Resolver problemas de un almacén de claves personalizado - AWS Key Management Service
¿Cómo arreglar las claves KMS no disponibles?¿Cómo arreglar una clave KMS que produce error?Cómo arreglar un error de conexiónCómo responder ante un error de operación criptográficaCómo arreglar las credenciales de kmsuser no válidasCómo eliminar material de claves huérfano¿Cómo recuperar el material de claves eliminado de una clave KMS?Cómo iniciar sesión como kmsuser

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Resolver problemas de un almacén de claves personalizado

Los almacenes de claves de AWS CloudHSM están diseñados para ofrecer disponibilidad y larga duración. Sin embargo, pueden surgir algunas condiciones de error que deberá reparar para mantener operativo su almacén de claves de AWS CloudHSM.

¿Cómo arreglar las claves KMS no disponibles?

El estado de clave de AWS KMS keys en un almacén de claves de AWS CloudHSM normalmente es Enabled. De igual modo que todas las claves de KMS, el estado de clave cambia al deshabilitar las claves de KMS en un almacén de claves de AWS CloudHSM o al programar su eliminación. Sin embargo, a diferencia de otras claves KMS, las claves KMS de un almacén de claves personalizado también pueden tener el estado de clave Unavailable.

El estado de clave Unavailable indica que la clave de KMS está en un almacén de claves personalizado que se ha desconectado de forma intencional y que los intentos de conectarlo de nuevo han fallado. Mientras una clave KMS no esté disponible, puede consultarla y administrarla, pero no puede usarla en operaciones criptográficas.

Para buscar el estado de clave de una clave KMS en la página Customer managed keys (Claves administradas por el cliente) consulte el campo Status (Estado) de la clave KMS. O utilice la operación DescribeKey y consulte el elemento KeyState en la respuesta. Para obtener más información, consulte Identificación y visualización de claves.

Las claves KMS en un almacén de claves personalizado desconectado tendrá el estado de clave Unavailable o PendingDeletion. Las claves de KMS programadas para su eliminación de un almacén de claves personalizado tienen el estado de clave Pending Deletion, incluso si el almacén de claves personalizado está desconectado. Esto permite cancelar la eliminación programada de la clave sin volver a conectar el almacén de claves personalizado.

Para arreglar una clave KMS no disponible, vuelva a conectar el almacén de claves personalizado. Después de volver a conectar el almacén de claves personalizado, el estado de clave de las claves KMS en el almacén de claves personalizado se restaura automáticamente al estado anterior, como Enabled o Disabled. Las claves KMS pendientes de eliminación seguirán teniendo el estado PendingDeletion. Sin embargo, si el problema persiste, habilitar y desactivar una clave KMS no disponible no cambia su estado de clave. La acción de habilitar o desactivar solo será efectiva cuando la clave esté disponible.

Si desea ayuda con las conexiones que dan error, consulte Cómo arreglar un error de conexión.

¿Cómo arreglar una clave KMS que produce error?

Los problemas para crear y utilizar claves de KMS en almacenes de claves de AWS CloudHSM pueden deberse a un problema con el almacén de claves de AWS CloudHSM, su clúster de AWS CloudHSM asociado, la clave de KMS o su material de claves.

Cuando un almacén de claves de AWS CloudHSM se desconecta de su clúster de AWS CloudHSM, el estado de clave de las claves de KMS en el almacén de claves personalizado es Unavailable. Todas las solicitudes para crear claves de KMS en un almacén de claves de AWS CloudHSM desconectado devuelven una excepción CustomKeyStoreInvalidStateException. Todas las solicitudes para cifrar, descifrar, volver a cifrar o generar claves de datos devuelve una excepción KMSInvalidStateException. Para solucionar el problema, vuelva a conectar el almacén de claves de AWS CloudHSM.

Sin embargo, los intentos de usar una clave de KMS de un almacén de claves de AWS CloudHSM para operaciones criptográficas pueden no ser fructíferos incluso cuando el estado de clave es Enabled y el estado de conexión del almacén de claves de AWS CloudHSM es Connected. Esto puede deberse a una de las siguientes condiciones.

  • Puede que se haya eliminado el material de claves para la clave KMS del clúster de AWS CloudHSM asociado. Para investigar, busque el identificador de claves del material de claves para una clave KMS y, si es necesario, intente recuperar el material de claves.

  • Se eliminaron todos los HSM del clúster de AWS CloudHSM asociado al almacén de claves de AWS CloudHSM. Para utilizar una clave de KMS en un almacén de claves de AWS CloudHSM en una operación criptográfica, su clúster de AWS CloudHSM debe contener al menos un HSM activo. Para verificar el número y el estado de los HSM en un clúster de AWS CloudHSM, use la consola de AWS CloudHSM o la operación DescribeClusters. Para agregar un HSM al clúster, utilice la consola de AWS CloudHSM o la operación CreateHsm.

  • Se eliminó el clúster de AWS CloudHSM asociado al almacén de claves de AWS CloudHSM. Para resolver el problema, cree un clúster a partir de una copia de seguridad relacionada con el clúster original, como una copia de seguridad de un clúster original o una copia de seguridad utilizada para crear el clúster original. A continuación, edite el ID del clúster en la configuración del almacén de claves personalizado. Para obtener instrucciones, consulte ¿Cómo recuperar el material de claves eliminado de una clave KMS?.

  • El clúster de AWS CloudHSM asociado al almacén de claves personalizado no tenía ninguna sesión de PKCS#11 disponible. Esto ocurre, por lo general, cuando se producen períodos de ráfagas de tráfico elevado, en los que se necesitan sesiones adicionales para dar servicio al tráfico. Para responder a una KMSInternalException con un mensaje de error sobre las sesiones de PKCS#11, regrese y vuelva a intentar la solicitud.

Cómo arreglar un error de conexión

Si intenta conectar un almacén de claves de AWS CloudHSM a su clúster de AWS CloudHSM, pero la operación falla, el estado de conexión del almacén de claves de AWS CloudHSM cambiará a FAILED. Para encontrar el estado de conexión de un almacén de claves de AWS CloudHSM, utilice la consola de AWS KMS o la operación DescribeCustomKeyStores.

Algunos intentos de conexión producen un error rápidamente debido a errores de configuración del clúster detectados fácilmente. En este caso, el estado de la conexión aún es DISCONNECTED. Estos errores devuelven un mensaje de error o unaexcepción que explica por qué el intento produjo un error. Revise la descripción de la excepción y los requisitos del clúster, solucione el problema, actualice el almacén de claves de AWS CloudHSM, si es necesario, e intente conectarse de nuevo.

Cuando el estado de la conexión es FAILED, ejecute la operación DescribeCustomKeyStores y consulte el elemento ConnectionErrorCode en la respuesta.

nota

Cuando el estado de conexión de un almacén de claves de AWS CloudHSM es FAILED, deberá desconectar el almacén de claves de AWS CloudHSM antes de conectarlo de nuevo. No puede conectar un almacén de claves de AWS CloudHSM que tenga el estado de conexión FAILED.

Cómo responder ante un error de operación criptográfica

Una operación criptográfica que utiliza una clave de KMS en un almacén de claves personalizado puede dar un error KMSInvalidStateException. Los siguientes mensajes de error pueden acompañar al error KMSInvalidStateException.

KMS no puede comunicarse con el clúster de CloudHSM. Esto puede ser un problema de red transitorio. Si ve este error repetidamente, compruebe que las ACL de red y las reglas del grupo de seguridad de la VPC del clúster del AWS CloudHSM sean correctas.

  • Aunque se trata de un error HTTPS 400, puede deberse a problemas de red transitorios. Para responder, comience por volver a intentar la solicitud. Sin embargo, si continúa fallando, examine la configuración de los componentes de red. Este error es probablemente causado por la configuración incorrecta de un componente de red, como una regla de firewall o una regla de grupo de seguridad de VPC que bloquea el tráfico saliente.

KMS no puede comunicarse con el clúster del AWS CloudHSM porque el usuario kmsuser está bloqueado. Si ve este error varias veces, desconecte el almacén de claves del AWS CloudHSM y restablezca la contraseña de la cuenta kmsuser. Actualice la contraseña de kmsuser para el almacén de claves personalizado y pruebe a realizar la solicitud de nuevo.

Cómo arreglar las credenciales de kmsuser no válidas

Al conectar un almacén de claves de AWS CloudHSM, AWS KMS inicia sesión en el clúster de AWS CloudHSM asociado como el usuario de criptografía (CU) kmsuser. Conserva la sesión hasta que se desconecte el almacén de claves de AWS CloudHSM. La respuesta DescribeCustomKeyStores muestra el ConnectionState FAILED y ConnectionErrorCode muestra el valor INVALID_CREDENTIALS, tal como aparece en el siguiente ejemplo.

Si desconecta el almacén de claves de AWS CloudHSM y cambia la contraseña de kmsuser, AWS KMS no podrá iniciar sesión en el clúster de AWS CloudHSM con las credenciales de la cuenta del CU kmsuser. En consecuencia, todos los intentos de conectar el almacén de claves de AWS CloudHSM darán error. La respuesta DescribeCustomKeyStores muestra un ConnectionState de FAILED y un valor de ConnectionErrorCode de INVALID_CREDENTIALS, como se muestra en el siguiente ejemplo.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Además, después de 5 intentos de iniciar sesión en el clúster con una contraseña incorrecta, AWS CloudHSM bloquea la cuenta del usuario. Para iniciar sesión en el clúster, deberá cambiar la contraseña de la cuenta.

Si AWS KMS recibe una respuesta de bloqueo al intentar iniciar sesión en el clúster como el CU kmsuser, la solicitud para conectar el almacén de claves de AWS CloudHSM dará error. La respuesta DescribeCustomKeyStores incluye el ConnectionState FAILED y ConnectionErrorCode el valor USER_LOCKED_OUT, tal como aparece en el siguiente ejemplo.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Para reparar cualquiera de estas condiciones use el procedimiento siguiente.

  1. Desconecte el almacén de claves de AWS CloudHSM.

  2. Ejecute la operación DescribeCustomKeyStores y consulte el valor del elemento ConnectionErrorCode en la respuesta.

    • Si el valor de ConnectionErrorCode es INVALID_CREDENTIALS, determine la contraseña actual para la cuenta de kmsuser. Si es necesario, use el comando user change-password en la CLI de CloudHSM para establecer la contraseña con un valor conocido.

    • Si el valor de ConnectionErrorCode es USER_LOCKED_OUT, deberá usar el comando user change-password en la CLI de CloudHSM para modificar la contraseña de kmsuser.

  3. Edite la configuración de la contraseña de kmsuser para que coincida con la contraseña de kmsuser del clúster. Esta acción le dice a AWS KMS qué contraseña debe usar para iniciar sesión en el clúster. No cambia la contraseña de kmsuser en el clúster.

  4. Conecte el almacén de claves personalizado.

Cómo eliminar material de claves huérfano

Después de programar la eliminación de una clave de KMS del almacén de claves de AWS CloudHSM, es probable que deba eliminar manualmente el material de claves correspondiente al clúster de AWS CloudHSM asociado.

Al crear una clave de KMS en un almacén de claves de AWS CloudHSM, AWS KMS crea los metadatos de la clave de KMS en AWS KMS y genera el material de claves en el clúster de AWS CloudHSM asociado. Al programar una eliminación de una clave de KMS en un almacén de claves de AWS CloudHSM, AWS KMS elimina los metadatos de la clave de KMS una vez pasado el periodo de espera. A continuación, AWS KMS hará lo posible por eliminar el material de claves del clúster de AWS CloudHSM. El intento puede fallar si AWS KMS no puede acceder al clúster, por ejemplo, cuando se desconecta del almacén de claves de AWS CloudHSM o cambia la contraseña del kmsuser. AWS KMS no intenta eliminar el material de claves de las copias de seguridad del clúster.

AWS KMS informa de los resultados de su intento de eliminar el material de claves del clúster en la entrada del evento DeleteKey de su registro de AWS CloudTrail. Aparece en el elemento backingKeysDeletionStatus del elemento additionalEventData, tal y como se muestra en la siguiente entrada de ejemplo. La entrada también incluye el ARN de la clave KMS, el ID del clúster de AWS CloudHSM y el identificador (backing-key-id) del material de claves.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos Client SDK 5 de AWS CloudHSM, la CLI de CloudHSM. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de prestar soporte a las herramientas de línea de comandos Client SDK 3, la utilidad de administración de CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migración de CMU y KMU de Client SDK 3 a la CLI de CloudHSM de Client SDK 5 en la Guía del usuario de AWS CloudHSM.

En los siguientes procedimientos se muestra cómo eliminar el material de claves huérfanas del clúster de AWS CloudHSM asociado.

  1. Desconecte el almacén de claves de AWS CloudHSM, si no lo está todavía, e inicie sesión, tal como se explica en Cómo desconectar e iniciar sesión.

    nota

    Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

  2. Utilice el comando key delete en la CLI de CloudHSM para eliminar la clave de los HSM del clúster.

    Todas las entradas de registro de CloudTrail para operaciones criptográficas con una clave KMS en un almacén de claves de AWS CloudHSM incluyen un campo additionalEventData con el customKeyStoreId y backingKey. El valor devuelto en el campo backingKeyId es el atributo id de clave de CloudHSM. Recomendamos filtrar la operación key delete por id para eliminar el material de claves huérfanas que identificó en sus registros de CloudTrail.

    AWS CloudHSM reconoce el valor de backingKeyId como un valor hexadecimal. Para filtrar por id, debe anexar el backingKeyId con Ox. Por ejemplo, si el backingKeyId en su registro de CloudTrail es1a2b3c45678abcdef, debe filtrar por 0x1a2b3c45678abcdef.

    En el siguiente ejemplo, se elimina una clave de los HSM del clúster. El backing-key-id aparece en la entrada de registro de CloudTrail. Antes de ejecutar este comando, reemplace el backing-key-id de ejemplo por uno válido de su cuenta.

    aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
{
  "error_code": 0,
  "data": {
    "message": "Key deleted successfully"
  }
}

  3. Cierre la sesión y vuelva a conectar el almacén de claves de AWS CloudHSM tal como se describe en Cómo cerrar sesión y volver a conectar.

¿Cómo recuperar el material de claves eliminado de una clave KMS?

Si se elimina el material de claves de una AWS KMS key, la clave KMS no podrá utilizarse y todo el texto cifrado con la clave KMS no podrá descifrarse. Esto puede ocurrir si el material de claves de una clave de KMS en un almacén de claves de AWS CloudHSM se elimina del clúster de AWS CloudHSM asociado. Sin embargo, el material de claves se puede recuperar.

Al crear una AWS KMS key (clave de KMS) en un almacén de claves de AWS CloudHSM, AWS KMS inicia sesión en el clúster de AWS CloudHSM asociado y crea el material de claves para la clave de KMS. También cambia la contraseña por un valor que solo conoce él y mantiene la sesión abierta mientras el almacén de claves de AWS CloudHSM esté conectado. Dado que solo puede eliminar la clave su propietario, es decir, el CU que creó la clave, es poco probable que la clave se elimine de los HSM por accidente.

Sin embargo, si el material de claves para una clave KMS se elimina de los HSM en un clúster, el estado de clave de la clave KMS podría cambiar a UNAVAILABLE. Si intenta usar la clave de KMS para una operación criptográfica, la operación da error con una excepción KMSInvalidStateException. Lo más importante es que todos los datos cifrados con la clave KMS no pueden descifrarse.

Puede recuperar el material de claves eliminado, bajo determinadas circunstancias, creando un clúster a partir de una copia de seguridad que contenga el material de claves. Esta estrategia funciona únicamente si se creó al menos una copia de seguridad mientras existió la clave y antes de que se eliminara.

Utilice el siguiente proceso para recuperar el material de claves.

  1. Busque una copia de seguridad del clúster que incluya el material de claves. La copia de seguridad también debe incluir todos los usuarios y claves necesarios para respaldar el clúster y sus datos cifrados.

    Utilice la operación DescribeBackups para elaborar una lista de las copias de seguridad de un clúster. A continuación, use la marca temporal de la copia de seguridad para seleccionar una copia de seguridad. Para limitar el resultado al clúster asociado con el almacén de claves de AWS CloudHSM, utilice el parámetro Filters, tal como se muestra en el siguiente ejemplo. 

    $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
{
    "Backups": [
        {
            "ClusterId": "cluster-1a23b4cdefg",
            "BackupId": "backup-9g87f6edcba",
            "CreateTimestamp": 1536667238.328,
            "BackupState": "READY"
        },
             ...
    ]
}

  2. Crear un clúster a partir de la copia de seguridad seleccionada. Compruebe que la copia de seguridad contiene la clave eliminada y otros usuarios y claves necesarios para el clúster.

  3. Desconecte el almacén de claves de AWS CloudHSM para poder editar sus propiedades.

  4. Edite el ID del clúster del almacén de claves de AWS CloudHSM. Escriba el ID del clúster creado a partir de la copia de seguridad. Puesto que el clúster comparte un historial de copias de seguridad con el clúster original, el nuevo ID del clúster debería ser válido.

  5. Vuelva a conectar el almacén de claves de AWS CloudHSM.

Cómo iniciar sesión como kmsuser

Para crear y administrar el material de claves en el clúster de AWS CloudHSM para el almacén de claves de AWS CloudHSM, AWS KMS usa la cuenta del usuario de criptografía (CU) kmsuser. Cree la cuenta del CU kmsuser en el clúster y proporcione la contraseña a AWS KMS al crear el almacén de claves de AWS CloudHSM.

En general, AWS KMS administra la cuenta de kmsuser. Sin embargo, para algunas tareas, deberá desconectar el almacén de claves de AWS CloudHSM, iniciar sesión en el clúster como CU de kmsuser y utilizar la interfaz de la línea de comandos (CLI) de CloudHSM.

nota

Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

En este tema, se explica cómo desconectar el almacén de claves de AWS CloudHSM e iniciar sesión como kmsuser, cómo ejecutar la herramienta de línea de comandos de AWS CloudHSM y cerrar sesión y volver a conectar el almacén de claves de AWS CloudHSM.

Cómo desconectar e iniciar sesión

Siga el siguiente procedimiento cada vez que deba iniciar sesión en un clúster asociado como usuario de criptografía de kmsuser.

Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos Client SDK 5 de AWS CloudHSM, la CLI de CloudHSM. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de prestar soporte a las herramientas de línea de comandos Client SDK 3, la utilidad de administración de CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migración de CMU y KMU de Client SDK 3 a la CLI de CloudHSM de Client SDK 5 en la Guía del usuario de AWS CloudHSM.

  1. Desconecte el almacén de claves de AWS CloudHSM, si aún no está desconectado. Puede utilizar la consola de AWS KMS o la API de AWS KMS.

    Mientras la clave AWS CloudHSM esté conectada, AWS KMS conserva la sesión como kmsuser. Esto evita que inicie sesión como kmsuser o que cambie la contraseña de kmsuser.

    Por ejemplo, este comando usa DisconnectCustomKeyStore para desconectar un almacén de claves de ejemplo. Reemplace el ID del almacén de claves de AWS CloudHSM de ejemplo por uno válido.

    $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

  2. Ejecute el comando login para iniciar sesión como administrador. Utilice los procedimientos descritos en la sección Uso de la CLI de CloudHSM de la Guía del usuario de AWS CloudHSM.

    aws-cloudhsm > login --username admin --role admin
          Enter password:
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}

  3. Use el comando user change-password en la CLI de CloudHSM para cambiar la contraseña de la cuenta de kmsuser por una que conozca. (AWS KMS rota la contraseña cuando conecta el almacén de claves de AWS CloudHSM). La contraseña debe contener entre 7 y 32 caracteres alfanuméricos, distingue entre mayúsculas y minúsculas, y no puede tener caracteres especiales.

  4. Inicie sesión como kmsuser con la contraseña que haya establecido. Si desea leer instrucciones detalladas, consulte la sección Uso de la CLI de CloudHSM de la Guía del usuario de AWS CloudHSM.

    aws-cloudhsm > login --username kmsuser --role crypto-user
          Enter password:
{
  "error_code": 0,
  "data": {
    "username": "kmsuser",
    "role": "crypto-user"
  }
}

Cómo cerrar sesión y volver a conectar

Utilice el siguiente procedimiento cada vez que necesite cerrar sesión como usuario de criptografía de kmsuser y volver a conectar su almacén de claves.

Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos Client SDK 5 de AWS CloudHSM, la CLI de CloudHSM. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de prestar soporte a las herramientas de línea de comandos Client SDK 3, la utilidad de administración de CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migración de CMU y KMU de Client SDK 3 a la CLI de CloudHSM de Client SDK 5 en la Guía del usuario de AWS CloudHSM.

  1. Realice la tarea y, a continuación, utilice el comando logout de la CLI de CloudHSM para cerrar sesión. Si no cierra la sesión, los intentos de volver a conectar al almacén de claves de AWS CloudHSM darán error.

    aws-cloudhsm  logout
{
  "error_code": 0,
  "data": "Logout successful"
}

  2. Edite la configuración de la contraseña de kmsuser para el almacén de claves personalizado.

    Esto le indica a AWS KMS la contraseña actual para el kmsuser en el clúster. Si se salta este paso, AWS KMS no podrá iniciar sesión en el clúster como kmsuser y todos los intentos para volver a conectar el almacén de claves personalizado darán error. Puede usar la consola de AWS KMS o el parámetro KeyStorePassword de la operación UpdateCustomKeyStore.

    Por ejemplo, este comando le indica a AWS KMS que la contraseña actual es tempPassword. Reemplace la contraseña de ejemplo por una real. 

    $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword

  3. Vuelva a conectar el almacén de claves de AWS KMS a su clúster de AWS CloudHSM. Reemplace el ID del almacén de claves de AWS CloudHSM de ejemplo por uno válido. Durante el proceso de conexión, AWS KMS cambia la contraseña de kmsuser por un valor que solo conoce él.

    La operación ConnectCustomKeyStore devuelve un resultado rápidamente, pero el proceso de conexión puede tardar un rato. La respuesta inicial no indica que el proceso de conexión se haya realizado correctamente.

    $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

  4. Para verificar que el almacén de claves de AWS CloudHSM esté conectado, utilice la operación DescribeCustomKeyStores. Reemplace el ID del almacén de claves de AWS CloudHSM de ejemplo por uno válido.

    En este ejemplo, el campo del estado de la conexión muestra que ahora el almacén de claves de AWS CloudHSM está conectado.

    $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}