Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# AWS CloudHSM wichtige Geschäfte
<a name="keystore-cloudhsm"></a>

Ein AWS CloudHSM Schlüsselspeicher ist ein [benutzerdefinierter Schlüsselspeicher](key-store-overview.md#custom-key-store-overview), der von einem [AWS CloudHSM Cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/) unterstützt wird. Wenn Sie einen AWS KMS key in einem benutzerdefinierten Schlüsselspeicher erstellen, AWS KMS generiert und speichert er nicht extrahierbares Schlüsselmaterial für den KMS-Schlüssel in einem AWS CloudHSM Cluster, den Sie besitzen und verwalten. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die [kryptografischen Operationen](manage-cmk-keystore.md#use-cmk-keystore) HSMs im Cluster ausgeführt. Diese Funktion kombiniert den Komfort und die umfassende Integration von AWS KMS mit der zusätzlichen Steuerung eines AWS CloudHSM Clusters in Ihrem AWS-Konto. 

AWS KMS bietet vollständige Konsolen- und API-Unterstützung für die Erstellung, Verwendung und Verwaltung Ihrer benutzerdefinierten Schlüsselspeicher. Verwenden Sie die KMS-Schlüssel in Ihrem benutzerdefinierten Schlüsselspeicher auf die gleiche Weise, wie Sie jeden KMS-Schlüssel verwenden. Sie können KMS-Schlüssel beispielsweise zum Generieren von Datenschlüsseln und zum Verschlüsseln von Daten verwenden. Sie können die KMS-Schlüssel auch in Ihrem benutzerdefinierten Schlüsselspeicher mit AWS Diensten verwenden, die vom Kunden verwaltete Schlüssel unterstützen.

**Brauche ich einen benutzerdefinierten Schlüsselspeicher?**

Für die meisten Benutzer erfüllt der AWS KMS Standard-Schlüsselspeicher, der durch [FIPS 140-3-validierte kryptografische Module geschützt ist, ihre Sicherheitsanforderungen](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Es gibt keinen besonderen Grund, eine zusätzliche Ebene von Wartungsverantwortlichkeit und eine Abhängigkeit zu einem weiteren Service zu schaffen. 

Es könnte jedoch für Sie sinnvoll sein, einen benutzerdefinierten Schlüsselspeicher zu erstellen, wenn für Sie eine der folgenden Anforderungen gilt:
+ Sie haben Schlüssel, die ausdrücklich geschützt werden müssen, in einem Einzelmandanten-HSM oder in einem HSM, über das Sie direkte Kontrolle haben.
+ Sie müssen in der Lage sein, Schlüsselmaterial sofort von zu entfernen. AWS KMS
+ Sie müssen in der Lage sein, die gesamte Verwendung Ihrer Schlüssel unabhängig von AWS KMS oder zu überprüfen AWS CloudTrail.

**Wie funktionieren benutzerdefinierten Schlüsselspeicher?**

Jeder benutzerdefinierte Schlüsselspeicher ist einem AWS CloudHSM Cluster in Ihrem zugeordnet AWS-Konto. Wenn Sie den benutzerdefinierten Schlüsselspeicher mit seinem Cluster verbinden, AWS KMS wird die Netzwerkinfrastruktur zur Unterstützung der Verbindung erstellt. Anschließend meldet es sich mit den Anmeldeinformationen eines [dedizierten Krypto-Benutzers](#concept-kmsuser) im Cluster beim AWS CloudHSM Key-Client im Cluster an.

Sie erstellen und verwalten Ihre benutzerdefinierten Schlüsselspeicher AWS KMS und erstellen und verwalten Ihre HSM-Cluster in AWS CloudHSM. Wenn Sie einen AWS KMS benutzerdefinierten Schlüsselspeicher erstellen AWS KMS keys , können Sie die KMS-Schlüssel in AWS KMS anzeigen und verwalten. Sie können jedoch das Schlüsselmaterial der KMS-Schlüssel wie bei anderen Schlüsseln in dem Cluster auch in AWS CloudHSM anzeigen und verwalten.

![\[Verwalten von KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/kms-hsm-view.png)


Sie können [KMS-Schlüssel mit symmetrischer Verschlüsselung mit Schlüsselmaterial erstellen](create-cmk-keystore.md), das AWS KMS in Ihrem benutzerdefinierten Schlüsselspeicher generiert wurde. Verwenden Sie dann dieselben Techniken, um die KMS-Schlüssel in Ihrem benutzerdefinierten Schlüsselspeicher anzuzeigen und zu verwalten, die Sie für KMS-Schlüssel im AWS KMS Schlüsselspeicher verwenden. Sie können den Zugriff über IAM und Schlüsselrichtlinien steuern, Tags und Aliasse erstellen, die KMS-Schlüssel aktivieren und deaktivieren und die Löschung von Schlüsseln planen. Sie können die KMS-Schlüssel für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) verwenden und sie mit AWS Diensten verwenden, die sich in integrieren lassen. AWS KMS

Darüber hinaus haben Sie die volle Kontrolle über den AWS CloudHSM Cluster, einschließlich der Erstellung HSMs und Löschung sowie der Verwaltung von Backups. Sie können den AWS CloudHSM Client und die unterstützten Softwarebibliotheken verwenden, um das Schlüsselmaterial für Ihre KMS-Schlüssel einzusehen, zu prüfen und zu verwalten. Solange der benutzerdefinierte Schlüsselspeicher getrennt ist, AWS KMS kann er nicht darauf zugreifen, und Benutzer können die KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher nicht für kryptografische Operationen verwenden. Diese zusätzliche Kontrollebene macht benutzerdefinierte Schlüsselspeicher zu einer leistungsstarken Lösung für Unternehmen mit entsprechenden Anforderungen.

**Wo fange ich an?**

Um einen AWS CloudHSM Schlüsselspeicher zu erstellen und zu verwalten, verwenden Sie die Funktionen von AWS KMS und. AWS CloudHSM

1. Fangen Sie an AWS CloudHSM. [Erstellen Sie einen aktiven AWS CloudHSM -Cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) oder wählen Sie einen bestehenden aus. Auf dem Cluster müssen mindestens zwei aktive Mitglieder HSMs in unterschiedlichen Availability Zones vorhanden sein. Erstellen Sie dann ein [dediziertes Krypto-Benutzerkonto (CU-Konto)](#concept-kmsuser) für AWS KMS in diesem Cluster. 

1. [Erstellen Sie unter einen benutzerdefinierten Schlüsselspeicher](create-keystore.md), der Ihrem ausgewählten AWS CloudHSM Cluster zugeordnet ist. AWS KMS AWS KMS bietet eine vollständige Verwaltungsoberfläche, mit der Sie Ihre benutzerdefinierten Schlüsselspeicher erstellen, anzeigen, bearbeiten und löschen können.

1. Wenn Sie bereit sind, Ihren benutzerdefinierten Schlüsselspeicher zu verwenden, [verbinden Sie ihn mit dem zugehörigen AWS CloudHSM Cluster](connect-keystore.md). AWS KMS erstellt die Netzwerkinfrastruktur, die zur Unterstützung der Verbindung benötigt wird. Anschließend meldet sich KMS mit den Anmeldeinformationen des dedizierten Krypto-Benutzers an dem Cluster an, um das Schlüsselmaterial in dem Cluster zu generieren und zu verwalten.

1. Jetzt können Sie [KMS-Schlüssel mit symmetrischer Verschlüsselung in Ihrem benutzerdefinierten Schlüsselspeicher erstellen](create-cmk-keystore.md). Sie brauchen dazu lediglich bei der Erstellung eines KMS-Schlüssels Ihren benutzerdefinierten Schlüsselspeicher anzugeben.

Falls Sie bei dem Prozess Hilfe benötigen, schlagen Sie im Thema [Fehlerbehebung für einen Custom Key Store](fix-keystore.md) nach. Wenn Sie dort keine Antwort oder Lösung finden, Verwenden Sie den Feedback-Link unten auf der Seite in diesem Handbuch, oder posten Sie eine Frage im [AWS Key Management Service -Diskussionsforum](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Kontingente**

AWS KMS ermöglicht bis zu [10 benutzerdefinierte Schlüsselspeicher](resource-limits.md) in jeder AWS-Konto Region, einschließlich sowohl [AWS CloudHSM Schlüsselspeichern](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) als auch [externer Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), unabhängig von deren Verbindungsstatus. Darüber hinaus gibt es AWS KMS Anforderungskontingente für die [Verwendung von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher](requests-per-second.md#rps-key-stores).

**Preise**

Informationen zu den Kosten für AWS KMS benutzerdefinierte Schlüsselspeicher und vom Kunden verwaltete Schlüssel in einem benutzerdefinierten Schlüsselspeicher finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/). Informationen zu den Kosten von AWS CloudHSM Clustern und HSMs finden Sie unter [AWS CloudHSM Preise](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Regionen**

AWS KMS unterstützt AWS CloudHSM wichtige Geschäfte in allen Ländern, in AWS-Regionen denen dies unterstützt AWS KMS wird, mit Ausnahme von Asien-Pazifik (Melbourne), China (Peking), China (Ningxia) und Europa (Spanien).

**Nicht unterstützte Funktionen**

AWS KMS unterstützt die folgenden Funktionen in benutzerdefinierten Schlüsselspeichern nicht.
+ [Asymmetrische KMS-Schlüssel](symmetric-asymmetric.md)
+ [HMAC-KMS-Schlüssel](hmac.md)
+ [KMS-Schlüssel mit importiertem Schlüsselmaterial](importing-keys.md)
+ [Automatische Schlüsselrotation](rotate-keys.md)
+ [Multiregionale Schlüssel](multi-region-keys-overview.md)

## AWS CloudHSM Konzepte für Schlüsselspeicher
<a name="hsm-key-store-concepts"></a>

In diesem Thema werden einige der Begriffe und Konzepte erklärt, die in AWS CloudHSM Schlüsselspeichern verwendet werden.

### AWS CloudHSM Schlüsselspeicher
<a name="concept-hsm-key-store"></a>

Ein *AWS CloudHSM Schlüsselspeicher* ist ein [benutzerdefinierter Schlüsselspeicher](key-store-overview.md#custom-key-store-overview), der einem AWS CloudHSM Cluster zugeordnet ist, den Sie besitzen und verwalten. AWS CloudHSM Cluster werden durch Hardware-Sicherheitsmodule (HSMs) unterstützt, die nach [FIPS 140-2 oder FIPS 140-3 Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) zertifiziert sind.

Wenn Sie einen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS generiert dieser im zugehörigen Cluster einen persistenten, nicht exportierbaren symmetrischen AES-Schlüssel (Advanced Encryption Standard) mit 256 Bit. AWS CloudHSM Dieses Schlüsselmaterial verlässt Ihren Computer niemals unverschlüsselt. HSMs Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher verwenden, werden die kryptografischen Operationen HSMs im Cluster ausgeführt. 

AWS CloudHSM Schlüsselspeicher kombinieren die praktische und umfassende Schlüsselverwaltungsoberfläche von AWS KMS mit den zusätzlichen Steuerelementen, die ein AWS CloudHSM Cluster in Ihrem AWS-Konto bietet. Mit dieser integrierten Funktion können Sie KMS-Schlüssel erstellen, verwalten und verwenden und AWS KMS gleichzeitig die volle Kontrolle über die Schlüssel behalten HSMs , die ihr Schlüsselmaterial speichern, einschließlich der Verwaltung von Clustern und Backups. HSMs Sie können die AWS KMS Konsole verwenden und APIs den AWS CloudHSM Schlüsselspeicher und die zugehörigen KMS-Schlüssel verwalten. Sie können auch die AWS CloudHSM Konsole APIs, die Clientsoftware und die zugehörigen Softwarebibliotheken verwenden, um den zugehörigen Cluster zu verwalten.

Sie können Ihren AWS CloudHSM Schlüsselspeicher [anzeigen und verwalten](view-keystore.md), [seine Eigenschaften bearbeiten](update-keystore.md) und ihn mit dem zugehörigen AWS CloudHSM Cluster [verbinden](connect-keystore.md) und die Verbindung zu diesem [trennen](disconnect-keystore.md). Wenn Sie [einen AWS CloudHSM Schlüsselspeicher löschen](delete-keystore.md#delete-keystore-console) müssen, müssen Sie zuerst die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher löschen, indem Sie deren Löschung planen und warten, bis die Kulanzzeit abgelaufen ist. Durch das Löschen des AWS CloudHSM Schlüsselspeichers wird die Ressource aus dem Cluster entfernt AWS KMS, was sich jedoch nicht auf Ihren AWS CloudHSM Cluster auswirkt.

### AWS CloudHSM Cluster
<a name="concept-cluster"></a>

Jeder AWS CloudHSM Schlüsselspeicher ist einem *AWS CloudHSM Cluster* zugeordnet. Wenn Sie einen AWS KMS key in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS erstellt das zugehörige Schlüsselmaterial im zugehörigen Cluster. Wenn Sie einen KMS-Schlüssel in Ihrem AWS CloudHSM -Schlüsselspeicher verwenden, wird die kryptographische Produktion in dem zugehörigen Cluster ausgeführt.

Jeder AWS CloudHSM Cluster kann nur einem AWS CloudHSM Schlüsselspeicher zugeordnet werden. Der Cluster, den Sie auswählen, kann nicht mit einem anderen AWS CloudHSM Schlüsselspeicher verknüpft werden oder einen gemeinsamen Backup-Verlauf mit einem Cluster teilen, der einem anderen AWS CloudHSM Schlüsselspeicher zugeordnet ist. Der Cluster muss initialisiert und aktiv sein und sich in derselben AWS-Konto Region wie der AWS CloudHSM Schlüsselspeicher befinden. Sie können einen neuen Cluster erstellen oder einen vorhandenen verwenden. AWS KMS benötigt keine ausschließliche Nutzung des Clusters. Um KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher und dem zugehörigen Cluster zu erstellen, muss er mindestens zwei aktive Schlüssel enthalten HSMs. Alle anderen Operationen erfordern nur ein HSM.

Sie geben den AWS CloudHSM Cluster an, wenn Sie den AWS CloudHSM Schlüsselspeicher erstellen, und Sie können ihn nicht ändern. Sie können jedoch eine Cluster als Ersatz verwenden, der den gleichen Sicherungsverlauf wie der ursprüngliche Cluster hat. So können Sie bei Bedarf den Cluster löschen und ihn durch einen aus einer seiner Sicherungen erstellten Cluster ersetzen. Sie behalten die volle Kontrolle über den zugehörigen AWS CloudHSM Cluster, sodass Sie Benutzer und Schlüssel verwalten, Backups erstellen und löschen HSMs sowie verwenden und verwalten können. 

Wenn Sie bereit sind, Ihren AWS CloudHSM Schlüsselspeicher zu verwenden, verbinden Sie ihn mit dem zugehörigen AWS CloudHSM Cluster. Sie können Ihren Custom Key Store jederzeit verbinden oder trennen. Wenn ein benutzerdefinierten Schlüsselspeicher verbunden ist, können Sie seine KMS-Schlüssel erstellen und verwenden. Wenn die Verbindung unterbrochen wird, können Sie den AWS CloudHSM Schlüsselspeicher und die zugehörigen KMS-Schlüssel anzeigen und verwalten. Sie können jedoch keine neuen KMS-Schlüssel erstellen oder die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher für kryptografische Operationen verwenden.

### `kmsuser`-Kryptobenutzer
<a name="concept-kmsuser"></a>

Um in Ihrem Namen Schlüsselmaterial im zugehörigen AWS CloudHSM Cluster zu erstellen und zu verwalten, AWS KMS verwendet einen dedizierten *AWS CloudHSM [Crypto-Benutzer](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) (CU)* im genannten `kmsuser` Cluster. Das `kmsuser` CU ist ein Standard-CU-Konto, das automatisch mit allen Mitgliedern des Clusters synchronisiert und HSMs in Cluster-Backups gespeichert wird. 

Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen, [erstellen Sie mit dem Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) in der CloudHSM-CLI ein `kmsuser` CU-Konto](create-keystore.md#before-keystore) in Ihrem AWS CloudHSM Cluster. Wenn Sie dann [den AWS CloudHSM Schlüsselspeicher erstellen](create-keystore.md), geben Sie das `kmsuser` Kontopasswort für an. AWS KMS Wenn Sie [den benutzerdefinierten Schlüsselspeicher verbinden](connect-keystore.md), AWS KMS meldet er sich als `kmsuser` CU beim Cluster an und wechselt das zugehörige Passwort. AWS KMS verschlüsselt Ihr `kmsuser` Passwort, bevor es sicher gespeichert wird. Wenn das Passwort rotiert wird, wird das neue Passwort verschlüsselt und auf die gleiche Weise gespeichert.

AWS KMS bleibt angemeldet, `kmsuser` solange der AWS CloudHSM Schlüsselspeicher verbunden ist. Sie sollten dieses CU-Konto nicht für andere Zwecke verwenden. Sie behalten jedoch die letztendliche Kontrolle des `kmsuser`-CU-Kontos. Sie können jederzeit [die Schlüssel finden, die](find-key-material.md) Ihnen `kmsuser` gehören. Bei Bedarf können Sie den [benutzerdefinierten Schlüsselspeicher trennen](disconnect-keystore.md), das `kmsuser`-Passwort ändern, [sich bei dem Cluster als `kmsuser`](fix-keystore.md#fix-login-as-kmsuser) anmelden sowie die Schlüssel, über die `kmsuser` verfügt, anzeigen und verwalten.

Für Anweisungen zum Erstellen Ihres `kmsuser`-CU-Kontos vgl. [Erstellen des `kmsuser`-Crypto-Benutzers](create-keystore.md#before-keystore).

### KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher
<a name="concept-cmk-key-store"></a>

Sie können die AWS KMS API AWS KMS oder verwenden, um einen AWS KMS keys in einem AWS CloudHSM Schlüsselspeicher zu erstellen. Sie verwenden die gleiche Methode wie bei jedem KMS-Schlüssel. Der einzige Unterschied besteht darin, dass Sie den AWS CloudHSM Schlüsselspeicher identifizieren und angeben müssen, dass der Ursprung des Schlüsselmaterials der AWS CloudHSM Cluster ist. 

Wenn Sie [einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen](create-cmk-keystore.md), AWS KMS erstellt er den KMS-Schlüssel in AWS KMS und generiert ein persistentes, nicht exportierbares symmetrisches 256-Bit-Schlüsselmaterial (Advanced Encryption Standard, AES) im zugehörigen Cluster. Wenn Sie den AWS KMS Schlüssel in einem kryptografischen Vorgang verwenden, wird der Vorgang im AWS CloudHSM Cluster unter Verwendung des clusterbasierten AES-Schlüssels ausgeführt. Obwohl symmetrische und asymmetrische Schlüssel verschiedener Typen AWS CloudHSM unterstützt werden, unterstützen AWS CloudHSM Schlüsselspeicher nur symmetrische AES-Verschlüsselungsschlüssel.

Sie können die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole anzeigen und mithilfe der Konsolenoptionen die benutzerdefinierte Schlüsselspeicher-ID anzeigen. Sie können den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang auch verwenden, um die AWS CloudHSM Schlüsselspeicher-ID und die AWS CloudHSM Cluster-ID zu finden.

Die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher funktionieren genauso wie alle KMS-Schlüssel in AWS KMS. Autorisierte Benutzer benötigen die gleichen Berechtigungen zum Verwenden und Verwalten der KMS-Schlüssel. Sie verwenden dieselben Konsolenprozeduren und API-Operationen, um die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher anzuzeigen und zu verwalten. Dazu gehören das Aktivieren und Deaktivieren von KMS-Schlüsseln, das Erstellen und Verwenden von Tags und Aliasen sowie das Festlegen und Ändern von IAM- und Schlüsselrichtlinien. Sie können die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher für kryptografische Operationen verwenden und sie mit [integrierten AWS Diensten](service-integration.md) verwenden, die die Verwendung von kundenverwalteten Schlüsseln unterstützen. Sie können jedoch weder die [automatische Schlüsselrotation](rotate-keys.md) aktivieren noch [Schlüsselmaterial in einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher importieren](importing-keys.md). 

Sie verwenden dasselbe Verfahren auch, um das [Löschen eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher zu planen](deleting-keys.md#delete-cmk-keystore). AWS KMS Löscht nach Ablauf der Wartezeit den KMS-Schlüssel aus KMS. Anschließend wird nach besten Kräften versucht, das Schlüsselmaterial für den KMS-Schlüssel aus dem zugehörigen AWS CloudHSM Cluster zu löschen. Möglicherweise müssen Sie jedoch [das verwaiste Schlüsselmaterial manuell](fix-keystore.md#fix-keystore-orphaned-key) aus dem Cluster und seinen Backups löschen.

# Kontrollieren Sie den Zugang zu Ihrem AWS CloudHSM Schlüsselspeicher
<a name="authorize-key-store"></a>

Sie verwenden IAM-Richtlinien, um den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher und Ihren AWS CloudHSM Cluster zu kontrollieren. Sie können Schlüsselrichtlinien, IAM-Richtlinien und Zuweisungen verwenden, um den Zugriff auf den Schlüsselspeicher AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher zu kontrollieren. Sie sollten Benutzern, Gruppen und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.

Um Ihre AWS CloudHSM Schlüsselspeicher zu unterstützen, AWS KMS ist eine Genehmigung zum Abrufen von Informationen über Ihre AWS CloudHSM Cluster erforderlich. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle in Ihrem AWS-Konto. Weitere Informationen finden Sie unter [Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen](authorize-kms.md).

Achten Sie beim Entwerfen Ihres AWS CloudHSM Schlüsselspeichers darauf, dass die Prinzipale, die ihn verwenden und verwalten, nur über die erforderlichen Berechtigungen verfügen. In der folgenden Liste werden die Mindestberechtigungen beschrieben, die für Manager und Benutzer von AWS CloudHSM Schlüsselspeichern erforderlich sind.
+ Principals, die Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwalten, benötigen die folgenden Berechtigungen, um die AWS CloudHSM Key-Store-API-Operationen verwenden zu können.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ Principals, die den AWS CloudHSM Cluster erstellen und verwalten, der Ihrem AWS CloudHSM Schlüsselspeicher zugeordnet ist, benötigen die Erlaubnis, einen Cluster zu erstellen und zu initialisieren. AWS CloudHSM Dies beinhaltet die Erlaubnis, eine Amazon Virtual Private Cloud (VPC) zu erstellen oder zu verwenden, Subnetze zu erstellen und eine EC2 Amazon-Instance zu erstellen. Möglicherweise müssen sie auch Backups erstellen HSMs, löschen und verwalten. Eine Liste der erforderlichen Berechtigungen finden Sie unter [Identitäts- und Zugriffsverwaltung für AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) im *AWS CloudHSM Benutzerhandbuch*.
+ Prinzipale, die AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher etwas erstellen und verwalten, benötigen [dieselben Berechtigungen](create-keys.md#create-key-permissions) wie diejenigen, die alle KMS-Schlüssel in AWS KMS erstellen und verwalten. Die [Standard-Schlüsselrichtlinie](key-policy-default.md) für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist identisch mit der Standard-Schlüsselrichtlinie für KMS-Schlüssel in AWS KMS. Die [attributebasierte Zugriffskontrolle](abac.md) (ABAC), die Tags und Aliase verwendet, um den Zugriff auf KMS-Schlüssel zu steuern, ist auch für KMS-Schlüssel in Schlüsselspeichern wirksam. AWS CloudHSM 
+ [Principals, die die KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher für [kryptografische Operationen verwenden, benötigen eine Genehmigung, um den kryptografischen](manage-cmk-keystore.md#use-cmk-keystore) Vorgang mit dem KMS-Schlüssel auszuführen, z. B. kms:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Sie können diese Berechtigungen in einer Schlüsselrichtlinie oder einer IAM-Richtlinie bereitstellen. Sie benötigen jedoch keine zusätzlichen Berechtigungen, um einen KMS-Schlüssel in einem Schlüsselspeicher zu verwenden. AWS CloudHSM 

# Erstellen Sie einen AWS CloudHSM Schlüsselspeicher
<a name="create-keystore"></a>

Sie können einen oder mehrere AWS CloudHSM Schlüsselspeicher in Ihrem Konto erstellen. Jeder AWS CloudHSM Schlüsselspeicher ist einem AWS CloudHSM Cluster in derselben AWS-Konto Region zugeordnet. Vor dem Erstellen des AWS CloudHSM -Schlüsselspeichers müssen Sie [einige Voraussetzungen erfüllen](#before-keystore). Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher verwenden können, müssen Sie [ihn dann mit seinem AWS CloudHSM Cluster verbinden](connect-keystore.md).

**Hinweise**  
KMS kann nicht IPv6 mit AWS CloudHSM Schlüsselspeichern kommunizieren.  
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne *Verbindung* zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück.   
Sie müssen Ihren AWS CloudHSM Schlüsselspeicher nicht sofort verbinden. Sie können die Verbindung getrennt lassen, bis Sie zur Verwendung bereit sind. Wenn Sie jedoch prüfen möchten, ob die Konfiguration ordnungsgemäß erfolgt ist, können Sie [eine Verbindung herstellen](connect-keystore.md),[ den Verbindungsstatus anzeigen](view-keystore.md) und anschließend [die Verbindung wieder trennen](disconnect-keystore.md).

**Topics**
+ [Erfüllen der Voraussetzungen](#before-keystore)
+ [Erstellen Sie einen neuen AWS CloudHSM Schlüsselspeicher](#create-hsm-keystore)

## Erfüllen der Voraussetzungen
<a name="before-keystore"></a>

Jeder AWS CloudHSM Schlüsselspeicher wird von einem AWS CloudHSM Cluster unterstützt. Um einen AWS CloudHSM Schlüsselspeicher zu erstellen, müssen Sie einen aktiven AWS CloudHSM Cluster angeben, der noch keinem anderen Schlüsselspeicher zugeordnet ist. Sie müssen außerdem einen dedizierten Crypto-Benutzer (CU) in den Clustern einrichten HSMs , mit dem Sie Schlüssel in Ihrem Namen erstellen und verwalten AWS KMS können.

Bevor Sie einen AWS CloudHSM Schlüsselspeicher erstellen, gehen Sie wie folgt vor:

**Wählen Sie einen AWS CloudHSM Cluster**  
Jeder AWS CloudHSM Schlüsselspeicher ist [genau einem AWS CloudHSM Cluster zugeordnet](keystore-cloudhsm.md#concept-cluster). Wenn Sie AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS erstellt die KMS-Schlüsselmetadaten, z. B. eine ID und einen Amazon-Ressourcennamen (ARN) in AWS KMS. Anschließend erstellt es das Schlüsselmaterial im HSMs des zugehörigen Clusters. Sie können [einen neuen AWS CloudHSM Cluster erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) oder einen vorhandenen verwenden. AWS KMS erfordert keinen exklusiven Zugriff auf den Cluster.  
Der AWS CloudHSM Cluster, den Sie auswählen, ist dauerhaft mit dem AWS CloudHSM Schlüsselspeicher verknüpft. Nachdem Sie den AWS CloudHSM Schlüsselspeicher erstellt haben, können Sie [die Cluster-ID des zugehörigen Clusters ändern](update-keystore.md). Der von Ihnen angegebene Cluster muss jedoch einen Backup-Verlauf mit dem ursprünglichen Cluster gemeinsam nutzen. Um einen Cluster zu verwenden, der nichts miteinander zu tun hat, müssen Sie einen neuen AWS CloudHSM Schlüsselspeicher erstellen.  
Der AWS CloudHSM Cluster, den Sie auswählen, muss die folgenden Eigenschaften aufweisen:  
+ **Der Cluster muss aktiv sein**. 

  Sie müssen den Cluster erstellen, initialisieren, die AWS CloudHSM Client-Software für Ihre Plattform installieren und dann den Cluster aktivieren. Ausführliche Anweisungen finden Sie im Abschnitt [Erste Schritte AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) im *AWS CloudHSM -Benutzerhandbuch*.
+ **Mutual TLS (mTLS) ist nicht aktiviert.** 

  KMS unterstützt mTLS für Cluster nicht. Diese Einstellung darf nicht aktiviert sein.
+ **Der Cluster muss sich im selben Konto und in derselben Region** wie der AWS CloudHSM Schlüsselspeicher befinden. Sie können einen AWS CloudHSM Schlüsselspeicher in einer Region nicht einem Cluster in einer anderen Region zuordnen. Um eine Schlüsselinfrastruktur in mehreren Regionen zu erstellen, müssen Sie in jeder Region AWS CloudHSM Schlüsselspeicher und Cluster erstellen.
+ **Der Cluster kann nicht mit einem anderen benutzerdefinierten Schlüsselspeicher** desselben Kontos und derselben Region verknüpft werden. Jeder AWS CloudHSM Schlüsselspeicher im Konto und in der Region muss einem anderen AWS CloudHSM Cluster zugeordnet sein. Sie können keinen Cluster angeben, der bereits einem benutzerdefinierten Schlüsselspeicher zugeordnet ist, und auch keinen Cluster, der einen gemeinsamen Sicherungsverlauf mit einem zugeordneten Cluster hat. Cluster mit einem gemeinsamen Sicherungsverlauf haben dasselbe Cluster-Zertifikat. Um das Clusterzertifikat eines Clusters anzuzeigen, verwenden Sie die AWS CloudHSM Konsole oder den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang.

  Wenn Sie [einen AWS CloudHSM -Cluster in einer anderen Region sichern](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), wird er als anderer Cluster betrachtet, und Sie können die Sicherung mit einem benutzerdefinierten Schlüsselspeicher in seiner Region verknüpfen. Die KMS-Schlüssel in den beiden benutzerdefinierten Schlüsselspeichern sind jedoch nicht interoperabel, selbst wenn sie denselben Backing-Schlüssel haben. AWS KMS bindet Metadaten an den Chiffretext, sodass dieser nur mit dem KMS-Schlüssel entschlüsselt werden kann, mit dem er verschlüsselt wurde.
+ Der Cluster muss mit [privaten Subnetzen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) in **mindestens zwei Availability Zones** in der Region konfiguriert werden. Da AWS CloudHSM dies nicht in allen Availability Zones unterstützt wird, empfehlen wir, private Subnetze in allen Availability Zones in der Region zu erstellen. Sie können die Subnetze für einen vorhandenen Cluster nicht neu konfigurieren, haben jedoch die Möglichkeit, einen [Cluster von einer Sicherung zu erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), mit anderen Subnetzen in der Cluster-Konfiguration.
**Wichtig**  
Nachdem Sie Ihren AWS CloudHSM Schlüsselspeicher erstellt haben, löschen Sie keines der für den Cluster konfigurierten privaten Subnetze. AWS CloudHSM Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche, eine [Verbindung zum benutzerdefinierten Schlüsselspeicher](connect-keystore.md) herzustellen, fehl und es wird ein `SUBNET_NOT_FOUND` Verbindungsfehler angezeigt. Details hierzu finden Sie unter [Beheben eines Verbindungsfehlers](fix-keystore.md#fix-keystore-failed).
+ Die [Sicherheitsgruppe für den Cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) muss Regeln für eingehenden und ausgehenden Datenverkehr enthalten, die TCP-Verkehr über die Ports 2223-2225 IPv4 zulassen. Die Angabe für **Source (Quelle)** in den eingehenden Regeln und für **Destination (Ziel)** in den ausgehenden Regeln muss mit der Sicherheitsgruppen-ID übereinstimmen. Diese Regeln werden standardmäßig festgelegt, wenn Sie den Cluster erstellen. Sie dürfen nicht gelöscht oder geändert werden.
+ **Der Cluster muss mindestens zwei aktive HSMs Mitglieder in unterschiedlichen Availability Zones enthalten**. Verwenden Sie die AWS CloudHSM Konsole oder den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang HSMs, um die Anzahl von zu überprüfen. Falls erforderlich, können Sie ein [HSM hinzufügen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Finden des Trust Anchor-Zertifikats**  
Wenn Sie einen benutzerdefinierten Schlüsselspeicher erstellen, müssen Sie das Trust Anchor-Zertifikat für den AWS CloudHSM Cluster hochladen AWS KMS. AWS KMS benötigt das Trust Anchor-Zertifikat, um den AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster zu verbinden.  
Jeder aktive AWS CloudHSM Cluster verfügt über ein *Trust Anchor-Zertifikat*. Wenn Sie den [Cluster initialisieren](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), generieren Sie dieses Zertifikat, speichern es in der Datei `customerCA.crt` und kopieren es auf Hosts, die eine Verbindung zu dem Cluster herstellen.

**Erstellen Sie den `kmsuser` Crypto-Benutzer für AWS KMS**  <a name="kmsuser-concept"></a>
Um Ihren AWS CloudHSM Schlüsselspeicher zu verwalten, melden Sie AWS KMS sich beim [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) -Konto im ausgewählten Cluster an. Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen, müssen Sie die `kmsuser` CU erstellen. Wenn Sie dann Ihren AWS CloudHSM Schlüsselspeicher erstellen, geben Sie das Passwort für `kmsuser` to ein AWS KMS. Immer wenn Sie den AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbinden, AWS KMS meldet sich das Passwort als an `kmsuser` und wechselt das Passwort `kmsuser`   
Geben Sie nicht die Option `2FA` beim Erstellen des `kmsuser`-CU an. Wenn Sie dies tun, AWS KMS können Sie sich nicht anmelden und Ihr AWS CloudHSM Schlüsselspeicher kann nicht mit diesem AWS CloudHSM Cluster verbunden werden. Wenn Sie 2FA angeben, können Sie dies nicht rückgängig machen. Sie müssen dann den CU löschen und neu erstellen.
**Hinweise**  
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`  
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *

1. Folgen Sie den Anleitungen für die ersten Schritte, wie [sie im Abschnitt Erste Schritte mit CloudHSM Command Line Interface (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) im *AWS CloudHSM Benutzerhandbuch* beschrieben sind.

1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html), um eine CU mit dem Namen zu erstellen. `kmsuser`

   Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig.

   Der folgende Beispielbefehl erstellt eine `kmsuser` CU. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Erstellen Sie einen neuen AWS CloudHSM Schlüsselspeicher
<a name="create-hsm-keystore"></a>

Nachdem Sie [die Voraussetzungen zusammengestellt](#before-keystore) haben, können Sie in der AWS KMS Konsole oder mithilfe des [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgangs einen neuen AWS CloudHSM Schlüsselspeicher erstellen.

### Verwenden der Konsole AWS KMS
<a name="create-keystore-console"></a>

Wenn Sie in der einen AWS CloudHSM Schlüsselspeicher erstellen AWS-Managementkonsole, können Sie die [erforderlichen Komponenten](#before-keystore) als Teil Ihres Workflows hinzufügen und erstellen. Der Prozess ist jedoch schneller, wenn Sie die Voraussetzungen schon vorab erfüllt haben.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.

1. Wählen Sie **Einen Schlüsselspeicher erstellen** aus.

1. Geben Sie einen Anzeigenamen für den benutzerdefinierten Schlüsselspeicher ein. Der Name muss unter allen beutzerdefinierten Schlüsselspeichern in Ihrem Konto eindeutig sein.
**Wichtig**  
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.

1. Wählen Sie [einen AWS CloudHSM Cluster](keystore-cloudhsm.md#concept-cluster) für den AWS CloudHSM Schlüsselspeicher aus. Oder, um einen neuen AWS CloudHSM Cluster zu erstellen, wählen Sie den Link ** AWS CloudHSM Cluster erstellen**.

   Im Menü werden die AWS CloudHSM Cluster in Ihrem Konto und Ihrer Region angezeigt, die noch keinem AWS CloudHSM Schlüsselspeicher zugeordnet sind. Der Cluster muss [die Anforderungen](#before-keystore) für die Zuordnung zu einem benutzerdefinierten Schlüsselspeicher erfüllen. 

1. **Wählen Sie Datei auswählen** und laden Sie dann das Trust Anchor-Zertifikat für den ausgewählten AWS CloudHSM Cluster hoch. Dies ist die Datei `customerCA.crt`, die Sie bei der [Initialisierung des Clusters](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr) erstellt haben.

1. Geben Sie das Passwort des [`kmsuser`-Kryptobenutzers](keystore-cloudhsm.md#concept-kmsuser) (CU) ein, den Sie in dem ausgewählten Cluster erstellt haben. 

1. Wählen Sie **Erstellen** aus.

Wenn das Verfahren erfolgreich ist, wird der neue AWS CloudHSM Schlüsselspeicher in der Liste der AWS CloudHSM Schlüsselspeicher im Konto und in der Region angezeigt. Bei nicht erfolgreicher Ausführung wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne *Verbindung* zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück. 

**Weiter**: Neue AWS CloudHSM Schlüsselspeicher werden nicht automatisch verbunden. Bevor Sie AWS KMS keys im AWS CloudHSM Schlüsselspeicher etwas erstellen können, müssen Sie [den benutzerdefinierten Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbinden](connect-keystore.md).

### Verwenden der AWS KMS API
<a name="create-keystore-api"></a>

Sie können den [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgang verwenden, um einen neuen AWS CloudHSM Schlüsselspeicher zu erstellen, der einem AWS CloudHSM Cluster im Konto und in der Region zugeordnet ist. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Für die Produktion `CreateCustomKeyStore` sind folgende Parameterwerte erforderlich.
+ CustomKeyStoreName — Ein benutzerfreundlicher Name für den benutzerdefinierten Schlüsselspeicher, der für das Konto eindeutig ist.
**Wichtig**  
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
+ CloudHsmClusterId — Die Cluster-ID eines AWS CloudHSM Clusters, [der die Anforderungen für einen AWS CloudHSM Schlüsselspeicher erfüllt](#before-keystore).
+ KeyStorePassword — Das Passwort des `kmsuser` CU-Kontos im angegebenen Cluster. 
+ TrustAnchorCertificate — Der Inhalt der `customerCA.crt` Datei, die Sie bei der [Initialisierung des Clusters](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html) erstellt haben.

Im folgenden Beispiel wird eine fiktive Cluster-ID verwendet. Ersetzen Sie diese vor Ausführung des Befehls durch eine gültige Cluster-ID.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Wenn Sie die verwenden AWS CLI, können Sie die Trust-Anker-Zertifikatsdatei anstelle ihres Inhalts angeben. Im folgenden Beispiel befindet sich die Datei `customerCA.crt` im Stammverzeichnis.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Bei einer erfolgreichen Produktion gibt `CreateCustomKeyStore` die ID des benutzerdefinierten Schlüsselspeichers zurück, wie in der folgenden Beispielantwort dargestellt.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Wenn die Produktion fehlschlägt, korrigieren Sie den in der Ausnahme angegebenen Fehler und versuchen Sie es erneut. Weitere Informationen finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne *Verbindung* zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück. 

**Weiter**: Um den AWS CloudHSM Schlüsselspeicher zu verwenden, [verbinden Sie ihn mit seinem AWS CloudHSM Cluster](connect-keystore.md).

# Sehen Sie sich einen AWS CloudHSM Schlüsselspeicher an
<a name="view-keystore"></a>

Sie können die AWS CloudHSM Schlüsselspeicher für jedes Konto und jede Region mithilfe der AWS KMS Konsole oder der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Operation anzeigen. 

## Mithilfe der AWS KMS Konsole
<a name="view-keystore-console"></a>

Wenn Sie sich die AWS CloudHSM Schlüsselspeicher in der ansehen AWS-Managementkonsole, können Sie Folgendes sehen:
+ Name und ID des benutzerdefinierten Schlüsselspeichers
+ Die ID des zugehörigen AWS CloudHSM Clusters
+ Die Nummer von HSMs im Cluster
+ Der aktuelle Verbindungsstatus

Der Wert **Disconnected** für den **Verbindungsstatus (Status**) gibt an, dass der benutzerdefinierte Schlüsselspeicher neu ist und noch nie verbunden wurde oder dass er absichtlich [vom Cluster getrennt](disconnect-keystore.md) wurde. AWS CloudHSM Wenn Ihre Versuche, einen KMS-Schlüssel in einem verbundenen benutzerdefinierten Schlüsselspeicher zu verwenden, fehlschlagen, kann dies auf ein Problem mit dem benutzerdefinierten Schlüsselspeicher oder seinem AWS CloudHSM Cluster hinweisen. Weitere Informationen dazu finden Sie unter [Beheben eines fehlerhaften KMS-Schlüssels](fix-keystore.md#fix-cmk-failed).

Gehen Sie wie folgt vor, um die AWS CloudHSM Schlüsselspeicher in einem bestimmten Konto und einer bestimmten Region anzuzeigen.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.

Klicken Sie auf das Zahnradsymbol unter der Schaltfläche **Create key store (Schlüsselspeicher erstellen)**, um die Anzeige anzupassen.

## Verwenden der API AWS KMS
<a name="view-keystore-api"></a>

Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um Ihre AWS CloudHSM wichtigsten Speicher anzuzeigen. Standardmäßig gibt diese Operation alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Ausgabe auf einen bestimmten benutzerdefinierten Schlüsselspeicher zu begrenzen. Bei AWS CloudHSM Schlüsselspeichern besteht die Ausgabe aus der ID und dem Namen des benutzerdefinierten Schlüsselspeichers, dem Typ des benutzerdefinierten Schlüsselspeichers, der ID des zugehörigen AWS CloudHSM Clusters und dem Verbindungsstatus. Wenn der Verbindungsstatus auf einen Fehler hinweist, enthält die Ausgabe außerdem einen Fehlercode, der die Ursache angibt.

Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

Beispielsweise gibt der folgende Befehl alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können die Parameter `Marker` und `Limit` verwenden, um durch die benutzerdefinierten Schlüsselspeicher in der Ausgabe zu blättern.

```
$ aws kms describe-custom-key-stores
```

Der folgende Beispielbefehl verwendet den Parameter `CustomKeyStoreName`, um nur den benutzerdefinierten Schlüsselspeicher mit dem Anzeigenamen `ExampleCloudHSMKeyStore` abzurufen. In jedem Befehl können Sie entweder den Parameter `CustomKeyStoreName` oder `CustomKeyStoreId` (aber nicht beide) verwenden.

Die folgende Beispielausgabe stellt einen AWS CloudHSM Schlüsselspeicher dar, der mit seinem AWS CloudHSM Cluster verbunden ist.

**Anmerkung**  
Das `CustomKeyStoreType` Feld wurde der `DescribeCustomKeyStores` Antwort hinzugefügt, um AWS CloudHSM Schlüsselspeicher von externen Schlüsselspeichern zu unterscheiden.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

Ein `Disconnected` Wert `ConnectionState` von gibt an, dass mit einem benutzerdefinierten Schlüsselspeicher noch nie eine Verbindung hergestellt wurde oder dass die Verbindung zu [seinem AWS CloudHSM Cluster absichtlich getrennt](disconnect-keystore.md) wurde. Wenn jedoch Versuche, einen KMS-Schlüssel in einem verbundenen AWS CloudHSM Schlüsselspeicher zu verwenden, fehlschlagen, kann dies auf ein Problem mit dem AWS CloudHSM Schlüsselspeicher oder seinem AWS CloudHSM Cluster hinweisen. Weitere Informationen dazu finden Sie unter [Beheben eines fehlerhaften KMS-Schlüssels](fix-keystore.md#fix-cmk-failed).

Wenn der `ConnectionState` des benutzerdefinierten Schlüsselspeichers `FAILED` lautet, enthält die `DescribeCustomKeyStores`-Antwort ein `ConnectionErrorCode`-Element, das den Grund für den Fehler angibt.

In der folgenden Ausgabe deutet der Wert `INVALID_CREDENTIALS` beispielsweise darauf hin, dass die Verbindung des benutzerdefinierten Schlüsselspeichers fehlgeschlagen ist, da das [`kmsuser`-Passwort ungültig ist](fix-keystore.md#fix-keystore-password). Weitere Informationen zu diesem und anderen Verbindungsfehlern finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**Weitere Informationen:**
+ [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md)
+ [Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern](identify-key-types.md#identify-key-hsm-keystore)
+ [AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md)

# Einstellungen AWS CloudHSM für den Schlüsselspeicher bearbeiten
<a name="update-keystore"></a>

Sie können die Einstellungen eines vorhandenen AWS CloudHSM Schlüsselspeichers ändern. Der benutzerdefinierte Schlüsselspeicher muss vom AWS CloudHSM Cluster getrennt werden.

Um die Einstellungen für AWS CloudHSM den Schlüsselspeicher zu bearbeiten:

1. [Trennen Sie den benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md) von dessen AWS CloudHSM -Cluster.

   Solange der benutzerdefinierte Schlüsselspeicher getrennt ist, können Sie im benutzerdefinierten Schlüsselspeicher keine AWS KMS keys (KMS-Schlüssel) erstellen und die darin enthaltenen KMS-Schlüssel nicht für [kryptografische](manage-cmk-keystore.md#use-cmk-keystore) Operationen verwenden. 

1. Bearbeiten Sie eine oder mehrere Einstellungen für den AWS CloudHSM Schlüsselspeicher.

   Sie können in einem benutzerdefinierten Schlüsselspeicher die folgenden Einstellungen ändern:  
Anzeigename des benutzerdefinierten Schlüsselspeichers.  
Geben Sie einen neuen Anzeigenamen ein. Der neue Name muss unter allen benutzerdefinierten Schlüsselspeichern in Ihrem eindeutig sein AWS-Konto.  
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.  
Die Cluster-ID des zugehörigen AWS CloudHSM Clusters.  
Bearbeiten Sie diesen Wert, um den ursprünglichen AWS CloudHSM Cluster durch einen verwandten Cluster zu ersetzen. Sie können diese Funktion verwenden, um einen benutzerdefinierten Schlüsselspeicher zu reparieren, falls sein AWS CloudHSM Cluster beschädigt oder gelöscht wird.   
Geben Sie einen AWS CloudHSM Cluster an, der den Backup-Verlauf mit dem ursprünglichen Cluster teilt und [der die Anforderungen für die Zuordnung zu einem benutzerdefinierten Schlüsselspeicher erfüllt](create-keystore.md#before-keystore), einschließlich zweier, die HSMs in unterschiedlichen Availability Zones aktiv sind. Cluster mit einem gemeinsamen Sicherungsverlauf haben dasselbe Cluster-Zertifikat. Verwenden Sie den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang, um das Clusterzertifikat eines Clusters anzuzeigen. Sie können das Bearbeitungs-Feature nicht verwenden, um den benutzerdefinierten Schlüsselspeicher mit einem nicht verwandten AWS CloudHSM -Cluster zu verknüpfen.   
Das aktuelle Passwort des [`kmsuser` Kryptobenutzers](keystore-cloudhsm.md#concept-kmsuser) (Crypto User, CU).  
Gibt AWS KMS das aktuelle Passwort der `kmsuser` CU im AWS CloudHSM Cluster an. Durch diese Aktion wird das Passwort der `kmsuser` CU im AWS CloudHSM Cluster nicht geändert.  
Wenn Sie das Passwort der `kmsuser` CU im AWS CloudHSM Cluster ändern, verwenden Sie diese Funktion, um AWS KMS das neue `kmsuser` Passwort mitzuteilen. Andernfalls kann sich AWS KMS nicht am Cluster anmelden und jeder Versuch, den benutzerdefinierten Schlüsselspeicher mit dem Cluster zu verbinden, schlägt fehl. 

1. [Verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder](connect-keystore.md) mit dessen AWS CloudHSM -Cluster.

## Bearbeiten Sie Ihre Key-Store-Einstellungen
<a name="edit-keystore-settings"></a>

Sie können Ihre AWS CloudHSM Key-Store-Einstellungen in der AWS KMS Konsole oder mithilfe des [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgangs bearbeiten.

### Mithilfe der AWS KMS Konsole
<a name="update-keystore-console"></a>

Wenn Sie einen AWS CloudHSM Schlüsselspeicher bearbeiten, können Sie einen oder mehrere der konfigurierbaren Werte ändern.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.

1. Wählen Sie die Zeile des AWS CloudHSM Schlüsselspeichers aus, den Sie bearbeiten möchten. 

   Wenn der Wert in der Spalte **Verbindungsstatus** nicht **Getrennt** lautet, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, um ihn bearbeiten zu können. (Wählen Sie im Menü **Key store actions**(Key Store-Aktionen) die Option **Disconnect** (Trennen) aus.)

   Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine KMS-Schlüssel verwalten, aber Sie können im AWS CloudHSM Schlüsselspeicher keine KMS-Schlüssel erstellen oder verwenden. 

1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Edit** (Bearbeiten) aus.

1. Führen Sie eine oder mehrere der folgenden Aktionen aus.
   + Geben Sie einen neuen Anzeigenamen für den benutzerdefinierten Schlüsselspeicher ein.
   + Geben Sie die Cluster-ID eines zugehörigen AWS CloudHSM Clusters ein.
   + Geben Sie das aktuelle Passwort des `kmsuser` Krypto-Benutzers im zugehörigen AWS CloudHSM Cluster ein.

1. Wählen Sie **Speichern**.

   Wenn der Vorgang erfolgreich ist, wird Ihnen eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Einstellungen angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

1. [Stellen Sie die Verbindung des benutzerdefinierten Schlüsselspeichers wieder her.](connect-keystore.md)

   Um den AWS CloudHSM Schlüsselspeicher verwenden zu können, müssen Sie ihn nach der Bearbeitung erneut verbinden. Sie können den AWS CloudHSM -Schlüsselspeicher getrennt lassen. Solange die Verbindung unterbrochen ist, können Sie jedoch keine KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher für [kryptografische](manage-cmk-keystore.md#use-cmk-keystore) Operationen verwenden.

### Verwenden der API AWS KMS
<a name="update-keystore-api"></a>

Verwenden Sie den [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgang, um die Eigenschaften eines AWS CloudHSM Schlüsselspeichers zu ändern. Sie können im selben Befehl mehrere Eigenschaften eines benutzerdefinierten Schlüsselspeichers ändern. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob die Änderungen wirksam sind.

Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

Verwenden Sie zunächst [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html), um [den benutzerdefinierten Schlüsselspeicher von seinem AWS CloudHSM Cluster zu trennen](disconnect-keystore.md). Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers, cks-1234567890abcdef0, durch eine tatsächliche ID.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Im ersten Beispiel wird [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)der Anzeigename des AWS CloudHSM Schlüsselspeichers in geändert`DevelopmentKeys`. Der Befehl verwendet den `CustomKeyStoreId` Parameter, um den AWS CloudHSM Schlüsselspeicher `CustomKeyStoreName` zu identifizieren und dann den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

Im folgenden Beispiel wird der Cluster, der einem AWS CloudHSM Schlüsselspeicher zugeordnet ist, in ein anderes Backup desselben Clusters geändert. Der Befehl verwendet den `CustomKeyStoreId` Parameter, um den AWS CloudHSM Schlüsselspeicher zu identifizieren, und den `CloudHsmClusterId` Parameter, um die neue Cluster-ID anzugeben. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

Das folgende Beispiel zeigt AWS KMS , dass das aktuelle `kmsuser` Passwort lautet`ExamplePassword`. Der Befehl verwendet den `CustomKeyStoreId` Parameter, um den AWS CloudHSM Schlüsselspeicher zu identifizieren, und den `KeyStorePassword` Parameter, um das aktuelle Passwort anzugeben.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

Der letzte Befehl verbindet den AWS CloudHSM Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Sie können den benutzerdefinierten Schlüsselspeicher im getrennten Status belassen. Sie müssen die Verbindung jedoch wiederherstellen, bevor Sie neue KMS-Schlüssel erstellen oder vorhandene KMS-Schlüssel für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) verwenden können. Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine tatsächliche ID.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Einen AWS CloudHSM Schlüsselspeicher Connect
<a name="connect-keystore"></a>

Neue AWS CloudHSM Schlüsselspeicher sind nicht verbunden. Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwenden AWS KMS keys können, müssen Sie ihn mit dem zugehörigen AWS CloudHSM Cluster verbinden. Sie können Ihren AWS CloudHSM Schlüsselspeicher jederzeit verbinden und die Verbindung trennen und [seinen Verbindungsstatus einsehen](view-keystore.md#view-keystore-console). 

Sie müssen Ihren AWS CloudHSM Schlüsselspeicher nicht verbinden. Sie können einen AWS CloudHSM Schlüsselspeicher auf unbestimmte Zeit in einem getrennten Zustand belassen und ihn nur dann verbinden, wenn Sie ihn benötigen. Möglicherweise möchten Sie die Verbindung jedoch von Zeit zu Zeit testen, um zu prüfen, ob die Einstellungen korrekt sind und eine Verbindungsherstellung möglich ist.

**Anmerkung**  
AWS CloudHSM Schlüsselspeicher haben nur dann einen `DISCONNECTED` Verbindungsstatus, wenn der Schlüsselspeicher noch nie verbunden war oder wenn Sie die Verbindung explizit trennen. Wenn Ihr AWS CloudHSM Schlüsselspeicher-Verbindungsstatus lautet, Sie `CONNECTED` aber Probleme bei der Verwendung haben, stellen Sie sicher, dass der zugehörige AWS CloudHSM Cluster aktiv ist und mindestens einen aktiven enthält HSMs. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

Wenn Sie eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herstellen AWS KMS , wird der zugehörige AWS CloudHSM Cluster gefunden, eine Verbindung zu diesem hergestellt, sich als [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) beim AWS CloudHSM Client angemeldet und dann das `kmsuser` Passwort rotiert. AWS KMS bleibt beim AWS CloudHSM Client angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist.

Um die Verbindung herzustellen, AWS KMS erstellt eine [Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), die `kms-<custom key store ID>` in der Virtual Private Cloud (VPC) des Clusters benannt ist. Die Sicherheitsgruppe hat eine einzige Regel, die eingehenden Datenverkehr von der Cluster-Sicherheitsgruppe zulässt. AWS KMS erstellt außerdem ein [elastic network interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) in jeder Availability Zone des privaten Subnetzes für den Cluster. AWS KMS fügt der ENIs `kms-<cluster ID>` Sicherheitsgruppe und der Sicherheitsgruppe für den Cluster hinzu. Die Beschreibung der einzelnen ENIs lautet `KMS managed ENI for cluster <cluster-ID>`.

Der Verbindungsvorgang kann einige Zeit – bis zu 20 Minuten – in Anspruch nehmen. 

Bevor Sie eine Verbindung zum AWS CloudHSM Schlüsselspeicher herstellen, stellen Sie sicher, dass er die Anforderungen erfüllt.
+ Der zugehörige AWS CloudHSM Cluster muss mindestens ein aktives HSM enthalten. Um die Anzahl von HSMs im Cluster zu ermitteln, zeigen Sie den Cluster in der AWS CloudHSM Konsole an oder verwenden Sie den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang. Falls erforderlich, können Sie ein [HSM hinzufügen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Der Cluster muss über ein [`kmsuser`Crypto-Benutzerkonto](create-keystore.md#kmsuser-concept) (CU) verfügen, aber dieses CU kann nicht beim Cluster angemeldet werden, wenn Sie eine Verbindung zum AWS CloudHSM Schlüsselspeicher herstellen. Hilfe zum Abmelden finden Sie unter [Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).
+ Der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers kann nicht `DISCONNECTING` oder sein`FAILED`. Verwenden Sie die AWS KMS Konsole oder die [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort, um den Verbindungsstatus anzuzeigen. Wenn der Verbindungsstatus `FAILED` lautet, trennen Sie den benutzerdefinierten Schlüsselspeicher, lösen Sie das Problem und stellen Sie anschließend die Verbindung her.

Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter [Beheben eines Verbindungsfehlers](fix-keystore.md#fix-keystore-failed).

Wenn Ihr AWS CloudHSM Schlüsselspeicher verbunden ist, können Sie [darin KMS-Schlüssel erstellen](create-cmk-keystore.md) und vorhandene KMS-Schlüssel für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) verwenden.

## Connect zu Ihrem AWS CloudHSM Schlüsselspeicher her und stellen Sie erneut eine Verbindung her
<a name="connect-hsm-keystore"></a>

Sie können in der AWS KMS Konsole oder mithilfe des Vorgangs eine Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher herstellen oder die Verbindung erneut herstellen. [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)

### Mithilfe der Konsole AWS KMS
<a name="connect-keystore-console"></a>

Um einen AWS CloudHSM Schlüsselspeicher in der zu verbinden AWS-Managementkonsole, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite **Benutzerdefinierte Schlüsselspeicher** aus. Der Verbindungsvorgang kann bis zu 20 Minuten dauern.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.

1. Wählen Sie die Zeile des AWS CloudHSM Schlüsselspeichers aus, den Sie verbinden möchten. 

   Wenn der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers „**Fehlgeschlagen**“ lautet, müssen Sie [die Verbindung zum benutzerdefinierten Schlüsselspeicher trennen](disconnect-keystore.md#disconnect-keystore-console), bevor Sie eine Verbindung herstellen.

1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Connect** (Verbinden) aus.

AWS KMS beginnt mit dem Verbindungsaufbau Ihres benutzerdefinierten Schlüsselspeichers. Der Service findet den zugehörigen AWS CloudHSM -Cluster, schafft die erforderlichen Netzwerkinfrastruktur, stellt eine Verbindung her, meldet sich beim AWS CloudHSM -Cluster als `kmsuser`-CU an und rotiert das `kmsuser`-Passwort. Wenn die Produktion abgeschlossen ist, ändert sich der Verbindungsstatus in **Verbunden**. 

Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung der Fehlerursache angezeigt. Bevor Sie erneut versuchen, eine Verbindung herzustellen, [überprüfen Sie den Verbindungsstatus](view-keystore.md) Ihres AWS CloudHSM Schlüsselspeichers. Wenn dieser **Fehlgeschlagen** lautet, müssen Sie die [Verbindung des benutzerdefinierten Schlüsselspeichers trennen](disconnect-keystore.md#disconnect-keystore-console), bevor Sie erneut eine Verbindung herstellen. Wenn Sie Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

**Danach:** [Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen](create-cmk-keystore.md).

### Verwenden der AWS KMS API
<a name="connect-keystore-api"></a>

Verwenden Sie den [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang, um einen getrennten AWS CloudHSM Schlüsselspeicher zu verbinden. Der zugehörige AWS CloudHSM Cluster muss mindestens ein aktives HSM enthalten, und der Verbindungsstatus darf nicht sein. `FAILED`

Der Verbindungsvorgang nimmt einige Zeit – bis zu 20 Minuten – in Anspruch. Sofern sie nicht schnell fehlschlägt, gibt die Produktion eine HTTP-Antwort 200 und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Informationen zum Ermitteln des Verbindungsstatus des benutzerdefinierten Schlüsselspeichers finden Sie in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort.

Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

Um den AWS CloudHSM Schlüsselspeicher zu identifizieren, verwenden Sie seine benutzerdefinierte Schlüsselspeicher-ID. Sie finden die ID auf der Seite **Benutzerdefinierte Schlüsselspeicher** in der Konsole oder indem Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang ohne Parameter verwenden. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der `ConnectionState`-Wert `CONNECTED` gibt an, dass der benutzerdefinierte Schlüsselspeicher mit seinem AWS CloudHSM -Cluster verbunden ist.

**Anmerkung**  
Das `CustomKeyStoreType` Feld wurde der `DescribeCustomKeyStores` Antwort hinzugefügt, um AWS CloudHSM Schlüsselspeicher von externen Schlüsselspeichern zu unterscheiden.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Wenn der `ConnectionState`-Wert „Failed (Fehlgeschlagen)” lautet, ist im Element `ConnectionErrorCode` die Fehlerursache angegeben. In diesem Fall AWS KMS konnte in Ihrem Konto kein AWS CloudHSM Cluster mit der Cluster-ID gefunden `cluster-1a23b4cdefg` werden. Wenn Sie den Cluster gelöscht haben, können Sie ihn [von einer Sicherung des ursprünglichen Clusters wiederherstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) und dann die [Cluster-ID für den benutzerdefinierten Schlüsselspeicher bearbeiten](update-keystore.md). Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter [Beheben eines Verbindungsfehlers](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen
<a name="disconnect-keystore"></a>

Wenn Sie die Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen, AWS KMS meldet sich der AWS CloudHSM Client ab, trennt die Verbindung zum zugehörigen AWS CloudHSM Cluster und entfernt die Netzwerkinfrastruktur, die zur Unterstützung der Verbindung erstellt wurde.

Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine KMS-Schlüssel verwalten, aber Sie können keine KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder verwenden. Der Verbindungsstatus des Schlüsselspeichers lautet `DISCONNECTED` und der [Schlüsselstatus](key-state.md) der KMS-Schlüssel in dem benutzerdefinierten Schlüsselspeicher `Unavailable`, sofern er nicht `PendingDeletion` lautet. Sie können den AWS CloudHSM Schlüsselspeicher jederzeit wieder verbinden.

**Anmerkung**  
AWS CloudHSM Schlüsselspeicher haben nur dann einen `DISCONNECTED` Verbindungsstatus, wenn der Schlüsselspeicher noch nie verbunden war oder wenn Sie die Verbindung explizit trennen. Wenn Ihr AWS CloudHSM Schlüsselspeicher-Verbindungsstatus lautet, Sie `CONNECTED` aber Probleme bei der Verwendung haben, stellen Sie sicher, dass der zugehörige AWS CloudHSM Cluster aktiv ist und mindestens einen aktiven enthält HSMs. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

Wenn Sie die Verbindung zu einem benutzerdefinierten Schlüsselspeicher trennen, werden die KMS-Schlüssel im Schlüsselspeicher sofort unbrauchbar (je nach letztendlicher Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten [Datenschlüsseln](data-keys.md) verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).

**Anmerkung**  
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

Um die Auswirkung einer Trennung der Verbindung Ihres benutzerdefinierten Schlüsselspeichers besser beurteilen zu können, [ermitteln Sie die KMS-Schlüssel](find-cmk-in-keystore.md) im benutzerdefinierten Schlüsselspeicher und [ihre bisherige Verwendung](deleting-keys-determining-usage.md).

Sie können die Verbindung zu einem AWS CloudHSM Schlüsselspeicher aus folgenden Gründen trennen:
+ **Zum Rotieren des `kmsuser`-Passworts.** AWS KMS ändert das `kmsuser`-Passwort jedes Mal, wenn eine Verbindung zu dem AWS CloudHSM -Cluster hergestellt wird. Um eine Passwort-Rotation zu erzwingen, trennen Sie einfach die Verbindung und stellen Sie sie wieder her.
+ **Um das Schlüsselmaterial für die KMS-Schlüssel im AWS CloudHSM Cluster zu prüfen**. Wenn Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher trennen, AWS KMS meldet es sich vom [`kmsuser`Krypto-Benutzerkonto](keystore-cloudhsm.md#concept-kmsuser) im AWS CloudHSM Client ab. So können Sie sich als `kmsuser`-CU beim Cluster anmelden und das Schlüsselmaterial für den KMS-Schlüssel prüfen und verwalten.
+ **Zum sofortigen Deaktivieren aller KMS-Schlüssel** im AWS CloudHSM Schlüsselspeicher. Sie können [KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren und erneut aktivieren](enabling-keys.md), indem Sie die [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)Operation AWS-Managementkonsole oder verwenden. Diese Produktionen werden schnell ausgeführt, beziehen sich jedoch immer nur auf jeweils einen KMS-Schlüssel. Wenn Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, ändert sich der Schlüsselstatus aller KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher sofort auf`Unavailable`, sodass sie nicht für kryptografische Operationen verwendet werden können.
+ **Zur Behebung eines fehlgeschlagenen Verbindungsversuchs**. Wenn der Versuch, eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herzustellen, fehlschlägt (der Verbindungsstatus des benutzerdefinierten Schlüsselspeichers ist`FAILED`), müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, bevor Sie erneut versuchen, eine Verbindung herzustellen.

## Trennen Sie die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher
<a name="disconnect-hsm-keystore"></a>

Sie können die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgangs trennen.

### Trennen Sie die Verbindung über die AWS KMS Konsole
<a name="disconnect-keystore-console"></a>

Um die Verbindung zu einem verbundenen AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole zu trennen, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite **Benutzerdefinierte Schlüsselspeicher** aus.

1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.

1. Wählen Sie die Zeile des externen Schlüsselspeichers aus, mit dem Sie die Verbindung trennen möchten. 

1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Disconnect** (Verbindung trennen) aus.

Nach Abschluss der Produktion ändert sich der Verbindungsstatus von **Verbindung wird getrennt** in **Verbindung wird getrennt**. Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

### Trennen Sie die Verbindung mithilfe der API AWS KMS
<a name="disconnect-keystore-api"></a>

Verwenden Sie den [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgang, um die Verbindung zu einem verbundenen AWS CloudHSM Schlüsselspeicher zu trennen. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben.

Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen. 

In diesem Beispiel wird die Verbindung zu einem AWS CloudHSM Schlüsselspeicher getrennt. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Verwenden Sie den Vorgang, um zu überprüfen, ob der AWS CloudHSM [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Schlüsselspeicher getrennt ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der `ConnectionState` Wert von `DISCONNECTED` gibt an, dass dieser AWS CloudHSM Beispielschlüsselspeicher nicht mit seinem AWS CloudHSM Cluster verbunden ist.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Einen AWS CloudHSM Schlüsselspeicher löschen
<a name="delete-keystore"></a>

Wenn Sie einen AWS CloudHSM Schlüsselspeicher AWS KMS löschen, werden alle Metadaten über den AWS CloudHSM Schlüsselspeicher aus KMS gelöscht, einschließlich Informationen zu seiner Zuordnung zu einem AWS CloudHSM Cluster. Dieser Vorgang hat keine Auswirkungen auf den AWS CloudHSM Cluster HSMs, seine oder seine Benutzer. Sie können einen neuen AWS CloudHSM Schlüsselspeicher erstellen, der demselben AWS CloudHSM Cluster zugeordnet ist, aber Sie können den Löschvorgang nicht rückgängig machen.

Sie können nur einen AWS CloudHSM Schlüsselspeicher löschen, der nicht mit seinem AWS CloudHSM Cluster verbunden ist und keinen Schlüsselspeicher enthält. AWS KMS keys Vor dem Löschen eines benutzerdefinierten Schlüsselspeichers müssen Sie folgende Schritte ausführen.
+ Stellen Sie sicher, dass Sie keinen der KMS-Schlüssel in dem Schlüsselspeicher für [kryptografische Produktionen](manage-cmk-keystore.md#use-cmk-keystore) benötigen. Anschließend [planen Sie die Löschung](deleting-keys.md#delete-cmk-keystore) aller KMS-Schlüssel aus dem Schlüsselspeicher. Hilfe bei der Suche nach den KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Suchen Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher](find-cmk-in-keystore.md).
+ Überprüfen Sie, ob alle KMS-Schlüssel gelöscht wurden. Informationen zum Anzeigen der KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern](identify-key-types.md#identify-key-hsm-keystore).
+ [Trennen Sie den AWS CloudHSM Schlüsselspeicher](disconnect-keystore.md) von seinem AWS CloudHSM Cluster.

Anstatt den AWS CloudHSM Schlüsselspeicher zu löschen, sollten Sie erwägen, [ihn vom zugehörigen AWS CloudHSM Cluster zu trennen](disconnect-keystore.md). Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine Daten verwalten. AWS KMS keys Sie können jedoch keine KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder verwenden. Sie können den AWS CloudHSM Schlüsselspeicher jederzeit wieder verbinden.

## Löschen Sie Ihren AWS CloudHSM Schlüsselspeicher
<a name="delete-hsm-keystore"></a>

Sie können Ihren AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgangs löschen.

### Mithilfe der AWS KMS Konsole
<a name="delete-keystore-console"></a>

Um einen AWS CloudHSM Schlüsselspeicher in der zu löschen AWS-Managementkonsole, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite **Benutzerdefinierte Schlüsselspeicher** aus.

1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.

1. Suchen Sie die Zeile, die den AWS CloudHSM Schlüsselspeicher darstellt, den Sie löschen möchten. **Wenn der **Verbindungsstatus** des AWS CloudHSM Schlüsselspeichers nicht Getrennt lautet, müssen Sie [die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), bevor Sie ihn löschen.**

1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Delete** (Löschen) aus.

Wenn der Vorgang abgeschlossen ist, wird eine Erfolgsmeldung angezeigt und der AWS CloudHSM Schlüsselspeicher wird nicht mehr in der Liste der Schlüsselspeicher angezeigt. Wenn die Produktion nicht erfolgreich ist, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).

### Verwenden der AWS KMS API
<a name="delete-keystore-api"></a>

Verwenden Sie den [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgang, um einen AWS CloudHSM Schlüsselspeicher zu löschen. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben.

Stellen Sie zunächst sicher, dass der AWS CloudHSM Schlüsselspeicher keine enthält AWS KMS keys. Sie können benutzerdefinierte Schlüsselspeicher, die KMS-Schlüssel enthalten, nicht löschen. Der erste Beispielbefehl verwendet [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)und [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html), um AWS KMS keys im AWS CloudHSM Schlüsselspeicher mit der *cks-1234567890abcdef0* benutzerdefinierten Schlüsselspeicher-ID zu suchen. In diesem Fall gibt der Befehl keine KMS-Schlüssel zurück. Ist dies der Fall, verwenden Sie den [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)Vorgang, um das Löschen der einzelnen KMS-Schlüssel zu planen.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Trennen Sie als Nächstes die Verbindung AWS CloudHSM zum Schlüsselspeicher. In diesem Beispielbefehl wird der [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgang verwendet, um einen AWS CloudHSM Schlüsselspeicher von seinem AWS CloudHSM Cluster zu trennen. Vor der Ausführung dieses Befehls müssen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine gültige ID ersetzen.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Nachdem der benutzerdefinierte Schlüsselspeicher getrennt wurde, können Sie ihn mithilfe des [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgangs löschen. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Fehlerbehebung für einen Custom Key Store
<a name="fix-keystore"></a>

AWS CloudHSM Key Stores sind so konzipiert, dass sie verfügbar und belastbar sind. Es gibt jedoch einige Fehlerbedingungen, die Sie möglicherweise beheben müssen, um Ihren AWS CloudHSM Schlüsselspeicher betriebsbereit zu halten.

**Topics**
+ [So reparieren Sie nicht-verfügbare KMS-Schlüssel](#fix-unavailable-cmks)
+ [Beheben eines fehlerhaften KMS-Schlüssels](#fix-cmk-failed)
+ [Beheben eines Verbindungsfehlers](#fix-keystore-failed)
+ [Wie man auf Fehler bei kryptografischen Produktionen reagiert](#fix-keystore-communication)
+ [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password)
+ [Löschen von verwaistem Schlüsselmaterial](#fix-keystore-orphaned-key)
+ [Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel](#fix-keystore-recover-backing-key)
+ [Anmeldung als `kmsuser`](#fix-login-as-kmsuser)

## So reparieren Sie nicht-verfügbare KMS-Schlüssel
<a name="fix-unavailable-cmks"></a>

Der [Schlüsselstatus](key-state.md) von AWS KMS keys in einem AWS CloudHSM Schlüsselspeicher ist in der Regel`Enabled`. Wie bei allen KMS-Schlüsseln ändert sich der Schlüsselstatus, wenn Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren oder ihre Löschung planen. Im Gegensatz zu anderen KMS-Schlüsseln können die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher aber auch den [Schlüsselstatus](key-state.md) `Unavailable` haben. 

Der Schlüsselstatus `Unavailable` gibt an, dass sich der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher befindet, der absichtlich [getrennt](disconnect-keystore.md) wurde und eventuelle Versuche, die Verbindung wiederherzustellen, fehlgeschlagen sind. Wenn ein KMS-Schlüssel nicht verfügbar ist, können Sie ihn anzeigen und verwalten, ihn jedoch nicht für [kryptographische Produktionen](manage-cmk-keystore.md#use-cmk-keystore) verwenden.

Um den Schlüsselstatus eines KMS-Schlüssels zu ermitteln, zeigen Sie auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** das Feld **Status** des KMS-Schlüssels an. Oder verwenden Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang und sehen Sie sich das `KeyState` Element in der Antwort an. Details hierzu finden Sie unter [Schlüssel identifizieren und anzeigen](viewing-keys.md).

Die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher haben den Schlüsselstatus `Unavailable` oder `PendingDeletion`. KMS-Schlüssel, die zur Löschung aus einem benutzerdefinierten Schlüsselspeicher geplant sind, haben den Schlüsselstatus `Pending Deletion`, auch wenn der benutzerdefinierten Schlüsselspeicher getrennt ist. Auf diese Weise können Sie die geplante Löschung des Schlüssels stornieren, ohne dass Sie erneut eine Verbindung mit dem Custom Key Store herstellen müssen. 

Um die Nichtverfügbarkeit eines KMS-Schlüssels zu beheben, [verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder](disconnect-keystore.md). Wenn der benutzerdefinierten Schlüsselspeicher wieder verbunden ist, wechselt der Schlüsselstatus der KMS-Schlüssels im benutzerdefinierten Schlüsselspeicher automatisch wieder zum vorherigen Zustand, etwa zu `Enabled` oder `Disabled`. KMS-Schlüssel, die zur Löschung ausstehen, bleiben im Status `PendingDeletion`. Während das Problem bestehen bleibt, ändert das [Aktivieren und Deaktivieren eines nicht-verfügbaren KMS-Schlüssels](enabling-keys.md) dessen Schlüsselstatus nicht. Das Aktivieren und Deaktivieren wirkt sich erst aus, wenn der Schlüssel wieder verfügbar ist.

Für Hilfe bei fehlgeschlagenen Verbindungen vgl. [Beheben eines Verbindungsfehlers](#fix-keystore-failed). 

## Beheben eines fehlerhaften KMS-Schlüssels
<a name="fix-cmk-failed"></a>

Probleme bei der Erstellung und Verwendung von KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern können durch ein Problem mit Ihrem AWS CloudHSM Schlüsselspeicher, dem zugehörigen AWS CloudHSM Cluster, dem KMS-Schlüssel oder dem zugehörigen Schlüsselmaterial verursacht werden. 

Wenn ein AWS CloudHSM Schlüsselspeicher von seinem AWS CloudHSM Cluster getrennt wird, lautet der Schlüsselstatus der KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher. `Unavailable` Alle Anfragen zur Erstellung von KMS-Schlüsseln in einem getrennten AWS CloudHSM Schlüsselspeicher geben eine `CustomKeyStoreInvalidStateException` Ausnahme zurück. Alle Anforderungen zum Verschlüsseln, erneuten Verschlüsseln oder zum Generieren von Datenschlüsseln führen zu der Ausnahme `KMSInvalidStateException`. Um das Problem zu beheben, stellen Sie die [Verbindung zum AWS CloudHSM Schlüsselspeicher erneut her](connect-keystore.md).

Ihre Versuche, einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) zu verwenden, können jedoch fehlschlagen, selbst wenn sein Schlüsselstatus `Enabled` und der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers ist. `Connected` Dies kann durch eine der folgenden Ursachen bedingt sein.
+ Möglicherweise wurde das Schlüsselmaterial für den KMS-Schlüssel von dem zugehörigen AWS CloudHSM -Cluster gelöscht. [Suchen Sie zur Untersuchung nach der Schlüssel-ID](find-handle-for-cmk-id.md) des Schlüsselmaterials für einen KMS-Schlüssel und versuchen Sie gegebenenfalls, [das Schlüsselmaterial wiederherzustellen](#fix-keystore-recover-backing-key).
+ Alle HSMs wurden aus dem AWS CloudHSM Cluster gelöscht, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in einem kryptografischen Vorgang verwenden zu können, muss der zugehörige AWS CloudHSM Cluster mindestens ein aktives HSM enthalten. [Verwenden Sie die AWS CloudHSM Konsole oder den Vorgang, um die Anzahl und den](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) Status von HSMs in einem AWS CloudHSM Cluster zu überprüfen. [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) Verwenden Sie die AWS CloudHSM Konsole oder den [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)Vorgang, um dem Cluster ein HSM hinzuzufügen.
+ Der dem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster wurde gelöscht. Um das Problem zu beheben, [erstellen Sie einen Cluster aus einer Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), die mit dem ursprünglichen Cluster verbunden ist, oder aus einer Sicherung, die zur Erstellung des ursprünglichen Clusters verwendet wurde. Bearbeiten Sie [dann die Cluster-ID](update-keystore.md) in den Einstellungen für den Custom Key Store. Detaillierte Anweisungen finden Sie unter [Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel](#fix-keystore-recover-backing-key).
+ Für den AWS CloudHSM Cluster, der dem benutzerdefinierten Schlüsselspeicher zugeordnet war, waren keine PKCS \$111 -Sitzungen verfügbar. Dies tritt normalerweise in Zeiten mit hohem Burst-Verkehr auf, wenn zusätzliche Sitzungen erforderlich sind, um den Datenverkehr zu bedienen. Um auf eine `KMSInternalException` mit einer Fehlermeldung über PKCS\$111-Sitzungen zu antworten, gehen Sie zurück und wiederholen Sie die Anfrage. 

## Beheben eines Verbindungsfehlers
<a name="fix-keystore-failed"></a>

Wenn Sie versuchen, [einen AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster zu verbinden](connect-keystore.md), der Vorgang jedoch fehlschlägt, ändert sich der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers auf`FAILED`. Um den Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers zu ermitteln, verwenden Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang. 

Alternativ können einige Verbindungsversuche aufgrund leicht zu erkennender Cluster-Konfigurationsfehler fehlschlagen. In diesem Fall lautet der Verbindungsstatus immer noch `DISCONNECTED`. Diese Fehler geben eine Fehlermeldung oder [Ausnahme](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) mit einer Begründung für den fehlgeschlagenen Verbindungsversuch zurück. Lesen Sie die Beschreibung der Ausnahme und die [Clusteranforderungen](create-keystore.md#before-keystore), beheben Sie das Problem, [aktualisieren Sie gegebenenfalls den AWS CloudHSM Schlüsselspeicher](update-keystore.md) und versuchen Sie erneut, eine Verbindung herzustellen.

Wenn der Verbindungsstatus lautet`FAILED`, führen Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang aus und sehen Sie sich das `ConnectionErrorCode` Element in der Antwort an.

**Anmerkung**  
Wenn der Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers lautet`FAILED`, müssen Sie [die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), bevor Sie erneut versuchen können, eine Verbindung herzustellen. Sie können einen AWS CloudHSM Schlüsselspeicher mit einem `FAILED` Verbindungsstatus nicht verbinden.
+ `CLUSTER_NOT_FOUND`gibt an, dass AWS KMS kein AWS CloudHSM Cluster mit der angegebenen Cluster-ID gefunden werden kann. Dies kann auftreten, wenn die falsche Cluster-ID für eine API-Produktion bereitgestellt wurde, oder wenn der Cluster gelöscht und nicht ersetzt wurde. Um diesen Fehler zu beheben, überprüfen Sie die Cluster-ID, z. B. mithilfe der AWS CloudHSM Konsole oder mithilfe des [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgangs. Wenn der Cluster gelöscht wurde, [erstellen Sie einen Cluster aus einer möglichst neuen Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) des Originals. [Trennen Sie dann die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), [bearbeiten Sie die AWS CloudHSM Cluster-ID-Einstellung für den Schlüsselspeicher](update-keystore.md) und [verbinden Sie den AWS CloudHSM Schlüsselspeicher erneut mit](connect-keystore.md) dem Cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`gibt an, dass der zugehörige AWS CloudHSM Cluster keine HSMs enthält. Zum herstellen einer Verbindung muss der Cluster mindestens über ein HSM verfügen. Verwenden Sie die [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Operation, um die Nummer von HSMs im Cluster zu ermitteln. Um diesen Fehler zu beheben, [fügen Sie mindestens ein HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) dem Cluster hinzu. Wenn Sie mehrere hinzufügen HSMs, ist es am besten, sie in verschiedenen Availability Zones zu erstellen.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`gibt an, dass der AWS CloudHSM Schlüsselspeicher nicht [mit seinem AWS CloudHSM Cluster verbunden werden AWS KMS konnte, weil mindestens ein dem Cluster zugeordnetes privates Subnetz](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) keine verfügbaren IP-Adressen hat. Eine AWS CloudHSM Schlüsselspeicherverbindung erfordert eine freie IP-Adresse in jedem der zugehörigen privaten Subnetze, obwohl zwei vorzuziehen sind.

  Sie können in einem vorhandenen Subnetz [keine IP-Adressen](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (CIDR-Blöcke) hinzufügen. Verschieben oder löschen Sie nach Möglichkeit andere Ressourcen, die die IP-Adressen im Subnetz verwenden, wie z. B. nicht verwendete EC2-Instances oder Elastic-Network-Schnittstellen. Andernfalls können Sie [einen Cluster aus einer aktuellen Sicherung des AWS CloudHSM Clusters mit neuen oder vorhandenen privaten Subnetzen, die über [mehr freien Adressraum](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) verfügen, erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, [trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md), [ändern Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
**Tipp**  
Verwenden Sie das neueste Backup [des Clusters, um ein Zurücksetzen des `kmsuser` Kennworts](#fix-keystore-password) zu vermeiden. AWS CloudHSM 
+ `INTERNAL_ERROR`gibt an, dass die Anfrage aufgrund eines internen Fehlers nicht abgeschlossen werden AWS KMS konnte. Wiederholen Sie die Anforderung. Trennen Sie bei `ConnectCustomKeyStore` Anfragen die Verbindung zum AWS CloudHSM Schlüsselspeicher, bevor Sie erneut versuchen, eine Verbindung herzustellen.
+ `INVALID_CREDENTIALS`gibt an, dass AWS KMS man sich nicht beim zugehörigen AWS CloudHSM Cluster anmelden kann, weil er nicht das richtige `kmsuser` Kontopasswort hat. Für Unterstützung bei diesem Fehler vgl. [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
+ `NETWORK_ERRORS` weist normalerweise auf vorübergehende Netzwerkprobleme hin. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), warten Sie einige Minuten und versuchen Sie erneut, eine Verbindung herzustellen.
+ `SUBNET_NOT_FOUND`gibt an, dass mindestens ein Subnetz in der AWS CloudHSM Clusterkonfiguration gelöscht wurde. Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche fehl, den AWS CloudHSM Schlüsselspeicher mit dem AWS CloudHSM Cluster zu verbinden. 

  Um diesen Fehler zu beheben, [erstellen Sie einen Cluster aus einer aktuellen Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) desselben AWS CloudHSM Clusters. (Dieser Prozess erstellt eine neue Clusterkonfiguration mit einer VPC und privaten Subnetzen.) Stellen Sie sicher, dass der neue Cluster die [Anforderungen für einen benutzerdefinierten Schlüsselspeicher](create-keystore.md#before-keystore) erfüllt, und notieren Sie sich die neue Cluster-ID. Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, [trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md), [ändern Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
**Tipp**  
Verwenden Sie das neueste Backup [des Clusters, um ein Zurücksetzen des `kmsuser` Kennworts](#fix-keystore-password) zu vermeiden. AWS CloudHSM 
+ `USER_LOCKED_OUT` gibt an, dass das [`kmsuser`-Kryptobenutzer (CU)-Konto](keystore-cloudhsm.md#concept-kmsuser) aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).

  Um diesen Fehler zu beheben, [trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher](disconnect-keystore.md) und verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM CLI, um das Kontopasswort zu ändern. `kmsuser` Bearbeiten Sie dann [die `kmsuser`-Passworteinstellung](update-keystore.md) für den Custom Key Store, und versuchen Sie erneut, eine Verbindung herzustellen. Falls Sie Hilfe benötigen, verwenden Sie die Vorgehensweise aus dem Thema [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
+ `USER_LOGGED_IN`gibt an, dass das `kmsuser` CU-Konto beim zugehörigen Cluster angemeldet ist. AWS CloudHSM Dadurch wird AWS KMS verhindert, dass das `kmsuser` Kontopasswort geändert und die Anmeldung am Cluster erfolgt. Melden Sie den `kmsuser`-CU vom Cluster ab, um diesen Fehler zu beheben. Wenn Sie das `kmsuser` Passwort für die Anmeldung am Cluster geändert haben, müssen Sie auch den Wert des Schlüsselspeicherkennworts für den AWS CloudHSM Schlüsselspeicher aktualisieren. Weitere Informationen dazu finden Sie unter [Abmelden und erneutes Verbinden](#login-kmsuser-2).
+ `USER_NOT_FOUND`gibt an, dass im zugehörigen AWS CloudHSM Cluster AWS KMS kein `kmsuser` CU-Konto gefunden werden kann. Um diesen Fehler zu beheben, [erstellen Sie ein `kmsuser` CU-Konto](create-keystore.md#kmsuser-concept) im Cluster und [aktualisieren Sie dann den Kennwortwert des Schlüsselspeichers](update-keystore.md) für den AWS CloudHSM Schlüsselspeicher. Weitere Informationen dazu finden Sie unter [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).

## Wie man auf Fehler bei kryptografischen Produktionen reagiert
<a name="fix-keystore-communication"></a>

Eine kryptografische Produktion, die einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwendet, schlägt möglicherweise mit einem `KMSInvalidStateException` fehl. Die folgenden Fehlermeldungen könnten dem `KMSInvalidStateException` beiliegen.


|  | 
| --- |
| KMS kann nicht mit Ihrem CloudHSM-Cluster kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob die Netzwerk ACLs - und Sicherheitsgruppenregeln für die VPC Ihres AWS CloudHSM Clusters korrekt sind. | 
+ Obwohl dies ein HTTPS-400-Fehler ist, kann es auf vorübergehende Netzwerkprobleme zurückzuführen sein. Um zu antworten, versuchen Sie zunächst die Anforderung erneut. Wenn es jedoch weiterhin fehlschlägt, überprüfen Sie die Konfiguration der Netzwerkkomponenten. Dieser Fehler wird höchstwahrscheinlich durch die Fehlkonfiguration einer Netzwerkkomponente verursacht, z. B. eine Firewall-Regel oder eine VPC -Sicherheitsgruppen-Regel, die ausgehenden Datenverkehr blockiert. Beispielsweise kann KMS nicht mit AWS CloudHSM Clustern über IPv6 kommunizieren. Einzelheiten zu den Voraussetzungen finden Sie unter[Erstellen Sie einen AWS CloudHSM Schlüsselspeicher](create-keystore.md).


|  | 
| --- |
| KMS kann nicht mit Ihrem AWS CloudHSM Cluster kommunizieren, da der kmsuser gesperrt ist. Wenn dieser Fehler wiederholt auftritt, trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher und setzen Sie das Kennwort für das kmsuser-Konto zurück. Aktualisieren Sie das kmsuser-Passwort für den benutzerdefinierten Schlüsselspeicher und versuchen Sie es erneut mit der Anfrage. | 
+ Diese Fehlermeldung gibt an, dass das [`kmsuser`-Crypto-Benutzer (CU)-Konto](keystore-cloudhsm.md#concept-kmsuser) aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. [Trennen und Anmelden](#login-kmsuser-1).

## Reparieren ungültiger `kmsuser`-Anmeldeinformationen
<a name="fix-keystore-password"></a>

Wenn Sie [eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher](connect-keystore.md) herstellen, AWS KMS meldet er sich als [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) beim zugehörigen AWS CloudHSM Cluster an. Er bleibt angemeldet, bis die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird. Die Antwort [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) meldet `ConnectionState` als `FAILED` und `ConnectionErrorCode` mit dem Wert `INVALID_CREDENTIALS` (siehe folgendes Beispiel).

Wenn Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen und das `kmsuser` Passwort ändern, AWS KMS können Sie sich nicht mit den Anmeldeinformationen des `kmsuser` CU-Kontos beim AWS CloudHSM Cluster anmelden. Daher schlagen alle Versuche fehl, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen. Die Antwort `DescribeCustomKeyStores` meldet `ConnectionState` als `FAILED` und `ConnectionErrorCode` mit dem Wert `INVALID_CREDENTIALS` (siehe folgendes Beispiel).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Weiterhin gilt, dass, AWS CloudHSM nach fünf fehlgeschlagenen Anmeldeversuchen bei dem Cluster mit einem inkorrekten Passwort das Benutzerkonto sperrt. Zur Anmeldung bei dem Cluster müssen Sie das Kontopasswort ändern.

Wenn beim Versuch, sich als `kmsuser` CU beim Cluster anzumelden, eine Sperrantwort angezeigt AWS KMS wird, schlägt die Anforderung, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen, fehl. Die [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort enthält einen Wert `ConnectionState` von `FAILED` und einen `ConnectionErrorCode` Wert von`USER_LOCKED_OUT`, wie im folgenden Beispiel gezeigt.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Gehen Sie zum Beheben eines dieser Zustände wie folgt vor. 

1. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md). 

1. Führen Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang aus und zeigen Sie den Wert des `ConnectionErrorCode` Elements in der Antwort an. 
   + Wenn der `ConnectionErrorCode`-Wert `INVALID_CREDENTIALS` ist, ermitteln Sie das aktuelle Passwort für das `kmsuser`-Konto. Verwenden Sie bei Bedarf den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM CLI, um das Passwort auf einen bekannten Wert festzulegen.
   + Wenn der `ConnectionErrorCode` Wert lautet`USER_LOCKED_OUT`, müssen Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM-CLI verwenden, um das Passwort zu ändern. `kmsuser`

1. [Bearbeiten Sie die `kmsuser` Passworteinstellung](update-keystore.md), so dass sie dem aktuellen `kmsuser`-Passwort in dem Cluster entspricht. Diese Aktion weist AWS KMS an, welches Passwort für die Anmeldung bei dem Cluster zu verwenden ist. Das `kmsuser`-Passwort in dem Cluster wird nicht geändert.

1. [Verbinden Sie den Custom Key Store](connect-keystore.md).

## Löschen von verwaistem Schlüsselmaterial
<a name="fix-keystore-orphaned-key"></a>

Nachdem Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher geplant haben, müssen Sie das entsprechende Schlüsselmaterial möglicherweise manuell aus dem zugehörigen Cluster löschen. AWS CloudHSM 

Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen, werden die KMS-Schlüsselmetadaten im zugehörigen AWS CloudHSM Cluster AWS KMS erstellt AWS KMS und das Schlüsselmaterial generiert. Wenn Sie das Löschen eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher planen, werden nach Ablauf der Wartezeit die KMS-Schlüsselmetadaten AWS KMS gelöscht. AWS KMS bemüht sich dann nach besten Kräften, das entsprechende Schlüsselmaterial aus dem AWS CloudHSM Cluster zu löschen. Der Versuch schlägt möglicherweise fehl, wenn AWS KMS kein Zugriff auf den Cluster möglich ist, z. B. wenn die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird oder das `kmsuser` Passwort geändert wird. AWS KMS versucht nicht, Schlüsselmaterial aus Cluster-Backups zu löschen.

AWS KMS meldet die Ergebnisse seines Versuchs, das Schlüsselmaterial aus dem Cluster zu löschen, im `DeleteKey` Ereigniseintrag Ihrer AWS CloudTrail Protokolle. Es erscheint im `backingKeysDeletionStatus`-Element des `additionalEventData`-Elements, wie im folgenden Beispieleintrag gezeigt. Der Eintrag enthält auch den KMS-Schlüssel ARN, die AWS CloudHSM Cluster-ID und die ID (`backing-key-id`) des Schlüsselmaterials.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Hinweise**  
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`  
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *

Die folgenden Verfahren zeigen, wie das verwaiste Schlüsselmaterial aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM 

1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html) an, wie unter beschrieben. [Trennen und Anmelden](#login-kmsuser-1)
**Anmerkung**  
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

1. Verwenden Sie den Befehl [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) in der CloudHSM-CLI, um den Schlüssel aus dem Cluster HSMs zu löschen.

   Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem und. `customKeyStoreId` `backingKey` Der im `backingKeyId` Feld zurückgegebene Wert ist das `id` CloudHSM-Schlüsselattribut. Wir empfehlen, den Vorgang zum **Löschen von Schlüsseln** danach `id` zu filtern, dass das verwaiste Schlüsselmaterial gelöscht wird, das Sie in Ihren Protokollen identifiziert haben. CloudTrail 

   AWS CloudHSM erkennt den `backingKeyId` Wert als Hexadezimalwert. Um nach zu filtern`id`, müssen Sie das mit voranstellen. `backingKeyId` `Ox` Wenn das beispielsweise `backingKeyId` in Ihrem CloudTrail Protokoll steht`1a2b3c45678abcdef`, würden Sie nach `0x1a2b3c45678abcdef` filtern.

   Das folgende Beispiel löscht einen Schlüssel aus dem HSMs in Ihrem Cluster. Der `backing-key-id` ist im CloudTrail Protokolleintrag aufgeführt. Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel `backing-key-id` durch ein gültiges Beispiel aus Ihrem Konto.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](#login-kmsuser-2).

## Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel
<a name="fix-keystore-recover-backing-key"></a>

Wenn das Schlüsselmaterial für einen gelöscht AWS KMS key wird, ist der KMS-Schlüssel unbrauchbar und der gesamte Chiffretext, der unter dem KMS-Schlüssel verschlüsselt wurde, kann nicht entschlüsselt werden. Dies kann passieren, wenn das Schlüsselmaterial für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM Es kann jedoch möglich sein, das Schlüsselmaterial wiederherzustellen.

Wenn Sie einen AWS KMS key (KMS-Schlüssel) in einem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS meldet er sich beim zugehörigen AWS CloudHSM Cluster an und erstellt das Schlüsselmaterial für den KMS-Schlüssel. Außerdem wird das Passwort in einen Wert geändert, den nur er kennt, und er bleibt angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist. Da nur der Schlüsselbesitzer, d. h. die CU, die einen Schlüssel erstellt hat, den Schlüssel löschen kann, ist es unwahrscheinlich, dass der Schlüssel HSMs versehentlich aus dem Schlüssel gelöscht wird. 

Wenn jedoch das Schlüsselmaterial für einen KMS-Schlüssel aus dem HSMs in einem Cluster gelöscht wird, ändert sich der Schlüsselstatus des KMS-Schlüssels irgendwann auf`UNAVAILABLE`. Wenn Sie versuchen, den KMS-Schlüssel für eine kryptographische Operation zu verwenden, schlägt die Operation mit einer `KMSInvalidStateException`-Ausnahme fehl. Wichtig dabei ist, dass die mit dem KMS-Schlüssel verschlüsselten Daten nicht mehr entschlüsselt werden können.

Unter bestimmten Umständen können Sie das gelöschte Schlüsselmaterial wiederherstellen, indem Sie [einen Cluster aus einem Backup erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), das das Schlüsselmaterial enthält. Diese Strategie funktioniert nur, wenn mindestens eine Sicherung erstellt wurde, während der Schlüssel vorhanden war und bevor er gelöscht wurde. 

Gehen Sie wie folgt vor, um das Schlüsselmaterial wiederherzustellen.

1. Suchen Sie ein Cluster-Backup, das das Schlüsselmaterial enthält. Die Sicherung muss dazu alle Benutzer und Schlüssel enthalten, die zur Unterstützung des Clusters und seiner verschlüsselten Daten erforderlich sind.

   Verwenden Sie den [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)Vorgang, um die Backups für einen Cluster aufzulisten. Verwenden Sie dann den Sicherung-Zeitstempel, um eine Sicherung auszuwählen. Um die Ausgabe auf den Cluster zu beschränken, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist, verwenden Sie den `Filters` Parameter, wie im folgenden Beispiel gezeigt. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Erstellen Sie einen Cluster aus der ausgewählten Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Prüfen Sie, ob die Sicherung den gelöschten Schlüssel sowie weitere Benutzer und Schlüssel enthält, die für den Cluster erforderlich sind. 

1. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), damit Sie seine Eigenschaften bearbeiten können.

1. [Bearbeiten Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers. Geben Sie die Cluster-ID des Clusters ein, den Sie aus der Sicherung erstellt haben. Da der Cluster seinen Sicherungsverlauf mit dem ursprünglichen Cluster gemeinsam hat, sollte die neue Cluster-ID gültig sein. 

1. [Stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder](connect-keystore.md) her.

## Anmeldung als `kmsuser`
<a name="fix-login-as-kmsuser"></a>

 AWS KMS Verwendet das [`kmsuser`Crypto User (CU) -Konto](keystore-cloudhsm.md#concept-kmsuser), um das AWS CloudHSM Schlüsselmaterial im AWS CloudHSM Cluster für Ihren Schlüsselspeicher zu erstellen und zu verwalten. Sie [erstellen das `kmsuser` CU-Konto](create-keystore.md#before-keystore) in Ihrem Cluster und geben das zugehörige Passwort an, AWS KMS wenn Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen.

 AWS KMS Verwaltet im Allgemeinen das `kmsuser` Konto. Für einige Aufgaben müssen Sie jedoch die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, sich als `kmsuser` CU beim Cluster anmelden und die [CloudHSM-Befehlszeilenschnittstelle (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) verwenden.

**Anmerkung**  
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

In diesem Thema wird erklärt, wie Sie die [Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher trennen und sich anmelden](#login-kmsuser-1)`kmsuser`, das AWS CloudHSM Befehlszeilentool ausführen, [sich abmelden und Ihren AWS CloudHSM Schlüsselspeicher erneut verbinden](#login-kmsuser-2).

**Topics**
+ [Trennen und Anmelden](#login-kmsuser-1)
+ [Abmelden und erneutes Verbinden](#login-kmsuser-2)

### Trennen und Anmelden
<a name="login-kmsuser-1"></a>

Gehen Sie jedes Mal wie folgt vor, wenn Sie sich als `kmsuser` Crypto-Benutzer bei einem zugehörigen Cluster anmelden müssen.

**Hinweise**  
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`  
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *

1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist. Sie können die AWS KMS Konsole oder AWS KMS API verwenden. 

   Solange Ihr AWS CloudHSM Schlüssel verbunden ist, AWS KMS ist er angemeldet als`kmsuser`. Dadurch wird verhindert, dass Sie sich als `kmsuser` anmelden oder das `kmsuser`-Passwort ändern.

   Dieser Befehl dient beispielsweise dazu, [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)die Verbindung zu einem Beispiel-Schlüsselspeicher zu trennen. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Verwenden Sie den **Login-Befehl**, um sich als Administrator anzumelden. Verwenden Sie die im Abschnitt „[CloudHSM CLI verwenden](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)“ des *AWS CloudHSM Benutzerhandbuchs* beschriebenen Verfahren.

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM-CLI, um das Passwort des `kmsuser` Kontos in ein Ihnen bekanntes zu ändern. (wechselt AWS KMS das Passwort, wenn Sie Ihren Schlüsselspeicher verbinden.) AWS CloudHSM Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig.

1. Melden Sie sich `kmsuser` mit dem von Ihnen festgelegten Passwort an. Eine ausführliche Anleitung finden Sie im Abschnitt „[CloudHSM CLI verwenden](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)“ des *AWS CloudHSM Benutzerhandbuchs*.

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Abmelden und erneutes Verbinden
<a name="login-kmsuser-2"></a>

Gehen Sie jedes Mal, wenn Sie sich als `kmsuser` Crypto-Benutzer abmelden und die Verbindung zu Ihrem Schlüsselspeicher erneut herstellen müssen, wie folgt vor.

**Hinweise**  
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`  
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *

1. Führen Sie die Aufgabe aus und melden Sie sich dann mit dem Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) in der CloudHSM-CLI ab. Wenn Sie sich nicht abmelden, schlagen Versuche fehl, die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher wiederherzustellen.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Bearbeiten Sie die `kmsuser`-Passworteinstellung](update-keystore.md) für den Custom Key Store. 

   Dies gibt AWS KMS das aktuelle Passwort für den Cluster `kmsuser` an. Wenn Sie diesen Schritt auslassen, können AWS KMS Sie sich nicht als beim Cluster anmelden`kmsuser`, und alle Versuche, die Verbindung zu Ihrem benutzerdefinierten Schlüsselspeicher wiederherzustellen, schlagen fehl. Sie können die AWS KMS Konsole oder den `KeyStorePassword` Parameter des Vorgangs verwenden. [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)

   Dieser Befehl teilt beispielsweise mit AWS KMS , dass das aktuelle Passwort lautet`tempPassword`. Ersetzen Sie das Beispielpasswort durch das tatsächliche Passwort. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Verbinden Sie den AWS KMS Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige. AWS KMS Ändert das `kmsuser` Passwort während des Verbindungsvorgangs in einen Wert, den nur das Unternehmen kennt.

   Der [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang kehrt schnell zurück, der Verbindungsvorgang kann jedoch längere Zeit in Anspruch nehmen. Die erste Reaktion ist kein Zeichen für den Erfolg des Verbindungsvorgangs.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.

   In diesem Beispiel zeigt das Feld für den Verbindungsstatus, dass der AWS CloudHSM Schlüsselspeicher jetzt verbunden ist.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```