Buat toko AWS CloudHSM kunci - AWS Key Management Service
Memasang prasyaratBuat toko AWS CloudHSM kunci baru

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat toko AWS CloudHSM kunci

Anda dapat membuat satu atau beberapa toko AWS CloudHSM utama di akun Anda. Setiap toko AWS CloudHSM kunci dikaitkan dengan satu AWS CloudHSM cluster di wilayah Akun AWS dan yang sama. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda perlu merakit prasyarat. Kemudian, sebelum Anda dapat menggunakan toko AWS CloudHSM kunci Anda, Anda harus menghubungkannya ke AWS CloudHSM klasternya.

Catatan

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci terputus yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM .

Anda tidak harus segera menghubungkan toko AWS CloudHSM kunci Anda. Anda dapat membiarkannya dalam keadaan terputus sampai Anda siap menggunakannya. Namun, untuk memverifikasi bahwa itu dikonfigurasi dengan benar, Anda mungkin ingin menghubungkannya, melihat status koneksinya, dan kemudian memutuskannya.

Memasang prasyarat

Setiap toko AWS CloudHSM kunci didukung oleh sebuah AWS CloudHSM cluster. Untuk membuat penyimpanan AWS CloudHSM kunci, Anda harus menentukan AWS CloudHSM cluster aktif yang belum dikaitkan dengan penyimpanan kunci lain. Anda juga perlu membuat pengguna kripto khusus (CU) di cluster HSMs yang AWS KMS dapat digunakan untuk membuat dan mengelola kunci atas nama Anda.

Sebelum Anda membuat toko AWS CloudHSM kunci, lakukan hal berikut:

Pilih AWS CloudHSM klaster

Setiap toko AWS CloudHSM kunci dikaitkan dengan tepat satu AWS CloudHSM cluster. Saat Anda membuat AWS KMS keys di penyimpanan AWS CloudHSM kunci, AWS KMS buat metadata KMS kunci, seperti ID dan Amazon Resource Name (ARN) di. AWS KMS Kemudian menciptakan materi kunci di HSMs cluster terkait. Anda dapat membuat AWS CloudHSM cluster baru atau menggunakan yang sudah ada. AWS KMS tidak memerlukan akses eksklusif ke cluster.

AWS CloudHSM Cluster yang Anda pilih secara permanen terkait dengan penyimpanan AWS CloudHSM kunci. Setelah Anda membuat penyimpanan AWS CloudHSM kunci, Anda dapat mengubah ID cluster dari cluster terkait, tetapi cluster yang Anda tentukan harus berbagi riwayat cadangan dengan cluster asli. Untuk menggunakan cluster yang tidak terkait, Anda perlu membuat toko AWS CloudHSM kunci baru.

AWS CloudHSM Cluster yang Anda pilih harus memiliki karakteristik sebagai berikut:

  • Klaster harus aktif.

    Anda harus membuat cluster, menginisialisasi, menginstal perangkat lunak AWS CloudHSM klien untuk platform Anda, dan kemudian mengaktifkan cluster. Untuk petunjuk terperinci, lihat Memulai AWS CloudHSM di Panduan AWS CloudHSM Pengguna.

  • Cluster harus berada di akun dan Wilayah yang sama dengan penyimpanan AWS CloudHSM kunci. Anda tidak dapat mengaitkan penyimpanan AWS CloudHSM kunci di satu Wilayah dengan klaster di Wilayah yang berbeda. Untuk membuat infrastruktur utama di beberapa Wilayah, Anda harus membuat penyimpanan dan klaster AWS CloudHSM utama di setiap Wilayah.

  • Cluster tidak dapat dikaitkan dengan penyimpanan kunci kustom lain di akun dan Wilayah yang sama. Setiap penyimpanan AWS CloudHSM kunci di akun dan Wilayah harus dikaitkan dengan AWS CloudHSM cluster yang berbeda. Anda tidak dapat menentukan klaster yang sudah dikaitkan dengan penyimpanan kunci kustom atau klaster yang berbagi riwayat pencadangan dengan klaster yang dikaitkan. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat cluster cluster, gunakan AWS CloudHSM konsol atau DescribeClustersoperasi.

    Jika Anda membuat cadangan AWS CloudHSM cluster ke Wilayah yang berbeda, itu dianggap sebagai klaster yang berbeda, dan Anda dapat mengaitkan cadangan dengan penyimpanan kunci khusus di Wilayahnya. Namun, KMS kunci di dua toko kunci khusus tidak dapat dioperasikan, bahkan jika mereka memiliki kunci dukungan yang sama. AWS KMS mengikat metadata ke ciphertext sehingga dapat didekripsi hanya dengan kunci yang mengenkripsi itu. KMS

  • Klaster harus dikonfigurasi dengan subnet privat dalam minimal dua Availability Zone di Wilayah tersebut. Karena tidak AWS CloudHSM didukung di semua Availability Zone, kami sarankan Anda membuat subnet pribadi di semua Availability Zone di wilayah tersebut. Anda tidak dapat mengonfigurasi ulang subnet untuk klaster yang ada, tetapi Anda dapat membuat sebuah klaster dari cadangan dengan subnet yang berbeda dalam konfigurasi klaster.

    penting

    Setelah Anda membuat toko AWS CloudHSM kunci Anda, jangan hapus salah satu subnet pribadi yang dikonfigurasi untuk AWS CloudHSM klasternya. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk terhubung ke penyimpanan kunci kustom gagal dengan status kesalahan SUBNET_NOT_FOUND koneksi. Untuk detailnya, lihat Cara memperbaiki kegagalan koneksi.

  • Grup keamanan untuk cluster (cloudhsm-cluster-<cluster-id>-sg) harus menyertakan aturan masuk dan aturan keluar yang memungkinkan TCP lalu lintas di port 2223-2225. Sumber dalam aturan masuk dan Tujuan dalam aturan keluar harus sesuai dengan ID grup keamanan. Aturan ini ditetapkan secara default saat Anda membuat klaster. Jangan menghapus atau mengubah aturan tersebut.

  • Cluster harus berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. Untuk memverifikasi jumlahHSMs, gunakan AWS CloudHSM konsol atau DescribeClustersoperasi. Jika perlu, Anda dapat menambahkan file HSM.

Temukan sertifikat jangkar tepercaya

Saat membuat penyimpanan kunci kustom, Anda harus mengunggah sertifikat jangkar kepercayaan untuk AWS CloudHSM AWS KMS klaster. AWS KMS membutuhkan sertifikat jangkar kepercayaan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkaitnya.

Setiap AWS CloudHSM cluster aktif memiliki sertifikat jangkar kepercayaan. Ketika menginisialisasi klaster, Anda menghasilkan sertifikat ini, menyimpannya dalam file customerCA.crt, dan menyalinnya ke host yang terhubung ke klaster.

Buat pengguna kmsuser crypto untuk AWS KMS

Untuk mengelola toko AWS CloudHSM kunci Anda, masuk AWS KMS ke akun pengguna kmsuser kripto (CU) di klaster yang dipilih. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda harus membuat kmsuser CU. Kemudian ketika Anda membuat toko AWS CloudHSM kunci Anda, Anda memberikan kata sandi kmsuser untuk AWS KMS. Setiap kali Anda menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster terkait AWS KMS , masuk sebagai kmsuser dan memutar kata sandi kmsuser

penting

Jangan menentukan opsi 2FA saat Anda membuat CU kmsuser. Jika Anda melakukannya, AWS KMS tidak dapat masuk dan toko AWS CloudHSM kunci Anda tidak dapat terhubung ke AWS CloudHSM cluster ini. Setelah Anda menentukan 2FA, Anda tidak dapat membatalkannya. Sebaliknya, Anda harus menghapus CU dan membuatnya ulang.

Catatan

Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Klien SDK 5, Cloud HSM CLI. Awan HSM CLI menggantikan key-handle dengan key-reference

Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Klien SDK 3, Cloud HSM Management Utility (CMU) dan Key Management Utility (KMU). Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Klien SDK 3 dan alat baris perintah Klien SDK 5, lihat Migrasi dari Klien SDK 3 CMU dan KMU ke Cloud Klien SDK 5 HSM CLI di Panduan AWS CloudHSM Pengguna.

  1. Ikuti prosedur memulai seperti yang dijelaskan dalam topik Memulai dengan Cloud HSM Command Line Interface (CLI) Panduan AWS CloudHSM Pengguna.

  2. Gunakan perintah user create untuk membuat CU bernamakmsuser.

    Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.

    Contoh perintah berikut menciptakan kmsuser CU. 

    aws-cloudhsm > user create --username kmsuser --role crypto-user
Enter password:
Confirm password:
{
 "error_code": 0,
 "data": {
   "username": "kmsuser",
   "role": "crypto-user"
 }
}
Tampilkan lebih banyakTampilkan lebih sedikit

Buat toko AWS CloudHSM kunci baru

Setelah merakit prasyarat, Anda dapat membuat toko AWS CloudHSM kunci baru di AWS KMS konsol atau dengan menggunakan operasi. CreateCustomKeyStore

Saat Anda membuat penyimpanan AWS CloudHSM kunci di AWS Management Console, Anda dapat menambahkan dan membuat prasyarat sebagai bagian dari alur kerja Anda. Namun, prosesnya lebih cepat saat Anda merakitnya terlebih dahulu.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, toko AWS CloudHSM utama.

  4. Pilih Buat toko kunci.

  5. Masukkan nama yang mudah diingat untuk penyimpanan kunci kustom. Nama harus unik di antara semua toko kunci khusus di akun Anda.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  6. Pilih AWS CloudHSM cluster untuk penyimpanan AWS CloudHSM kunci. Atau, untuk membuat AWS CloudHSM cluster baru, pilih link Create an AWS CloudHSM cluster.

    Menu menampilkan AWS CloudHSM cluster di akun dan wilayah Anda yang belum dikaitkan dengan toko AWS CloudHSM kunci. Klaster harus memenuhi persyaratan untuk asosiasi dengan penyimpanan kunci kustom.

  7. Pilih Pilih file, lalu unggah sertifikat jangkar kepercayaan untuk AWS CloudHSM klaster yang Anda pilih. Ini adalah file customerCA.crt yang Anda buat saat Anda menginisialisasi klaster.

  8. Masukkan kata sandi dari pengguna kripto (CU) kmsuser yang Anda buat dalam klaster yang dipilih.

  9. Pilih Buat.

Ketika prosedur berhasil, toko AWS CloudHSM kunci baru muncul di daftar toko AWS CloudHSM utama di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Memecahkan masalah penyimpanan kunci kustom.

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci terputus yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM .

Berikutnya: Toko AWS CloudHSM kunci baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko AWS CloudHSM kunci, Anda harus menghubungkan toko kunci khusus ke AWS CloudHSM cluster terkait.

Anda dapat menggunakan CreateCustomKeyStoreoperasi untuk membuat toko AWS CloudHSM kunci baru yang terkait dengan AWS CloudHSM cluster di akun dan Wilayah. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Operasi CreateCustomKeyStore memerlukan nilai parameter berikut.

  • CustomKeyStoreName — Nama yang ramah untuk toko kunci khusus yang unik di akun.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  • CloudHsmClusterId — ID cluster AWS CloudHSM cluster yang memenuhi persyaratan untuk penyimpanan AWS CloudHSM kunci.

  • KeyStorePassword — Kata sandi akun kmsuser CU di cluster yang ditentukan.

  • TrustAnchorCertificate — Isi customerCA.crt file yang Anda buat saat Anda menginisialisasi cluster.

Contoh berikut menggunakan ID klaster fiktif. Sebelum menjalankan perintah, ganti dengan ID klaster yang valid.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

Jika Anda menggunakan AWS CLI, Anda dapat menentukan file sertifikat jangkar kepercayaan, bukan isinya. Dalam contoh berikut, file customerCA.crt tidak berada dalam direktori akar.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

Saat operasi berhasil, CreateCustomKeyStore mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat Memecahkan masalah penyimpanan kunci kustom.

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci terputus yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM .

Berikutnya: Untuk menggunakan toko AWS CloudHSM kunci, hubungkan ke AWS CloudHSM klaster nya.