Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fehlerbehebung für einen Custom Key Store
AWS CloudHSM wichtige Geschäfte sind so konzipiert, dass sie verfügbar und belastbar sind. Es gibt jedoch einige Fehlerbedingungen, die Sie möglicherweise beheben müssen, um Ihren AWS CloudHSM Schlüsselspeicher betriebsbereit zu halten.
Themen
- Wie repariert man nicht verfügbare KMS Schlüssel
- Wie repariert man einen fehlerhaften Schlüssel KMS
- Beheben eines Verbindungsfehlers
- Wie man auf Fehler bei kryptografischen Produktionen reagiert
- Reparieren ungültiger kmsuser-Anmeldeinformationen
- Löschen von verwaistem Schlüsselmaterial
- Wie kann ich gelöschtes Schlüsselmaterial für einen KMS Schlüssel wiederherstellen
- Anmeldung als kmsuser
Wie repariert man nicht verfügbare KMS Schlüssel
Der Schlüsselstatus von AWS KMS keys in einem AWS CloudHSM Schlüsselspeicher ist normalerweiseEnabled. Wie bei allen KMS Schlüsseln ändert sich der Schlüsselstatus, wenn Sie die KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren oder ihre Löschung planen. Im Gegensatz zu anderen KMS Schlüsseln können die KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher jedoch auch den Schlüsselstatus habenUnavailable.
Der Schlüsselstatus von Unavailable gibt an, dass sich der KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher befindet, dessen Verbindung absichtlich getrennt wurde. Versuche, die Verbindung erneut herzustellen, sind fehlgeschlagen. Solange ein KMS Schlüssel nicht verfügbar ist, können Sie ihn anzeigen und verwalten, aber Sie können ihn nicht für kryptografische Operationen verwenden. KMS
Den Schlüsselstatus eines KMS Schlüssels finden Sie auf der Seite Vom Kunden verwaltete Schlüssel im Statusfeld des KMS Schlüssels. Oder verwenden Sie die DescribeKeyOperation und sehen Sie sich das KeyState Element in der Antwort an. Details hierzu finden Sie unter Schlüssel identifizieren und anzeigen.
Die KMS Schlüssel in einem getrennten benutzerdefinierten Schlüsselspeicher haben den Schlüsselstatus Unavailable oderPendingDeletion. KMSSchlüssel, deren Löschung aus einem benutzerdefinierten Schlüsselspeicher geplant ist, haben einen Pending Deletion Schlüsselstatus, auch wenn der benutzerdefinierte Schlüsselspeicher getrennt ist. Auf diese Weise können Sie die geplante Löschung des Schlüssels stornieren, ohne dass Sie erneut eine Verbindung mit dem Custom Key Store herstellen müssen.
Um einen nicht verfügbaren KMS Schlüssel zu reparieren, stellen Sie erneut eine Verbindung zum benutzerdefinierten Schlüsselspeicher her. Nachdem der benutzerdefinierte Schlüsselspeicher wieder verbunden wurde, wird der Schlüsselstatus der KMS Schlüssel im benutzerdefinierten Schlüsselspeicher automatisch auf den vorherigen Zustand zurückgesetzt, z. B. Enabled oder. Disabled KMSSchlüssel, deren Löschung noch aussteht, behalten ihren PendingDeletion Status. Das Problem besteht zwar weiterhin, aber das Aktivieren und Deaktivieren eines nicht verfügbaren KMS Schlüssels ändert seinen Schlüsselstatus nicht. Das Aktivieren und Deaktivieren wirkt sich erst aus, wenn der Schlüssel wieder verfügbar ist.
Für Hilfe bei fehlgeschlagenen Verbindungen vgl. Beheben eines Verbindungsfehlers.
Wie repariert man einen fehlerhaften Schlüssel KMS
Probleme bei der Erstellung und Verwendung von KMS Schlüsseln in AWS CloudHSM Schlüsselspeichern können durch ein Problem mit Ihrem AWS CloudHSM Schlüsselspeicher, dem zugehörigen AWS CloudHSM Cluster, dem KMS Schlüssel oder dem zugehörigen Schlüsselmaterial verursacht werden.
Wenn ein AWS CloudHSM Schlüsselspeicher von seinem AWS CloudHSM Cluster getrennt wird, lautet der Schlüsselstatus der KMS Schlüssel im benutzerdefinierten Schlüsselspeicher. Unavailable Alle Anfragen zum Erstellen von KMS Schlüsseln in einem getrennten AWS CloudHSM Schlüsselspeicher geben eine CustomKeyStoreInvalidStateException Ausnahme zurück. Alle Anforderungen zum Verschlüsseln, erneuten Verschlüsseln oder zum Generieren von Datenschlüsseln führen zu der Ausnahme KMSInvalidStateException. Um das Problem zu beheben, stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher erneut her.
Ihre Versuche, einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher für kryptografische Operationen zu verwenden, können jedoch fehlschlagen, selbst wenn der Schlüsselstatus Enabled und der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers gleich sind. Connected Dies kann durch eine der folgenden Ursachen bedingt sein.
-
Das Schlüsselmaterial für den KMS Schlüssel wurde möglicherweise aus dem zugehörigen AWS CloudHSM Cluster gelöscht. Suchen Sie zur Untersuchung die Schlüssel-ID des Schlüsselmaterials für einen KMS Schlüssel und versuchen Sie gegebenenfalls, das Schlüsselmaterial wiederherzustellen.
-
Alle HSMs wurden aus dem AWS CloudHSM Cluster gelöscht, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Um einen Schlüssel in einem KMS AWS CloudHSM Schlüsselspeicher in einem kryptografischen Vorgang verwenden zu können, muss der zugehörige AWS CloudHSM Cluster mindestens einen aktiven HSM Schlüssel enthalten. Verwenden Sie die AWS CloudHSM Konsole oder den DescribeClustersVorgang, um die Anzahl und den Status von HSMs in einem AWS CloudHSM Cluster zu überprüfen. Verwenden Sie die AWS CloudHSM Konsole oder den CreateHsmVorgang, HSM um einen zum Cluster hinzuzufügen.
-
Der dem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster wurde gelöscht. Um das Problem zu beheben, erstellen Sie einen Cluster aus einer Sicherung, die mit dem ursprünglichen Cluster verbunden ist, oder aus einer Sicherung, die zur Erstellung des ursprünglichen Clusters verwendet wurde. Bearbeiten Sie dann die Cluster-ID in den Einstellungen für den Custom Key Store. Detaillierte Anweisungen finden Sie unter Wie kann ich gelöschtes Schlüsselmaterial für einen KMS Schlüssel wiederherstellen.
-
Der dem benutzerdefinierten Schlüsselspeicher zugeordnete AWS CloudHSM Cluster hatte keine verfügbaren PKCS #11 -Sitzungen. Dies tritt normalerweise in Zeiten mit hohem Burst-Verkehr auf, wenn zusätzliche Sitzungen erforderlich sind, um den Datenverkehr zu bedienen. Um auf eine
KMSInternalExceptionFehlermeldung zu PKCS #11 -Sitzungen zu antworten, brechen Sie den Vorgang ab und wiederholen Sie die Anfrage.
Beheben eines Verbindungsfehlers
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster zu verbinden, der Vorgang jedoch fehlschlägt, ändert sich der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers aufFAILED. Um den Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers zu ermitteln, verwenden Sie die AWS KMS
Konsole oder den DescribeCustomKeyStoresVorgang.
Alternativ können einige Verbindungsversuche aufgrund leicht zu erkennender Cluster-Konfigurationsfehler fehlschlagen. In diesem Fall lautet der Verbindungsstatus immer noch DISCONNECTED. Diese Fehler geben eine Fehlermeldung oder Ausnahme mit einer Begründung für den fehlgeschlagenen Verbindungsversuch zurück. Lesen Sie die Beschreibung der Ausnahme und die Clusteranforderungen, beheben Sie das Problem, aktualisieren Sie gegebenenfalls den AWS CloudHSM Schlüsselspeicher und versuchen Sie erneut, eine Verbindung herzustellen.
Wenn der Verbindungsstatus lautetFAILED, führen Sie den DescribeCustomKeyStoresVorgang aus und sehen Sie sich das ConnectionErrorCode Element in der Antwort an.
Anmerkung
Wenn der Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers lautetFAILED, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, bevor Sie erneut versuchen können, eine Verbindung herzustellen. Sie können einen AWS CloudHSM Schlüsselspeicher mit einem FAILED Verbindungsstatus nicht verbinden.
-
CLUSTER_NOT_FOUNDgibt an, dass AWS KMS kein AWS CloudHSM Cluster mit der angegebenen Cluster-ID gefunden werden kann. Dies kann auftreten, weil für einen API Vorgang die falsche Cluster-ID angegeben wurde oder der Cluster gelöscht und nicht ersetzt wurde. Um diesen Fehler zu beheben, überprüfen Sie die Cluster-ID, z. B. mithilfe der AWS CloudHSM Konsole oder mithilfe des DescribeClustersVorgangs. Wenn der Cluster gelöscht wurde, erstellen Sie einen Cluster aus einer möglichst neuen Sicherung des Originals. Trennen Sie dann die Verbindung AWS CloudHSM zum Schlüsselspeicher, bearbeiten Sie die AWS CloudHSM Cluster-ID-Einstellung für den Schlüsselspeicher und verbinden Sie den AWS CloudHSM Schlüsselspeicher erneut mit dem Cluster. -
INSUFFICIENT_CLOUDHSM_HSMSgibt an, dass der zugehörige AWS CloudHSM Cluster keine HSMs enthält. Um eine Verbindung herzustellen, muss der Cluster über mindestens einen verfügenHSM. Verwenden Sie die DescribeClustersOperation, um die Nummer von HSMs im Cluster zu ermitteln. Um diesen Fehler zu beheben, fügen Sie dem Cluster mindestens einen HSM hinzu. Wenn Sie mehrere hinzufügenHSMs, ist es am besten, sie in verschiedenen Availability Zones zu erstellen. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNETgibt an, dass der AWS CloudHSM Schlüsselspeicher nicht mit seinem AWS CloudHSM Cluster verbunden werden AWS KMS konnte, weil mindestens ein dem Cluster zugeordnetes privates Subnetz keine verfügbaren IP-Adressen hat. Eine AWS CloudHSM Schlüsselspeicherverbindung erfordert eine freie IP-Adresse in jedem der zugehörigen privaten Subnetze, obwohl zwei vorzuziehen sind.Sie können einem vorhandenen Subnetz keine IP-Adressen (CIDRBlöcke) hinzufügen
. Verschieben oder löschen Sie nach Möglichkeit andere Ressourcen, die die IP-Adressen im Subnetz verwenden, z. B. ungenutzte EC2 Instances oder elastische Netzwerkschnittstellen. Andernfalls können Sie einen Cluster aus einer aktuellen Sicherung des AWS CloudHSM Clusters mit neuen oder vorhandenen privaten Subnetzen, die über mehr freien Adressraum verfügen, erstellen. Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher, ändern Sie die Cluster-ID des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen. Tipp
Verwenden Sie das neueste Backup des Clusters, um ein Zurücksetzen des kmsuser Kennworts zu vermeiden. AWS CloudHSM
-
INTERNAL_ERRORgibt an, dass die Anfrage aufgrund eines internen Fehlers nicht abgeschlossen werden AWS KMS konnte. Wiederholen Sie die Anforderung. Trennen Sie beiConnectCustomKeyStoreAnfragen die Verbindung zum AWS CloudHSM Schlüsselspeicher, bevor Sie erneut versuchen, eine Verbindung herzustellen. -
INVALID_CREDENTIALSgibt an, dass AWS KMS man sich nicht beim zugehörigen AWS CloudHSM Cluster anmelden kann, weil er nicht das richtigekmsuserKontopasswort hat. Für Unterstützung bei diesem Fehler vgl. Reparieren ungültiger kmsuser-Anmeldeinformationen. -
NETWORK_ERRORSweist normalerweise auf vorübergehende Netzwerkprobleme hin. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, warten Sie einige Minuten und versuchen Sie erneut, eine Verbindung herzustellen. -
SUBNET_NOT_FOUNDgibt an, dass mindestens ein Subnetz in der AWS CloudHSM Clusterkonfiguration gelöscht wurde. Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche fehl, den AWS CloudHSM Schlüsselspeicher mit dem AWS CloudHSM Cluster zu verbinden.Um diesen Fehler zu beheben, erstellen Sie einen Cluster aus einer aktuellen Sicherung desselben AWS CloudHSM Clusters. (Bei diesem Vorgang wird eine neue Clusterkonfiguration mit einem VPC und privaten Subnetzen erstellt.) Stellen Sie sicher, dass der neue Cluster die Anforderungen für einen benutzerdefinierten Schlüsselspeicher erfüllt, und notieren Sie sich die neue Cluster-ID. Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, trennen Sie den benutzerdefinierten Schlüsselspeicher, ändern Sie die Cluster-ID des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
Tipp
Verwenden Sie das neueste Backup des Clusters, um ein Zurücksetzen des kmsuser Kennworts zu vermeiden. AWS CloudHSM
-
USER_LOCKED_OUTgibt an, dass das kmsuser-Kryptobenutzer (CU)-Konto aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. Reparieren ungültiger kmsuser-Anmeldeinformationen.Um diesen Fehler zu beheben, trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher und verwenden Sie den Befehl user change-password in der Cloud, um das Kontopasswort HSM CLI zu ändern.
kmsuserBearbeiten Sie dann die kmsuser-Passworteinstellung für den Custom Key Store, und versuchen Sie erneut, eine Verbindung herzustellen. Falls Sie Hilfe benötigen, verwenden Sie die Vorgehensweise aus dem Thema Reparieren ungültiger kmsuser-Anmeldeinformationen. -
USER_LOGGED_INgibt an, dass daskmsuserCU-Konto beim zugehörigen AWS CloudHSM Cluster angemeldet ist. Dadurch wird AWS KMS verhindert, dass daskmsuserKontopasswort geändert und die Anmeldung am Cluster erfolgt. Melden Sie denkmsuser-CU vom Cluster ab, um diesen Fehler zu beheben. Wenn Sie daskmsuserPasswort für die Anmeldung am Cluster geändert haben, müssen Sie auch den Wert des Schlüsselspeicherkennworts für den AWS CloudHSM Schlüsselspeicher aktualisieren. Weitere Informationen dazu finden Sie unter Abmelden und erneutes Verbinden. -
USER_NOT_FOUNDgibt an, dass im zugehörigen AWS CloudHSM Cluster AWS KMS keinkmsuserCU-Konto gefunden werden kann. Um diesen Fehler zu beheben, erstellen Sie ein kmsuser CU-Konto im Cluster und aktualisieren Sie dann den Kennwortwert des Schlüsselspeichers für den AWS CloudHSM Schlüsselspeicher. Weitere Informationen dazu finden Sie unter Reparieren ungültiger kmsuser-Anmeldeinformationen.
Wie man auf Fehler bei kryptografischen Produktionen reagiert
Ein kryptografischer Vorgang, der einen KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwendet, schlägt möglicherweise mit einem KMSInvalidStateException fehl. Die folgenden Fehlermeldungen könnten dem KMSInvalidStateException beiliegen.
| KMSkann nicht mit Ihrem HSM Cloud-Cluster kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn Sie diesen Fehler wiederholt sehen, überprüfen Sie, ob die Netzwerk ACLs - und Sicherheitsgruppenregeln für Ihren AWS CloudHSM Cluster korrekt sind. VPC |
-
Obwohl es sich um einen HTTPS 400-Fehler handelt, kann er auf vorübergehende Netzwerkprobleme zurückzuführen sein. Um zu antworten, versuchen Sie zunächst die Anforderung erneut. Wenn es jedoch weiterhin fehlschlägt, überprüfen Sie die Konfiguration der Netzwerkkomponenten. Dieser Fehler wird höchstwahrscheinlich durch die Fehlkonfiguration einer Netzwerkkomponente verursacht, z. B. einer Firewallregel oder einer VPC Sicherheitsgruppenregel, die ausgehenden Datenverkehr blockiert.
| KMSkann nicht mit Ihrem AWS CloudHSM Cluster kommunizieren, da der kmsuser gesperrt ist. Wenn dieser Fehler wiederholt auftritt, trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher und setzen Sie das Kennwort für das kmsuser-Konto zurück. Aktualisieren Sie das kmsuser-Passwort für den benutzerdefinierten Schlüsselspeicher und versuchen Sie es erneut mit der Anfrage. |
-
Diese Fehlermeldung gibt an, dass das kmsuser-Crypto-Benutzer (CU)-Konto aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. Trennen und Anmelden.
Reparieren ungültiger kmsuser-Anmeldeinformationen
Wenn Sie eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herstellen, AWS KMS meldet er sich als kmsuserCrypto User (CU) beim zugehörigen AWS CloudHSM Cluster an. Er bleibt angemeldet, bis die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird. Die DescribeCustomKeyStoresAntwort zeigt einen Wert ConnectionState von FAILED und einen ConnectionErrorCode Wert vonINVALID_CREDENTIALS, wie im folgenden Beispiel gezeigt.
Wenn Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen und das kmsuser Passwort ändern, AWS KMS
können Sie sich nicht mit den Anmeldeinformationen des kmsuser CU-Kontos beim AWS CloudHSM Cluster anmelden. Daher schlagen alle Versuche fehl, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen. Die Antwort DescribeCustomKeyStores meldet ConnectionState als FAILED und ConnectionErrorCode mit dem Wert INVALID_CREDENTIALS (siehe folgendes Beispiel).
$aws kms describe-custom-key-stores --custom-key-store-nameExampleKeyStore{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Weiterhin gilt, dass, AWS CloudHSM nach fünf fehlgeschlagenen Anmeldeversuchen bei dem Cluster mit einem inkorrekten Passwort das Benutzerkonto sperrt. Zur Anmeldung bei dem Cluster müssen Sie das Kontopasswort ändern.
Wenn beim Versuch, sich als kmsuser CU beim Cluster anzumelden, eine Sperrantwort angezeigt AWS KMS wird, schlägt die Anforderung, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen, fehl. Die DescribeCustomKeyStoresAntwort enthält einen Wert ConnectionState von FAILED und einen ConnectionErrorCode Wert vonUSER_LOCKED_OUT, wie im folgenden Beispiel gezeigt.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleKeyStore{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Gehen Sie zum Beheben eines dieser Zustände wie folgt vor.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher.
-
Führen Sie den DescribeCustomKeyStoresVorgang aus und zeigen Sie den Wert des
ConnectionErrorCodeElements in der Antwort an.-
Wenn der
ConnectionErrorCode-WertINVALID_CREDENTIALSist, ermitteln Sie das aktuelle Passwort für daskmsuser-Konto. Verwenden Sie bei Bedarf den Befehl user change-password in Cloud HSMCLI, um das Passwort auf einen bekannten Wert festzulegen. -
Wenn der
ConnectionErrorCodeWert lautetUSER_LOCKED_OUT, müssen Sie den Befehl user change-password in Cloud verwenden, um das Passwort HSM CLI zu ändern.kmsuser
-
-
Bearbeiten Sie die kmsuser Passworteinstellung, so dass sie dem aktuellen
kmsuser-Passwort in dem Cluster entspricht. Diese Aktion weist AWS KMS an, welches Passwort für die Anmeldung bei dem Cluster zu verwenden ist. Daskmsuser-Passwort in dem Cluster wird nicht geändert.
Löschen von verwaistem Schlüsselmaterial
Nachdem Sie das Löschen eines KMS Schlüssels aus einem AWS CloudHSM Schlüsselspeicher geplant haben, müssen Sie das entsprechende Schlüsselmaterial möglicherweise manuell aus dem zugehörigen AWS CloudHSM Cluster löschen.
Wenn Sie einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen, werden die KMS Schlüsselmetadaten im zugehörigen AWS CloudHSM Cluster AWS KMS erstellt AWS KMS und das Schlüsselmaterial generiert. Wenn Sie das Löschen eines KMS Schlüssels in einem AWS CloudHSM Schlüsselspeicher planen, werden die KMS Schlüsselmetadaten nach Ablauf der Wartezeit AWS KMS gelöscht. AWS KMS bemüht sich dann nach besten Kräften, das entsprechende Schlüsselmaterial aus dem AWS CloudHSM Cluster zu löschen. Der Versuch schlägt möglicherweise fehl, wenn AWS KMS kein Zugriff auf den Cluster möglich ist, z. B. wenn die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird oder das kmsuser Passwort geändert wird. AWS KMS versucht nicht, Schlüsselmaterial aus Cluster-Backups zu löschen.
AWS KMS meldet die Ergebnisse seines Versuchs, das Schlüsselmaterial aus dem Cluster zu löschen, im DeleteKey Ereigniseintrag Ihrer AWS CloudTrail Protokolle. Es erscheint im backingKeysDeletionStatus-Element des additionalEventData-Elements, wie im folgenden Beispieleintrag gezeigt. Der Eintrag enthält auch den KMS SchlüsselARN, die AWS CloudHSM Cluster-ID und die ID (backing-key-id) des Schlüsselmaterials.
{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool Cloud HSM CLI. Die Cloud HSM CLI ersetzt key-handle durchkey-reference.
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das Cloud HSM Management Utility (CMU) und das Key Management Utility (KMU), eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie HSM CLI im AWS CloudHSM Benutzerhandbuch unter Migration von Client SDK 3 CMU und KMU zu Client SDK 5 Cloud.
Die folgenden Verfahren zeigen, wie das verwaiste Schlüsselmaterial aus dem zugehörigen AWS CloudHSM Cluster gelöscht wird.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich an, wie unter beschrieben. Trennen und Anmelden
Anmerkung
Solange ein benutzerdefinierter Schlüsselspeicher getrennt ist, schlagen alle Versuche fehl, KMS Schlüssel im benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS Schlüssel für kryptografische Operationen zu verwenden. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
-
Verwenden Sie den Befehl key delete in Cloud HSMCLI, um den Schlüssel aus dem Cluster HSMs zu löschen.
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein
additionalEventDataFeld mit demcustomKeyStoreIdundbackingKey. Der imbackingKeyIdFeld zurückgegebene Wert ist das HSMidCloud-Schlüsselattribut. Wir empfehlen, den Vorgang zum Löschen von Schlüsseln danachidzu filtern, dass das verwaiste Schlüsselmaterial gelöscht wird, das Sie in Ihren CloudTrail Protokollen identifiziert haben.AWS CloudHSM erkennt den
backingKeyIdWert als Hexadezimalwert. Um nach zu filternid, müssen Sie das mit voranstellen.backingKeyIdOxWenn das beispielsweisebackingKeyIdin Ihrem CloudTrail Protokoll steht1a2b3c45678abcdef, würden Sie nach0x1a2b3c45678abcdeffiltern.Das folgende Beispiel löscht einen Schlüssel aus HSMs Ihrem Cluster. Der
backing-key-idist im CloudTrail Protokolleintrag aufgeführt. Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispielbacking-key-iddurch ein gültiges Beispiel aus Ihrem Konto.aws-cloudhsmkey delete --filter attr.id="0x<backing-key-id>"{ "error_code": 0, "data": { "message": "Key deleted successfully" } } -
Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschriebenAbmelden und erneutes Verbinden.
Wie kann ich gelöschtes Schlüsselmaterial für einen KMS Schlüssel wiederherstellen
Wenn das Schlüsselmaterial für einen gelöscht AWS KMS key wird, ist der KMS Schlüssel unbrauchbar und der gesamte Chiffretext, der unter dem KMS Schlüssel verschlüsselt wurde, kann nicht entschlüsselt werden. Dies kann passieren, wenn das Schlüsselmaterial für einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM Es kann jedoch möglich sein, das Schlüsselmaterial wiederherzustellen.
Wenn Sie einen AWS KMS key (KMSSchlüssel) in einem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS meldet er sich beim zugehörigen AWS CloudHSM Cluster an und erstellt das Schlüsselmaterial für den KMS Schlüssel. Außerdem wird das Passwort in einen Wert geändert, den nur es kennt, und es bleibt angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist. Da nur der Schlüsselbesitzer, d. h. die CU, die einen Schlüssel erstellt hat, den Schlüssel löschen kann, ist es unwahrscheinlich, dass der Schlüssel HSMs versehentlich aus dem Schlüssel gelöscht wird.
Wenn jedoch das Schlüsselmaterial für einen KMS Schlüssel aus dem HSMs Cluster gelöscht wird, ändert sich der Schlüsselstatus des KMS Schlüssels irgendwann aufUNAVAILABLE. Wenn Sie versuchen, den KMS Schlüssel für einen kryptografischen Vorgang zu verwenden, schlägt der Vorgang mit einer KMSInvalidStateException Ausnahme fehl. Am wichtigsten ist, dass alle Daten, die unter dem KMS Schlüssel verschlüsselt wurden, nicht entschlüsselt werden können.
Unter bestimmten Umständen können Sie das gelöschte Schlüsselmaterial wiederherstellen, indem Sie einen Cluster aus einem Backup erstellen, das das Schlüsselmaterial enthält. Diese Strategie funktioniert nur, wenn mindestens eine Sicherung erstellt wurde, während der Schlüssel vorhanden war und bevor er gelöscht wurde.
Gehen Sie wie folgt vor, um das Schlüsselmaterial wiederherzustellen.
-
Suchen Sie ein Cluster-Backup, das das Schlüsselmaterial enthält. Die Sicherung muss dazu alle Benutzer und Schlüssel enthalten, die zur Unterstützung des Clusters und seiner verschlüsselten Daten erforderlich sind.
Verwenden Sie den DescribeBackupsVorgang, um die Backups für einen Cluster aufzulisten. Verwenden Sie dann den Sicherung-Zeitstempel, um eine Sicherung auszuwählen. Um die Ausgabe auf den Cluster zu beschränken, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist, verwenden Sie den
FiltersParameter, wie im folgenden Beispiel gezeigt.$aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] } -
Erstellen Sie einen Cluster aus der ausgewählten Sicherung. Prüfen Sie, ob die Sicherung den gelöschten Schlüssel sowie weitere Benutzer und Schlüssel enthält, die für den Cluster erforderlich sind.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, damit Sie seine Eigenschaften bearbeiten können.
-
Bearbeiten Sie die Cluster-ID des AWS CloudHSM Schlüsselspeichers. Geben Sie die Cluster-ID des Clusters ein, den Sie aus der Sicherung erstellt haben. Da der Cluster seinen Sicherungsverlauf mit dem ursprünglichen Cluster gemeinsam hat, sollte die neue Cluster-ID gültig sein.
-
Stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her.
Anmeldung als kmsuser
AWS KMS Verwendet das kmsuserCrypto User (CU) -Konto, um das AWS CloudHSM Schlüsselmaterial im AWS CloudHSM Cluster für Ihren Schlüsselspeicher zu erstellen und zu verwalten. Sie erstellen das kmsuser CU-Konto in Ihrem Cluster und geben das zugehörige Passwort an, AWS KMS wenn Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen.
AWS KMS Verwaltet im Allgemeinen das kmsuser Konto. Für einige Aufgaben müssen Sie jedoch die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, sich als kmsuser CU beim Cluster anmelden und die HSMCloud-Befehlszeilenschnittstelle (CLI) verwenden.
Anmerkung
Solange ein benutzerdefinierter Schlüsselspeicher getrennt ist, schlagen alle Versuche fehl, KMS Schlüssel im benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS Schlüssel für kryptografische Operationen zu verwenden. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
In diesem Thema wird erklärt, wie Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen und sich anmeldenkmsuser, das AWS CloudHSM Befehlszeilentool ausführen, sich abmelden und den Schlüsselspeicher erneut verbinden können AWS CloudHSM.
Trennen und Anmelden
Gehen Sie jedes Mal wie folgt vor, wenn Sie sich als kmsuser Crypto-Benutzer bei einem zugehörigen Cluster anmelden müssen.
Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool Cloud HSM CLI. Die Cloud HSM CLI ersetzt key-handle durchkey-reference.
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das Cloud HSM Management Utility (CMU) und das Key Management Utility (KMU), eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie HSM CLI im AWS CloudHSM Benutzerhandbuch unter Migration von Client SDK 3 CMU und KMU zu Client SDK 5 Cloud.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls die Verbindung nicht bereits getrennt ist. Sie können die AWS KMS Konsole verwenden oder AWS KMS API.
Solange Ihr AWS CloudHSM Schlüssel verbunden ist, AWS KMS ist er angemeldet als
kmsuser. Dadurch wird verhindert, dass Sie sich alskmsuseranmelden oder daskmsuser-Passwort ändern.Dieser Befehl dient beispielsweise dazu, DisconnectCustomKeyStoredie Verbindung zu einem Beispiel-Schlüsselspeicher zu trennen. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Verwenden Sie den Login-Befehl, um sich als Administrator anzumelden. Verwenden Sie die im HSM CLI Abschnitt „Cloud verwenden“ des AWS CloudHSM Benutzerhandbuchs beschriebenen Verfahren.
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Verwenden Sie den Befehl user change-password in Cloud HSMCLI, um das Passwort des
kmsuserKontos in ein Passwort zu ändern, das Sie kennen. (wechselt AWS KMS das Passwort, wenn Sie eine Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher herstellen.) Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig. -
Melden Sie sich
kmsusermit dem von Ihnen festgelegten Passwort an. Eine ausführliche Anleitung finden Sie im HSM CLI Abschnitt „Cloud verwenden“ des AWS CloudHSM Benutzerhandbuchs.aws-cloudhsm >login --username kmsuser --role crypto-userEnter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Abmelden und erneutes Verbinden
Gehen Sie jedes Mal wie folgt vor, wenn Sie sich als kmsuser Crypto-Benutzer abmelden und die Verbindung zu Ihrem Schlüsselspeicher erneut herstellen müssen.
Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool Cloud HSM CLI. Die Cloud HSM CLI ersetzt key-handle durchkey-reference.
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das Cloud HSM Management Utility (CMU) und das Key Management Utility (KMU), eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie HSM CLI im AWS CloudHSM Benutzerhandbuch unter Migration von Client SDK 3 CMU und KMU zu Client SDK 5 Cloud.
-
Führen Sie die Aufgabe aus und melden Sie sich dann mit dem Befehl logout in Cloud HSM CLI ab. Wenn Sie sich nicht abmelden, schlagen Versuche fehl, die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher wiederherzustellen.
aws-cloudhsmlogout{ "error_code": 0, "data": "Logout successful" } -
Bearbeiten Sie die kmsuser-Passworteinstellung für den Custom Key Store.
Dies gibt AWS KMS das aktuelle Passwort für den Cluster
kmsuseran. Wenn Sie diesen Schritt auslassen, können AWS KMS Sie sich nicht als beim Cluster anmeldenkmsuser, und alle Versuche, die Verbindung zu Ihrem benutzerdefinierten Schlüsselspeicher wiederherzustellen, schlagen fehl. Sie können die AWS KMS Konsole oder denKeyStorePasswordParameter des Vorgangs verwenden. UpdateCustomKeyStoreDieser Befehl teilt beispielsweise mit AWS KMS , dass das aktuelle Passwort lautet
tempPassword. Ersetzen Sie das Beispielpasswort durch das tatsächliche Passwort.$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--key-store-passwordtempPassword -
Verbinden Sie den AWS KMS Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige. AWS KMS Ändert das
kmsuserPasswort während des Verbindungsvorgangs in einen Wert, den nur das Unternehmen kennt.Der ConnectCustomKeyStoreVorgang kehrt schnell zurück, der Verbindungsvorgang kann jedoch längere Zeit in Anspruch nehmen. Die erste Reaktion ist kein Zeichen für den Erfolg des Verbindungsvorgangs.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
In diesem Beispiel zeigt das Feld Verbindungsstatus, dass der AWS CloudHSM Schlüsselspeicher jetzt verbunden ist.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
