Création d'un magasin de AWS CloudHSM clés - AWS Key Management Service
Rassembler les conditions requisesCréation d'un nouveau magasin de AWS CloudHSM clés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un magasin de AWS CloudHSM clés

Vous pouvez créer un ou plusieurs magasins AWS CloudHSM clés dans votre compte. Chaque magasin de AWS CloudHSM clés est associé à un AWS CloudHSM cluster de la même Compte AWS région. Avant de créer votre magasin de clés AWS CloudHSM , vous devez réunir les conditions préalables. Ensuite, avant de pouvoir utiliser votre magasin de AWS CloudHSM clés, vous devez le connecter à son AWS CloudHSM cluster.

Remarques

Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés déconnecté existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant.

Il n'est pas nécessaire de connecter immédiatement votre magasin de AWS CloudHSM clés. Vous pouvez le conserver dans un état déconnecté jusqu'à ce que vous soyez prêt à l'utiliser. Cependant, afin de vérifier qu'il est correctement configuré, vous pouvez le connecter, afficher son état de connexion, puis le déconnecter.

Rassembler les conditions requises

Chaque magasin de AWS CloudHSM clés est soutenu par un AWS CloudHSM cluster. Pour créer un magasin de AWS CloudHSM clés, vous devez spécifier un AWS CloudHSM cluster actif qui n'est pas déjà associé à un autre magasin de clés. Vous devez également créer un utilisateur cryptographique (CU) dédié dans le cluster HSMs qui AWS KMS peut l'utiliser pour créer et gérer des clés en votre nom.

Avant de créer un magasin de AWS CloudHSM clés, procédez comme suit :

Sélectionnez un AWS CloudHSM cluster

Chaque magasin de AWS CloudHSM clés est associé à un seul AWS CloudHSM cluster. Lorsque vous créez AWS KMS keys dans votre magasin de AWS CloudHSM clés, vous AWS KMS créez les métadonnées KMS clés, telles qu'un identifiant et le nom de ressource Amazon (ARN) dans AWS KMS. Il crée ensuite le matériau clé dans HSMs le cluster associé. Vous pouvez créer un nouveau AWS CloudHSM cluster ou utiliser un cluster existant. AWS KMS ne nécessite pas d'accès exclusif au cluster.

Le AWS CloudHSM cluster que vous sélectionnez est associé de façon permanente au magasin de AWS CloudHSM clés. Après avoir créé le magasin de AWS CloudHSM clés, vous pouvez modifier l'ID du cluster associé, mais le cluster que vous spécifiez doit partager un historique de sauvegarde avec le cluster d'origine. Pour utiliser un cluster indépendant, vous devez créer un nouveau magasin de AWS CloudHSM clés.

Le AWS CloudHSM cluster que vous sélectionnez doit présenter les caractéristiques suivantes :

  • Le cluster doit être actif.

    Vous devez créer le cluster, l'initialiser, installer le logiciel AWS CloudHSM client pour votre plate-forme, puis activer le cluster. Pour plus d'informations, veuillez consulter la rubrique Getting started with AWS CloudHSM (Démarrer avec ) dans le Guide de l'utilisateur AWS CloudHSM .

  • Le cluster doit se trouver dans le même compte et dans la même région que le magasin de AWS CloudHSM clés. Vous ne pouvez pas associer un magasin de AWS CloudHSM clés d'une région à un cluster d'une autre région. Pour créer une infrastructure clé dans plusieurs régions, vous devez créer des magasins de AWS CloudHSM clés et des clusters dans chaque région.

  • Le cluster ne peut pas être associé à un autre magasin de clés personnalisé à partir du même compte et de la même région. Chaque magasin de AWS CloudHSM clés du compte et de la région doit être associé à un AWS CloudHSM cluster différent. Vous ne pouvez pas spécifier un cluster qui est déjà associé à un magasin de clés personnalisé ou un cluster qui partage un historique des sauvegardes avec un cluster associé. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez la AWS CloudHSM console ou l'DescribeClustersopération.

    Si vous sauvegardez un cluster AWS CloudHSM dans une autre région, il est considéré comme un cluster différent et vous pouvez associer la sauvegarde à un magasin de clés personnalisé dans sa région. Cependant, KMS les clés des deux magasins de clés personnalisés ne sont pas interopérables, même si elles possèdent la même clé de sauvegarde. AWS KMS lie les métadonnées au texte chiffré afin qu'il ne puisse être déchiffré que par la clé qui l'KMSa chiffré.

  • Le cluster doit être configuré avec des sous-réseaux privés dans au moins deux zones de disponibilité de la région. Comme il n' AWS CloudHSM est pas pris en charge dans toutes les zones de disponibilité, nous vous recommandons de créer des sous-réseaux privés dans toutes les zones de disponibilité de la région. Vous ne pouvez pas reconfigurer les sous-réseaux d'un cluster existant, mais vous pouvez créer un cluster à partir d'une sauvegarde avec différents sous-réseaux dans la configuration du cluster.

    Important

    Après avoir créé votre magasin de AWS CloudHSM clés, ne supprimez aucun des sous-réseaux privés configurés pour son AWS CloudHSM cluster. Si vous AWS KMS ne trouvez pas tous les sous-réseaux dans la configuration du cluster, les tentatives de connexion au magasin de clés personnalisé échouent avec un état d'erreur de SUBNET_NOT_FOUND connexion. Pour plus de détails, consultez Comment corriger un échec de connexion.

  • Le groupe de sécurité du cluster (cloudhsm-cluster-<cluster-id>-sg) doit inclure des règles entrantes et sortantes qui autorisent le TCP trafic sur les ports 2223-2225. La source des règles entrantes et la destination des règles sortantes doit correspondre à l'ID du groupe de sécurité. Ces règles sont définies par défaut lorsque vous créez le cluster. Ne pas les supprimer ou les modifier.

  • Le cluster doit contenir au moins deux actifs HSMs dans des zones de disponibilité différentes. Pour vérifier le nombre deHSMs, utilisez la AWS CloudHSM console ou l'DescribeClustersopération. Si nécessaire, vous pouvez ajouter un HSM.

Recherche le certificat approuvé (ou « trust anchor »)

Lorsque vous créez un magasin de clés personnalisé, vous devez télécharger le certificat d'ancrage de confiance du AWS CloudHSM cluster sur AWS KMS. AWS KMS a besoin du certificat Trust Anchor pour connecter le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster associé.

Chaque AWS CloudHSM cluster actif possède un certificat d'ancrage de confiance. Lorsque vous initialisez le cluster, vous devez générer ce certificat, l'enregistrer dans le fichier customerCA.crt et le copier sur les hôtes qui se connectent au cluster.

Créez l'utilisateur kmsuser cryptographique pour AWS KMS

Pour administrer votre magasin de AWS CloudHSM clés AWS KMS , connectez-vous au compte utilisateur kmsuser cryptographique (CU) du cluster sélectionné. Avant de créer votre magasin de AWS CloudHSM clés, vous devez créer le kmsuser CU. Ensuite, lorsque vous créez votre magasin de AWS CloudHSM clés, vous fournissez le mot de passe kmsuser pour AWS KMS. Chaque fois que vous connectez le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster associé, connectez-vous AWS KMS en tant que kmsuser et alternez le mot de kmsuser passe

Important

Ne spécifiez pas l'option 2FA lorsque vous créez l'kmsuserutilisateur de chiffrement. Si vous le faites, vous AWS KMS ne pouvez pas vous connecter et votre magasin de AWS CloudHSM clés ne peut pas être connecté à ce AWS CloudHSM cluster. Une fois que vous spécifiez 2FA, vous ne pouvez pas l'annuler. Vous devez à la place supprimer l'utilisateur de chiffrement et le recréer.

Remarques

Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.

  1. Suivez les procédures de démarrage décrites dans la rubrique Getting Started with Cloud HSM Command Line Interface (CLI) du Guide de l'AWS CloudHSM utilisateur.

  2. Utilisez la commande user create pour créer une CU nomméekmsuser.

    Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

    L'exemple de commande suivant crée une kmsuser CU. 

    aws-cloudhsm > user create --username kmsuser --role crypto-user
Enter password:
Confirm password:
{
 "error_code": 0,
 "data": {
   "username": "kmsuser",
   "role": "crypto-user"
 }
}
Afficher plusAfficher moins

Création d'un nouveau magasin de AWS CloudHSM clés

Après avoir assemblé les prérequis, vous pouvez créer un nouveau magasin de AWS CloudHSM clés dans la AWS KMS console ou en utilisant l'CreateCustomKeyStoreopération.

Lorsque vous créez un magasin de AWS CloudHSM clés dans le AWS Management Console, vous pouvez ajouter et créer les prérequis dans le cadre de votre flux de travail. Toutefois, le processus est plus rapide que vous les avez assemblées au préalable.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés ).

  4. Choisissez Créer un magasin de clés.

  5. Entrez un nom convivial pour le magasin de clés personnalisé. Le nom doit être unique parmi tous les magasins de clés personnalisés de votre compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  6. Sélectionnez un AWS CloudHSM cluster pour le magasin de AWS CloudHSM clés. Ou, pour créer un nouveau AWS CloudHSM cluster, cliquez sur le lien Créer un AWS CloudHSM cluster.

    Le menu affiche les AWS CloudHSM clusters de votre compte et de votre région qui ne sont pas encore associés à un magasin de AWS CloudHSM clés. Le cluster doit respecter les exigences d'association à un magasin de clés personnalisé.

  7. Choisissez Choisir un fichier, puis téléchargez le certificat d'ancrage de confiance pour le AWS CloudHSM cluster que vous avez choisi. Il s'agit du fichier customerCA.crt que vous avez créé lorsque vous avez initialisé le cluster.

  8. Entrez le mot de passe de l'utilisateur de chiffrement kmsuser (CU) que vous avez créé dans le cluster sélectionné.

  9. Sélectionnez Create (Créer).

Lorsque la procédure aboutit, le nouveau magasin de AWS CloudHSM clés apparaît dans la liste des magasins de AWS CloudHSM clés du compte et de la région. S'il ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés déconnecté existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant.

Suivant : Les nouveaux magasins de AWS CloudHSM clés ne sont pas automatiquement connectés. Avant de pouvoir créer AWS KMS keys dans le magasin de AWS CloudHSM clés, vous devez connecter le magasin de clés personnalisé au AWS CloudHSM cluster associé.

Vous pouvez utiliser cette CreateCustomKeyStoreopération pour créer un nouveau magasin de AWS CloudHSM clés associé à un AWS CloudHSM cluster dans le compte et la région. Ces exemples utilisent l' AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

L'opération CreateCustomKeyStore nécessite les valeurs de paramètre suivantes.

  • CustomKeyStoreName — Un nom convivial pour le magasin de clés personnalisé, unique dans le compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  • CloudHsmClusterId — L'ID de cluster d'un AWS CloudHSM cluster répondant aux exigences d'un magasin de AWS CloudHSM clés.

  • KeyStorePassword — Le mot de passe du compte kmsuser CU dans le cluster spécifié.

  • TrustAnchorCertificate — Le contenu du customerCA.crt fichier que vous avez créé lors de l'initialisation du cluster.

L'exemple suivant utilise un ID de cluster fictif. Avant d'exécuter la commande, remplacez-le par un ID de cluster valide.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

Si vous utilisez le AWS CLI, vous pouvez spécifier le fichier de certificat d'ancrage de confiance au lieu de son contenu. Dans l'exemple suivant, le fichier customerCA.crt se trouve dans le répertoire racine.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

Lorsque l'opération est réussie, CreateCustomKeyStore renvoie l'ID du magasin de clés personnalisé, comme illustré dans l'exemple de réponse suivant.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Si l'opération échoue, corrigez l'erreur indiquée par l'exception, puis réessayez. Pour obtenir de l'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

Si vous essayez de créer un magasin de AWS CloudHSM clés avec toutes les mêmes valeurs de propriétés qu'un magasin de AWS CloudHSM clés déconnecté existant, AWS KMS cela ne crée pas de nouveau magasin de AWS CloudHSM clés et ne génère aucune exception ni n'affiche d'erreur. AWS KMS Reconnaît plutôt le doublon comme la conséquence probable d'une nouvelle tentative et renvoie l'ID du magasin de AWS CloudHSM clés existant.

Suivant : Pour utiliser le magasin de AWS CloudHSM clés, connectez-le à son AWS CloudHSM cluster.