Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat KMS kunci dalam AWS CloudHSM toko kunci
Setelah Anda membuat AWS CloudHSM toko kunci, Anda dapat membuat AWS KMS keysdi toko kunci Anda. Mereka harus berupa KMSkunci enkripsi simetris dengan bahan kunci yang AWS KMS menghasilkan. Anda tidak dapat membuat KMSkunci, kunci, atau HMACKMSKMSkunci asimetris dengan materi kunci yang diimpor di toko kunci khusus. Selain itu, Anda tidak dapat menggunakan KMS kunci enkripsi simetris di toko kunci khusus untuk menghasilkan pasangan kunci data asimetris.
Untuk membuat KMS kunci dalam AWS CloudHSM toko kunci, AWS CloudHSM toko kunci harus terhubung ke yang terkait AWS CloudHSM cluster dan cluster harus berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. Untuk menemukan status koneksi dan jumlahHSMs, lihat AWS CloudHSM halaman toko utama di AWS Management Console. Saat menggunakan API operasi, gunakan DescribeCustomKeyStoresoperasi untuk memverifikasi bahwa AWS CloudHSM toko kunci terhubung. Untuk memverifikasi jumlah aktif HSMs dalam klaster dan Availability Zone mereka, gunakan AWS CloudHSM DescribeClustersoperasi.
Saat Anda membuat KMS kunci di AWS CloudHSM toko kunci, AWS KMS membuat KMS kunci di AWS KMS. Tapi, itu menciptakan bahan kunci untuk KMS kunci yang terkait AWS CloudHSM klaster. Secara khusus, AWS KMS masuk ke cluster sebagai kmsuserCU yang Anda buat. Kemudian ia menciptakan kunci simetris Advanced Encryption Standard (AES) 256-bit yang persisten, tidak dapat diekstraksi, di cluster. AWS KMS menetapkan nilai atribut label kunci, yang hanya terlihat di cluster, ke Amazon Resource Name (ARN) KMS kunci.
Ketika perintah berhasil, status kunci dari KMS kunci baru adalah Enabled dan asalnya adalahAWS_CLOUDHSM. Anda tidak dapat mengubah asal KMS kunci apa pun setelah Anda membuatnya. Ketika Anda melihat KMS kunci di AWS CloudHSM toko kunci di AWS KMS konsol atau dengan menggunakan DescribeKeyoperasi, Anda dapat melihat properti tipikal, seperti ID kunci, status kunci, dan tanggal pembuatan. Tetapi Anda juga dapat melihat ID penyimpanan kunci khusus dan (opsional) AWS CloudHSM
ID kluster. Untuk detailnya, lihat Lihat KMS kunci dalam AWS CloudHSM toko kunci.
Jika Anda mencoba untuk membuat KMS kunci di AWS CloudHSM penyimpanan kunci gagal, gunakan pesan kesalahan untuk membantu Anda menentukan penyebabnya. Ini mungkin menunjukkan bahwa AWS CloudHSM penyimpanan kunci tidak terhubung (CustomKeyStoreInvalidStateException) atau terkait AWS CloudHSM cluster tidak memiliki dua aktif HSMs yang diperlukan untuk operasi ini (CloudHsmClusterInvalidConfigurationException). Untuk bantuan, lihat Memecahkan masalah penyimpanan kunci kustom.
Sebagai contoh dari AWS CloudTrail log operasi yang membuat KMS kunci dalam AWS CloudHSM toko kunci, lihatCreateKey.
Topik
Buat KMS kunci dalam AWS CloudHSM toko kunci (konsol)
Gunakan prosedur berikut untuk membuat KMS kunci enkripsi simetris dalam AWS CloudHSM toko kunci.
catatan
Jangan sertakan informasi rahasia atau sensitif dalam alias, deskripsi, atau tag. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
-
Masuk ke AWS Management Console dan buka AWS Key Management Service (AWS KMS) konsol di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
-
Di panel navigasi, pilih Kunci yang dikelola pelanggan.
-
Pilih Buat kunci.
-
Pilih Simetris.
-
Dalam Penggunaan kunci, opsi Enkripsi dan dekripsi dipilih untuk Anda. Jangan mengubahnya.
-
Pilih Opsi lanjutan.
-
Untuk asal bahan utama, pilih AWS CloudHSM toko kunci.
Anda tidak dapat membuat kunci Multi-region di AWS CloudHSM toko kunci.
-
Pilih Berikutnya.
-
Pilih sebuah AWS CloudHSM toko kunci untuk KMS kunci baru Anda. Untuk membuat AWS CloudHSM toko kunci, pilih Buat toko kunci khusus.
Bagian AWS CloudHSM key store yang Anda pilih harus memiliki status Connected. Terkait AWS CloudHSM cluster harus aktif dan berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda.
Untuk bantuan dengan menghubungkan AWS CloudHSM toko kunci, lihatConnect dan putuskan sambungan AWS CloudHSM toko kunci. Untuk bantuan dengan menambahkanHSMs, lihat Menambahkan HSM di AWS CloudHSM Panduan Pengguna.
-
Pilih Berikutnya.
-
Ketik alias dan deskripsi opsional untuk KMS kunci.
-
(Opsional). Pada halaman Tambah Tag, tambahkan tag yang mengidentifikasi atau mengkategorikan kunci AndaKMS.
Saat Anda menambahkan tag ke AWS sumber daya AWS menghasilkan laporan alokasi biaya dengan penggunaan dan biaya yang dikumpulkan berdasarkan tag. Tag juga dapat digunakan untuk mengontrol akses ke KMS kunci. Untuk informasi tentang menandai KMS kunci, lihat Tombol penandaan danABAC untuk AWS KMS.
-
Pilih Berikutnya.
-
Di bagian Administrator Kunci, pilih IAM pengguna dan peran yang dapat mengelola KMS kunci. Untuk informasi selengkapnya, lihat Mengizinkan administrator kunci mengelola kunci. KMS
catatan
IAMkebijakan dapat memberikan izin kepada IAM pengguna dan peran lain untuk menggunakan KMS kunci tersebut.
IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
-
(Opsional) Untuk mencegah administrator kunci ini menghapus KMS kunci ini, kosongkan kotak di bagian bawah halaman untuk Izinkan administrator kunci untuk menghapus kunci ini.
-
Pilih Berikutnya.
-
Di bagian Akun ini, pilih IAM pengguna dan peran di bagian ini Akun AWS yang dapat menggunakan KMS kunci dalam operasi kriptografi. Untuk informasi selengkapnya, lihat Mengizinkan pengguna kunci menggunakan KMS kunci.
catatan
IAMkebijakan dapat memberikan izin kepada IAM pengguna dan peran lain untuk menggunakan KMS kunci tersebut.
IAMPraktik terbaik mencegah penggunaan IAM pengguna dengan kredensi jangka panjang. Bila memungkinkan, gunakan IAM peran, yang menyediakan kredensi sementara. Untuk detailnya, lihat Praktik terbaik keamanan IAM di Panduan IAM Pengguna.
-
(Opsional) Anda dapat mengizinkan yang lain Akun AWS untuk menggunakan KMS kunci ini untuk operasi kriptografi. Untuk melakukannya, di sisi lain Akun AWSbagian di bagian bawah halaman, pilih Tambahkan yang lain Akun AWSdan masuklah Akun AWS ID akun eksternal. Untuk menambahkan beberapa akun eksternal, ulangi langkah ini.
catatan
Administrator dari yang lain Akun AWS juga harus mengizinkan akses ke KMS kunci dengan membuat IAM kebijakan untuk penggunanya. Untuk informasi selengkapnya, lihat Memungkinkan pengguna di akun lain untuk menggunakan kunci KMS.
-
Pilih Selanjutnya.
-
Tinjau pengaturan kunci yang Anda pilih. Anda masih bisa kembali dan mengubah semua pengaturan.
Setelah selesai, pilih Selesai untuk membuat kunci.
Ketika prosedur berhasil, tampilan menunjukkan KMS kunci baru di AWS CloudHSM toko kunci yang Anda pilih. Saat Anda memilih nama atau alias KMS kunci baru, tab konfigurasi Kriptografi pada halaman detailnya menampilkan asal kunci (KMSAWS CloudHSM), nama, ID, dan jenis toko kunci khusus, dan ID dari AWS CloudHSM klaster. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan kegagalan.
Tip
Untuk mempermudah mengidentifikasi KMS kunci di toko kunci kustom, pada halaman Kunci yang dikelola Pelanggan, tambahkan kolom ID penyimpanan kunci kustom ke tampilan. Klik ikon roda gigi di kanan atas dan pilih ID penyimpanan kunci kustom. Untuk detailnya, lihat Menyesuaikan tabel KMS kunci Anda.
Buat KMS kunci dalam AWS CloudHSM toko kunci (API)
Untuk membuat yang baru AWS KMS key(KMSkunci) di AWS CloudHSM
toko kunci, gunakan CreateKeyoperasi. Gunakan parameter CustomKeyStoreId untuk mengidentifikasi penyimpanan kunci kustom Anda dan menentukan nilai Origin dari AWS_CLOUDHSM.
Anda mungkin juga ingin menggunakan parameter Policy untuk menentukan kebijakan kunci. Anda dapat mengubah kebijakan kunci (PutKeyPolicy) dan menambahkan elemen opsional, seperti deskripsi dan tag kapan saja.
Contoh di bagian ini menggunakan AWS Command Line Interface
(AWS CLI)
Contoh berikut dimulai dengan panggilan ke DescribeCustomKeyStoresoperasi untuk memverifikasi bahwa AWS CloudHSM toko kunci terhubung ke yang terkait AWS CloudHSM klaster. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Untuk mendeskripsikan hanya yang tertentu AWS CloudHSM penyimpanan kunci, gunakan CustomKeyStoreName parameternya CustomKeyStoreId (tetapi tidak keduanya).
Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.
catatan
Jangan sertakan informasi rahasia atau sensitif di Tags bidang Description atau bidang. Bidang ini mungkin muncul dalam teks biasa di CloudTrail log dan output lainnya.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS CloudHSM key store", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
Contoh perintah berikutnya menggunakan DescribeClustersoperasi untuk memverifikasi bahwa AWS CloudHSM cluster yang dikaitkan dengan ExampleKeyStore (cluster-1a23b4cdefg) memiliki setidaknya dua aktif. HSMs Jika cluster memiliki kurang dari duaHSMs, CreateKey operasi gagal.
$aws cloudhsmv2 describe-clusters{ "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }
Perintah contoh ini menggunakan CreateKeyoperasi untuk membuat KMS kunci dalam sebuah AWS CloudHSM toko kunci. Untuk membuat KMS kunci dalam AWS CloudHSM toko kunci, Anda harus memberikan ID toko kunci khusus dari AWS CloudHSM simpan kunci dan tentukan Origin nilaiAWS_CLOUDHSM.
Respons termasuk toko kunci kustom dan IDs AWS CloudHSM klaster.
Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan ID yang valid.
$aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-idcks-1234567890abcdef0{ "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "MultiRegion": false, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
