Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlerbehebung für einen Custom Key Store
AWS CloudHSM Key Stores sind so konzipiert, dass sie verfügbar und belastbar sind. Es gibt jedoch einige Fehlerbedingungen, die Sie möglicherweise beheben müssen, um Ihren AWS CloudHSM Schlüsselspeicher betriebsbereit zu halten.
**Topics**
+ [So reparieren Sie nicht-verfügbare KMS-Schlüssel](#fix-unavailable-cmks)
+ [Beheben eines fehlerhaften KMS-Schlüssels](#fix-cmk-failed)
+ [Beheben eines Verbindungsfehlers](#fix-keystore-failed)
+ [Wie man auf Fehler bei kryptografischen Produktionen reagiert](#fix-keystore-communication)
+ [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password)
+ [Löschen von verwaistem Schlüsselmaterial](#fix-keystore-orphaned-key)
+ [Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel](#fix-keystore-recover-backing-key)
+ [Anmeldung als `kmsuser`](#fix-login-as-kmsuser)
## So reparieren Sie nicht-verfügbare KMS-Schlüssel
Der [Schlüsselstatus](key-state.md) von AWS KMS keys in einem AWS CloudHSM Schlüsselspeicher ist in der Regel`Enabled`. Wie bei allen KMS-Schlüsseln ändert sich der Schlüsselstatus, wenn Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren oder ihre Löschung planen. Im Gegensatz zu anderen KMS-Schlüsseln können die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher aber auch den [Schlüsselstatus](key-state.md) `Unavailable` haben.
Der Schlüsselstatus `Unavailable` gibt an, dass sich der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher befindet, der absichtlich [getrennt](disconnect-keystore.md) wurde und eventuelle Versuche, die Verbindung wiederherzustellen, fehlgeschlagen sind. Wenn ein KMS-Schlüssel nicht verfügbar ist, können Sie ihn anzeigen und verwalten, ihn jedoch nicht für [kryptographische Produktionen](manage-cmk-keystore.md#use-cmk-keystore) verwenden.
Um den Schlüsselstatus eines KMS-Schlüssels zu ermitteln, zeigen Sie auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** das Feld **Status** des KMS-Schlüssels an. Oder verwenden Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang und sehen Sie sich das `KeyState` Element in der Antwort an. Details hierzu finden Sie unter [Schlüssel identifizieren und anzeigen](viewing-keys.md).
Die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher haben den Schlüsselstatus `Unavailable` oder `PendingDeletion`. KMS-Schlüssel, die zur Löschung aus einem benutzerdefinierten Schlüsselspeicher geplant sind, haben den Schlüsselstatus `Pending Deletion`, auch wenn der benutzerdefinierten Schlüsselspeicher getrennt ist. Auf diese Weise können Sie die geplante Löschung des Schlüssels stornieren, ohne dass Sie erneut eine Verbindung mit dem Custom Key Store herstellen müssen.
Um die Nichtverfügbarkeit eines KMS-Schlüssels zu beheben, [verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder](disconnect-keystore.md). Wenn der benutzerdefinierten Schlüsselspeicher wieder verbunden ist, wechselt der Schlüsselstatus der KMS-Schlüssels im benutzerdefinierten Schlüsselspeicher automatisch wieder zum vorherigen Zustand, etwa zu `Enabled` oder `Disabled`. KMS-Schlüssel, die zur Löschung ausstehen, bleiben im Status `PendingDeletion`. Während das Problem bestehen bleibt, ändert das [Aktivieren und Deaktivieren eines nicht-verfügbaren KMS-Schlüssels](enabling-keys.md) dessen Schlüsselstatus nicht. Das Aktivieren und Deaktivieren wirkt sich erst aus, wenn der Schlüssel wieder verfügbar ist.
Für Hilfe bei fehlgeschlagenen Verbindungen vgl. [Beheben eines Verbindungsfehlers](#fix-keystore-failed).
## Beheben eines fehlerhaften KMS-Schlüssels
Probleme bei der Erstellung und Verwendung von KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern können durch ein Problem mit Ihrem AWS CloudHSM Schlüsselspeicher, dem zugehörigen AWS CloudHSM Cluster, dem KMS-Schlüssel oder dem zugehörigen Schlüsselmaterial verursacht werden.
Wenn ein AWS CloudHSM Schlüsselspeicher von seinem AWS CloudHSM Cluster getrennt wird, lautet der Schlüsselstatus der KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher. `Unavailable` Alle Anfragen zur Erstellung von KMS-Schlüsseln in einem getrennten AWS CloudHSM Schlüsselspeicher geben eine `CustomKeyStoreInvalidStateException` Ausnahme zurück. Alle Anforderungen zum Verschlüsseln, erneuten Verschlüsseln oder zum Generieren von Datenschlüsseln führen zu der Ausnahme `KMSInvalidStateException`. Um das Problem zu beheben, stellen Sie die [Verbindung zum AWS CloudHSM Schlüsselspeicher erneut her](connect-keystore.md).
Ihre Versuche, einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) zu verwenden, können jedoch fehlschlagen, selbst wenn sein Schlüsselstatus `Enabled` und der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers ist. `Connected` Dies kann durch eine der folgenden Ursachen bedingt sein.
+ Möglicherweise wurde das Schlüsselmaterial für den KMS-Schlüssel von dem zugehörigen AWS CloudHSM -Cluster gelöscht. [Suchen Sie zur Untersuchung nach der Schlüssel-ID](find-handle-for-cmk-id.md) des Schlüsselmaterials für einen KMS-Schlüssel und versuchen Sie gegebenenfalls, [das Schlüsselmaterial wiederherzustellen](#fix-keystore-recover-backing-key).
+ Alle HSMs wurden aus dem AWS CloudHSM Cluster gelöscht, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in einem kryptografischen Vorgang verwenden zu können, muss der zugehörige AWS CloudHSM Cluster mindestens ein aktives HSM enthalten. [Verwenden Sie die AWS CloudHSM Konsole oder den Vorgang, um die Anzahl und den](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) Status von HSMs in einem AWS CloudHSM Cluster zu überprüfen. [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) Verwenden Sie die AWS CloudHSM Konsole oder den [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)Vorgang, um dem Cluster ein HSM hinzuzufügen.
+ Der dem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster wurde gelöscht. Um das Problem zu beheben, [erstellen Sie einen Cluster aus einer Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), die mit dem ursprünglichen Cluster verbunden ist, oder aus einer Sicherung, die zur Erstellung des ursprünglichen Clusters verwendet wurde. Bearbeiten Sie [dann die Cluster-ID](update-keystore.md) in den Einstellungen für den Custom Key Store. Detaillierte Anweisungen finden Sie unter [Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel](#fix-keystore-recover-backing-key).
+ Für den AWS CloudHSM Cluster, der dem benutzerdefinierten Schlüsselspeicher zugeordnet war, waren keine PKCS \$111 -Sitzungen verfügbar. Dies tritt normalerweise in Zeiten mit hohem Burst-Verkehr auf, wenn zusätzliche Sitzungen erforderlich sind, um den Datenverkehr zu bedienen. Um auf eine `KMSInternalException` mit einer Fehlermeldung über PKCS\$111-Sitzungen zu antworten, gehen Sie zurück und wiederholen Sie die Anfrage.
## Beheben eines Verbindungsfehlers
Wenn Sie versuchen, [einen AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster zu verbinden](connect-keystore.md), der Vorgang jedoch fehlschlägt, ändert sich der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers auf`FAILED`. Um den Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers zu ermitteln, verwenden Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang.
Alternativ können einige Verbindungsversuche aufgrund leicht zu erkennender Cluster-Konfigurationsfehler fehlschlagen. In diesem Fall lautet der Verbindungsstatus immer noch `DISCONNECTED`. Diese Fehler geben eine Fehlermeldung oder [Ausnahme](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) mit einer Begründung für den fehlgeschlagenen Verbindungsversuch zurück. Lesen Sie die Beschreibung der Ausnahme und die [Clusteranforderungen](create-keystore.md#before-keystore), beheben Sie das Problem, [aktualisieren Sie gegebenenfalls den AWS CloudHSM Schlüsselspeicher](update-keystore.md) und versuchen Sie erneut, eine Verbindung herzustellen.
Wenn der Verbindungsstatus lautet`FAILED`, führen Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang aus und sehen Sie sich das `ConnectionErrorCode` Element in der Antwort an.
**Anmerkung**
Wenn der Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers lautet`FAILED`, müssen Sie [die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), bevor Sie erneut versuchen können, eine Verbindung herzustellen. Sie können einen AWS CloudHSM Schlüsselspeicher mit einem `FAILED` Verbindungsstatus nicht verbinden.
+ `CLUSTER_NOT_FOUND`gibt an, dass AWS KMS kein AWS CloudHSM Cluster mit der angegebenen Cluster-ID gefunden werden kann. Dies kann auftreten, wenn die falsche Cluster-ID für eine API-Produktion bereitgestellt wurde, oder wenn der Cluster gelöscht und nicht ersetzt wurde. Um diesen Fehler zu beheben, überprüfen Sie die Cluster-ID, z. B. mithilfe der AWS CloudHSM Konsole oder mithilfe des [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgangs. Wenn der Cluster gelöscht wurde, [erstellen Sie einen Cluster aus einer möglichst neuen Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) des Originals. [Trennen Sie dann die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), [bearbeiten Sie die AWS CloudHSM Cluster-ID-Einstellung für den Schlüsselspeicher](update-keystore.md) und [verbinden Sie den AWS CloudHSM Schlüsselspeicher erneut mit](connect-keystore.md) dem Cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`gibt an, dass der zugehörige AWS CloudHSM Cluster keine HSMs enthält. Zum herstellen einer Verbindung muss der Cluster mindestens über ein HSM verfügen. Verwenden Sie die [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Operation, um die Nummer von HSMs im Cluster zu ermitteln. Um diesen Fehler zu beheben, [fügen Sie mindestens ein HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) dem Cluster hinzu. Wenn Sie mehrere hinzufügen HSMs, ist es am besten, sie in verschiedenen Availability Zones zu erstellen.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`gibt an, dass der AWS CloudHSM Schlüsselspeicher nicht [mit seinem AWS CloudHSM Cluster verbunden werden AWS KMS konnte, weil mindestens ein dem Cluster zugeordnetes privates Subnetz](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) keine verfügbaren IP-Adressen hat. Eine AWS CloudHSM Schlüsselspeicherverbindung erfordert eine freie IP-Adresse in jedem der zugehörigen privaten Subnetze, obwohl zwei vorzuziehen sind.
Sie können in einem vorhandenen Subnetz [keine IP-Adressen](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (CIDR-Blöcke) hinzufügen. Verschieben oder löschen Sie nach Möglichkeit andere Ressourcen, die die IP-Adressen im Subnetz verwenden, wie z. B. nicht verwendete EC2-Instances oder Elastic-Network-Schnittstellen. Andernfalls können Sie [einen Cluster aus einer aktuellen Sicherung des AWS CloudHSM Clusters mit neuen oder vorhandenen privaten Subnetzen, die über [mehr freien Adressraum](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) verfügen, erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, [trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md), [ändern Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
**Tipp**
Verwenden Sie das neueste Backup [des Clusters, um ein Zurücksetzen des `kmsuser` Kennworts](#fix-keystore-password) zu vermeiden. AWS CloudHSM
+ `INTERNAL_ERROR`gibt an, dass die Anfrage aufgrund eines internen Fehlers nicht abgeschlossen werden AWS KMS konnte. Wiederholen Sie die Anforderung. Trennen Sie bei `ConnectCustomKeyStore` Anfragen die Verbindung zum AWS CloudHSM Schlüsselspeicher, bevor Sie erneut versuchen, eine Verbindung herzustellen.
+ `INVALID_CREDENTIALS`gibt an, dass AWS KMS man sich nicht beim zugehörigen AWS CloudHSM Cluster anmelden kann, weil er nicht das richtige `kmsuser` Kontopasswort hat. Für Unterstützung bei diesem Fehler vgl. [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
+ `NETWORK_ERRORS` weist normalerweise auf vorübergehende Netzwerkprobleme hin. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), warten Sie einige Minuten und versuchen Sie erneut, eine Verbindung herzustellen.
+ `SUBNET_NOT_FOUND`gibt an, dass mindestens ein Subnetz in der AWS CloudHSM Clusterkonfiguration gelöscht wurde. Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche fehl, den AWS CloudHSM Schlüsselspeicher mit dem AWS CloudHSM Cluster zu verbinden.
Um diesen Fehler zu beheben, [erstellen Sie einen Cluster aus einer aktuellen Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) desselben AWS CloudHSM Clusters. (Dieser Prozess erstellt eine neue Clusterkonfiguration mit einer VPC und privaten Subnetzen.) Stellen Sie sicher, dass der neue Cluster die [Anforderungen für einen benutzerdefinierten Schlüsselspeicher](create-keystore.md#before-keystore) erfüllt, und notieren Sie sich die neue Cluster-ID. Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, [trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md), [ändern Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
**Tipp**
Verwenden Sie das neueste Backup [des Clusters, um ein Zurücksetzen des `kmsuser` Kennworts](#fix-keystore-password) zu vermeiden. AWS CloudHSM
+ `USER_LOCKED_OUT` gibt an, dass das [`kmsuser`-Kryptobenutzer (CU)-Konto](keystore-cloudhsm.md#concept-kmsuser) aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
Um diesen Fehler zu beheben, [trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher](disconnect-keystore.md) und verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM CLI, um das Kontopasswort zu ändern. `kmsuser` Bearbeiten Sie dann [die `kmsuser`-Passworteinstellung](update-keystore.md) für den Custom Key Store, und versuchen Sie erneut, eine Verbindung herzustellen. Falls Sie Hilfe benötigen, verwenden Sie die Vorgehensweise aus dem Thema [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
+ `USER_LOGGED_IN`gibt an, dass das `kmsuser` CU-Konto beim zugehörigen Cluster angemeldet ist. AWS CloudHSM Dadurch wird AWS KMS verhindert, dass das `kmsuser` Kontopasswort geändert und die Anmeldung am Cluster erfolgt. Melden Sie den `kmsuser`-CU vom Cluster ab, um diesen Fehler zu beheben. Wenn Sie das `kmsuser` Passwort für die Anmeldung am Cluster geändert haben, müssen Sie auch den Wert des Schlüsselspeicherkennworts für den AWS CloudHSM Schlüsselspeicher aktualisieren. Weitere Informationen dazu finden Sie unter [Abmelden und erneutes Verbinden](#login-kmsuser-2).
+ `USER_NOT_FOUND`gibt an, dass im zugehörigen AWS CloudHSM Cluster AWS KMS kein `kmsuser` CU-Konto gefunden werden kann. Um diesen Fehler zu beheben, [erstellen Sie ein `kmsuser` CU-Konto](create-keystore.md#kmsuser-concept) im Cluster und [aktualisieren Sie dann den Kennwortwert des Schlüsselspeichers](update-keystore.md) für den AWS CloudHSM Schlüsselspeicher. Weitere Informationen dazu finden Sie unter [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
## Wie man auf Fehler bei kryptografischen Produktionen reagiert
Eine kryptografische Produktion, die einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwendet, schlägt möglicherweise mit einem `KMSInvalidStateException` fehl. Die folgenden Fehlermeldungen könnten dem `KMSInvalidStateException` beiliegen.
| |
| --- |
| KMS kann nicht mit Ihrem CloudHSM-Cluster kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob die Netzwerk ACLs - und Sicherheitsgruppenregeln für die VPC Ihres AWS CloudHSM Clusters korrekt sind. |
+ Obwohl dies ein HTTPS-400-Fehler ist, kann es auf vorübergehende Netzwerkprobleme zurückzuführen sein. Um zu antworten, versuchen Sie zunächst die Anforderung erneut. Wenn es jedoch weiterhin fehlschlägt, überprüfen Sie die Konfiguration der Netzwerkkomponenten. Dieser Fehler wird höchstwahrscheinlich durch die Fehlkonfiguration einer Netzwerkkomponente verursacht, z. B. eine Firewall-Regel oder eine VPC -Sicherheitsgruppen-Regel, die ausgehenden Datenverkehr blockiert. Beispielsweise kann KMS nicht mit AWS CloudHSM Clustern über IPv6 kommunizieren. Einzelheiten zu den Voraussetzungen finden Sie unter[Erstellen Sie einen AWS CloudHSM Schlüsselspeicher](create-keystore.md).
| |
| --- |
| KMS kann nicht mit Ihrem AWS CloudHSM Cluster kommunizieren, da der kmsuser gesperrt ist. Wenn dieser Fehler wiederholt auftritt, trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher und setzen Sie das Kennwort für das kmsuser-Konto zurück. Aktualisieren Sie das kmsuser-Passwort für den benutzerdefinierten Schlüsselspeicher und versuchen Sie es erneut mit der Anfrage. |
+ Diese Fehlermeldung gibt an, dass das [`kmsuser`-Crypto-Benutzer (CU)-Konto](keystore-cloudhsm.md#concept-kmsuser) aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. [Trennen und Anmelden](#login-kmsuser-1).
## Reparieren ungültiger `kmsuser`-Anmeldeinformationen
Wenn Sie [eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher](connect-keystore.md) herstellen, AWS KMS meldet er sich als [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) beim zugehörigen AWS CloudHSM Cluster an. Er bleibt angemeldet, bis die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird. Die Antwort [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) meldet `ConnectionState` als `FAILED` und `ConnectionErrorCode` mit dem Wert `INVALID_CREDENTIALS` (siehe folgendes Beispiel).
Wenn Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen und das `kmsuser` Passwort ändern, AWS KMS können Sie sich nicht mit den Anmeldeinformationen des `kmsuser` CU-Kontos beim AWS CloudHSM Cluster anmelden. Daher schlagen alle Versuche fehl, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen. Die Antwort `DescribeCustomKeyStores` meldet `ConnectionState` als `FAILED` und `ConnectionErrorCode` mit dem Wert `INVALID_CREDENTIALS` (siehe folgendes Beispiel).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Weiterhin gilt, dass, AWS CloudHSM nach fünf fehlgeschlagenen Anmeldeversuchen bei dem Cluster mit einem inkorrekten Passwort das Benutzerkonto sperrt. Zur Anmeldung bei dem Cluster müssen Sie das Kontopasswort ändern.
Wenn beim Versuch, sich als `kmsuser` CU beim Cluster anzumelden, eine Sperrantwort angezeigt AWS KMS wird, schlägt die Anforderung, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen, fehl. Die [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort enthält einen Wert `ConnectionState` von `FAILED` und einen `ConnectionErrorCode` Wert von`USER_LOCKED_OUT`, wie im folgenden Beispiel gezeigt.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Gehen Sie zum Beheben eines dieser Zustände wie folgt vor.
1. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md).
1. Führen Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang aus und zeigen Sie den Wert des `ConnectionErrorCode` Elements in der Antwort an.
+ Wenn der `ConnectionErrorCode`-Wert `INVALID_CREDENTIALS` ist, ermitteln Sie das aktuelle Passwort für das `kmsuser`-Konto. Verwenden Sie bei Bedarf den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM CLI, um das Passwort auf einen bekannten Wert festzulegen.
+ Wenn der `ConnectionErrorCode` Wert lautet`USER_LOCKED_OUT`, müssen Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM-CLI verwenden, um das Passwort zu ändern. `kmsuser`
1. [Bearbeiten Sie die `kmsuser` Passworteinstellung](update-keystore.md), so dass sie dem aktuellen `kmsuser`-Passwort in dem Cluster entspricht. Diese Aktion weist AWS KMS an, welches Passwort für die Anmeldung bei dem Cluster zu verwenden ist. Das `kmsuser`-Passwort in dem Cluster wird nicht geändert.
1. [Verbinden Sie den Custom Key Store](connect-keystore.md).
## Löschen von verwaistem Schlüsselmaterial
Nachdem Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher geplant haben, müssen Sie das entsprechende Schlüsselmaterial möglicherweise manuell aus dem zugehörigen Cluster löschen. AWS CloudHSM
Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen, werden die KMS-Schlüsselmetadaten im zugehörigen AWS CloudHSM Cluster AWS KMS erstellt AWS KMS und das Schlüsselmaterial generiert. Wenn Sie das Löschen eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher planen, werden nach Ablauf der Wartezeit die KMS-Schlüsselmetadaten AWS KMS gelöscht. AWS KMS bemüht sich dann nach besten Kräften, das entsprechende Schlüsselmaterial aus dem AWS CloudHSM Cluster zu löschen. Der Versuch schlägt möglicherweise fehl, wenn AWS KMS kein Zugriff auf den Cluster möglich ist, z. B. wenn die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird oder das `kmsuser` Passwort geändert wird. AWS KMS versucht nicht, Schlüsselmaterial aus Cluster-Backups zu löschen.
AWS KMS meldet die Ergebnisse seines Versuchs, das Schlüsselmaterial aus dem Cluster zu löschen, im `DeleteKey` Ereigniseintrag Ihrer AWS CloudTrail Protokolle. Es erscheint im `backingKeysDeletionStatus`-Element des `additionalEventData`-Elements, wie im folgenden Beispieleintrag gezeigt. Der Eintrag enthält auch den KMS-Schlüssel ARN, die AWS CloudHSM Cluster-ID und die ID (`backing-key-id`) des Schlüsselmaterials.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
Die folgenden Verfahren zeigen, wie das verwaiste Schlüsselmaterial aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html) an, wie unter beschrieben. [Trennen und Anmelden](#login-kmsuser-1)
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
1. Verwenden Sie den Befehl [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) in der CloudHSM-CLI, um den Schlüssel aus dem Cluster HSMs zu löschen.
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem und. `customKeyStoreId` `backingKey` Der im `backingKeyId` Feld zurückgegebene Wert ist das `id` CloudHSM-Schlüsselattribut. Wir empfehlen, den Vorgang zum **Löschen von Schlüsseln** danach `id` zu filtern, dass das verwaiste Schlüsselmaterial gelöscht wird, das Sie in Ihren Protokollen identifiziert haben. CloudTrail
AWS CloudHSM erkennt den `backingKeyId` Wert als Hexadezimalwert. Um nach zu filtern`id`, müssen Sie das mit voranstellen. `backingKeyId` `Ox` Wenn das beispielsweise `backingKeyId` in Ihrem CloudTrail Protokoll steht`1a2b3c45678abcdef`, würden Sie nach `0x1a2b3c45678abcdef` filtern.
Das folgende Beispiel löscht einen Schlüssel aus dem HSMs in Ihrem Cluster. Der `backing-key-id` ist im CloudTrail Protokolleintrag aufgeführt. Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel `backing-key-id` durch ein gültiges Beispiel aus Ihrem Konto.
```
aws-cloudhsm key delete --filter attr.id="0x"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](#login-kmsuser-2).
## Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel
Wenn das Schlüsselmaterial für einen gelöscht AWS KMS key wird, ist der KMS-Schlüssel unbrauchbar und der gesamte Chiffretext, der unter dem KMS-Schlüssel verschlüsselt wurde, kann nicht entschlüsselt werden. Dies kann passieren, wenn das Schlüsselmaterial für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM Es kann jedoch möglich sein, das Schlüsselmaterial wiederherzustellen.
Wenn Sie einen AWS KMS key (KMS-Schlüssel) in einem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS meldet er sich beim zugehörigen AWS CloudHSM Cluster an und erstellt das Schlüsselmaterial für den KMS-Schlüssel. Außerdem wird das Passwort in einen Wert geändert, den nur er kennt, und er bleibt angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist. Da nur der Schlüsselbesitzer, d. h. die CU, die einen Schlüssel erstellt hat, den Schlüssel löschen kann, ist es unwahrscheinlich, dass der Schlüssel HSMs versehentlich aus dem Schlüssel gelöscht wird.
Wenn jedoch das Schlüsselmaterial für einen KMS-Schlüssel aus dem HSMs in einem Cluster gelöscht wird, ändert sich der Schlüsselstatus des KMS-Schlüssels irgendwann auf`UNAVAILABLE`. Wenn Sie versuchen, den KMS-Schlüssel für eine kryptographische Operation zu verwenden, schlägt die Operation mit einer `KMSInvalidStateException`-Ausnahme fehl. Wichtig dabei ist, dass die mit dem KMS-Schlüssel verschlüsselten Daten nicht mehr entschlüsselt werden können.
Unter bestimmten Umständen können Sie das gelöschte Schlüsselmaterial wiederherstellen, indem Sie [einen Cluster aus einem Backup erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), das das Schlüsselmaterial enthält. Diese Strategie funktioniert nur, wenn mindestens eine Sicherung erstellt wurde, während der Schlüssel vorhanden war und bevor er gelöscht wurde.
Gehen Sie wie folgt vor, um das Schlüsselmaterial wiederherzustellen.
1. Suchen Sie ein Cluster-Backup, das das Schlüsselmaterial enthält. Die Sicherung muss dazu alle Benutzer und Schlüssel enthalten, die zur Unterstützung des Clusters und seiner verschlüsselten Daten erforderlich sind.
Verwenden Sie den [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)Vorgang, um die Backups für einen Cluster aufzulisten. Verwenden Sie dann den Sicherung-Zeitstempel, um eine Sicherung auszuwählen. Um die Ausgabe auf den Cluster zu beschränken, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist, verwenden Sie den `Filters` Parameter, wie im folgenden Beispiel gezeigt.
```
$ aws cloudhsmv2 describe-backups --filters clusterIds=
{
"Backups": [
{
"ClusterId": "cluster-1a23b4cdefg",
"BackupId": "backup-9g87f6edcba",
"CreateTimestamp": 1536667238.328,
"BackupState": "READY"
},
...
]
}
```
1. [Erstellen Sie einen Cluster aus der ausgewählten Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Prüfen Sie, ob die Sicherung den gelöschten Schlüssel sowie weitere Benutzer und Schlüssel enthält, die für den Cluster erforderlich sind.
1. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), damit Sie seine Eigenschaften bearbeiten können.
1. [Bearbeiten Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers. Geben Sie die Cluster-ID des Clusters ein, den Sie aus der Sicherung erstellt haben. Da der Cluster seinen Sicherungsverlauf mit dem ursprünglichen Cluster gemeinsam hat, sollte die neue Cluster-ID gültig sein.
1. [Stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder](connect-keystore.md) her.
## Anmeldung als `kmsuser`
AWS KMS Verwendet das [`kmsuser`Crypto User (CU) -Konto](keystore-cloudhsm.md#concept-kmsuser), um das AWS CloudHSM Schlüsselmaterial im AWS CloudHSM Cluster für Ihren Schlüsselspeicher zu erstellen und zu verwalten. Sie [erstellen das `kmsuser` CU-Konto](create-keystore.md#before-keystore) in Ihrem Cluster und geben das zugehörige Passwort an, AWS KMS wenn Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen.
AWS KMS Verwaltet im Allgemeinen das `kmsuser` Konto. Für einige Aufgaben müssen Sie jedoch die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, sich als `kmsuser` CU beim Cluster anmelden und die [CloudHSM-Befehlszeilenschnittstelle (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) verwenden.
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
In diesem Thema wird erklärt, wie Sie die [Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher trennen und sich anmelden](#login-kmsuser-1)`kmsuser`, das AWS CloudHSM Befehlszeilentool ausführen, [sich abmelden und Ihren AWS CloudHSM Schlüsselspeicher erneut verbinden](#login-kmsuser-2).
**Topics**
+ [Trennen und Anmelden](#login-kmsuser-1)
+ [Abmelden und erneutes Verbinden](#login-kmsuser-2)
### Trennen und Anmelden
Gehen Sie jedes Mal wie folgt vor, wenn Sie sich als `kmsuser` Crypto-Benutzer bei einem zugehörigen Cluster anmelden müssen.
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist. Sie können die AWS KMS Konsole oder AWS KMS API verwenden.
Solange Ihr AWS CloudHSM Schlüssel verbunden ist, AWS KMS ist er angemeldet als`kmsuser`. Dadurch wird verhindert, dass Sie sich als `kmsuser` anmelden oder das `kmsuser`-Passwort ändern.
Dieser Befehl dient beispielsweise dazu, [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)die Verbindung zu einem Beispiel-Schlüsselspeicher zu trennen. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Verwenden Sie den **Login-Befehl**, um sich als Administrator anzumelden. Verwenden Sie die im Abschnitt „[CloudHSM CLI verwenden](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)“ des *AWS CloudHSM Benutzerhandbuchs* beschriebenen Verfahren.
```
aws-cloudhsm > login --username admin --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM-CLI, um das Passwort des `kmsuser` Kontos in ein Ihnen bekanntes zu ändern. (wechselt AWS KMS das Passwort, wenn Sie Ihren Schlüsselspeicher verbinden.) AWS CloudHSM Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig.
1. Melden Sie sich `kmsuser` mit dem von Ihnen festgelegten Passwort an. Eine ausführliche Anleitung finden Sie im Abschnitt „[CloudHSM CLI verwenden](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)“ des *AWS CloudHSM Benutzerhandbuchs*.
```
aws-cloudhsm > login --username kmsuser --role crypto-user
Enter password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
### Abmelden und erneutes Verbinden
Gehen Sie jedes Mal, wenn Sie sich als `kmsuser` Crypto-Benutzer abmelden und die Verbindung zu Ihrem Schlüsselspeicher erneut herstellen müssen, wie folgt vor.
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
1. Führen Sie die Aufgabe aus und melden Sie sich dann mit dem Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) in der CloudHSM-CLI ab. Wenn Sie sich nicht abmelden, schlagen Versuche fehl, die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher wiederherzustellen.
```
aws-cloudhsm logout
{
"error_code": 0,
"data": "Logout successful"
}
```
1. [Bearbeiten Sie die `kmsuser`-Passworteinstellung](update-keystore.md) für den Custom Key Store.
Dies gibt AWS KMS das aktuelle Passwort für den Cluster `kmsuser` an. Wenn Sie diesen Schritt auslassen, können AWS KMS Sie sich nicht als beim Cluster anmelden`kmsuser`, und alle Versuche, die Verbindung zu Ihrem benutzerdefinierten Schlüsselspeicher wiederherzustellen, schlagen fehl. Sie können die AWS KMS Konsole oder den `KeyStorePassword` Parameter des Vorgangs verwenden. [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)
Dieser Befehl teilt beispielsweise mit AWS KMS , dass das aktuelle Passwort lautet`tempPassword`. Ersetzen Sie das Beispielpasswort durch das tatsächliche Passwort.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
```
1. Verbinden Sie den AWS KMS Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige. AWS KMS Ändert das `kmsuser` Passwort während des Verbindungsvorgangs in einen Wert, den nur das Unternehmen kennt.
Der [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang kehrt schnell zurück, der Verbindungsvorgang kann jedoch längere Zeit in Anspruch nehmen. Die erste Reaktion ist kein Zeichen für den Erfolg des Verbindungsvorgangs.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
In diesem Beispiel zeigt das Feld für den Verbindungsstatus, dass der AWS CloudHSM Schlüsselspeicher jetzt verbunden ist.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```