Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS

Resolver problemas de un almacén de claves personalizado

PDF
RSS
Modo de enfoque
Resolver problemas de un almacén de claves personalizado - AWS Key Management Service
¿Cómo arreglar las claves KMS no disponibles?¿Cómo arreglar una clave KMS que produce error?Cómo arreglar un error de conexiónCómo responder ante un error de operación criptográficaCómo arreglar las credenciales de kmsuser no válidasCómo eliminar material de claves huérfano¿Cómo recuperar el material de claves eliminado de una clave KMS?Cómo iniciar sesión como kmsuser

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS CloudHSM las tiendas clave están diseñadas para estar disponibles y ser resilientes. Sin embargo, hay algunas condiciones de error que puede que tengas que reparar para que tu almacén de AWS CloudHSM claves siga funcionando.

¿Cómo arreglar las claves KMS no disponibles?

El estado clave AWS KMS keys de un almacén de AWS CloudHSM claves suele serEnabled. Al igual que todas las claves de KMS, el estado de las claves cambia al deshabilitar las claves de KMS en un almacén de AWS CloudHSM claves o al programar su eliminación. Sin embargo, a diferencia de otras claves KMS, las claves KMS de un almacén de claves personalizado también pueden tener el estado de clave Unavailable.

El estado de clave Unavailable indica que la clave de KMS está en un almacén de claves personalizado que se ha desconectado de forma intencional y que los intentos de conectarlo de nuevo han fallado. Mientras una clave KMS no esté disponible, puede consultarla y administrarla, pero no puede usarla en operaciones criptográficas.

Para buscar el estado de clave de una clave KMS en la página Customer managed keys (Claves administradas por el cliente) consulte el campo Status (Estado) de la clave KMS. O bien, utilice la DescribeKeyoperación y visualice el KeyState elemento en la respuesta. Para obtener más información, consulte Identificación y visualización de claves.

Las claves KMS en un almacén de claves personalizado desconectado tendrá el estado de clave Unavailable o PendingDeletion. Las claves de KMS programadas para su eliminación de un almacén de claves personalizado tienen el estado de clave Pending Deletion, incluso si el almacén de claves personalizado está desconectado. Esto permite cancelar la eliminación programada de la clave sin volver a conectar el almacén de claves personalizado.

Para arreglar una clave KMS no disponible, vuelva a conectar el almacén de claves personalizado. Después de volver a conectar el almacén de claves personalizado, el estado de clave de las claves KMS en el almacén de claves personalizado se restaura automáticamente al estado anterior, como Enabled o Disabled. Las claves KMS pendientes de eliminación seguirán teniendo el estado PendingDeletion. Sin embargo, si el problema persiste, habilitar y desactivar una clave KMS no disponible no cambia su estado de clave. La acción de habilitar o desactivar solo será efectiva cuando la clave esté disponible.

Si desea ayuda con las conexiones que dan error, consulte Cómo arreglar un error de conexión.

¿Cómo arreglar una clave KMS que produce error?

Los problemas relacionados con la creación y el uso de las claves de KMS en AWS CloudHSM los almacenes de claves pueden deberse a un problema con el almacén de AWS CloudHSM claves, el AWS CloudHSM clúster asociado, la clave de KMS o su material de claves.

Cuando un almacén de AWS CloudHSM claves se desconecta de su AWS CloudHSM clúster, el estado de las claves de KMS en el almacén de claves personalizado es el mismoUnavailable. Todas las solicitudes para crear claves KMS en un almacén de AWS CloudHSM claves desconectado devuelven una CustomKeyStoreInvalidStateException excepción. Todas las solicitudes para cifrar, descifrar, volver a cifrar o generar claves de datos devuelve una excepción KMSInvalidStateException. Para solucionar el problema, vuelva a conectar el almacén de AWS CloudHSM claves.

Sin embargo, sus intentos de utilizar una clave KMS en un almacén de AWS CloudHSM claves para operaciones criptográficas pueden fallar incluso si su estado de clave es Enabled y el estado de conexión del almacén de AWS CloudHSM claves es el mismo. Connected Esto puede deberse a una de las siguientes condiciones.

  • Puede que se haya eliminado el material de claves para la clave KMS del clúster de AWS CloudHSM asociado. Para investigar, busque el identificador de claves del material de claves para una clave KMS y, si es necesario, intente recuperar el material de claves.

  • Todas HSMs se eliminaron del AWS CloudHSM clúster asociado al almacén de AWS CloudHSM claves. Para usar una clave KMS en un almacén de AWS CloudHSM claves en una operación criptográfica, su AWS CloudHSM clúster debe contener al menos un HSM activo. Para comprobar el número y el estado HSMs de un AWS CloudHSM clúster, utilice la AWS CloudHSM consola o la DescribeClustersoperación. Para añadir un HSM al clúster, utilice la AWS CloudHSM consola o la CreateHsmoperación.

  • Se eliminó el AWS CloudHSM clúster asociado al almacén de AWS CloudHSM claves. Para resolver el problema, cree un clúster a partir de una copia de seguridad relacionada con el clúster original, como una copia de seguridad de un clúster original o una copia de seguridad utilizada para crear el clúster original. A continuación, edite el ID del clúster en la configuración del almacén de claves personalizado. Para obtener instrucciones, consulte ¿Cómo recuperar el material de claves eliminado de una clave KMS?.

  • El AWS CloudHSM clúster asociado al almacén de claves personalizado no tenía ninguna sesión de PKCS #11 disponible. Esto ocurre, por lo general, cuando se producen períodos de ráfagas de tráfico elevado, en los que se necesitan sesiones adicionales para dar servicio al tráfico. Para responder a una KMSInternalException con un mensaje de error sobre las sesiones de PKCS#11, regrese y vuelva a intentar la solicitud.

Cómo arreglar un error de conexión

Si intenta conectar un almacén de AWS CloudHSM claves a su AWS CloudHSM clúster, pero la operación falla, el estado de conexión del almacén de AWS CloudHSM claves cambia aFAILED. Para averiguar el estado de conexión de un almacén de AWS CloudHSM claves, utilice la AWS KMS consola o la DescribeCustomKeyStoresoperación.

Algunos intentos de conexión producen un error rápidamente debido a errores de configuración del clúster detectados fácilmente. En este caso, el estado de la conexión aún es DISCONNECTED. Estos errores devuelven un mensaje de error o unaexcepción que explica por qué el intento produjo un error. Revise la descripción de la excepción y los requisitos del clúster, solucione el problema, actualice el almacén de AWS CloudHSM claves, si es necesario, e intente conectarse de nuevo.

Cuando el estado de la conexión seaFAILED, ejecute la DescribeCustomKeyStoresoperación y observe el ConnectionErrorCode elemento en la respuesta.

nota

Cuando el estado de conexión de un almacén de AWS CloudHSM claves esFAILED, debe desconectar el almacén de AWS CloudHSM claves antes de intentar volver a conectarlo. No puede conectar un almacén de AWS CloudHSM claves con un estado de FAILED conexión.

Cómo responder ante un error de operación criptográfica

Una operación criptográfica que utiliza una clave de KMS en un almacén de claves personalizado puede dar un error KMSInvalidStateException. Los siguientes mensajes de error pueden acompañar al error KMSInvalidStateException.

KMS no puede comunicarse con el clúster de CloudHSM. Esto puede ser un problema de red transitorio. Si ve este error repetidamente, compruebe que las reglas de red ACLs y del grupo de seguridad de la VPC del AWS CloudHSM clúster sean correctas.

  • Aunque se trata de un error HTTPS 400, puede deberse a problemas de red transitorios. Para responder, comience por volver a intentar la solicitud. Sin embargo, si continúa fallando, examine la configuración de los componentes de red. Este error es probablemente causado por la configuración incorrecta de un componente de red, como una regla de firewall o una regla de grupo de seguridad de VPC que bloquea el tráfico saliente.

KMS no puede comunicarse con el AWS CloudHSM clúster porque el usuario kmsuser está bloqueado. Si ve este error repetidamente, desconecte el almacén de AWS CloudHSM claves y restablezca la contraseña de la cuenta kmsuser. Actualice la contraseña de kmsuser para el almacén de claves personalizado y pruebe a realizar la solicitud de nuevo.

Cómo arreglar las credenciales de kmsuser no válidas

Al conectar un almacén de AWS CloudHSM claves, AWS KMS inicia sesión en el AWS CloudHSM clúster asociado como usuario kmsuser criptográfico (CU). Permanece conectado hasta que se desconecte el almacén de AWS CloudHSM claves. La respuesta DescribeCustomKeyStores muestra un ConnectionState de FAILED y un valor de ConnectionErrorCode de INVALID_CREDENTIALS, como se muestra en el siguiente ejemplo.

Si desconecta el almacén de AWS CloudHSM claves y cambia la kmsuser contraseña, AWS KMS no podrá iniciar sesión en el AWS CloudHSM clúster con las credenciales de la cuenta kmsuser CU. Como resultado, todos los intentos de conectar el almacén de AWS CloudHSM claves fallan. La respuesta DescribeCustomKeyStores muestra un ConnectionState de FAILED y un valor de ConnectionErrorCode de INVALID_CREDENTIALS, como se muestra en el siguiente ejemplo.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Además, después de 5 intentos de iniciar sesión en el clúster con una contraseña incorrecta, AWS CloudHSM bloquea la cuenta del usuario. Para iniciar sesión en el clúster, deberá cambiar la contraseña de la cuenta.

Si AWS KMS recibe una respuesta de bloqueo cuando intenta iniciar sesión en el clúster como kmsuser CU, se produce un error en la solicitud de conexión del almacén de AWS CloudHSM claves. La DescribeCustomKeyStoresrespuesta incluye un valor ConnectionState de FAILED y un ConnectionErrorCode valor deUSER_LOCKED_OUT, como se muestra en el siguiente ejemplo.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Para reparar cualquiera de estas condiciones use el procedimiento siguiente.

  1. Desconecte el almacén de AWS CloudHSM claves.

  2. Ejecute la DescribeCustomKeyStoresoperación y visualice el valor del ConnectionErrorCode elemento en la respuesta.

    • Si el valor de ConnectionErrorCode es INVALID_CREDENTIALS, determine la contraseña actual para la cuenta de kmsuser. Si es necesario, use el comando user change-password en la CLI de CloudHSM para establecer la contraseña con un valor conocido.

    • Si el valor de ConnectionErrorCode es USER_LOCKED_OUT, deberá usar el comando user change-password en la CLI de CloudHSM para modificar la contraseña de kmsuser.

  3. Edite la configuración de la contraseña de kmsuser para que coincida con la contraseña de kmsuser del clúster. Esta acción le dice a AWS KMS qué contraseña debe usar para iniciar sesión en el clúster. No cambia la contraseña de kmsuser en el clúster.

  4. Conecte el almacén de claves personalizado.

Cómo eliminar material de claves huérfano

Tras programar la eliminación de una clave de KMS de un almacén de AWS CloudHSM claves, es posible que tenga que eliminar manualmente el material de claves correspondiente del AWS CloudHSM clúster asociado.

Al crear una clave de KMS en un almacén de AWS CloudHSM claves, AWS KMS crea los metadatos de la clave de KMS AWS KMS y genera el material de claves en el AWS CloudHSM clúster asociado. Al programar la eliminación de una clave de KMS de un almacén de AWS CloudHSM claves, tras el período de espera, se AWS KMS eliminan los metadatos de la clave de KMS. A continuación, AWS KMS hace todo lo posible por eliminar el material clave correspondiente del AWS CloudHSM clúster. El intento podría fallar si AWS KMS no se puede acceder al clúster, por ejemplo, cuando se desconecta del almacén de AWS CloudHSM claves o si se cambia la kmsuser contraseña. AWS KMS no intenta eliminar el material clave de las copias de seguridad del clúster.

AWS KMS informa de los resultados de su intento de eliminar el material clave del clúster en la entrada de DeleteKey eventos de sus AWS CloudTrail registros. Aparece en el elemento backingKeysDeletionStatus del elemento additionalEventData, tal y como se muestra en la siguiente entrada de ejemplo. La entrada también incluye el ARN de la clave KMS, el ID del AWS CloudHSM clúster y el ID (backing-key-id) del material clave.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, CloudHSM CLI. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI en la Guía del usuario de AWS CloudHSM .

Los siguientes procedimientos muestran cómo eliminar el material clave huérfano del clúster asociado. AWS CloudHSM

  1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, inicie sesión, como se explica enCómo desconectar e iniciar sesión.

    nota

    Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

  2. Utilice el comando key delete de la CLI de CloudHSM para eliminar la clave HSMs del clúster.

    Todas las entradas de CloudTrail registro para operaciones criptográficas con una clave KMS en un almacén de AWS CloudHSM claves incluyen un additionalEventData campo con una y. customKeyStoreId backingKey El valor devuelto en el campo backingKeyId es el atributo id de clave de CloudHSM. Recomendamos filtrar la operación de eliminación de claves id para eliminar el material clave huérfano que identificó en sus CloudTrail registros.

    AWS CloudHSM reconoce el backingKeyId valor como un valor hexadecimal. Para filtrar por id, debe anexar el backingKeyId con Ox. Por ejemplo, si lo está backingKeyId en su CloudTrail registro1a2b3c45678abcdef, debe filtrar por0x1a2b3c45678abcdef.

    En el siguiente ejemplo, se elimina una clave HSMs del clúster. Se backing-key-id muestra en la entrada de CloudTrail registro. Antes de ejecutar este comando, reemplace el backing-key-id de ejemplo por uno válido de su cuenta.

    aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
{
  "error_code": 0,
  "data": {
    "message": "Key deleted successfully"
  }
}

  3. Cierre la sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe enCómo cerrar sesión y volver a conectar.

¿Cómo recuperar el material de claves eliminado de una clave KMS?

Si AWS KMS key se elimina el material clave de un, la clave de KMS no se puede utilizar y no se puede descifrar todo el texto cifrado con la clave de KMS. Esto puede ocurrir si el material clave de una clave KMS de un almacén de AWS CloudHSM claves se elimina del clúster asociado. AWS CloudHSM Sin embargo, el material de claves se puede recuperar.

Al crear una AWS KMS key (clave KMS) en un almacén de AWS CloudHSM claves, AWS KMS inicia sesión en el AWS CloudHSM clúster asociado y crea el material clave para la clave KMS. También cambia la contraseña por un valor que solo él conoce y permanece conectado mientras el almacén de AWS CloudHSM claves esté conectado. Como solo el propietario de la clave, es decir, la CU que la creó, puede eliminarla, es poco probable que la clave se borre HSMs accidentalmente.

Sin embargo, si el material clave de una clave de KMS se elimina HSMs de un clúster, el estado de la clave de KMS finalmente cambia aUNAVAILABLE. Si intenta usar la clave de KMS para una operación criptográfica, la operación da error con una excepción KMSInvalidStateException. Lo más importante es que todos los datos cifrados con la clave KMS no pueden descifrarse.

Puede recuperar el material de claves eliminado, bajo determinadas circunstancias, creando un clúster a partir de una copia de seguridad que contenga el material de claves. Esta estrategia funciona únicamente si se creó al menos una copia de seguridad mientras existió la clave y antes de que se eliminara.

Utilice el siguiente proceso para recuperar el material de claves.

  1. Busque una copia de seguridad del clúster que incluya el material de claves. La copia de seguridad también debe incluir todos los usuarios y claves necesarios para respaldar el clúster y sus datos cifrados.

    Utilice la DescribeBackupsoperación para enumerar las copias de seguridad de un clúster. A continuación, use la marca temporal de la copia de seguridad para seleccionar una copia de seguridad. Para limitar la salida al clúster asociado al almacén de AWS CloudHSM claves, utilice el Filters parámetro, tal y como se muestra en el siguiente ejemplo. 

    $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
{
    "Backups": [
        {
            "ClusterId": "cluster-1a23b4cdefg",
            "BackupId": "backup-9g87f6edcba",
            "CreateTimestamp": 1536667238.328,
            "BackupState": "READY"
        },
             ...
    ]
}

  2. Crear un clúster a partir de la copia de seguridad seleccionada. Compruebe que la copia de seguridad contiene la clave eliminada y otros usuarios y claves necesarios para el clúster.

  3. Desconecte el almacén de AWS CloudHSM claves para poder editar sus propiedades.

  4. Edite el ID de clúster del almacén de AWS CloudHSM claves. Escriba el ID del clúster creado a partir de la copia de seguridad. Puesto que el clúster comparte un historial de copias de seguridad con el clúster original, el nuevo ID del clúster debería ser válido.

  5. Vuelva a conectar el almacén de AWS CloudHSM claves.

Cómo iniciar sesión como kmsuser

Para crear y administrar el material clave del AWS CloudHSM clúster para su almacén de AWS CloudHSM claves, AWS KMS utilice la cuenta de usuario kmsuser criptográfico (CU). Al crear el almacén de AWS CloudHSM claves, debe crear la cuenta kmsuser CU en el clúster y proporcionar su contraseña. AWS KMS

En general, AWS KMS administra la kmsuser cuenta. Sin embargo, para algunas tareas, debe desconectar el almacén de AWS CloudHSM claves, iniciar sesión en el clúster como kmsuser CU y utilizar la interfaz de línea de comandos (CLI) de CloudHSM.

nota

Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

En este tema se explica cómo desconectar el almacén de AWS CloudHSM claves e iniciar sesión comokmsuser, ejecutar la herramienta de línea de AWS CloudHSM comandos, cerrar sesión y volver a conectar AWS CloudHSM el almacén de claves.

Cómo desconectar e iniciar sesión

Siga el siguiente procedimiento cada vez que deba iniciar sesión en un clúster asociado como usuario de criptografía de kmsuser.

Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, CloudHSM CLI. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI en la Guía del usuario de AWS CloudHSM .

  1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado. Puede usar la AWS KMS consola o la AWS KMS API.

    Mientras su AWS CloudHSM clave esté conectada, AWS KMS iniciará sesión comokmsuser. Esto evita que inicie sesión como kmsuser o que cambie la contraseña de kmsuser.

    Por ejemplo, este comando se utiliza DisconnectCustomKeyStorepara desconectar un almacén de claves de ejemplo. Sustituya el ID del almacén de AWS CloudHSM claves del ejemplo por uno válido.

    $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

  2. Ejecute el comando login para iniciar sesión como administrador. Utilice los procedimientos descritos en la sección Uso de la CLI de CloudHSM de la Guía del usuario de AWS CloudHSM .

    aws-cloudhsm > login --username admin --role admin
          Enter password:
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}

  3. Utilice el comando user change-password de la CLI de CloudHSM para cambiar la contraseña de kmsuser la cuenta por una que conozca. (AWS KMS rota la contraseña al conectar el almacén de claves). AWS CloudHSM La contraseña debe contener entre 7 y 32 caracteres alfanuméricos, distingue entre mayúsculas y minúsculas, y no puede tener caracteres especiales.

  4. Inicie sesión como kmsuser con la contraseña que haya establecido. Si desea leer instrucciones detalladas, consulte la sección Uso de la CLI de CloudHSM de la Guía del usuario de AWS CloudHSM .

    aws-cloudhsm > login --username kmsuser --role crypto-user
          Enter password:
{
  "error_code": 0,
  "data": {
    "username": "kmsuser",
    "role": "crypto-user"
  }
}

Cómo cerrar sesión y volver a conectar

Utilice el siguiente procedimiento cada vez que necesite cerrar sesión como usuario de criptografía de kmsuser y volver a conectar su almacén de claves.

Notas

Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, CloudHSM CLI. La CLI de CloudHSM reemplaza key-handle por key-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI en la Guía del usuario de AWS CloudHSM .

  1. Realice la tarea y, a continuación, utilice el comando logout de la CLI de CloudHSM para cerrar sesión. Si no cierra sesión, no podrá volver a conectar el almacén de claves. AWS CloudHSM 

    aws-cloudhsm  logout
{
  "error_code": 0,
  "data": "Logout successful"
}

  2. Edite la configuración de la contraseña de kmsuser para el almacén de claves personalizado.

    Esto indica AWS KMS la contraseña actual kmsuser del clúster. Si omite este paso, no AWS KMS podrá iniciar sesión en el clúster como tal kmsuser y todos los intentos de volver a conectar el almacén de claves personalizado fallarán. Puede utilizar la AWS KMS consola o el KeyStorePassword parámetro de la UpdateCustomKeyStoreoperación.

    Por ejemplo, este comando indica AWS KMS que la contraseña actual estempPassword. Reemplace la contraseña de ejemplo por una real. 

    $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword

  3. Vuelva a conectar el almacén de AWS KMS claves a su AWS CloudHSM clúster. Sustituya el ID del almacén de AWS CloudHSM claves de ejemplo por uno válido. Durante el proceso de conexión, AWS KMS cambia la kmsuser contraseña por un valor que solo él conozca.

    La ConnectCustomKeyStoreoperación se restablece rápidamente, pero el proceso de conexión puede tardar mucho tiempo. La respuesta inicial no indica que el proceso de conexión se haya realizado correctamente.

    $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

  4. Utilice la DescribeCustomKeyStoresoperación para comprobar que el almacén de AWS CloudHSM claves está conectado. Sustituya el ID del almacén de AWS CloudHSM claves del ejemplo por uno válido.

    En este ejemplo, el campo de estado de la conexión muestra que el almacén de AWS CloudHSM claves ya está conectado.

    $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

En esta página

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.