Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS CloudHSM wichtige Geschäfte sind so konzipiert, dass sie verfügbar und belastbar sind. Es gibt jedoch einige Fehlerbedingungen, die Sie möglicherweise beheben müssen, um Ihren AWS CloudHSM Schlüsselspeicher betriebsbereit zu halten.
Themen
So reparieren Sie nicht-verfügbare KMS-Schlüssel
Der Schlüsselstatus von AWS KMS keys in einem AWS CloudHSM Schlüsselspeicher ist in der RegelEnabled. Wie bei allen KMS-Schlüsseln ändert sich der Schlüsselstatus, wenn Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren oder ihre Löschung planen. Im Gegensatz zu anderen KMS-Schlüsseln können die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher aber auch den Schlüsselstatus Unavailable haben.
Der Schlüsselstatus Unavailable gibt an, dass sich der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher befindet, der absichtlich getrennt wurde und eventuelle Versuche, die Verbindung wiederherzustellen, fehlgeschlagen sind. Wenn ein KMS-Schlüssel nicht verfügbar ist, können Sie ihn anzeigen und verwalten, ihn jedoch nicht für kryptographische Produktionen verwenden.
Um den Schlüsselstatus eines KMS-Schlüssels zu ermitteln, zeigen Sie auf der Seite Customer managed keys (kundenverwaltete Schlüssel) das Feld Status des KMS-Schlüssels an. Oder verwenden Sie den DescribeKeyVorgang und sehen Sie sich das KeyState Element in der Antwort an. Details hierzu finden Sie unter Schlüssel identifizieren und anzeigen.
Die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher haben den Schlüsselstatus Unavailable oder PendingDeletion. KMS-Schlüssel, die zur Löschung aus einem benutzerdefinierten Schlüsselspeicher geplant sind, haben den Schlüsselstatus Pending Deletion, auch wenn der benutzerdefinierten Schlüsselspeicher getrennt ist. Auf diese Weise können Sie die geplante Löschung des Schlüssels stornieren, ohne dass Sie erneut eine Verbindung mit dem Custom Key Store herstellen müssen.
Um die Nichtverfügbarkeit eines KMS-Schlüssels zu beheben, verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder. Wenn der benutzerdefinierten Schlüsselspeicher wieder verbunden ist, wechselt der Schlüsselstatus der KMS-Schlüssels im benutzerdefinierten Schlüsselspeicher automatisch wieder zum vorherigen Zustand, etwa zu Enabled oder Disabled. KMS-Schlüssel, die zur Löschung ausstehen, bleiben im Status PendingDeletion. Während das Problem bestehen bleibt, ändert das Aktivieren und Deaktivieren eines nicht-verfügbaren KMS-Schlüssels dessen Schlüsselstatus nicht. Das Aktivieren und Deaktivieren wirkt sich erst aus, wenn der Schlüssel wieder verfügbar ist.
Für Hilfe bei fehlgeschlagenen Verbindungen vgl. Beheben eines Verbindungsfehlers.
Beheben eines fehlerhaften KMS-Schlüssels
Probleme bei der Erstellung und Verwendung von KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern können durch ein Problem mit Ihrem AWS CloudHSM Schlüsselspeicher, dem zugehörigen AWS CloudHSM Cluster, dem KMS-Schlüssel oder dem zugehörigen Schlüsselmaterial verursacht werden.
Wenn ein AWS CloudHSM Schlüsselspeicher von seinem AWS CloudHSM Cluster getrennt wird, lautet der Schlüsselstatus der KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher. Unavailable Alle Anfragen zur Erstellung von KMS-Schlüsseln in einem getrennten AWS CloudHSM Schlüsselspeicher geben eine CustomKeyStoreInvalidStateException Ausnahme zurück. Alle Anforderungen zum Verschlüsseln, erneuten Verschlüsseln oder zum Generieren von Datenschlüsseln führen zu der Ausnahme KMSInvalidStateException. Um das Problem zu beheben, stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher erneut her.
Ihre Versuche, einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher für kryptografische Operationen zu verwenden, können jedoch fehlschlagen, selbst wenn sein Schlüsselstatus Enabled und der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers ist. Connected Dies kann durch eine der folgenden Ursachen bedingt sein.
-
Möglicherweise wurde das Schlüsselmaterial für den KMS-Schlüssel von dem zugehörigen AWS CloudHSM -Cluster gelöscht. Suchen Sie zur Untersuchung nach der Schlüssel-ID des Schlüsselmaterials für einen KMS-Schlüssel und versuchen Sie gegebenenfalls, das Schlüsselmaterial wiederherzustellen.
-
Alle HSMs wurden aus dem AWS CloudHSM Cluster gelöscht, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in einem kryptografischen Vorgang verwenden zu können, muss der zugehörige AWS CloudHSM Cluster mindestens ein aktives HSM enthalten. Verwenden Sie die AWS CloudHSM Konsole oder den Vorgang, um die Anzahl und den Status von HSMs in einem AWS CloudHSM Cluster zu überprüfen. DescribeClusters Verwenden Sie die AWS CloudHSM Konsole oder den CreateHsmVorgang, um dem Cluster ein HSM hinzuzufügen.
-
Der dem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster wurde gelöscht. Um das Problem zu beheben, erstellen Sie einen Cluster aus einer Sicherung, die mit dem ursprünglichen Cluster verbunden ist, oder aus einer Sicherung, die zur Erstellung des ursprünglichen Clusters verwendet wurde. Bearbeiten Sie dann die Cluster-ID in den Einstellungen für den Custom Key Store. Detaillierte Anweisungen finden Sie unter Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel.
-
Für den AWS CloudHSM Cluster, der dem benutzerdefinierten Schlüsselspeicher zugeordnet war, waren keine PKCS #11 -Sitzungen verfügbar. Dies tritt normalerweise in Zeiten mit hohem Burst-Verkehr auf, wenn zusätzliche Sitzungen erforderlich sind, um den Datenverkehr zu bedienen. Um auf eine
KMSInternalExceptionmit einer Fehlermeldung über PKCS#11-Sitzungen zu antworten, gehen Sie zurück und wiederholen Sie die Anfrage.
Beheben eines Verbindungsfehlers
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster zu verbinden, der Vorgang jedoch fehlschlägt, ändert sich der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers aufFAILED. Um den Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers zu ermitteln, verwenden Sie die AWS KMS
Konsole oder den DescribeCustomKeyStoresVorgang.
Alternativ können einige Verbindungsversuche aufgrund leicht zu erkennender Cluster-Konfigurationsfehler fehlschlagen. In diesem Fall lautet der Verbindungsstatus immer noch DISCONNECTED. Diese Fehler geben eine Fehlermeldung oder Ausnahme mit einer Begründung für den fehlgeschlagenen Verbindungsversuch zurück. Lesen Sie die Beschreibung der Ausnahme und die Clusteranforderungen, beheben Sie das Problem, aktualisieren Sie gegebenenfalls den AWS CloudHSM Schlüsselspeicher und versuchen Sie erneut, eine Verbindung herzustellen.
Wenn der Verbindungsstatus lautetFAILED, führen Sie den DescribeCustomKeyStoresVorgang aus und sehen Sie sich das ConnectionErrorCode Element in der Antwort an.
Anmerkung
Wenn der Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers lautetFAILED, müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, bevor Sie erneut versuchen können, eine Verbindung herzustellen. Sie können einen AWS CloudHSM Schlüsselspeicher mit einem FAILED Verbindungsstatus nicht verbinden.
-
CLUSTER_NOT_FOUNDgibt an, dass AWS KMS kein AWS CloudHSM Cluster mit der angegebenen Cluster-ID gefunden werden kann. Dies kann auftreten, wenn die falsche Cluster-ID für eine API-Produktion bereitgestellt wurde, oder wenn der Cluster gelöscht und nicht ersetzt wurde. Um diesen Fehler zu beheben, überprüfen Sie die Cluster-ID, z. B. mithilfe der AWS CloudHSM Konsole oder mithilfe des DescribeClustersVorgangs. Wenn der Cluster gelöscht wurde, erstellen Sie einen Cluster aus einer möglichst neuen Sicherung des Originals. Trennen Sie dann die Verbindung AWS CloudHSM zum Schlüsselspeicher, bearbeiten Sie die AWS CloudHSM Cluster-ID-Einstellung für den Schlüsselspeicher und verbinden Sie den AWS CloudHSM Schlüsselspeicher erneut mit dem Cluster. -
INSUFFICIENT_CLOUDHSM_HSMSgibt an, dass der zugehörige AWS CloudHSM Cluster keine HSMs enthält. Zum herstellen einer Verbindung muss der Cluster mindestens über ein HSM verfügen. Verwenden Sie die DescribeClustersOperation, um die Nummer von HSMs im Cluster zu ermitteln. Um diesen Fehler zu beheben, fügen Sie mindestens ein HSM dem Cluster hinzu. Wenn Sie mehrere hinzufügen HSMs, ist es am besten, sie in verschiedenen Availability Zones zu erstellen. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNETgibt an, dass der AWS CloudHSM Schlüsselspeicher nicht mit seinem AWS CloudHSM Cluster verbunden werden AWS KMS konnte, weil mindestens ein dem Cluster zugeordnetes privates Subnetz keine verfügbaren IP-Adressen hat. Eine AWS CloudHSM Schlüsselspeicherverbindung erfordert eine freie IP-Adresse in jedem der zugehörigen privaten Subnetze, obwohl zwei vorzuziehen sind.Sie können in einem vorhandenen Subnetz keine IP-Adressen
(CIDR-Blöcke) hinzufügen. Verschieben oder löschen Sie nach Möglichkeit andere Ressourcen, die die IP-Adressen im Subnetz verwenden, z. B. ungenutzte EC2 Instances oder elastische Netzwerkschnittstellen. Andernfalls können Sie einen Cluster aus einer aktuellen Sicherung des AWS CloudHSM Clusters mit neuen oder vorhandenen privaten Subnetzen erstellen, die über mehr freien Adressraum verfügen. Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher, ändern Sie die Cluster-ID des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen. Tipp
Verwenden Sie das neueste Backup des Clusters, um ein Zurücksetzen des kmsuser Kennworts zu vermeiden. AWS CloudHSM
-
INTERNAL_ERRORgibt an, dass die Anfrage aufgrund eines internen Fehlers nicht abgeschlossen werden AWS KMS konnte. Wiederholen Sie die Anforderung. Trennen Sie beiConnectCustomKeyStoreAnfragen die Verbindung zum AWS CloudHSM Schlüsselspeicher, bevor Sie erneut versuchen, eine Verbindung herzustellen. -
INVALID_CREDENTIALSgibt an, dass AWS KMS man sich nicht beim zugehörigen AWS CloudHSM Cluster anmelden kann, weil er nicht das richtigekmsuserKontopasswort hat. Für Unterstützung bei diesem Fehler vgl. Reparieren ungültiger kmsuser-Anmeldeinformationen. -
NETWORK_ERRORSweist normalerweise auf vorübergehende Netzwerkprobleme hin. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, warten Sie einige Minuten und versuchen Sie erneut, eine Verbindung herzustellen. -
SUBNET_NOT_FOUNDgibt an, dass mindestens ein Subnetz in der AWS CloudHSM Clusterkonfiguration gelöscht wurde. Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche fehl, den AWS CloudHSM Schlüsselspeicher mit dem AWS CloudHSM Cluster zu verbinden.Um diesen Fehler zu beheben, erstellen Sie einen Cluster aus einer aktuellen Sicherung desselben AWS CloudHSM Clusters. (Dieser Prozess erstellt eine neue Clusterkonfiguration mit einer VPC und privaten Subnetzen.) Stellen Sie sicher, dass der neue Cluster die Anforderungen für einen benutzerdefinierten Schlüsselspeicher erfüllt, und notieren Sie sich die neue Cluster-ID. Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher, ändern Sie die Cluster-ID des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
Tipp
Verwenden Sie das neueste Backup des Clusters, um ein Zurücksetzen des kmsuser Kennworts zu vermeiden. AWS CloudHSM
-
USER_LOCKED_OUTgibt an, dass das kmsuser-Kryptobenutzer (CU)-Konto aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. Reparieren ungültiger kmsuser-Anmeldeinformationen.Um diesen Fehler zu beheben, trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher und verwenden Sie den Befehl user change-password in der CloudHSM CLI, um das Kontopasswort zu ändern.
kmsuserBearbeiten Sie dann die kmsuser-Passworteinstellung für den Custom Key Store, und versuchen Sie erneut, eine Verbindung herzustellen. Falls Sie Hilfe benötigen, verwenden Sie die Vorgehensweise aus dem Thema Reparieren ungültiger kmsuser-Anmeldeinformationen. -
USER_LOGGED_INgibt an, dass daskmsuserCU-Konto beim zugehörigen Cluster angemeldet ist. AWS CloudHSM Dadurch wird AWS KMS verhindert, dass daskmsuserKontopasswort geändert und die Anmeldung am Cluster erfolgt. Melden Sie denkmsuser-CU vom Cluster ab, um diesen Fehler zu beheben. Wenn Sie daskmsuserPasswort für die Anmeldung am Cluster geändert haben, müssen Sie auch den Wert des Schlüsselspeicherkennworts für den AWS CloudHSM Schlüsselspeicher aktualisieren. Weitere Informationen dazu finden Sie unter Abmelden und erneutes Verbinden. -
USER_NOT_FOUNDgibt an, dass im zugehörigen AWS CloudHSM Cluster AWS KMS keinkmsuserCU-Konto gefunden werden kann. Um diesen Fehler zu beheben, erstellen Sie ein kmsuser CU-Konto im Cluster und aktualisieren Sie dann den Kennwortwert des Schlüsselspeichers für den AWS CloudHSM Schlüsselspeicher. Weitere Informationen dazu finden Sie unter Reparieren ungültiger kmsuser-Anmeldeinformationen.
Wie man auf Fehler bei kryptografischen Produktionen reagiert
Eine kryptografische Produktion, die einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwendet, schlägt möglicherweise mit einem KMSInvalidStateException fehl. Die folgenden Fehlermeldungen könnten dem KMSInvalidStateException beiliegen.
| KMS kann nicht mit Ihrem CloudHSM-Cluster kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob die Netzwerk ACLs - und Sicherheitsgruppenregeln für die VPC Ihres AWS CloudHSM Clusters korrekt sind. |
-
Obwohl dies ein HTTPS-400-Fehler ist, kann es auf vorübergehende Netzwerkprobleme zurückzuführen sein. Um zu antworten, versuchen Sie zunächst die Anforderung erneut. Wenn es jedoch weiterhin fehlschlägt, überprüfen Sie die Konfiguration der Netzwerkkomponenten. Dieser Fehler wird höchstwahrscheinlich durch die Fehlkonfiguration einer Netzwerkkomponente verursacht, z. B. eine Firewall-Regel oder eine VPC -Sicherheitsgruppen-Regel, die ausgehenden Datenverkehr blockiert.
| KMS kann nicht mit Ihrem AWS CloudHSM Cluster kommunizieren, da der kmsuser gesperrt ist. Wenn dieser Fehler wiederholt auftritt, trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher und setzen Sie das Kennwort für das kmsuser-Konto zurück. Aktualisieren Sie das kmsuser-Passwort für den benutzerdefinierten Schlüsselspeicher und versuchen Sie es erneut mit der Anfrage. |
-
Diese Fehlermeldung gibt an, dass das kmsuser-Crypto-Benutzer (CU)-Konto aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. Trennen und Anmelden.
Reparieren ungültiger kmsuser-Anmeldeinformationen
Wenn Sie eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herstellen, AWS KMS meldet er sich als kmsuserCrypto User (CU) beim zugehörigen AWS CloudHSM Cluster an. Er bleibt angemeldet, bis die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird. Die Antwort DescribeCustomKeyStores meldet ConnectionState als FAILED und ConnectionErrorCode mit dem Wert INVALID_CREDENTIALS (siehe folgendes Beispiel).
Wenn Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen und das kmsuser Passwort ändern, AWS KMS
können Sie sich nicht mit den Anmeldeinformationen des kmsuser CU-Kontos beim AWS CloudHSM Cluster anmelden. Daher schlagen alle Versuche fehl, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen. Die Antwort DescribeCustomKeyStores meldet ConnectionState als FAILED und ConnectionErrorCode mit dem Wert INVALID_CREDENTIALS (siehe folgendes Beispiel).
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}Weiterhin gilt, dass, AWS CloudHSM nach fünf fehlgeschlagenen Anmeldeversuchen bei dem Cluster mit einem inkorrekten Passwort das Benutzerkonto sperrt. Zur Anmeldung bei dem Cluster müssen Sie das Kontopasswort ändern.
Wenn beim Versuch, sich als kmsuser CU beim Cluster anzumelden, eine Sperrantwort angezeigt AWS KMS wird, schlägt die Anforderung, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen, fehl. Die DescribeCustomKeyStoresAntwort enthält einen Wert ConnectionState von FAILED und einen ConnectionErrorCode Wert vonUSER_LOCKED_OUT, wie im folgenden Beispiel gezeigt.
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}Gehen Sie zum Beheben eines dieser Zustände wie folgt vor.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher.
-
Führen Sie den DescribeCustomKeyStoresVorgang aus und zeigen Sie den Wert des
ConnectionErrorCodeElements in der Antwort an.-
Wenn der
ConnectionErrorCode-WertINVALID_CREDENTIALSist, ermitteln Sie das aktuelle Passwort für daskmsuser-Konto. Verwenden Sie bei Bedarf den Befehl user change-password in der CloudHSM CLI, um das Passwort auf einen bekannten Wert festzulegen. -
Wenn der
ConnectionErrorCodeWert lautetUSER_LOCKED_OUT, müssen Sie den Befehl user change-password in der CloudHSM-CLI verwenden, um das Passwort zu ändern.kmsuser
-
-
Bearbeiten Sie die kmsuser Passworteinstellung, so dass sie dem aktuellen
kmsuser-Passwort in dem Cluster entspricht. Diese Aktion weist AWS KMS an, welches Passwort für die Anmeldung bei dem Cluster zu verwenden ist. Daskmsuser-Passwort in dem Cluster wird nicht geändert.
Löschen von verwaistem Schlüsselmaterial
Nachdem Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher geplant haben, müssen Sie das entsprechende Schlüsselmaterial möglicherweise manuell aus dem zugehörigen Cluster löschen. AWS CloudHSM
Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen, werden die KMS-Schlüsselmetadaten im zugehörigen AWS CloudHSM Cluster AWS KMS erstellt AWS KMS und das Schlüsselmaterial generiert. Wenn Sie das Löschen eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher planen, werden nach Ablauf der Wartezeit die KMS-Schlüsselmetadaten AWS KMS gelöscht. AWS KMS bemüht sich dann nach besten Kräften, das entsprechende Schlüsselmaterial aus dem AWS CloudHSM Cluster zu löschen. Der Versuch schlägt möglicherweise fehl, wenn AWS KMS kein Zugriff auf den Cluster möglich ist, z. B. wenn die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird oder das kmsuser Passwort geändert wird. AWS KMS versucht nicht, Schlüsselmaterial aus Cluster-Backups zu löschen.
AWS KMS meldet die Ergebnisse seines Versuchs, das Schlüsselmaterial aus dem Cluster zu löschen, im DeleteKey Ereigniseintrag Ihrer AWS CloudTrail Protokolle. Es erscheint im backingKeysDeletionStatus-Element des additionalEventData-Elements, wie im folgenden Beispieleintrag gezeigt. Der Eintrag enthält auch den KMS-Schlüssel ARN, die AWS CloudHSM Cluster-ID und die ID (backing-key-id) des Schlüsselmaterials.
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool CloudHSM CLI. Die CloudHSM-CLI ersetzt durchkey-handle. key-reference
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch.AWS CloudHSM
Die folgenden Verfahren zeigen, wie das verwaiste Schlüsselmaterial aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und melden Sie sich an, wie unter beschrieben. Trennen und Anmelden
Anmerkung
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
-
Verwenden Sie den Befehl key delete in der CloudHSM-CLI, um den Schlüssel aus dem Cluster HSMs zu löschen.
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein
additionalEventDataFeld mit dem und.customKeyStoreIdbackingKeyDer imbackingKeyIdFeld zurückgegebene Wert ist dasidCloudHSM-Schlüsselattribut. Wir empfehlen, den Vorgang zum Löschen von Schlüsseln danachidzu filtern, dass das verwaiste Schlüsselmaterial gelöscht wird, das Sie in Ihren Protokollen identifiziert haben. CloudTrailAWS CloudHSM erkennt den
backingKeyIdWert als Hexadezimalwert. Um nach zu filternid, müssen Sie das mit voranstellen.backingKeyIdOxWenn das beispielsweisebackingKeyIdin Ihrem CloudTrail Protokoll steht1a2b3c45678abcdef, würden Sie nach0x1a2b3c45678abcdeffiltern.Das folgende Beispiel löscht einen Schlüssel aus dem HSMs in Ihrem Cluster. Der
backing-key-idist im CloudTrail Protokolleintrag aufgeführt. Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispielbacking-key-iddurch ein gültiges Beispiel aus Ihrem Konto.aws-cloudhsmkey delete --filter attr.id="0x<backing-key-id>"{ "error_code": 0, "data": { "message": "Key deleted successfully" } } -
Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschriebenAbmelden und erneutes Verbinden.
Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel
Wenn das Schlüsselmaterial für einen gelöscht AWS KMS key wird, ist der KMS-Schlüssel unbrauchbar und der gesamte Chiffretext, der unter dem KMS-Schlüssel verschlüsselt wurde, kann nicht entschlüsselt werden. Dies kann passieren, wenn das Schlüsselmaterial für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM Es kann jedoch möglich sein, das Schlüsselmaterial wiederherzustellen.
Wenn Sie einen AWS KMS key (KMS-Schlüssel) in einem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS meldet er sich beim zugehörigen AWS CloudHSM Cluster an und erstellt das Schlüsselmaterial für den KMS-Schlüssel. Außerdem wird das Passwort in einen Wert geändert, den nur er kennt, und er bleibt angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist. Da nur der Schlüsselbesitzer, d. h. die CU, die einen Schlüssel erstellt hat, den Schlüssel löschen kann, ist es unwahrscheinlich, dass der Schlüssel HSMs versehentlich aus dem Schlüssel gelöscht wird.
Wenn jedoch das Schlüsselmaterial für einen KMS-Schlüssel aus dem HSMs in einem Cluster gelöscht wird, ändert sich der Schlüsselstatus des KMS-Schlüssels irgendwann aufUNAVAILABLE. Wenn Sie versuchen, den KMS-Schlüssel für eine kryptographische Operation zu verwenden, schlägt die Operation mit einer KMSInvalidStateException-Ausnahme fehl. Wichtig dabei ist, dass die mit dem KMS-Schlüssel verschlüsselten Daten nicht mehr entschlüsselt werden können.
Unter bestimmten Umständen können Sie das gelöschte Schlüsselmaterial wiederherstellen, indem Sie einen Cluster aus einem Backup erstellen, das das Schlüsselmaterial enthält. Diese Strategie funktioniert nur, wenn mindestens eine Sicherung erstellt wurde, während der Schlüssel vorhanden war und bevor er gelöscht wurde.
Gehen Sie wie folgt vor, um das Schlüsselmaterial wiederherzustellen.
-
Suchen Sie ein Cluster-Backup, das das Schlüsselmaterial enthält. Die Sicherung muss dazu alle Benutzer und Schlüssel enthalten, die zur Unterstützung des Clusters und seiner verschlüsselten Daten erforderlich sind.
Verwenden Sie den DescribeBackupsVorgang, um die Backups für einen Cluster aufzulisten. Verwenden Sie dann den Sicherung-Zeitstempel, um eine Sicherung auszuwählen. Um die Ausgabe auf den Cluster zu beschränken, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist, verwenden Sie den
FiltersParameter, wie im folgenden Beispiel gezeigt.$aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] } -
Erstellen Sie einen Cluster aus der ausgewählten Sicherung. Prüfen Sie, ob die Sicherung den gelöschten Schlüssel sowie weitere Benutzer und Schlüssel enthält, die für den Cluster erforderlich sind.
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, damit Sie seine Eigenschaften bearbeiten können.
-
Bearbeiten Sie die Cluster-ID des AWS CloudHSM Schlüsselspeichers. Geben Sie die Cluster-ID des Clusters ein, den Sie aus der Sicherung erstellt haben. Da der Cluster seinen Sicherungsverlauf mit dem ursprünglichen Cluster gemeinsam hat, sollte die neue Cluster-ID gültig sein.
-
Stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her.
Anmeldung als kmsuser
AWS KMS Verwendet das kmsuserCrypto User (CU) -Konto, um das AWS CloudHSM Schlüsselmaterial im AWS CloudHSM Cluster für Ihren Schlüsselspeicher zu erstellen und zu verwalten. Sie erstellen das kmsuser CU-Konto in Ihrem Cluster und geben das zugehörige Passwort an, AWS KMS wenn Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen.
AWS KMS Verwaltet im Allgemeinen das kmsuser Konto. Für einige Aufgaben müssen Sie jedoch die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, sich als kmsuser CU beim Cluster anmelden und die CloudHSM-Befehlszeilenschnittstelle (CLI) verwenden.
Anmerkung
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
In diesem Thema wird erklärt, wie Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen und sich anmeldenkmsuser, das AWS CloudHSM Befehlszeilentool ausführen, sich abmelden und den Schlüsselspeicher erneut verbinden. AWS CloudHSM
Trennen und Anmelden
Gehen Sie jedes Mal wie folgt vor, wenn Sie sich als kmsuser Crypto-Benutzer bei einem zugehörigen Cluster anmelden müssen.
Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool CloudHSM CLI. Die CloudHSM-CLI ersetzt durchkey-handle. key-reference
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch.AWS CloudHSM
-
Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist. Sie können die AWS KMS Konsole oder AWS KMS API verwenden.
Solange Ihr AWS CloudHSM Schlüssel verbunden ist, AWS KMS ist er angemeldet als
kmsuser. Dadurch wird verhindert, dass Sie sich alskmsuseranmelden oder daskmsuser-Passwort ändern.Dieser Befehl dient beispielsweise dazu, DisconnectCustomKeyStoredie Verbindung zu einem Beispiel-Schlüsselspeicher zu trennen. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Verwenden Sie den Login-Befehl, um sich als Administrator anzumelden. Verwenden Sie die im Abschnitt „CloudHSM CLI verwenden“ des AWS CloudHSM Benutzerhandbuchs beschriebenen Verfahren.
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Verwenden Sie den Befehl user change-password in der CloudHSM-CLI, um das Passwort des
kmsuserKontos in ein Ihnen bekanntes zu ändern. (wechselt AWS KMS das Passwort, wenn Sie Ihren Schlüsselspeicher verbinden.) AWS CloudHSM Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig. -
Melden Sie sich
kmsusermit dem von Ihnen festgelegten Passwort an. Eine ausführliche Anleitung finden Sie im Abschnitt „CloudHSM CLI verwenden“ des AWS CloudHSM Benutzerhandbuchs.aws-cloudhsm >login --username kmsuser --role crypto-userEnter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Abmelden und erneutes Verbinden
Gehen Sie jedes Mal wie folgt vor, wenn Sie sich als kmsuser Crypto-Benutzer abmelden und die Verbindung zu Ihrem Schlüsselspeicher erneut herstellen müssen.
Hinweise
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool CloudHSM CLI. Die CloudHSM-CLI ersetzt durchkey-handle. key-reference
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch.AWS CloudHSM
-
Führen Sie die Aufgabe aus und melden Sie sich dann mit dem Befehl logout in der CloudHSM-CLI ab. Wenn Sie sich nicht abmelden, schlagen Versuche fehl, die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher wiederherzustellen.
aws-cloudhsmlogout{ "error_code": 0, "data": "Logout successful" } -
Bearbeiten Sie die kmsuser-Passworteinstellung für den Custom Key Store.
Dies gibt AWS KMS das aktuelle Passwort für den Cluster
kmsuseran. Wenn Sie diesen Schritt auslassen, können AWS KMS Sie sich nicht als beim Cluster anmeldenkmsuser, und alle Versuche, die Verbindung zu Ihrem benutzerdefinierten Schlüsselspeicher wiederherzustellen, schlagen fehl. Sie können die AWS KMS Konsole oder denKeyStorePasswordParameter des Vorgangs verwenden. UpdateCustomKeyStoreDieser Befehl teilt beispielsweise mit AWS KMS , dass das aktuelle Passwort lautet
tempPassword. Ersetzen Sie das Beispielpasswort durch das tatsächliche Passwort.$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--key-store-passwordtempPassword -
Verbinden Sie den AWS KMS Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige. AWS KMS Ändert das
kmsuserPasswort während des Verbindungsvorgangs in einen Wert, den nur das Unternehmen kennt.Der ConnectCustomKeyStoreVorgang kehrt schnell zurück, der Verbindungsvorgang kann jedoch längere Zeit in Anspruch nehmen. Die erste Reaktion ist kein Zeichen für den Erfolg des Verbindungsvorgangs.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
In diesem Beispiel zeigt das Feld für den Verbindungsstatus, dass der AWS CloudHSM Schlüsselspeicher jetzt verbunden ist.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
