Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat KMS kunci di toko AWS CloudHSM kunci
Setelah Anda membuat toko AWS CloudHSM kunci, Anda dapat membuat AWS KMS keys di toko kunci Anda. Mereka harus berupa KMSkunci enkripsi simetris dengan bahan kunci yang AWS KMS menghasilkan. Anda tidak dapat membuat KMSkunci, kunci, atau HMACKMSKMSkunci asimetris dengan materi kunci yang diimpor di toko kunci khusus. Selain itu, Anda tidak dapat menggunakan KMS kunci enkripsi simetris di toko kunci khusus untuk menghasilkan pasangan kunci data asimetris.
Untuk membuat KMS kunci di penyimpanan AWS CloudHSM kunci, penyimpanan AWS CloudHSM kunci harus terhubung ke AWS CloudHSM cluster terkait dan cluster harus berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. Untuk menemukan status koneksi dan jumlahHSMs, lihat halaman toko AWS CloudHSM utama di AWS Management Console. Saat menggunakan API operasi, gunakan DescribeCustomKeyStoresoperasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung. Untuk memverifikasi jumlah aktif HSMs di cluster dan Availability Zones mereka, gunakan AWS CloudHSM DescribeClustersoperasi.
Saat Anda membuat KMS kunci di toko AWS CloudHSM kunci Anda, AWS KMS buat KMS kunci masuk AWS KMS. Tapi, itu menciptakan materi kunci untuk KMS kunci di AWS CloudHSM cluster terkait. Secara khusus AWS KMS , masuk ke cluster sebagai kmsuserCU yang Anda buat. Kemudian ia menciptakan kunci simetris Advanced Encryption Standard (AES) 256-bit yang persisten, tidak dapat diekstraksi, di cluster. AWS KMS menetapkan nilai atribut label kunci, yang hanya terlihat di cluster, ke Amazon Resource Name (ARN) KMS kunci.
Ketika perintah berhasil, status kunci dari KMS kunci baru adalah Enabled dan asalnya adalahAWS_CLOUDHSM. Anda tidak dapat mengubah asal KMS kunci apa pun setelah Anda membuatnya. Saat Anda melihat KMS kunci di penyimpanan AWS CloudHSM kunci di AWS KMS konsol atau dengan menggunakan DescribeKeyoperasi, Anda dapat melihat properti tipikal, seperti ID kunci, status kunci, dan tanggal pembuatannya. Tetapi Anda juga dapat melihat ID penyimpanan kunci kustom dan (secara opsional) ID klaster AWS CloudHSM
.
Jika upaya Anda untuk membuat KMS kunci di toko AWS CloudHSM kunci Anda gagal, gunakan pesan kesalahan untuk membantu Anda menentukan penyebabnya. Ini mungkin menunjukkan bahwa penyimpanan AWS CloudHSM kunci tidak terhubung (CustomKeyStoreInvalidStateException) atau AWS CloudHSM cluster terkait tidak memiliki dua aktif HSMs yang diperlukan untuk operasi ini (CloudHsmClusterInvalidConfigurationException). Untuk bantuan, lihat Memecahkan masalah penyimpanan kunci kustom.
Untuk contoh AWS CloudTrail log operasi yang membuat KMS kunci di toko AWS CloudHSM kunci, lihatCreateKey.
Buat KMS kunci baru di toko HSM kunci Cloud Anda
Anda dapat membuat KMS kunci enkripsi simetris di toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan CreateKeyoperasi.
Gunakan prosedur berikut untuk membuat KMS kunci enkripsi simetris di toko AWS CloudHSM kunci.
catatan
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih Buat kunci.
-
Pilih Simetris.
-
Dalam Penggunaan kunci, opsi Enkripsi dan dekripsi dipilih untuk Anda. Jangan mengubahnya.
-
Pilih Opsi lanjutan.
-
Untuk asal bahan utama, pilih toko AWS CloudHSM kunci.
Anda tidak dapat membuat kunci Multi-wilayah di toko AWS CloudHSM kunci.
-
Pilih Berikutnya.
-
Pilih toko AWS CloudHSM kunci untuk KMS kunci baru Anda. Untuk membuat toko AWS CloudHSM kunci baru, pilih Buat toko kunci khusus.
Toko AWS CloudHSM kunci yang Anda pilih harus memiliki status Terhubung. AWS CloudHSM Cluster yang terkait harus aktif dan berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda.
Untuk bantuan menghubungkan toko AWS CloudHSM kunci, lihatPutuskan sambungan toko AWS CloudHSM kunci. Untuk bantuan dalam menambahkanHSMs, lihat Menambahkan HSM di Panduan AWS CloudHSM Pengguna.
-
Pilih Berikutnya.
-
Ketik alias dan deskripsi opsional untuk KMS kunci.
-
(Opsional). Pada halaman Tambah Tag, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci AndaKMS.
Saat menambahkan tag ke AWS sumber daya, buat AWS laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke KMS kunci. Untuk informasi tentang menandai KMS kunci, lihat Tag di AWS KMS danABACuntuk AWS KMS.
-
Pilih Berikutnya.
-
Di bagian Administrator Kunci, pilih IAM pengguna dan peran yang dapat mengelola KMS kunci. Untuk informasi selengkapnya, lihat Mengizinkan administrator kunci mengelola kunci. KMS
catatan
IAMkebijakan dapat memberikan izin kepada IAM pengguna dan peran lain untuk menggunakan KMS kunci tersebut.
IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
-
(Opsional) Untuk mencegah administrator kunci ini menghapus KMS kunci ini, kosongkan kotak di bagian bawah halaman untuk Izinkan administrator kunci untuk menghapus kunci ini.
-
Pilih Berikutnya.
-
Di bagian Akun ini, pilih IAM pengguna dan peran dalam hal ini Akun AWS yang dapat menggunakan KMS kunci dalam operasi kriptografi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna kunci menggunakan KMS kunci.
catatan
IAMkebijakan dapat memberikan izin kepada IAM pengguna dan peran lain untuk menggunakan KMS kunci tersebut.
IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
-
(Opsional) Anda dapat mengizinkan orang lain Akun AWS untuk menggunakan KMS kunci ini untuk operasi kriptografi. Untuk melakukannya, di Akun AWS bagian Lain di bagian bawah halaman, pilih Tambahkan yang lain Akun AWS dan masukkan Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
catatan
Administrator dari pihak lain juga Akun AWS harus mengizinkan akses ke KMS kunci dengan membuat IAM kebijakan untuk pengguna mereka. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan KMS kunci.
-
Pilih Selanjutnya.
-
Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
-
Setelah selesai, pilih Selesai untuk membuat kunci.
Ketika prosedur berhasil, tampilan menunjukkan KMS kunci baru di toko AWS CloudHSM kunci yang Anda pilih. Saat Anda memilih nama atau alias KMS kunci baru, tab konfigurasi Kriptografi pada halaman detailnya menampilkan asal KMS kunci (AWS CloudHSM), nama, ID, dan jenis penyimpanan kunci khusus, dan ID cluster. AWS CloudHSM Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan kegagalan.
Tip
Untuk mempermudah mengidentifikasi KMS kunci di toko kunci kustom, pada halaman Kunci yang dikelola Pelanggan, tambahkan kolom ID penyimpanan kunci kustom ke tampilan. Klik ikon roda gigi di kanan atas dan pilih ID penyimpanan kunci kustom. Untuk detailnya, lihat Sesuaikan tampilan konsol Anda.
Untuk membuat AWS KMS key (KMSkunci) baru di toko AWS CloudHSM
kunci Anda, gunakan CreateKeyoperasi. Gunakan parameter CustomKeyStoreId untuk mengidentifikasi penyimpanan kunci kustom Anda dan menentukan nilai Origin dari AWS_CLOUDHSM.
Anda mungkin juga ingin menggunakan parameter Policy untuk menentukan kebijakan kunci. Anda dapat mengubah kebijakan kunci (PutKeyPolicy) dan menambahkan elemen opsional, seperti deskripsi dan tag kapan saja.
Contoh dalam bagian ini menggunakan AWS Command Line Interface
(AWS CLI)
Contoh berikut dimulai dengan panggilan ke DescribeCustomKeyStoresoperasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung ke AWS CloudHSM cluster terkait. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Untuk menggambarkan hanya penyimpanan AWS CloudHSM kunci tertentu, gunakan CustomKeyStoreId atau CustomKeyStoreName parameternya (tetapi tidak keduanya).
Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.
catatan
Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS CloudHSM key store", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
Contoh perintah berikutnya menggunakan DescribeClustersoperasi untuk memverifikasi bahwa AWS CloudHSM cluster yang terkait dengan ExampleKeyStore (cluster-1a23b4cdefg) memiliki setidaknya dua aktif. HSMs Jika cluster memiliki kurang dari duaHSMs, CreateKey operasi gagal.
$aws cloudhsmv2 describe-clusters{ "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }
Perintah contoh ini menggunakan CreateKeyoperasi untuk membuat KMS kunci di toko AWS CloudHSM kunci. Untuk membuat KMS kunci di toko AWS CloudHSM kunci, Anda harus memberikan ID penyimpanan kunci kustom dari toko AWS CloudHSM kunci dan menentukan Origin nilaiAWS_CLOUDHSM.
Responsnya IDs mencakup penyimpanan kunci khusus dan AWS CloudHSM cluster.
Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.
$aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-idcks-1234567890abcdef0{ "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "MultiRegion": false, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
