Buat sebuah AWS CloudHSM toko kunci - AWS Key Management Service
Memasang prasyaratBuat sebuah AWS CloudHSM toko kunci (konsol)Buat sebuah AWS CloudHSM toko kunci (API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat sebuah AWS CloudHSM toko kunci

Anda dapat membuat satu atau beberapa AWS CloudHSM toko utama di akun Anda. Masing-masing AWS CloudHSM toko kunci dikaitkan dengan satu AWS CloudHSM cluster dalam hal yang sama Akun AWS dan Wilayah. Sebelum Anda membuat AWS CloudHSM toko kunci, Anda perlu merakit prasyarat. Kemudian, sebelum Anda dapat menggunakan AWS CloudHSM toko kunci, Anda harus menghubungkannya ke AWS CloudHSM klaster.

catatan

Jika Anda mencoba membuat AWS CloudHSM penyimpanan kunci dengan semua nilai properti yang sama dengan yang ada terputus AWS CloudHSM toko kunci, AWS KMS tidak membuat yang baru AWS CloudHSM penyimpanan kunci, dan itu tidak menimbulkan pengecualian atau menampilkan kesalahan. Sebagai gantinya, AWS KMS mengenali duplikat sebagai kemungkinan konsekuensi dari percobaan ulang, dan mengembalikan ID yang ada AWS CloudHSM toko kunci.

Tip

Anda tidak perlu menghubungkan AWS CloudHSM toko kunci segera. Anda dapat membiarkannya dalam keadaan terputus sampai Anda siap menggunakannya. Namun, untuk memverifikasi bahwa itu dikonfigurasi dengan benar, Anda mungkin ingin menghubungkannya, melihat status koneksinya, dan kemudian memutuskannya.

Memasang prasyarat

Masing-masing AWS CloudHSM toko kunci didukung oleh AWS CloudHSM klaster. Untuk membuat AWS CloudHSM toko kunci, Anda harus menentukan yang aktif AWS CloudHSM cluster yang belum dikaitkan dengan toko kunci lain. Anda juga perlu membuat pengguna kripto khusus (CU) di cluster HSMs itu AWS KMS dapat digunakan untuk membuat dan mengelola kunci atas nama Anda.

Sebelum Anda membuat AWS CloudHSM toko kunci, lakukan hal berikut:

Pilih sebuah AWS CloudHSM cluster

Setiap AWS CloudHSM toko kunci dikaitkan dengan tepat satu AWS CloudHSM klaster. Saat Anda membuat AWS KMS keysdalam dirimu AWS CloudHSM toko kunci, AWS KMS membuat metadata KMS kunci, seperti ID dan Amazon Resource Name () ARN di AWS KMS. Kemudian menciptakan materi kunci di HSMs cluster terkait. Anda dapat membuat yang baru AWS CloudHSMcluster atau menggunakan yang sudah ada. AWS KMS tidak memerlukan akses eksklusif ke cluster.

Bagian AWS CloudHSM cluster yang Anda pilih secara permanen terkait dengan AWS CloudHSM toko kunci. Setelah Anda membuat AWS CloudHSM penyimpanan kunci, Anda dapat mengubah ID cluster dari cluster terkait, tetapi cluster yang Anda tentukan harus berbagi riwayat cadangan dengan cluster asli. Untuk menggunakan cluster yang tidak terkait, Anda perlu membuat yang baru AWS CloudHSM toko kunci.

Bagian AWS CloudHSM cluster yang Anda pilih harus memiliki karakteristik sebagai berikut:

  • Klaster harus aktif.

    Anda harus membuat cluster, menginisialisasi, menginstal AWS CloudHSM perangkat lunak klien untuk platform Anda, dan kemudian aktifkan cluster. Untuk petunjuk terperinci, lihat Memulai dengan AWS CloudHSMdi AWS CloudHSM Panduan Pengguna.

  • Cluster harus berada di akun dan Wilayah yang sama dengan AWS CloudHSM toko kunci. Anda tidak dapat mengasosiasikan AWS CloudHSM penyimpanan kunci dalam satu Wilayah dengan cluster di Wilayah yang berbeda. Untuk membuat infrastruktur utama di beberapa Wilayah, Anda harus membuat AWS CloudHSM toko-toko utama dan cluster di setiap Wilayah.

  • Cluster tidak dapat dikaitkan dengan penyimpanan kunci kustom lain di akun dan Wilayah yang sama. Masing-masing AWS CloudHSM toko kunci di akun dan Wilayah harus dikaitkan dengan yang berbeda AWS CloudHSM klaster. Anda tidak dapat menentukan klaster yang sudah dikaitkan dengan penyimpanan kunci kustom atau klaster yang berbagi riwayat pencadangan dengan klaster yang dikaitkan. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat klaster klaster, gunakan AWS CloudHSM konsol atau DescribeClustersoperasi.

    Jika Anda membuat cadangan AWS CloudHSM cluster ke Wilayah yang berbeda, itu dianggap sebagai cluster yang berbeda, dan Anda dapat mengaitkan cadangan dengan penyimpanan kunci khusus di Wilayahnya. Namun, KMS kunci di dua toko kunci khusus tidak dapat dioperasikan, bahkan jika mereka memiliki kunci dukungan yang sama. AWS KMS mengikat metadata ke ciphertext sehingga dapat didekripsi hanya dengan kunci yang mengenkripsi itu. KMS

  • Klaster harus dikonfigurasi dengan subnet privat dalam minimal dua Availability Zone di Wilayah tersebut. Karena AWS CloudHSM tidak didukung di semua Availability Zone, kami sarankan Anda membuat subnet pribadi di semua Availability Zone di wilayah tersebut. Anda tidak dapat mengonfigurasi ulang subnet untuk klaster yang ada, tetapi Anda dapat membuat sebuah klaster dari cadangan dengan subnet yang berbeda dalam konfigurasi klaster.

    penting

    Setelah Anda membuat AWS CloudHSM toko kunci, jangan hapus salah satu subnet pribadi yang dikonfigurasi untuk AWS CloudHSM klaster. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk terhubung ke penyimpanan kunci khusus gagal dengan status kesalahan SUBNET_NOT_FOUND koneksi. Untuk detailnya, lihat Cara memperbaiki kegagalan koneksi.

  • Grup keamanan untuk cluster (cloudhsm-cluster-<cluster-id>-sg) harus menyertakan aturan masuk dan aturan keluar yang memungkinkan TCP lalu lintas di port 2223-2225. Sumber dalam aturan masuk dan Tujuan dalam aturan keluar harus sesuai dengan ID grup keamanan. Aturan ini ditetapkan secara default saat Anda membuat klaster. Jangan menghapus atau mengubah aturan tersebut.

  • Cluster harus berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. Untuk memverifikasi jumlahHSMs, gunakan AWS CloudHSM konsol atau DescribeClustersoperasi. Jika perlu, Anda dapat menambahkan file HSM.

Temukan sertifikat jangkar tepercaya

Saat Anda membuat toko kunci khusus, Anda harus mengunggah sertifikat jangkar kepercayaan untuk AWS CloudHSM cluster ke AWS KMS. AWS KMS membutuhkan sertifikat jangkar kepercayaan untuk menghubungkan AWS CloudHSM toko kunci untuk yang terkait AWS CloudHSM klaster.

Setiap aktif AWS CloudHSM cluster memiliki sertifikat jangkar kepercayaan. Ketika menginisialisasi klaster, Anda menghasilkan sertifikat ini, menyimpannya dalam file customerCA.crt, dan menyalinnya ke host yang terhubung ke klaster.

Buat pengguna kmsuser crypto untuk AWS KMS

Untuk mengelola AWS CloudHSM toko kunci, AWS KMS masuk ke akun pengguna kmsuser kripto (CU) di cluster yang dipilih. Sebelum Anda membuat AWS CloudHSM toko kunci, Anda harus membuat kmsuser CU. Kemudian ketika Anda membuat AWS CloudHSM toko kunci, Anda memberikan kata sandi kmsuser untuk AWS KMS. Setiap kali Anda menghubungkan AWS CloudHSM toko kunci untuk yang terkait AWS CloudHSM gugus, AWS KMS masuk sebagai kmsuser dan memutar kata sandi kmsuser

penting

Jangan menentukan opsi 2FA saat Anda membuat CU kmsuser. Jika Anda melakukannya, AWS KMS tidak dapat masuk dan AWS CloudHSM toko kunci tidak dapat dihubungkan ke ini AWS CloudHSM klaster. Setelah Anda menentukan 2FA, Anda tidak dapat membatalkannya. Sebaliknya, Anda harus menghapus CU dan membuatnya ulang.

Catatan

Prosedur berikut menggunakan AWS CloudHSM Alat baris perintah klien SDK 5, Cloud HSM CLI. Awan HSM CLI menggantikan key-handle dengan key-reference

Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, Cloud HSM Management Utility (CMU) dan Key Management Utility (KMU). Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Klien SDK 3 dan alat baris perintah Klien SDK 5, lihat Migrasi dari Klien SDK 3 CMU dan KMU ke Cloud Klien SDK 5 HSM CLI di AWS CloudHSM Panduan Pengguna.

  1. Ikuti prosedur memulai seperti yang dijelaskan dalam topik Memulai dengan Cloud HSM Command Line Interface (CLI) AWS CloudHSM Panduan Pengguna.

  2. Gunakan perintah user create untuk membuat CU bernamakmsuser.

    Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.

    Contoh perintah berikut menciptakan kmsuser CU. 

    aws-cloudhsm > user create --username kmsuser --role crypto-user
Enter password:
Confirm password:
{
 "error_code": 0,
 "data": {
   "username": "kmsuser",
   "role": "crypto-user"
 }
}

Buat sebuah AWS CloudHSM toko kunci (konsol)

Saat Anda membuat AWS CloudHSM toko kunci di AWS Management Console, Anda dapat menambahkan dan membuat prasyarat sebagai bagian dari alur kerja Anda. Namun, prosesnya lebih cepat saat Anda merakitnya terlebih dahulu.

  1. Masuk ke AWS Management Console dan buka AWS Key Management Service (AWS KMS) konsol di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci kustom, AWS CloudHSM toko-toko utama.

  4. Pilih Buat toko kunci.

  5. Masukkan nama yang mudah diingat untuk penyimpanan kunci kustom. Nama harus unik di antara semua toko kunci khusus di akun Anda.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  6. Pilih sebuah AWS CloudHSM cluster untuk AWS CloudHSM toko kunci. Atau, untuk membuat yang baru AWS CloudHSM cluster, pilih Create an AWS CloudHSM tautan cluster.

    Menu menampilkan AWS CloudHSM cluster di akun dan wilayah Anda yang belum dikaitkan dengan AWS CloudHSM toko kunci. Klaster harus memenuhi persyaratan untuk asosiasi dengan penyimpanan kunci kustom.

  7. Pilih file Pilih, lalu unggah sertifikat jangkar kepercayaan untuk AWS CloudHSM cluster yang Anda pilih. Ini adalah file customerCA.crt yang Anda buat saat Anda menginisialisasi klaster.

  8. Masukkan kata sandi dari pengguna kripto (CU) kmsuser yang Anda buat dalam klaster yang dipilih.

  9. Pilih Buat.

Ketika prosedur berhasil, yang baru AWS CloudHSM toko kunci muncul dalam daftar AWS CloudHSM toko utama di akun dan Wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Memecahkan masalah penyimpanan kunci kustom.

Jika Anda mencoba membuat sebuah AWS CloudHSM penyimpanan kunci dengan semua nilai properti yang sama dengan yang ada terputus AWS CloudHSM toko kunci, AWS KMS tidak membuat yang baru AWS CloudHSM penyimpanan kunci, dan itu tidak menimbulkan pengecualian atau menampilkan kesalahan. Sebagai gantinya, AWS KMS mengenali duplikat sebagai kemungkinan konsekuensi dari percobaan ulang, dan mengembalikan ID yang ada AWS CloudHSM toko kunci.

Berikutnya: Baru AWS CloudHSM toko kunci tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di AWS CloudHSM toko kunci, Anda harus menghubungkan toko kunci khusus ke yang terkait AWS CloudHSM klaster.

Buat sebuah AWS CloudHSM toko kunci (API)

Anda dapat menggunakan CreateCustomKeyStoreoperasi untuk membuat yang baru AWS CloudHSM toko kunci yang terkait dengan AWS CloudHSM cluster di akun dan Wilayah. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Operasi CreateCustomKeyStore memerlukan nilai parameter berikut.

  • CustomKeyStoreName — Nama yang ramah untuk toko kunci khusus yang unik di akun.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  • CloudHsmClusterId — ID cluster dari sebuah AWS CloudHSM cluster yang memenuhi persyaratan untuk AWS CloudHSM toko kunci.

  • KeyStorePassword — Kata sandi akun kmsuser CU di cluster yang ditentukan.

  • TrustAnchorCertificate — Isi customerCA.crt file yang Anda buat saat Anda menginisialisasi cluster.

Contoh berikut menggunakan ID klaster fiktif. Sebelum menjalankan perintah, ganti dengan ID klaster yang valid.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

Jika Anda menggunakan AWS CLI, Anda dapat menentukan file sertifikat jangkar kepercayaan, bukan isinya. Dalam contoh berikut, file customerCA.crt tidak berada dalam direktori akar.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

Saat operasi berhasil, CreateCustomKeyStore mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat Memecahkan masalah penyimpanan kunci kustom.

Jika Anda mencoba membuat sebuah AWS CloudHSM penyimpanan kunci dengan semua nilai properti yang sama dengan yang ada terputus AWS CloudHSM toko kunci, AWS KMS tidak membuat yang baru AWS CloudHSM penyimpanan kunci, dan itu tidak menimbulkan pengecualian atau menampilkan kesalahan. Sebagai gantinya, AWS KMS mengenali duplikat sebagai kemungkinan konsekuensi dari percobaan ulang, dan mengembalikan ID yang ada AWS CloudHSM toko kunci.

Berikutnya: Untuk menggunakan AWS CloudHSM toko kunci, hubungkan ke nya AWS CloudHSM klaster.