Conexión de un almacén de claves de AWS CloudHSM - AWS Key Management Service
Conectarse y volver a conectarse a su almacén de claves de AWS CloudHSM

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión de un almacén de claves de AWS CloudHSM

Los nuevos almacenes de claves de AWS CloudHSM no están conectados. Antes de crear y utilizar AWS KMS keys en el almacén de claves de AWS CloudHSM, debe conectarlo a su clúster de AWS CloudHSM asociado. Puede conectar y desconectar su almacén de claves de AWS CloudHSM en cualquier momento y ver su estado de conexión.

No es obligatorio conectar el almacén de claves de AWS CloudHSM. Puede dejar un almacén de claves de AWS CloudHSM desconectado de forma indefinida y conectarlo únicamente cuando tenga que usarlo. Sin embargo, le recomendamos que compruebe la conexión de forma periódica para verificar que la configuración es correcta y que se puede conectar.

nota

Los almacenes de claves de AWS CloudHSM tienen un estado de conexión DISCONNECTED solo cuando el almacén de claves nunca se ha conectado o lo desconecta explícitamente. Si el estado de conexión del almacén de claves de AWS CloudHSM es CONNECTED, pero tiene problemas para usarlo, asegúrese de que su clúster de AWS CloudHSM asociado está activo y contiene al menos un HSM activo. Si desea ayuda con las conexiones que dan error, consulte Resolver problemas de un almacén de claves personalizado.

Al conectar un almacén de claves de AWS CloudHSM, AWS KMS busca el clúster de AWS CloudHSM asociado, lo conecta al clúster, inicia sesión en el cliente de AWS CloudHSM como usuario de criptografía kmsuser (CU) y rota la contraseña kmsuser. AWS KMS mantiene iniciada la sesión en el cliente de AWS CloudHSM siempre y cuando el almacén de claves de AWS CloudHSM esté conectado.

Para establecer la conexión, AWS KMS crea un grupo de seguridad llamado kms-<custom key store ID> en la nube virtual privada (VPC) del clúster. El grupo de seguridad tiene una única regla que permite el tráfico de entrada desde el grupo de seguridad del clúster. AWS KMS también crea una interfaz de red elástica (ENI) en cada zona de disponibilidad de la subred privada para el clúster. AWS KMS agrega las ENI al grupo de seguridad kms-<cluster ID> y al grupo de seguridad del clúster. La descripción de cada ENI es KMS managed ENI for cluster <cluster-ID>.

El proceso de conexión puede tardar bastante en completarse, unos 20 minutos.

Antes de conectar el almacén de claves de AWS CloudHSM, compruebe que cumple los requisitos.

  • Su clúster de AWS CloudHSM asociado debe incluir al menos un HSM activo. Para encontrar el número de HSM activos en el clúster, consulte el clúster en la consola de AWS CloudHSM o use la operación DescribeClusters. Si es necesario, puede agregar un HSM.

  • El clúster debe tener una cuenta de usuario de criptografía kmsuser (CU), pero ese CU no se puede registrar en el clúster cuando conecta el almacén de claves de AWS CloudHSM. Para obtener ayuda con el cierre de sesión, consulte Cómo cerrar sesión y volver a conectar.

  • El estado de conexión del almacén de claves de AWS CloudHSM no puede ser DISCONNECTING ni FAILED. Para ver el estado de la conexión, utilice la consola de AWS KMS o la respuesta DescribeCustomKeyStores. Si el estado de conexión es FAILED, desconecte el almacén de claves personalizado, resuelva el problema y conéctelo de nuevo.

Si desea ayuda con las conexiones que dan error, consulte Cómo arreglar un error de conexión.

Cuando el almacén de claves de AWS CloudHSM esté conectado, puede crear las claves de KMS en él y usar las claves de KMS existentes en operaciones criptográficas.

Conectarse y volver a conectarse a su almacén de claves de AWS CloudHSM

Puede conectar o volver a conectar el almacén de claves de AWS CloudHSM en la consola de AWS KMS o mediante la operación ConnectCustomKeyStore.

Para conectar un almacén de claves de AWS CloudHSM en la AWS Management Console, primero deberá seleccionar el almacén de datos de AWS CloudHSM en la página Custom key stores (Almacenes de claves personalizados). El proceso de conexión puede tardar hasta 20 minutos en completarse.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Almacenes de claves personalizados, Almacenes de claves de AWS CloudHSM.

  4. Elija la fila del almacén de claves de AWS CloudHSM que quiere conectar.

    Si el estado del almacén de claves de AWS CloudHSM es Failed (Error), deberá desconectar el almacén de claves personalizado antes de conectarlo.

  5. En el menú Key store actions (Acciones del almacén de claves), seleccione Connect (Conectar).

AWS KMS empieza el proceso de conexión del almacén de claves personalizado. Encuentra el clúster del AWS CloudHSM asociado, genera la infraestructura de red necesaria, se conecta a él, inicia sesión en el clúster de AWS CloudHSM con el CU kmsuser y rota la contraseña kmsuser. Cuando la operación finalizada, el estado de conexión cambia a Connected (Conectado).

Si la operación falla, aparecerá un mensaje de error que describe el motivo del error. Antes de intentar conectarse de nuevo, vea el estado de conexión del almacén de claves de AWS CloudHSM. Si es Failed (Error), deberá desconectar el almacén de claves personalizado antes de conectarlo de nuevo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.

Siguiente: Crear una KMS clave en un almacén de AWS CloudHSM claves.

Para conectar un almacén de claves de AWS CloudHSM desconectado, use la operación ConnectCustomKeyStore. El clúster de AWS CloudHSM asociado debe incluir al menos un HSM activo y su estado de conexión no puede ser FAILED.

El proceso de conexión puede tardar bastante en completarse, unos 20 minutos. A menos que el error sea rápido, la operación devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar el estado de conexión de un almacén de claves personalizado, consulte la respuesta DescribeCustomKeyStores.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Para identificar el almacén de claves de AWS CloudHSM, use el ID del almacén de claves personalizado. Puede buscar el ID en la página Custom key stores (Almacenes de claves personalizados) en la consola o mediante la operación DescribeCustomKeyStores sin parámetros. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para verificar que el almacén de claves de AWS CloudHSM está conectado, utilice la operación DescribeCustomKeyStores. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor ConnectionState de CONNECTED indica que el almacén de claves personalizado está conectado a su clúster de AWS CloudHSM.

nota

El campo CustomKeyStoreType se agregó a la respuesta DescribeCustomKeyStores para distinguir los almacenes de claves de AWS CloudHSM de los almacenes de claves externos.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Si el valor ConnectionState da error, el elemento ConnectionErrorCode indicará el motivo del error. En este caso, AWS KMS no ha encontrado ningún clúster de AWS CloudHSM en la cuenta con el ID de clúster cluster-1a23b4cdefg. Si ha eliminado el clúster, puede restaurarlo a partir de una copia de seguridad del clúster original y, a continuación, editar el ID del clúster para el almacén de claves personalizado. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte Cómo arreglar un error de conexión.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}