Creación de un almacén de claves de AWS CloudHSM - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un almacén de claves de AWS CloudHSM

Puede crear uno o varios almacenes de claves de AWS CloudHSM en la cuenta. Cada almacén de claves de AWS CloudHSM está asociado a un clúster de AWS CloudHSM en la misma Cuenta de AWS y región. Antes de crear un almacén de claves de AWS CloudHSM, debe cumplir los requisitos previos. A continuación, antes de usar el almacén de claves de AWS CloudHSM, deberá conectarlo a su clúster de AWS CloudHSM.

Notas

Si intenta crear un almacén de claves de AWS CloudHSM con los mismos valores de propiedad que un almacén de claves de AWS CloudHSM desconectado existente, AWS KMS no crea un nuevo almacén de claves de AWS CloudHSM y no genera ninguna excepción ni muestra ningún error. En cambio, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el ID del almacén de claves de AWS CloudHSM existente.

No tiene que conectar el almacén de claves de AWS CloudHSM inmediatamente. Puede dejarlo desconectado hasta que lo necesite. Sin embargo, para comprobar que se ha configurado correctamente, debería conectarlo, ver su estado de conexión y, a continuación, desconectarlo.

Cumplir los requisitos previos

Cada almacén de claves de AWS CloudHSM está respaldado por un clúster de AWS CloudHSM. Para crear en un almacén de claves de AWS CloudHSM, especifique un clúster de AWS CloudHSM activo que no esté asociado a otro almacén de claves. También deberá crear un usuario de criptografía (CU) dedicado en los HSM del clúster que AWS KMS podrá utilizar para crear y administrar claves en su nombre.

Antes de crear un almacén de claves de AWS CloudHSM, haga lo siguiente:

Seleccionar un clúster de AWS CloudHSM

Cada almacén de claves de AWS CloudHSM está asociado a exactamente un clúster de AWS CloudHSM. Al crear AWS KMS keys en el almacén de claves de AWS CloudHSM, AWS KMS crea los metadatos de la clave KMS, como el ID y el Nombre de recurso de Amazon (ARN), en AWS KMS. A continuación, crea el material de claves en los HSM del clúster asociado. Puede crear un clúster de AWS CloudHSM nuevo o utilizar uno existente. AWS KMS no requiere acceso exclusivo al clúster.

El clúster de AWS CloudHSM que seleccione estará asociado de forma permanente al almacén de claves de AWS CloudHSM. Después de crear un almacén de claves de AWS CloudHSM, puede cambiar el ID del clúster asociado, pero el clúster que especifique debe compartir un historial de copias de seguridad con el clúster original. Para usar un clúster sin relación, debe crear un almacén de claves de AWS CloudHSM nuevo.

El clúster de AWS CloudHSM que seleccione debe tener las siguientes características:

  • El clúster debe estar activo.

    Debe crear el clúster, inicializarlo, instalar el software del cliente de AWS CloudHSM para su plataforma y, a continuación, activarlo. Para obtener instrucciones, consulte Introducción a AWS CloudHSM en la Guía del usuario de AWS CloudHSM.

  • El clúster debe estar en la misma cuenta y región que el almacén de claves de AWS CloudHSM. No puede asociar un almacén de claves de AWS CloudHSM en una región con un clúster en otra región. Para crear una infraestructura de claves en varias regiones, debe crear almacenes de claves de AWS CloudHSM y clústeres en cada región.

  • El clúster no puede estar asociado con otro almacén de claves personalizado en la misma cuenta y región. Cada almacén de claves de AWS CloudHSM de la cuenta y la región debe estar asociado a un clúster de AWS CloudHSM diferente. No puede especificar un clúster que ya esté asociado a un almacén de claves personalizado o a un clúster que comparte historial de copias de seguridad con un clúster asociado. Los clústers que comparten un historial de copias de seguridad deben tener el mismo certificado del clúster. Para ver el certificado de un clúster, utilice la consola de AWS CloudHSM o la operación DescribeClusters.

    Si la copia de seguridad de un clúster de AWS CloudHSM en una región diferente, se considera un clúster diferente y puede asociar la copia de seguridad a un almacén de claves personalizado en su región. Sin embargo, las claves KMS de los dos almacenes de claves personalizados no son interoperables, incluso si tienen la misma clave de respaldo. AWS KMS vincula metadatos al texto cifrado para que solo se pueda descifrar mediante la clave KMS que lo cifró.

  • El clúster debe configurarse con subredes privadas en al menos dos zonas de disponibilidad de la región. Puesto que AWS CloudHSM no es compatible en todas las zonas de disponibilidad, le recomendamos que cree subredes privadas en todas las zonas de disponibilidad de la región. No puede volver a configurar las subredes para un clúster existente, pero puede crear un clúster a partir de una copia de seguridad con subredes distintas en la configuración del clúster.

    importante

    Después de crear el almacén de claves de AWS CloudHSM, no elimine ninguna de las subredes privadas configuradas para su clúster de AWS CloudHSM. Si AWS KMS no puede encontrar todas las subredes de la configuración del clúster, los intentos de conectarse al almacén de claves personalizado producen el error de conexión SUBNET_NOT_FOUND. Para obtener más información, consulte Cómo arreglar un error de conexión.

  • El grupo de seguridad para el clúster (cloudhsm-cluster-<cluster-id>-sg) debe incluir las reglas entrantes y salientes que permiten el tráfico TCP en los puertos 2223-2225. El origen de las reglas de entrada y el destino de las reglas de salida deben coincidir con el ID del grupo de seguridad. Estas reglas se establecen de forma predeterminada al crear el clúster. No las elimine ni las cambie.

  • El clúster debe tener al menos dos HSM activos en distintas zonas de disponibilidad. Para verificar el número de HSM, utilice la consola de AWS CloudHSM o la operación DescribeClusters. Si es necesario, puede agregar un HSM.

Buscar el certificado de anclaje de confianza

Al crear un almacén de claves personalizado, deberá cargar un certificado de anclaje de confianza para el clúster de AWS CloudHSM en AWS KMS. AWS KMS necesita dicho certificado para conectar el almacén de claves de AWS CloudHSM al clúster de AWS CloudHSM asociado.

Cada clúster de AWS CloudHSM activo tiene un certificado de anclaje de confianza. Al inicializar el clúster, se genera el certificado. Guárdelo en el archivo customerCA.crt y cópielo en alojamientos que se conecten con el clúster.

Crear el usuario de criptografía kmsuser para AWS KMS

Para administrar el almacén de claves de AWS CloudHSM, AWS KMS inicia sesión en la cuenta del usuario de criptografía kmsuser (CU) en el clúster seleccionado. Antes de crear un almacén de claves de AWS CloudHSM, debe crear el CU kmsuser. Luego, cuando cree el almacén de claves de AWS CloudHSM, deberá proporcionar la contraseña de kmsuser a AWS KMS. Al conectar el almacén de claves de AWS CloudHSM a su clúster de AWS CloudHSM asociado, AWS KMS inicia sesión como kmsuser y rota la contraseña de kmsuser.

importante

No especifique la opción 2FA al crear el CU kmsuser. Si lo hace, AWS KMS no podrá iniciar sesión y el almacén de claves de AWS CloudHSM no podrá conectarse a su clúster de AWS CloudHSM. Después de especificar 2FA, ya no podrá deshacer dicha acción. En su lugar, deberá eliminar el CU y crearlo de nuevo.

Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos Client SDK 5 de AWS CloudHSM, la CLI de CloudHSM. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de prestar soporte a las herramientas de línea de comandos Client SDK 3, la utilidad de administración de CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migración de CMU y KMU de Client SDK 3 a la CLI de CloudHSM de Client SDK 5 en la Guía del usuario de AWS CloudHSM.

  1. Siga los procedimientos de introducción descritos en el tema Introducción a la interfaz de la línea de comandos (CLI) de CloudHSM de la Guía del usuario de AWS CloudHSM.

  2. Utilice el comando user create para crear un CU denominado kmsuser.

    La contraseña debe contener entre 7 y 32 caracteres alfanuméricos, distingue entre mayúsculas y minúsculas, y no puede tener caracteres especiales.

    El siguiente ejemplo de comando crea un CU de kmsuser.

    aws-cloudhsm > user create --username kmsuser --role crypto-user Enter password: Confirm password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }

Creación de un nuevo almacén de claves de AWS CloudHSM

Tras reunir los requisitos previos, puede crear un nuevo almacén de claves de AWS CloudHSM en la consola de AWS KMS o mediante la operación CreateCustomKeyStore.

Al crear un almacén de claves de AWS CloudHSM en la AWS Management Console, puede agregar y crear los requisitos previos como parte del flujo de trabajo. Sin embargo, el proceso es más rápido si los compila previamente.

  1. Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Almacenes de claves personalizados, Almacenes de claves de AWS CloudHSM.

  4. Seleccione Create a key store (Crear un m almacén de claves).

  5. Escriba un nombre fácil de recordar para el almacén de claves personalizado. El nombre debe ser único entre todos los almacenes de claves personalizados de su cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto sin formato en los registros de CloudTrail y en otros resultados.

  6. Seleccione un clúster de AWS CloudHSM para el almacén de claves de AWS CloudHSM. O para crear un clúster de AWS CloudHSM nuevo, elija el enlace Create an AWS CloudHSM cluster (Crear un clúster de ).

    El menú muestra los clústeres de AWS CloudHSM de la cuenta y la región no asociados todavía con un almacén de claves de AWS CloudHSM. El clúster debe cumplir los requisitos de asociación con un almacén de claves personalizado.

  7. Elija Choose file (Elegir archivo) y cargue el certificado de anclaje de confianza para el clúster de AWS CloudHSM que elija. Este es el archivo customerCA.crt que creó al inicializar el clúster.

  8. Escriba la contraseña del kmsuser usuario de criptografía (CU) que creó en el clúster seleccionado.

  9. Seleccione Crear.

Si el proceso se ejecuta correctamente, el nuevo almacén de claves de AWS CloudHSM aparecerá en la lista de almacenes de claves de AWS CloudHSM de la cuenta y la región. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.

Si intenta crear un almacén de claves de AWS CloudHSM con los mismos valores de propiedad que un almacén de claves de AWS CloudHSM desconectado existente, AWS KMS no crea un nuevo almacén de claves de AWS CloudHSM y no genera ninguna excepción ni muestra ningún error. En cambio, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el ID del almacén de claves de AWS CloudHSM existente.

Siguiente: los nuevos almacenes de claves de AWS CloudHSM no se conectan de forma automática. Antes de crear AWS KMS keys en el almacén de claves de AWS CloudHSM, debe conectar el almacén de claves personalizado a su clúster de AWS CloudHSM asociado.

Puede usar la operación CreateCustomKeyStore para crear un nuevo almacén de claves de AWS CloudHSM asociado a un clúster de AWS CloudHSM de la cuenta y la región. En estos ejemplos se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La operación CreateCustomKeyStore requiere los siguientes valores de parámetro.

  • CustomKeyStoreName: nombre fácil de recordar para el almacén de claves personalizado que es exclusivo de la cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto sin formato en los registros de CloudTrail y en otros resultados.

  • CloudHsmClusterId: el ID de clúster de un clúster de AWS CloudHSM que cumple con los requisitos para asociarse con un almacén de claves de AWS CloudHSM.

  • KeyStorePassword: contraseña de la cuenta del CU de kmsuser en el clúster especificado.

  • TrustAnchorCertificate: el contenido del archivo customerCA.crt que creó al inicializar el clúster.

En el siguiente ejemplo se usa un ID de clúster ficticio. Antes de ejecutar el comando, reemplácelo por un ID de clúster válido.

$ aws kms create-custom-key-store --custom-key-store-name ExampleCloudHSMKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate <certificate-goes-here>

Si utiliza la AWS CLI, puede especificar un archivo de certificado de anclaje de confianza en lugar de su contenido. En el siguiente ejemplo, el archivo customerCA.crt se encuentra en el directorio raíz.

$ aws kms create-custom-key-store --custom-key-store-name ExampleCloudHSMKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate file://customerCA.crt

Si la operación se ejecuta correctamente, CreateCustomKeyStore devolverá el ID del almacén de claves personalizado, tal y como se muestra en la siguiente respuesta de ejemplo.

{ "CustomKeyStoreId": cks-1234567890abcdef0 }

Si la operación falla, corrija el error que indica la excepción e inténtelo de nuevo. Para obtener ayuda adicional, consulte Resolver problemas de un almacén de claves personalizado.

Si intenta crear un almacén de claves de AWS CloudHSM con los mismos valores de propiedad que un almacén de claves de AWS CloudHSM desconectado existente, AWS KMS no crea un nuevo almacén de claves de AWS CloudHSM y no genera ninguna excepción ni muestra ningún error. En cambio, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el ID del almacén de claves de AWS CloudHSM existente.

Siguiente: para usar el almacén de claves de AWS CloudHSM, conéctelo a su clúster de AWS CloudHSM.