HSM CLI ersetzt
key-handledurchkey-reference.Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das Cloud HSM Management Utility (CMU) und das Key Management Utility (KMU), eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie HSM CLI im AWS CloudHSM Benutzerhandbuch unter Migration von Client SDK 3 CMU und KMU zu Client SDK 5 Cloud.
-
Folgen Sie den Anleitungen für die ersten Schritte, wie sie im Abschnitt Erste Schritte mit der HSM Cloud-Befehlszeilenschnittstelle (CLI) im AWS CloudHSM Benutzerhandbuch beschrieben sind.
-
Verwenden Sie den Befehl user create, um eine CU mit dem Namen zu erstellen
kmsuser.Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig.
Der folgende Beispielbefehl erstellt eine
kmsuserCU.aws-cloudhsm >user create --username kmsuser --role crypto-userEnter password: Confirm password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
-
Erstellen Sie einen neuen AWS CloudHSM Schlüsselspeicher
Nachdem Sie die Voraussetzungen zusammengestellt haben, können Sie in der AWS KMS Konsole oder mithilfe des CreateCustomKeyStoreVorgangs einen neuen AWS CloudHSM Schlüsselspeicher erstellen.
Wenn Sie in der einen AWS CloudHSM Schlüsselspeicher erstellen AWS Management Console, können Sie die erforderlichen Komponenten als Teil Ihres Workflows hinzufügen und erstellen. Der Prozess ist jedoch schneller, wenn Sie die Voraussetzungen schon vorab erfüllt haben.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Wählen Sie im Navigationsbereich Custom key stores (benutzerdefinierte Schlüsselspeicher) AWS CloudHSM -Schlüsselspeicher aus.
-
Wählen Sie Einen Schlüsselspeicher erstellen aus.
-
Geben Sie einen Anzeigenamen für den benutzerdefinierten Schlüsselspeicher ein. Der Name muss unter allen beutzerdefinierten Schlüsselspeichern in Ihrem Konto eindeutig sein.
Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
-
Wählen Sie einen AWS CloudHSM Cluster für den AWS CloudHSM Schlüsselspeicher aus. Oder, um einen neuen AWS CloudHSM Cluster zu erstellen, wählen Sie den Link AWS CloudHSM Cluster erstellen.
Im Menü werden die AWS CloudHSM Cluster in Ihrem Konto und Ihrer Region angezeigt, die noch keinem AWS CloudHSM Schlüsselspeicher zugeordnet sind. Der Cluster muss die Anforderungen für die Zuordnung zu einem benutzerdefinierten Schlüsselspeicher erfüllen.
-
Wählen Sie Datei auswählen und laden Sie dann das Trust Anchor-Zertifikat für den ausgewählten AWS CloudHSM Cluster hoch. Dies ist die Datei
customerCA.crt, die Sie bei der Initialisierung des Clusters erstellt haben. -
Geben Sie das Passwort des kmsuser-Kryptobenutzers (CU) ein, den Sie in dem ausgewählten Cluster erstellt haben.
-
Wählen Sie Create (Erstellen) aus.
Wenn das Verfahren erfolgreich ist, wird der neue AWS CloudHSM Schlüsselspeicher in der Liste der AWS CloudHSM Schlüsselspeicher im Konto und in der Region angezeigt. Bei nicht erfolgreicher Ausführung wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt Fehlerbehebung für einen Custom Key Store.
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne Verbindung zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück.
Weiter: Neue AWS CloudHSM Schlüsselspeicher werden nicht automatisch verbunden. Bevor Sie AWS KMS keys im AWS CloudHSM Schlüsselspeicher etwas erstellen können, müssen Sie den benutzerdefinierten Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbinden.
Sie können den CreateCustomKeyStoreVorgang verwenden, um einen neuen AWS CloudHSM Schlüsselspeicher zu erstellen, der einem AWS CloudHSM Cluster im Konto und in der Region zugeordnet ist. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Für die Produktion CreateCustomKeyStore sind folgende Parameterwerte erforderlich.
-
CustomKeyStoreName — Ein benutzerfreundlicher Name für den benutzerdefinierten Schlüsselspeicher, der für das Konto eindeutig ist.
Wichtig
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
-
CloudHsmClusterId — Die Cluster-ID eines AWS CloudHSM Clusters, der die Anforderungen für einen AWS CloudHSM Schlüsselspeicher erfüllt.
-
KeyStorePassword — Das Passwort des
kmsuserCU-Kontos im angegebenen Cluster. -
TrustAnchorCertificate — Der Inhalt der
customerCA.crtDatei, die Sie bei der Initialisierung des Clusters erstellt haben.
Im folgenden Beispiel wird eine fiktive Cluster-ID verwendet. Ersetzen Sie diese vor Ausführung des Befehls durch eine gültige Cluster-ID.
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificate<certificate-goes-here>
Wenn Sie die verwenden AWS CLI, können Sie die Trust-Anker-Zertifikatsdatei anstelle ihres Inhalts angeben. Im folgenden Beispiel befindet sich die Datei customerCA.crt im Stammverzeichnis.
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificatefile://customerCA.crt
Bei einer erfolgreichen Produktion gibt CreateCustomKeyStore die ID des benutzerdefinierten Schlüsselspeichers zurück, wie in der folgenden Beispielantwort dargestellt.
{ "CustomKeyStoreId": cks-1234567890abcdef0 }
Wenn die Produktion fehlschlägt, korrigieren Sie den in der Ausnahme angegebenen Fehler und versuchen Sie es erneut. Weitere Informationen finden Sie unter Fehlerbehebung für einen Custom Key Store.
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne Verbindung zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück.
Weiter: Um den AWS CloudHSM Schlüsselspeicher zu verwenden, verbinden Sie ihn mit seinem AWS CloudHSM Cluster.
