Creación de un almacén de AWS CloudHSM claves - AWS Key Management Service
Cumplir los requisitos previosCree un almacén de claves (consola) AWS CloudHSMCree un almacén de AWS CloudHSM claves (API)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de un almacén de AWS CloudHSM claves

Puede crear uno o varios almacenes de AWS CloudHSM claves en su cuenta. Cada almacén de AWS CloudHSM claves está asociado a un AWS CloudHSM clúster de la misma Cuenta de AWS región. Antes de crear un almacén de claves de AWS CloudHSM , debe cumplir los requisitos previos. A continuación, antes de poder usar el almacén de AWS CloudHSM claves, debe conectarlo a su AWS CloudHSM clúster.

nota

Si intenta crear un almacén de AWS CloudHSM claves con todos los mismos valores de propiedades que un almacén de AWS CloudHSM claves desconectado existente, AWS KMS no se crea un almacén de AWS CloudHSM claves nuevo y no se produce ninguna excepción ni se muestra un error. En su lugar, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el identificador del almacén de AWS CloudHSM claves existente.

sugerencia

No es necesario que conecte su almacén de AWS CloudHSM claves inmediatamente. Puede dejarlo desconectado hasta que lo necesite. Sin embargo, para comprobar que se ha configurado correctamente, debería conectarlo, ver su estado de conexión y, a continuación, desconectarlo.

Cumplir los requisitos previos

Cada almacén de AWS CloudHSM claves está respaldado por un AWS CloudHSM clúster. Para crear un almacén de AWS CloudHSM claves, debe especificar un AWS CloudHSM clúster activo que no esté ya asociado a otro almacén de claves. También debe crear un usuario criptográfico (CU) dedicado en el clúster HSMs que AWS KMS pueda usar para crear y administrar las claves en su nombre.

Antes de crear un almacén de AWS CloudHSM claves, haz lo siguiente:

Seleccione un AWS CloudHSM clúster

Cada almacén de AWS CloudHSM claves está asociado exactamente a un AWS CloudHSM clúster. Cuando crea un AWS KMS keysen su almacén de AWS CloudHSM claves, AWS KMS crea los metadatos KMS clave, como un ID y un nombre de recurso de Amazon (ARN) en AWS KMS. A continuación, crea el material clave en HSMs el clúster asociado. Puede crear un AWS CloudHSM clúster nuevo o utilizar uno existente. AWS KMS no requiere acceso exclusivo al clúster.

El AWS CloudHSM clúster que seleccione está asociado permanentemente al almacén de AWS CloudHSM claves. Tras crear el almacén de AWS CloudHSM claves, puede cambiar el ID de clúster del clúster asociado, pero el clúster que especifique debe compartir un historial de respaldo con el clúster original. Para usar un clúster no relacionado, debe crear un nuevo almacén de AWS CloudHSM claves.

El AWS CloudHSM clúster que seleccione debe tener las siguientes características:

  • El clúster debe estar activo.

    Debe crear el clúster, inicializarlo, instalar el software de AWS CloudHSM cliente para su plataforma y, a continuación, activar el clúster. Para obtener instrucciones, consulte Introducción a AWS CloudHSM en la Guía del usuario de AWS CloudHSM .

  • El clúster debe estar en la misma cuenta y región que el almacén de AWS CloudHSM claves. No puede asociar un almacén de AWS CloudHSM claves de una región a un clúster de otra región. Para crear una infraestructura de claves en varias regiones, debe crear clústeres y almacenes de AWS CloudHSM claves en cada región.

  • El clúster no puede estar asociado con otro almacén de claves personalizado en la misma cuenta y región. Cada almacén de AWS CloudHSM claves de la cuenta y la región debe estar asociado a un AWS CloudHSM clúster diferente. No puede especificar un clúster que ya esté asociado a un almacén de claves personalizado o a un clúster que comparte historial de copias de seguridad con un clúster asociado. Los clústers que comparten un historial de copias de seguridad deben tener el mismo certificado del clúster. Para ver el certificado de clúster de un clúster, utilice la AWS CloudHSM consola o la DescribeClustersoperación.

    Si realiza una copia de seguridad de un AWS CloudHSM clúster en una región diferente, se considera que es un clúster diferente y puede asociar la copia de seguridad a un almacén de claves personalizado en esa región. Sin embargo, KMS las claves de los dos almacenes de claves personalizados no son interoperables, incluso si tienen la misma clave secundaria. AWS KMS vincula los metadatos al texto cifrado para que solo se puedan descifrar con la KMS clave que los cifró.

  • El clúster debe configurarse con subredes privadas en al menos dos zonas de disponibilidad de la región. Como no AWS CloudHSM es compatible con todas las zonas de disponibilidad, le recomendamos que cree subredes privadas en todas las zonas de disponibilidad de la región. No puede volver a configurar las subredes para un clúster existente, pero puede crear un clúster a partir de una copia de seguridad con subredes distintas en la configuración del clúster.

    importante

    Después de crear el almacén de AWS CloudHSM claves, no elimine ninguna de las subredes privadas configuradas para su AWS CloudHSM clúster. Si AWS KMS no puede encontrar todas las subredes de la configuración del clúster, los intentos de conexión al almacén de claves personalizado fallan y se produce un estado de error de SUBNET_NOT_FOUND conexión. Para obtener más detalles, consulte Cómo arreglar un error de conexión.

  • El grupo de seguridad del clúster (cloudhsm-cluster-<cluster-id>-sg) debe incluir reglas de entrada y de salida que permitan el TCP tráfico en los puertos 2223-2225. El origen de las reglas de entrada y el destino de las reglas de salida deben coincidir con el ID del grupo de seguridad. Estas reglas se establecen de forma predeterminada al crear el clúster. No las elimine ni las cambie.

  • El clúster debe contener al menos dos activos HSMs en distintas zonas de disponibilidad. Para comprobar el número deHSMs, utilice la AWS CloudHSM consola o la DescribeClustersoperación. Si es necesario, puede añadir un HSM.

Buscar el certificado de anclaje de confianza

Al crear un almacén de claves personalizado, debe cargar en él el certificado de anclaje de confianza del AWS CloudHSM clúster AWS KMS. AWS KMS necesita el certificado de anclaje de confianza para conectar el almacén de AWS CloudHSM claves al AWS CloudHSM clúster asociado.

Cada AWS CloudHSM clúster activo tiene un certificado de anclaje de confianza. Al inicializar el clúster, se genera el certificado. Guárdelo en el archivo customerCA.crt y cópielo en alojamientos que se conecten con el clúster.

Cree el usuario kmsuser criptográfico para AWS KMS

Para administrar su almacén de AWS CloudHSM claves, AWS KMS inicie sesión en la cuenta de usuario kmsuser criptográfico (CU) del clúster seleccionado. Antes de crear el almacén de AWS CloudHSM claves, debe crear la kmsuser CU. A continuación, al crear el almacén de AWS CloudHSM claves, debe proporcionar la contraseña kmsuser para AWS KMS. Siempre que conectes el almacén de AWS CloudHSM claves a su AWS CloudHSM clúster asociado, AWS KMS inicia sesión con la kmsuser contraseña y rota la contraseña kmsuser

importante

No especifique la opción 2FA al crear el CU kmsuser. Si lo hace, AWS KMS no podrá iniciar sesión y su almacén de AWS CloudHSM claves no podrá conectarse a este AWS CloudHSM clúster. Después de especificar 2FA, ya no podrá deshacer dicha acción. En su lugar, deberá eliminar el CU y crearlo de nuevo.

Para crear el CU kmsuser, use el siguiente procedimiento.

  1. Inicie cloudhsm_mgmt_util tal y como se describe en el tema Introducción a Cloud HSM Management Utility () de la Guía del usuario. CMU AWS CloudHSM

  2. Usa el createUsercomando de cloudhsm_mgmt_util para crear una CU denominada. kmsuser

    nota

    La contraseña debe contener entre 7 y 32 caracteres alfanuméricos, distingue entre mayúsculas y minúsculas, y no puede tener caracteres especiales.

    Por ejemplo, el siguiente comando de ejemplo crea un CU kmsuser con una contraseña kmsPswd. 

    aws-cloudhsm> createUser CU kmsuser kmsPswd

Cree un almacén de claves (consola) AWS CloudHSM

Al crear un almacén de AWS CloudHSM claves en AWS Management Console, puede añadir y crear los requisitos previos como parte de su flujo de trabajo. Sin embargo, el proceso es más rápido si los compila previamente.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Almacenes de claves personalizados, Almacenes de claves de AWS CloudHSM .

  4. Selecciona Crear un almacén de claves.

  5. Escriba un nombre fácil de recordar para el almacén de claves personalizado. El nombre debe ser único entre todos los almacenes de claves personalizados de su cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

  6. Seleccione un AWS CloudHSM clúster para el almacén de AWS CloudHSM claves. O bien, para crear un AWS CloudHSM clúster nuevo, elija el enlace Crear un AWS CloudHSM clúster.

    El menú muestra los AWS CloudHSM clústeres de su cuenta y región que aún no están asociados a un almacén de AWS CloudHSM claves. El clúster debe cumplir los requisitos de asociación con un almacén de claves personalizado.

  7. Seleccione Elegir archivo y, a continuación, cargue el certificado de anclaje de confianza del AWS CloudHSM clúster que haya elegido. Este es el archivo customerCA.crt que creó al inicializar el clúster.

  8. Escriba la contraseña del kmsuser usuario de criptografía (CU) que creó en el clúster seleccionado.

  9. Seleccione Crear.

Cuando el procedimiento se complete correctamente, el nuevo almacén de AWS CloudHSM claves aparecerá en la lista de almacenes de AWS CloudHSM claves de la cuenta y la región. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.

Si intenta crear un almacén de AWS CloudHSM claves con todos los mismos valores de propiedades que un almacén de AWS CloudHSM claves desconectado existente, AWS KMS no se crea un almacén de AWS CloudHSM claves nuevo y no se produce ninguna excepción ni se muestra ningún error. En su lugar, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el identificador del almacén de AWS CloudHSM claves existente.

Siguiente: Los nuevos almacenes de AWS CloudHSM claves no se conectan automáticamente. Para poder crear AWS KMS keys en el almacén de AWS CloudHSM claves, debe conectar el almacén de claves personalizado a su AWS CloudHSM clúster asociado.

Cree un almacén de AWS CloudHSM claves (API)

Puede utilizar la CreateCustomKeyStoreoperación para crear un nuevo almacén de AWS CloudHSM claves asociado a un AWS CloudHSM clúster de la cuenta y la región. En estos ejemplos se usa el AWS Command Line Interface (AWS CLI), pero puedes usar cualquier lenguaje de programación compatible.

La operación CreateCustomKeyStore requiere los siguientes valores de parámetro.

  • CustomKeyStoreName — Un nombre descriptivo para el almacén de claves personalizadas que es único en la cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

  • CloudHsmClusterId — El ID de clúster de un AWS CloudHSM clúster que cumple los requisitos de un almacén de AWS CloudHSM claves.

  • KeyStorePassword — La contraseña de la cuenta kmsuser CU del clúster especificado.

  • TrustAnchorCertificate — El contenido del customerCA.crt archivo que creó al inicializar el clúster.

En el siguiente ejemplo se usa un ID de clúster ficticio. Antes de ejecutar el comando, reemplácelo por un ID de clúster válido.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

Si utiliza el AWS CLI, puede especificar el archivo de certificado de anclaje de confianza, en lugar de su contenido. En el siguiente ejemplo, el archivo customerCA.crt se encuentra en el directorio raíz.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

Si la operación se ejecuta correctamente, CreateCustomKeyStore devolverá el ID del almacén de claves personalizado, tal y como se muestra en la siguiente respuesta de ejemplo.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Si la operación falla, corrija el error que indica la excepción e inténtelo de nuevo. Para obtener ayuda adicional, consulte Resolver problemas de un almacén de claves personalizado.

Si intenta crear un almacén de AWS CloudHSM claves con todos los mismos valores de propiedades que un almacén de AWS CloudHSM claves desconectado existente, AWS KMS no se crea un almacén de AWS CloudHSM claves nuevo y no se produce ninguna excepción ni se muestra un error. En su lugar, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el identificador del almacén de AWS CloudHSM claves existente.

A continuación: Para usar el almacén de AWS CloudHSM claves, conéctelo a su AWS CloudHSM clúster.