Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
AWS CloudHSM toko-toko utama dirancang agar tersedia dan tangguh. Namun, ada beberapa kondisi kesalahan yang mungkin harus Anda perbaiki agar toko AWS CloudHSM kunci Anda tetap beroperasi.
Cara memperbaiki kunci KMS yang tidak tersedia
Keadaan kunci AWS KMS keys di toko AWS CloudHSM kunci biasanyaEnabled. Seperti semua kunci KMS, status kunci berubah ketika Anda menonaktifkan kunci KMS di toko AWS CloudHSM kunci atau menjadwalkannya untuk dihapus. Namun, tidak seperti kunci KMS lainnya, kunci KMS di toko kunci khusus juga dapat memiliki status kunci. Unavailable
Status kunci Unavailable menunjukkan bahwa kunci KMS berada di penyimpanan kunci khusus yang sengaja terputus dan mencoba untuk menghubungkannya kembali, jika ada, gagal. Meskipun kunci KMS tidak tersedia, Anda dapat melihat dan mengelola kunci KMS, tetapi Anda tidak dapat menggunakannya untuk operasi kriptografi.
Untuk menemukan status kunci kunci KMS, pada halaman Kunci yang dikelola Pelanggan, lihat bidang Status kunci KMS. Atau, gunakan DescribeKeyoperasi dan lihat KeyState elemen dalam respons. Untuk detailnya, lihat Identifikasi dan lihat kunci.
Kunci KMS di toko kunci kustom yang terputus akan memiliki status kunci atau. Unavailable PendingDeletion Kunci KMS yang dijadwalkan untuk dihapus dari toko kunci khusus memiliki status Pending Deletion kunci, bahkan ketika toko kunci khusus terputus. Hal ini memungkinkan Anda membatalkan penghapusan kunci terjadwal tanpa menghubungkan kembali penyimpanan kunci kustom.
Untuk memperbaiki kunci KMS yang tidak tersedia, sambungkan kembali toko kunci kustom. Setelah penyimpanan kunci kustom terhubung kembali, status kunci kunci KMS di toko kunci kustom secara otomatis dikembalikan ke keadaan sebelumnya, seperti Enabled atau. Disabled Kunci KMS yang tertunda penghapusan tetap berada di negara bagian. PendingDeletion Namun, sementara masalah tetap ada, mengaktifkan dan menonaktifkan kunci KMS yang tidak tersedia tidak mengubah status kuncinya. Tindakan mengaktifkan atau menonaktifkan hanya berlaku ketika kunci menjadi tersedia.
Untuk bantuan dengan koneksi yang gagal, lihat Cara memperbaiki kegagalan koneksi.
Cara memperbaiki kunci KMS yang gagal
Masalah dengan membuat dan menggunakan kunci KMS di toko-toko AWS CloudHSM utama dapat disebabkan oleh masalah dengan toko AWS CloudHSM kunci Anda, AWS CloudHSM cluster terkait, kunci KMS, atau materi utamanya.
Ketika penyimpanan AWS CloudHSM kunci terputus dari AWS CloudHSM klasternya, status kunci kunci KMS di toko kunci kustom adalah. Unavailable Semua permintaan untuk membuat kunci KMS di toko AWS CloudHSM kunci yang terputus mengembalikan pengecualian. CustomKeyStoreInvalidStateException Semua permintaan untuk mengenkripsi, mendekripsi, mengenkripsi ulang, atau menghasilkan kunci data mengembalikan pengecualian KMSInvalidStateException. Untuk memperbaiki masalah, sambungkan kembali toko AWS CloudHSM kunci.
Namun, upaya Anda untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci untuk operasi kriptografi mungkin gagal bahkan ketika status kuncinya Enabled dan status koneksi penyimpanan AWS CloudHSM kunci adalah. Connected Ini mungkin disebabkan oleh salah satu kondisi berikut.
-
Materi kunci untuk kunci KMS mungkin telah dihapus dari AWS CloudHSM cluster terkait. Untuk menyelidiki, temukan id kunci dari bahan kunci untuk kunci KMS dan, jika perlu, cobalah untuk memulihkan materi kunci.
-
Semua HSMs dihapus dari AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci dalam operasi kriptografi, AWS CloudHSM klaster harus berisi setidaknya satu HSM aktif. Untuk memverifikasi jumlah dan status HSMs dalam sebuah AWS CloudHSM cluster, gunakan AWS CloudHSM konsol atau DescribeClustersoperasi. Untuk menambahkan HSM ke cluster, gunakan AWS CloudHSM konsol atau CreateHsmoperasi.
-
AWS CloudHSM Cluster yang terkait dengan penyimpanan AWS CloudHSM kunci telah dihapus. Untuk memperbaiki masalah, buat klaster dari cadangan yang berkaitan dengan klaster asli, seperti cadangan klaster asli, atau cadangan yang digunakan untuk membuat klaster asli. Kemudian, edit ID klaster dalam pengaturan penyimpanan kunci kustom. Untuk petunjuk, silakan lihat Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS.
-
AWS CloudHSM Cluster yang terkait dengan penyimpanan kunci khusus tidak memiliki sesi PKCS #11 yang tersedia. Ini biasanya terjadi selama periode lalu lintas burst tinggi ketika sesi tambahan diperlukan untuk melayani lalu lintas. Untuk menanggapi
KMSInternalExceptiondengan pesan kesalahan tentang sesi PKCS #11, mundur dan coba lagi permintaan tersebut.
Cara memperbaiki kegagalan koneksi
Jika Anda mencoba menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya, tetapi operasi gagal, status koneksi penyimpanan AWS CloudHSM kunci berubah menjadiFAILED. Untuk menemukan status koneksi penyimpanan AWS CloudHSM kunci, gunakan AWS KMS
konsol atau DescribeCustomKeyStoresoperasi.
Atau, beberapa upaya koneksi gagal dengan cepat karena kesalahan konfigurasi klaster dengan mudah terdeteksi. Dalam hal ini, status koneksi masihDISCONNECTED. Kegagalan ini mengembalikan pesan kesalahan atau pengecualian yang menjelaskan mengapa percobaan mengalami kegagalan. Tinjau deskripsi pengecualian dan persyaratan cluster, perbaiki masalah, perbarui toko AWS CloudHSM kunci, jika perlu, dan coba sambungkan lagi.
Ketika status koneksiFAILED, jalankan DescribeCustomKeyStoresoperasi dan lihat ConnectionErrorCode elemen dalam respons.
catatan
Ketika status koneksi penyimpanan AWS CloudHSM kunciFAILED, Anda harus memutuskan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkannya kembali. Anda tidak dapat menghubungkan toko AWS CloudHSM kunci dengan status FAILED koneksi.
-
CLUSTER_NOT_FOUNDmenunjukkan bahwa AWS KMS tidak dapat menemukan AWS CloudHSM cluster dengan ID cluster yang ditentukan. Hal ini mungkin terjadi karena ID klaster yang salah disediakan untuk operasi API atau klaster telah dihapus dan tidak diganti. Untuk memperbaiki kesalahan ini, verifikasi ID cluster, seperti dengan menggunakan AWS CloudHSM konsol atau DescribeClustersoperasi. Jika klaster telah dihapus, buat klaster dari cadangan terbaru dari aslinya. Kemudian, lepaskan penyimpanan AWS CloudHSM kunci, edit pengaturan ID cluster penyimpanan AWS CloudHSM kunci, dan sambungkan kembali penyimpanan AWS CloudHSM kunci ke cluster. -
INSUFFICIENT_CLOUDHSM_HSMSmenunjukkan bahwa AWS CloudHSM cluster terkait tidak mengandung apapun HSMs. Untuk menghubungkan, klaster harus memiliki minimal satu HSM. Untuk menemukan jumlah HSMs di cluster, gunakan DescribeClustersoperasi. Untuk mengatasi kesalahan ini, tambahkan minimal satu HSM ke klaster. Jika Anda menambahkan beberapa HSMs, yang terbaik adalah membuatnya di Availability Zone yang berbeda. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNETmenunjukkan bahwa tidak AWS KMS dapat menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya karena setidaknya satu subnet pribadi yang terkait dengan cluster tidak memiliki alamat IP yang tersedia. Koneksi penyimpanan AWS CloudHSM kunci memerlukan satu alamat IP gratis di masing-masing subnet pribadi terkait, meskipun dua lebih disukai.Anda tidak dapat menambahkan alamat IP
(blok CIDR) ke subnet yang ada. Jika memungkinkan, pindahkan atau hapus sumber daya lain yang menggunakan alamat IP di subnet, seperti EC2 contoh yang tidak digunakan atau antarmuka jaringan elastis. Jika tidak, Anda dapat membuat cluster dari cadangan klaster terbaru dengan subnet pribadi baru atau yang sudah ada yang memiliki lebih banyak ruang alamat kosong. AWS CloudHSM Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, lepaskan penyimpanan kunci kustom, ubah ID cluster penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi. Tip
Untuk menghindari pengaturan ulang kmsuser kata sandi, gunakan cadangan AWS CloudHSM klaster terbaru.
-
INTERNAL_ERRORmenunjukkan bahwa tidak AWS KMS dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. UntukConnectCustomKeyStorepermintaan, putuskan sambungan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkan lagi. -
INVALID_CREDENTIALSmenunjukkan bahwa AWS KMS tidak dapat masuk ke AWS CloudHSM cluster terkait karena tidak memiliki kata sandikmsuserakun yang benar. Untuk bantuan dengan kesalahan ini, lihat Cara memperbaiki kredensial kmsuser tidak valid. -
NETWORK_ERRORSbiasanya menunjukkan masalah jaringan sementara. Putuskan sambungan toko AWS CloudHSM kunci, tunggu beberapa menit, dan coba sambungkan lagi. -
SUBNET_NOT_FOUNDmenunjukkan bahwa setidaknya satu subnet dalam konfigurasi AWS CloudHSM cluster telah dihapus. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster gagal.Untuk memperbaiki kesalahan ini, buat cluster dari cadangan terbaru dari AWS CloudHSM cluster yang sama. (Proses ini membuat konfigurasi klaster baru dengan VPC dan subnet privat.) Pastikan klaster baru memenuhi persyaratan untuk penyimpanan kunci kustom, dan perhatikan ID klaster baru. Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, lepaskan penyimpanan kunci kustom, ubah ID cluster penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi.
Tip
Untuk menghindari pengaturan ulang kmsuser kata sandi, gunakan cadangan AWS CloudHSM klaster terbaru.
-
USER_LOCKED_OUTmenunjukkan bahwa akun pengguna kripto (CU) kmsuser dikunci dari klaster AWS CloudHSM yang terkait karena terlalu banyak upaya sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat Cara memperbaiki kredensial kmsuser tidak valid.Untuk memperbaiki kesalahan ini, lepaskan penyimpanan AWS CloudHSM kunci dan gunakan perintah perubahan kata sandi pengguna di CloudHSM CLI untuk mengubah kata sandi akun.
kmsuserKemudian, edit pengaturan kata sandi kmsuser untuk penyimpanan kunci kustom, dan coba untuk menyambungkan lagi. Untuk bantuan, gunakan prosedur yang dijelaskan dalam topik Cara memperbaiki kredensial kmsuser tidak valid. -
USER_LOGGED_INmenunjukkan bahwa akunkmsuserCU masuk ke AWS CloudHSM cluster terkait. Ini AWS KMS mencegah memutar kata sandikmsuserakun dan masuk ke cluster. Untuk memperbaiki kesalahan ini, logout CUkmsuserdari cluster. Jika Anda mengubahkmsuserkata sandi untuk masuk ke cluster, Anda juga harus memperbarui nilai kata sandi penyimpanan kunci untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat Cara logout dan menghubungkan kembali. -
USER_NOT_FOUNDmenunjukkan bahwa AWS KMS tidak dapat menemukan akunkmsuserCU di AWS CloudHSM cluster terkait. Untuk memperbaiki kesalahan ini, buat akun kmsuser CU di cluster, lalu perbarui nilai kata sandi penyimpanan kunci untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat Cara memperbaiki kredensial kmsuser tidak valid.
Bagaimana menanggapi kegagalan operasi kriptografi
Operasi kriptografi yang menggunakan kunci KMS di toko kunci khusus mungkin gagal dengan file. KMSInvalidStateException Pesan kesalahan berikut mungkin menyertaiKMSInvalidStateException.
| KMS tidak dapat berkomunikasi dengan klaster CloudHSM Anda. Ini mungkin masalah jaringan sementara. Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa aturan Jaringan ACLs dan grup keamanan untuk VPC AWS CloudHSM klaster Anda sudah benar. |
-
Meskipun ini adalah kesalahan HTTPS 400, mungkin ini adalah hasil dari masalah jaringan sementara. Untuk menanggapi, mulailah dengan mencoba kembali permintaan. Namun, jika terus gagal, periksa konfigurasi komponen jaringan Anda. Kesalahan ini kemungkinan besar disebabkan oleh kesalahan konfigurasi komponen jaringan, seperti aturan firewall atau aturan grup keamanan VPC yang memblokir lalu lintas keluar.
| KMS tidak dapat berkomunikasi dengan AWS CloudHSM cluster Anda karena kmsuser terkunci. Jika Anda melihat kesalahan ini berulang kali, lepaskan AWS CloudHSM kunci penyimpanan dan setel ulang kata sandi akun kmsuser. Perbarui kata sandi kmsuser untuk toko kunci khusus dan coba permintaan lagi. |
-
Pesan kesalahan ini menunjukkan bahwa akun pengguna kmsuser kripto (CU) dikunci dari AWS CloudHSM cluster terkait karena terlalu banyak upaya kata sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat Cara memutuskan koneksi dan login.
Cara memperbaiki kredensial kmsuser tidak valid
Saat Anda menghubungkan penyimpanan AWS CloudHSM kunci, AWS KMS masuk ke AWS CloudHSM klaster terkait sebagai pengguna kmsuser kripto (CU). Itu tetap masuk sampai toko AWS CloudHSM kunci terputus. Respons DescribeCustomKeyStores menunjukkan ConnectionState dari nilai FAILED dan ConnectionErrorCode dari INVALID_CREDENTIALS, seperti yang ditunjukkan dalam contoh berikut.
Jika Anda memutuskan penyimpanan AWS CloudHSM kunci dan mengubah kmsuser kata sandi, AWS KMS
tidak dapat masuk ke AWS CloudHSM cluster dengan kredensi akun CU. kmsuser Akibatnya, semua upaya untuk menghubungkan toko AWS CloudHSM kunci gagal. Respons DescribeCustomKeyStores menunjukkan ConnectionState dari nilai FAILED dan ConnectionErrorCode dari INVALID_CREDENTIALS, seperti yang ditunjukkan dalam contoh berikut.
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}Selain itu, setelah lima kali percobaan gagal untuk login ke klaster dengan kata sandi yang salah, AWS CloudHSM mengunci akun pengguna. Untuk login ke klaster, Anda harus mengubah kata sandi akun.
Jika AWS KMS mendapat respons penguncian saat mencoba masuk ke cluster sebagai kmsuser CU, permintaan untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal. DescribeCustomKeyStoresRespons termasuk ConnectionState dari FAILED dan ConnectionErrorCode nilaiUSER_LOCKED_OUT, seperti yang ditunjukkan pada contoh berikut.
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}Untuk memperbaiki salah satu kondisi ini, gunakan prosedur berikut.
-
Jalankan DescribeCustomKeyStoresoperasi dan lihat nilai
ConnectionErrorCodeelemen dalam respons.-
Jika nilai
ConnectionErrorCodeadalahINVALID_CREDENTIALS, tentukan kata sandi saat ini untuk akunkmsuser. Jika perlu, gunakan perintah perubahan kata sandi pengguna di CloudHSM CLI untuk mengatur kata sandi ke nilai yang diketahui. -
Jika
ConnectionErrorCodenilainyaUSER_LOCKED_OUT, Anda harus menggunakan perintah perubahan kata sandi pengguna di CloudHSM CLI untuk mengubah kata sandi.kmsuser
-
-
Edit pengaturan kata sandi kmsuser sehingga cocok dengan kata sandi
kmsusersaat ini dalam klaster. Tindakan ini memberi tahu kata sandi AWS KMS mana yang digunakan untuk login ke klaster. Itu tidak mengubah kata sandikmsuserdalam klaster.
Cara menghapus material kunci tanpa induk
Setelah menjadwalkan penghapusan kunci KMS dari penyimpanan AWS CloudHSM kunci, Anda mungkin perlu menghapus materi kunci yang sesuai secara manual dari cluster terkait. AWS CloudHSM
Saat Anda membuat kunci KMS di penyimpanan AWS CloudHSM kunci, AWS KMS buat metadata kunci KMS AWS KMS dan buat materi kunci di cluster terkait. AWS CloudHSM Saat Anda menjadwalkan penghapusan kunci KMS di toko AWS CloudHSM kunci, setelah masa tunggu, AWS KMS menghapus metadata kunci KMS. Kemudian AWS KMS lakukan upaya terbaik untuk menghapus materi kunci yang sesuai dari AWS CloudHSM cluster. Upaya mungkin gagal jika AWS KMS tidak dapat mengakses klaster, seperti ketika terputus dari penyimpanan AWS CloudHSM kunci atau perubahan kmsuser kata sandi. AWS KMS tidak mencoba menghapus materi kunci dari cadangan cluster.
AWS KMS melaporkan hasil upayanya untuk menghapus materi kunci dari cluster dalam entri DeleteKey peristiwa AWS CloudTrail log Anda. Muncul dalam backingKeysDeletionStatus elemen additionalEventData elemen, seperti yang ditunjukkan pada entri contoh berikut. Entri ini juga mencakup ARN kunci KMS, AWS CloudHSM ID cluster, dan ID backing-key-id () dari materi kunci.
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}Catatan
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, CloudHSM CLI. CloudHSM CLI key-handle menggantikan dengan. key-reference
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM CLI di Panduan Pengguna.AWS CloudHSM
Prosedur berikut menunjukkan cara menghapus materi kunci yatim piatu dari cluster terkait. AWS CloudHSM
-
Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu login, seperti yang dijelaskan di. Cara memutuskan koneksi dan login
catatan
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.
-
Gunakan perintah hapus kunci di CloudHSM CLI untuk menghapus kunci HSMs dari dalam cluster.
Semua entri CloudTrail log untuk operasi kriptografi dengan kunci KMS di toko AWS CloudHSM kunci menyertakan
additionalEventDatabidang dengan dan.customKeyStoreIdbackingKeyNilai yang dikembalikan dibackingKeyIdbidang adalah atribut kunciidCloudHSM. Kami menyarankaniduntuk memfilter operasi penghapusan kunci dengan menghapus materi kunci yatim piatu yang Anda identifikasi di log Anda. CloudTrailAWS CloudHSM mengenali
backingKeyIdnilai sebagai nilai heksadesimal. Untuk memfilterid, Anda harus menambahkan dengan.backingKeyIdOxMisalnya, jikabackingKeyIddi CloudTrail log Anda1a2b3c45678abcdef, Anda akan memfilter berdasarkan0x1a2b3c45678abcdef.Contoh berikut menghapus kunci dari HSMs dalam cluster Anda.
backing-key-idIni tercantum dalam entri CloudTrail log. Sebelum menjalankan perintah ini, ganti contohbacking-key-iddengan yang valid dari akun Anda.aws-cloudhsmkey delete --filter attr.id="0x<backing-key-id>"{ "error_code": 0, "data": { "message": "Key deleted successfully" } } -
Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan diCara logout dan menghubungkan kembali.
Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS
Jika materi kunci untuk sebuah AWS KMS key dihapus, kunci KMS tidak dapat digunakan dan semua ciphertext yang dienkripsi di bawah kunci KMS tidak dapat didekripsi. Hal ini dapat terjadi jika materi kunci untuk kunci KMS di penyimpanan AWS CloudHSM kunci dihapus dari AWS CloudHSM cluster terkait. Namun, itu mungkin untuk memulihkan material kunci.
Saat Anda membuat AWS KMS key (kunci KMS) di penyimpanan AWS CloudHSM kunci, AWS KMS log ke AWS CloudHSM cluster terkait dan membuat materi kunci untuk kunci KMS. Ini juga mengubah kata sandi ke nilai yang hanya diketahui dan tetap masuk selama penyimpanan AWS CloudHSM kunci terhubung. Karena hanya pemilik kunci, yaitu CU yang membuat kunci, dapat menghapus kunci, kecil kemungkinannya kunci akan dihapus dari yang HSMs tidak sengaja.
Namun, jika materi kunci untuk kunci KMS dihapus dari HSMs dalam cluster, status kunci dari kunci KMS akhirnya berubah menjadi. UNAVAILABLE Jika Anda mencoba menggunakan kunci KMS untuk operasi kriptografi, operasi gagal dengan KMSInvalidStateException pengecualian. Yang terpenting, data apa pun yang dienkripsi di bawah kunci KMS tidak dapat didekripsi.
Dalam keadaan tertentu, Anda dapat memulihkan material kunci yang dihapus dengan membuat klaster dari cadangan yang berisi material utama. Strategi ini hanya berfungsi ketika setidaknya satu cadangan dibuat sementara kunci pernah ada dan sebelumnya dihapus.
Gunakan proses berikut untuk memulihkan material utama.
-
Temukan cadangan klaster yang berisi material kunci. Cadangan juga harus berisi semua pengguna dan kunci yang Anda butuhkan untuk mendukung klaster dan data terenkripsinya.
Gunakan DescribeBackupsoperasi untuk membuat daftar cadangan untuk sebuah cluster. Kemudian gunakan stempel waktu cadangan untuk membantu Anda memilih cadangan. Untuk membatasi output ke cluster yang terkait dengan penyimpanan AWS CloudHSM kunci, gunakan
Filtersparameter, seperti yang ditunjukkan pada contoh berikut.$aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] } -
Buat klaster dari cadangan yang dipilih. Verifikasi bahwa cadangan berisi kunci yang dihapus serta pengguna lain dan kunci yang diperlukan klaster.
-
Putuskan sambungan toko AWS CloudHSM kunci sehingga Anda dapat mengedit propertinya.
-
Edit ID cluster dari penyimpanan AWS CloudHSM kunci. Masukkan ID klaster dari klaster yang Anda buat dari cadangan. Karena klaster berbagi riwayat cadangan dengan klaster asli, ID klaster yang baru harus valid.
Cara login sebagai kmsuser
Untuk membuat dan mengelola materi utama di AWS CloudHSM cluster untuk toko AWS CloudHSM kunci Anda, AWS KMS gunakan akun pengguna kmsuser kripto (CU). Anda membuat akun kmsuser CU di cluster Anda dan memberikan kata sandinya AWS KMS saat Anda membuat toko AWS CloudHSM kunci Anda.
Secara umum, AWS KMS mengelola kmsuser akun. Namun, untuk beberapa tugas, Anda perlu memutuskan penyimpanan AWS CloudHSM kunci, masuk ke cluster sebagai kmsuser CU, dan menggunakan CloudHSM Command Line Interface (CLI).
catatan
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.
Topik ini menjelaskan cara memutuskan penyimpanan AWS CloudHSM kunci Anda dan masuk sebagaikmsuser, menjalankan alat baris AWS CloudHSM perintah, dan keluar dan menghubungkan kembali toko AWS CloudHSM kunci Anda.
Cara memutuskan koneksi dan login
Gunakan prosedur berikut setiap kali perlu masuk ke cluster terkait sebagai pengguna kmsuser kripto.
Catatan
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, CloudHSM CLI. CloudHSM CLI key-handle menggantikan dengan. key-reference
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM CLI di Panduan Pengguna.AWS CloudHSM
-
Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus. Anda dapat menggunakan AWS KMS konsol atau AWS KMS API.
Saat AWS CloudHSM kunci Anda AWS KMS terhubung, masuk sebagai file
kmsuser. Hal ini mencegah Anda login sebagaikmsuseratau mengubah kata sandikmsuser.Misalnya, perintah ini digunakan DisconnectCustomKeyStoreuntuk memutuskan sambungan penyimpanan kunci contoh. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Gunakan perintah login untuk login sebagai admin. Gunakan prosedur yang dijelaskan di bagian Menggunakan CloudHSM CLI dari Panduan Pengguna.AWS CloudHSM
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Gunakan perintah perubahan kata sandi pengguna di CloudHSM CLI untuk mengubah kata sandi akun menjadi kata sandi yang Anda ketahui.
kmsuser(AWS KMS memutar kata sandi saat Anda menghubungkan toko AWS CloudHSM kunci Anda.) Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus. -
Login seperti
kmsusermenggunakan kata sandi yang Anda tetapkan. Untuk petunjuk terperinci, lihat bagian Menggunakan CloudHSM CLI pada Panduan Pengguna.AWS CloudHSMaws-cloudhsm >login --username kmsuser --role crypto-userEnter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Cara logout dan menghubungkan kembali
Gunakan prosedur berikut setiap kali Anda harus keluar sebagai pengguna kmsuser kripto dan sambungkan kembali toko kunci Anda.
Catatan
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, CloudHSM CLI. CloudHSM CLI key-handle menggantikan dengan. key-reference
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM CLI di Panduan Pengguna.AWS CloudHSM
-
Lakukan tugas, lalu gunakan perintah logout di CloudHSM CLI untuk keluar. Jika Anda tidak keluar, upaya untuk menghubungkan kembali toko AWS CloudHSM kunci Anda akan gagal.
aws-cloudhsmlogout{ "error_code": 0, "data": "Logout successful" } -
Edit pengaturan kata sandi kmsuser untuk penyimpanan kunci kustom.
Ini memberi tahu AWS KMS kata sandi saat ini untuk
kmsuserdi cluster. Jika Anda menghilangkan langkah ini, tidak AWS KMS akan dapat masuk ke cluster sebagaikmsuser, dan semua upaya untuk menghubungkan kembali toko kunci kustom Anda akan gagal. Anda dapat menggunakan AWS KMS konsol atauKeyStorePasswordparameter UpdateCustomKeyStoreoperasi.Misalnya, perintah ini memberi tahu AWS KMS bahwa kata sandi saat ini adalah
tempPassword. Ganti contoh kata sandi dengan kata sandi yang sebenarnya.$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--key-store-passwordtempPassword -
Hubungkan kembali toko AWS KMS kunci ke AWS CloudHSM klasternya. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid. Selama proses koneksi, AWS KMS ubah
kmsuserkata sandi ke nilai yang hanya diketahui.ConnectCustomKeyStoreOperasi kembali dengan cepat, tetapi proses koneksi dapat memakan waktu lama. Respons awal tidak menunjukkan keberhasilan proses koneksi.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Gunakan DescribeCustomKeyStoresoperasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.
Dalam contoh ini, bidang status koneksi menunjukkan bahwa penyimpanan AWS CloudHSM kunci sekarang terhubung.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
