Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Memecahkan masalah penyimpanan kunci kustom
AWS CloudHSM toko-toko utama dirancang agar tersedia dan tangguh. Namun, ada beberapa kondisi kesalahan yang mungkin harus Anda perbaiki agar toko AWS CloudHSM kunci Anda tetap beroperasi.
**Topics**
+ [Cara memperbaiki kunci KMS yang tidak tersedia](#fix-unavailable-cmks)
+ [Cara memperbaiki kunci KMS yang gagal](#fix-cmk-failed)
+ [Cara memperbaiki kegagalan koneksi](#fix-keystore-failed)
+ [Bagaimana menanggapi kegagalan operasi kriptografi](#fix-keystore-communication)
+ [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password)
+ [Cara menghapus material kunci tanpa induk](#fix-keystore-orphaned-key)
+ [Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS](#fix-keystore-recover-backing-key)
+ [Cara login sebagai `kmsuser`](#fix-login-as-kmsuser)
## Cara memperbaiki kunci KMS yang tidak tersedia
[Keadaan kunci](key-state.md) AWS KMS keys di toko AWS CloudHSM kunci biasanya`Enabled`. Seperti semua kunci KMS, status kunci berubah ketika Anda menonaktifkan kunci KMS di toko AWS CloudHSM kunci atau menjadwalkannya untuk dihapus. Namun, tidak seperti kunci KMS lainnya, kunci KMS di toko kunci khusus juga dapat memiliki [status kunci](key-state.md). `Unavailable`
Status kunci `Unavailable` menunjukkan bahwa kunci KMS berada di penyimpanan kunci khusus yang sengaja [terputus](disconnect-keystore.md) dan mencoba untuk menghubungkannya kembali, jika ada, gagal. [Meskipun kunci KMS tidak tersedia, Anda dapat melihat dan mengelola kunci KMS, tetapi Anda tidak dapat menggunakannya untuk operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)
Untuk menemukan status kunci kunci KMS, pada halaman **Kunci yang dikelola Pelanggan**, lihat bidang **Status** kunci KMS. Atau, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi dan lihat `KeyState` elemen dalam respons. Lihat perinciannya di [Identifikasi dan lihat kunci](viewing-keys.md).
Kunci KMS di toko kunci kustom yang terputus akan memiliki status kunci atau. `Unavailable` `PendingDeletion` Kunci KMS yang dijadwalkan untuk dihapus dari toko kunci khusus memiliki status `Pending Deletion` kunci, bahkan ketika toko kunci khusus terputus. Hal ini memungkinkan Anda membatalkan penghapusan kunci terjadwal tanpa menghubungkan kembali penyimpanan kunci kustom.
Untuk memperbaiki kunci KMS yang tidak tersedia, [sambungkan kembali toko kunci kustom](disconnect-keystore.md). Setelah penyimpanan kunci kustom terhubung kembali, status kunci kunci KMS di toko kunci kustom secara otomatis dikembalikan ke keadaan sebelumnya, seperti `Enabled` atau. `Disabled` Kunci KMS yang tertunda penghapusan tetap berada di negara bagian. `PendingDeletion` Namun, sementara masalah tetap ada, [mengaktifkan dan menonaktifkan kunci KMS yang tidak tersedia tidak mengubah status kuncinya](enabling-keys.md). Tindakan mengaktifkan atau menonaktifkan hanya berlaku ketika kunci menjadi tersedia.
Untuk bantuan dengan koneksi yang gagal, lihat [Cara memperbaiki kegagalan koneksi](#fix-keystore-failed).
## Cara memperbaiki kunci KMS yang gagal
Masalah dengan membuat dan menggunakan kunci KMS di toko-toko AWS CloudHSM utama dapat disebabkan oleh masalah dengan toko AWS CloudHSM kunci Anda, AWS CloudHSM cluster terkait, kunci KMS, atau materi utamanya.
Ketika penyimpanan AWS CloudHSM kunci terputus dari AWS CloudHSM klasternya, status kunci kunci KMS di toko kunci kustom adalah. `Unavailable` Semua permintaan untuk membuat kunci KMS di toko AWS CloudHSM kunci yang terputus mengembalikan pengecualian. `CustomKeyStoreInvalidStateException` Semua permintaan untuk mengenkripsi, mendekripsi, mengenkripsi ulang, atau menghasilkan kunci data mengembalikan pengecualian `KMSInvalidStateException`. Untuk memperbaiki masalah, [sambungkan kembali toko AWS CloudHSM kunci](connect-keystore.md).
Namun, upaya Anda untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci untuk [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) mungkin gagal bahkan ketika status kuncinya `Enabled` dan status koneksi penyimpanan AWS CloudHSM kunci adalah. `Connected` Ini mungkin disebabkan oleh salah satu kondisi berikut.
+ Materi kunci untuk kunci KMS mungkin telah dihapus dari AWS CloudHSM cluster terkait. Untuk menyelidiki, [temukan id kunci](find-handle-for-cmk-id.md) dari bahan kunci untuk kunci KMS dan, jika perlu, cobalah untuk [memulihkan materi kunci](#fix-keystore-recover-backing-key).
+ Semua HSMs dihapus dari AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci dalam operasi kriptografi, AWS CloudHSM klaster harus berisi setidaknya satu HSM aktif. Untuk memverifikasi jumlah dan status HSMs dalam sebuah AWS CloudHSM cluster, [gunakan AWS CloudHSM konsol](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Untuk menambahkan HSM ke cluster, gunakan AWS CloudHSM konsol atau [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operasi.
+ AWS CloudHSM Cluster yang terkait dengan penyimpanan AWS CloudHSM kunci telah dihapus. Untuk memperbaiki masalah, [buat klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) yang berkaitan dengan klaster asli, seperti cadangan klaster asli, atau cadangan yang digunakan untuk membuat klaster asli. Kemudian, [edit ID klaster](update-keystore.md) dalam pengaturan penyimpanan kunci kustom. Untuk petunjuk, lihat [Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS](#fix-keystore-recover-backing-key).
+ AWS CloudHSM Cluster yang terkait dengan penyimpanan kunci khusus tidak memiliki sesi PKCS \$111 yang tersedia. Ini biasanya terjadi selama periode lalu lintas burst tinggi ketika sesi tambahan diperlukan untuk melayani lalu lintas. Untuk menanggapi `KMSInternalException` dengan pesan kesalahan tentang sesi PKCS \$111, mundur dan coba lagi permintaan tersebut.
## Cara memperbaiki kegagalan koneksi
Jika Anda mencoba [menghubungkan penyimpanan AWS CloudHSM kunci](connect-keystore.md) ke AWS CloudHSM klasternya, tetapi operasi gagal, status koneksi penyimpanan AWS CloudHSM kunci berubah menjadi`FAILED`. Untuk menemukan status koneksi penyimpanan AWS CloudHSM kunci, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.
Atau, beberapa upaya koneksi gagal dengan cepat karena kesalahan konfigurasi klaster dengan mudah terdeteksi. Dalam hal ini, status koneksi masih`DISCONNECTED`. Kegagalan ini mengembalikan pesan kesalahan atau [pengecualian](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) yang menjelaskan mengapa percobaan mengalami kegagalan. Tinjau deskripsi pengecualian dan [persyaratan cluster](create-keystore.md#before-keystore), perbaiki masalah, [perbarui toko AWS CloudHSM kunci](update-keystore.md), jika perlu, dan coba sambungkan lagi.
Ketika status koneksi`FAILED`, jalankan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi dan lihat `ConnectionErrorCode` elemen dalam respons.
**catatan**
Ketika status koneksi penyimpanan AWS CloudHSM kunci`FAILED`, Anda harus [memutuskan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkannya](disconnect-keystore.md) kembali. Anda tidak dapat menghubungkan toko AWS CloudHSM kunci dengan status `FAILED` koneksi.
+ `CLUSTER_NOT_FOUND`menunjukkan bahwa AWS KMS tidak dapat menemukan AWS CloudHSM cluster dengan ID cluster yang ditentukan. Hal ini mungkin terjadi karena ID klaster yang salah disediakan untuk operasi API atau klaster telah dihapus dan tidak diganti. Untuk memperbaiki kesalahan ini, verifikasi ID cluster, seperti dengan menggunakan AWS CloudHSM konsol atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Jika klaster telah dihapus, [buat klaster dari cadangan terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari aslinya. Kemudian, [lepaskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md), [edit pengaturan ID cluster penyimpanan AWS CloudHSM kunci](update-keystore.md), dan [sambungkan kembali penyimpanan AWS CloudHSM kunci](connect-keystore.md) ke cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`menunjukkan bahwa AWS CloudHSM cluster terkait tidak mengandung apapun HSMs. Untuk menghubungkan, klaster harus memiliki minimal satu HSM. Untuk menemukan jumlah HSMs di cluster, gunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Untuk mengatasi kesalahan ini, [tambahkan minimal satu HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) ke klaster. Jika Anda menambahkan beberapa HSMs, yang terbaik adalah membuatnya di Availability Zone yang berbeda.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`menunjukkan bahwa tidak AWS KMS dapat menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya karena setidaknya satu [subnet pribadi yang terkait dengan cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) tidak memiliki alamat IP yang tersedia. Koneksi penyimpanan AWS CloudHSM kunci memerlukan satu alamat IP gratis di masing-masing subnet pribadi terkait, meskipun dua lebih disukai.
Anda [tidak dapat menambahkan alamat IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blok CIDR) ke subnet yang ada. Jika memungkinkan, pindahkan atau hapus sumber daya lain yang menggunakan alamat IP di subnet, seperti instans EC2 yang tidak digunakan atau antarmuka jaringan elastis. Jika tidak, Anda dapat [membuat cluster dari cadangan klaster terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dengan subnet pribadi baru atau yang sudah ada yang memiliki [lebih banyak ruang alamat kosong](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing). AWS CloudHSM Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, [lepaskan penyimpanan kunci kustom](disconnect-keystore.md), [ubah ID cluster](update-keystore.md) penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi.
**Tip**
Untuk menghindari [pengaturan ulang `kmsuser` kata sandi](#fix-keystore-password), gunakan cadangan AWS CloudHSM klaster terbaru.
+ `INTERNAL_ERROR`menunjukkan bahwa tidak AWS KMS dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. Untuk `ConnectCustomKeyStore` permintaan, putuskan sambungan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkan lagi.
+ `INVALID_CREDENTIALS`menunjukkan bahwa AWS KMS tidak dapat masuk ke AWS CloudHSM cluster terkait karena tidak memiliki kata sandi `kmsuser` akun yang benar. Untuk bantuan dengan kesalahan ini, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
+ `NETWORK_ERRORS` biasanya menunjukkan masalah jaringan sementara. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md), tunggu beberapa menit, dan coba sambungkan lagi.
+ `SUBNET_NOT_FOUND`menunjukkan bahwa setidaknya satu subnet dalam konfigurasi AWS CloudHSM cluster telah dihapus. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster gagal.
Untuk memperbaiki kesalahan ini, [buat cluster dari cadangan terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari AWS CloudHSM cluster yang sama. (Proses ini membuat konfigurasi klaster baru dengan VPC dan subnet privat.) Pastikan klaster baru memenuhi [persyaratan untuk penyimpanan kunci kustom](create-keystore.md#before-keystore), dan perhatikan ID klaster baru. Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, [lepaskan penyimpanan kunci kustom](disconnect-keystore.md), [ubah ID cluster](update-keystore.md) penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi.
**Tip**
Untuk menghindari [pengaturan ulang `kmsuser` kata sandi](#fix-keystore-password), gunakan cadangan AWS CloudHSM klaster terbaru.
+ `USER_LOCKED_OUT` menunjukkan bahwa [akun pengguna kripto (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) dikunci dari klaster AWS CloudHSM yang terkait karena terlalu banyak upaya sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
Untuk memperbaiki kesalahan ini, [lepaskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md) dan gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) akun. `kmsuser` Kemudian, [edit pengaturan kata sandi `kmsuser`](update-keystore.md) untuk penyimpanan kunci kustom, dan coba untuk menyambungkan lagi. Untuk bantuan, gunakan prosedur yang dijelaskan dalam topik [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
+ `USER_LOGGED_IN`menunjukkan bahwa akun `kmsuser` CU masuk ke AWS CloudHSM cluster terkait. Ini AWS KMS mencegah memutar kata sandi `kmsuser` akun dan masuk ke cluster. Untuk memperbaiki kesalahan ini, logout CU `kmsuser` dari cluster. Jika Anda mengubah `kmsuser` kata sandi untuk masuk ke cluster, Anda juga harus memperbarui nilai kata sandi penyimpanan kunci untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat [Cara logout dan menghubungkan kembali](#login-kmsuser-2).
+ `USER_NOT_FOUND`menunjukkan bahwa AWS KMS tidak dapat menemukan akun `kmsuser` CU di AWS CloudHSM cluster terkait. Untuk memperbaiki kesalahan ini, [buat akun `kmsuser` CU](create-keystore.md#kmsuser-concept) di cluster, lalu [perbarui nilai kata sandi penyimpanan kunci](update-keystore.md) untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
## Bagaimana menanggapi kegagalan operasi kriptografi
Operasi kriptografi yang menggunakan kunci KMS di toko kunci khusus mungkin gagal dengan file. `KMSInvalidStateException` Pesan kesalahan berikut mungkin menyertai`KMSInvalidStateException`.
| |
| --- |
| KMS tidak dapat berkomunikasi dengan klaster CloudHSM Anda. Ini mungkin masalah jaringan sementara. Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa aturan Jaringan ACLs dan grup keamanan untuk VPC AWS CloudHSM klaster Anda sudah benar. |
+ Meskipun ini adalah kesalahan HTTPS 400, mungkin ini adalah hasil dari masalah jaringan sementara. Untuk menanggapi, mulailah dengan mencoba kembali permintaan. Namun, jika terus gagal, periksa konfigurasi komponen jaringan Anda. Kesalahan ini kemungkinan besar disebabkan oleh kesalahan konfigurasi komponen jaringan, seperti aturan firewall atau aturan grup keamanan VPC yang memblokir lalu lintas keluar. Misalnya, KMS tidak dapat berkomunikasi dengan AWS CloudHSM cluster. IPv6 Untuk detail tentang prasyarat, lihat. [Buat toko AWS CloudHSM kunci](create-keystore.md)
| |
| --- |
| KMS tidak dapat berkomunikasi dengan AWS CloudHSM cluster Anda karena kmsuser terkunci. Jika Anda melihat kesalahan ini berulang kali, lepaskan AWS CloudHSM kunci penyimpanan dan setel ulang kata sandi akun kmsuser. Perbarui kata sandi kmsuser untuk toko kunci khusus dan coba permintaan lagi. |
+ Pesan kesalahan ini menunjukkan bahwa [akun pengguna `kmsuser` kripto (CU)](keystore-cloudhsm.md#concept-kmsuser) dikunci dari AWS CloudHSM cluster terkait karena terlalu banyak upaya kata sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat [Cara memutuskan koneksi dan login](#login-kmsuser-1).
## Cara memperbaiki kredensial `kmsuser` tidak valid
Saat Anda [menghubungkan penyimpanan AWS CloudHSM kunci](connect-keystore.md), AWS KMS masuk ke AWS CloudHSM klaster terkait sebagai [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) (CU). Itu tetap masuk sampai toko AWS CloudHSM kunci terputus. Respons [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) menunjukkan `ConnectionState` dari nilai `FAILED` dan `ConnectionErrorCode` dari `INVALID_CREDENTIALS`, seperti yang ditunjukkan dalam contoh berikut.
Jika Anda memutuskan penyimpanan AWS CloudHSM kunci dan mengubah `kmsuser` kata sandi, AWS KMS tidak dapat masuk ke AWS CloudHSM cluster dengan kredensi akun CU. `kmsuser` Akibatnya, semua upaya untuk menghubungkan toko AWS CloudHSM kunci gagal. Respons `DescribeCustomKeyStores` menunjukkan `ConnectionState` dari nilai `FAILED` dan `ConnectionErrorCode` dari `INVALID_CREDENTIALS`, seperti yang ditunjukkan dalam contoh berikut.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Selain itu, setelah lima kali percobaan gagal untuk login ke klaster dengan kata sandi yang salah, AWS CloudHSM mengunci akun pengguna. Untuk login ke klaster, Anda harus mengubah kata sandi akun.
Jika AWS KMS mendapat respons penguncian saat mencoba masuk ke cluster sebagai `kmsuser` CU, permintaan untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Respons termasuk `ConnectionState` dari `FAILED` dan `ConnectionErrorCode` nilai`USER_LOCKED_OUT`, seperti yang ditunjukkan pada contoh berikut.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Untuk memperbaiki salah satu kondisi ini, gunakan prosedur berikut.
1. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md).
1. Jalankan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi dan lihat nilai `ConnectionErrorCode` elemen dalam respons.
+ Jika nilai `ConnectionErrorCode` adalah `INVALID_CREDENTIALS`, tentukan kata sandi saat ini untuk akun `kmsuser`. Jika perlu, gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengatur kata sandi ke nilai yang diketahui.
+ Jika `ConnectionErrorCode` nilainya`USER_LOCKED_OUT`, Anda harus menggunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengubah kata sandi. `kmsuser`
1. [Edit pengaturan kata sandi `kmsuser`](update-keystore.md) sehingga cocok dengan kata sandi `kmsuser` saat ini dalam klaster. Tindakan ini memberi tahu kata sandi AWS KMS mana yang digunakan untuk login ke klaster. Itu tidak mengubah kata sandi `kmsuser` dalam klaster.
1. [Hubungkan penyimpanan kunci kustom](connect-keystore.md).
## Cara menghapus material kunci tanpa induk
Setelah menjadwalkan penghapusan kunci KMS dari penyimpanan AWS CloudHSM kunci, Anda mungkin perlu menghapus materi kunci yang sesuai secara manual dari cluster terkait. AWS CloudHSM
Saat Anda membuat kunci KMS di penyimpanan AWS CloudHSM kunci, AWS KMS buat metadata kunci KMS AWS KMS dan buat materi kunci di cluster terkait. AWS CloudHSM Saat Anda menjadwalkan penghapusan kunci KMS di toko AWS CloudHSM kunci, setelah masa tunggu, AWS KMS menghapus metadata kunci KMS. Kemudian AWS KMS lakukan upaya terbaik untuk menghapus materi kunci yang sesuai dari AWS CloudHSM cluster. Upaya mungkin gagal jika AWS KMS tidak dapat mengakses klaster, seperti ketika terputus dari penyimpanan AWS CloudHSM kunci atau perubahan `kmsuser` kata sandi. AWS KMS tidak mencoba menghapus materi kunci dari cadangan cluster.
AWS KMS melaporkan hasil upayanya untuk menghapus materi kunci dari cluster dalam entri `DeleteKey` peristiwa AWS CloudTrail log Anda. Muncul dalam `backingKeysDeletionStatus` elemen `additionalEventData` elemen, seperti yang ditunjukkan pada entri contoh berikut. Entri ini juga mencakup ARN kunci KMS, AWS CloudHSM ID cluster, dan ID `backing-key-id` () dari materi kunci.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
**Catatan**
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *
Prosedur berikut menunjukkan cara menghapus materi kunci yatim piatu dari cluster terkait. AWS CloudHSM
1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), seperti yang dijelaskan di. [Cara memutuskan koneksi dan login](#login-kmsuser-1)
**catatan**
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.
1. Gunakan perintah [hapus kunci](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) di CloudHSM CLI untuk menghapus kunci HSMs dari dalam cluster.
Semua entri CloudTrail log untuk operasi kriptografi dengan kunci KMS di toko AWS CloudHSM kunci menyertakan `additionalEventData` bidang dengan dan. `customKeyStoreId` `backingKey` Nilai yang dikembalikan di `backingKeyId` bidang adalah atribut kunci `id` CloudHSM. Kami menyarankan `id` untuk memfilter operasi **penghapusan kunci dengan menghapus** materi kunci yatim piatu yang Anda identifikasi di log Anda. CloudTrail
AWS CloudHSM mengenali `backingKeyId` nilai sebagai nilai heksadesimal. Untuk memfilter`id`, Anda harus menambahkan dengan. `backingKeyId` `Ox` Misalnya, jika `backingKeyId` di CloudTrail log Anda`1a2b3c45678abcdef`, Anda akan memfilter berdasarkan`0x1a2b3c45678abcdef`.
Contoh berikut menghapus kunci dari HSMs dalam cluster Anda. `backing-key-id`Ini tercantum dalam entri CloudTrail log. Sebelum menjalankan perintah ini, ganti contoh `backing-key-id` dengan yang valid dari akun Anda.
```
aws-cloudhsm key delete --filter attr.id="0x"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
1. Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan di[Cara logout dan menghubungkan kembali](#login-kmsuser-2).
## Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS
Jika materi kunci untuk sebuah AWS KMS key dihapus, kunci KMS tidak dapat digunakan dan semua ciphertext yang dienkripsi di bawah kunci KMS tidak dapat didekripsi. Hal ini dapat terjadi jika materi kunci untuk kunci KMS di penyimpanan AWS CloudHSM kunci dihapus dari AWS CloudHSM cluster terkait. Namun, itu mungkin untuk memulihkan material kunci.
Saat Anda membuat AWS KMS key (kunci KMS) di penyimpanan AWS CloudHSM kunci, AWS KMS log ke AWS CloudHSM cluster terkait dan membuat materi kunci untuk kunci KMS. Ini juga mengubah kata sandi ke nilai yang hanya diketahui dan tetap masuk selama penyimpanan AWS CloudHSM kunci terhubung. Karena hanya pemilik kunci, yaitu CU yang membuat kunci, dapat menghapus kunci, kecil kemungkinan kunci akan dihapus dari yang HSMs tidak sengaja.
Namun, jika materi kunci untuk kunci KMS dihapus dari HSMs dalam cluster, status kunci dari kunci KMS akhirnya berubah menjadi. `UNAVAILABLE` Jika Anda mencoba menggunakan kunci KMS untuk operasi kriptografi, operasi gagal dengan `KMSInvalidStateException` pengecualian. Yang terpenting, data apa pun yang dienkripsi di bawah kunci KMS tidak dapat didekripsi.
Dalam keadaan tertentu, Anda dapat memulihkan material kunci yang dihapus dengan [membuat klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) yang berisi material utama. Strategi ini hanya berfungsi ketika setidaknya satu cadangan dibuat sementara kunci pernah ada dan sebelumnya dihapus.
Gunakan proses berikut untuk memulihkan material utama.
1. Temukan cadangan klaster yang berisi material kunci. Cadangan juga harus berisi semua pengguna dan kunci yang Anda butuhkan untuk mendukung klaster dan data terenkripsinya.
Gunakan [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operasi untuk membuat daftar cadangan untuk sebuah cluster. Kemudian gunakan stempel waktu cadangan untuk membantu Anda memilih cadangan. Untuk membatasi output ke cluster yang terkait dengan penyimpanan AWS CloudHSM kunci, gunakan `Filters` parameter, seperti yang ditunjukkan pada contoh berikut.
```
$ aws cloudhsmv2 describe-backups --filters clusterIds=
{
"Backups": [
{
"ClusterId": "cluster-1a23b4cdefg",
"BackupId": "backup-9g87f6edcba",
"CreateTimestamp": 1536667238.328,
"BackupState": "READY"
},
...
]
}
```
1. [Buat klaster dari cadangan yang dipilih](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Verifikasi bahwa cadangan berisi kunci yang dihapus serta pengguna lain dan kunci yang diperlukan klaster.
1. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md) sehingga Anda dapat mengedit propertinya.
1. [Edit ID cluster](update-keystore.md) dari penyimpanan AWS CloudHSM kunci. Masukkan ID klaster dari klaster yang Anda buat dari cadangan. Karena klaster berbagi riwayat cadangan dengan klaster asli, ID klaster yang baru harus valid.
1. [Hubungkan kembali toko AWS CloudHSM kunci](connect-keystore.md).
## Cara login sebagai `kmsuser`
Untuk membuat dan mengelola materi utama di AWS CloudHSM cluster untuk toko AWS CloudHSM kunci Anda, AWS KMS gunakan [akun pengguna `kmsuser` kripto (CU)](keystore-cloudhsm.md#concept-kmsuser). Anda [membuat akun `kmsuser` CU](create-keystore.md#before-keystore) di cluster Anda dan memberikan kata sandinya AWS KMS saat Anda membuat toko AWS CloudHSM kunci Anda.
Secara umum, AWS KMS mengelola `kmsuser` akun. Namun, untuk beberapa tugas, Anda perlu memutuskan penyimpanan AWS CloudHSM kunci, masuk ke cluster sebagai `kmsuser` CU, dan menggunakan [CloudHSM Command Line Interface](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) (CLI).
**catatan**
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.
Topik ini menjelaskan cara [memutuskan penyimpanan AWS CloudHSM kunci Anda dan masuk](#login-kmsuser-1) sebagai`kmsuser`, menjalankan alat baris AWS CloudHSM perintah, dan [keluar dan menghubungkan kembali toko AWS CloudHSM kunci Anda](#login-kmsuser-2).
**Topics**
+ [Cara memutuskan koneksi dan login](#login-kmsuser-1)
+ [Cara logout dan menghubungkan kembali](#login-kmsuser-2)
### Cara memutuskan koneksi dan login
Gunakan prosedur berikut setiap kali perlu masuk ke cluster terkait sebagai pengguna `kmsuser` kripto.
**Catatan**
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *
1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus. Anda dapat menggunakan AWS KMS konsol atau AWS KMS API.
Saat AWS CloudHSM kunci Anda AWS KMS terhubung, masuk sebagai file`kmsuser`. Hal ini mencegah Anda login sebagai `kmsuser` atau mengubah kata sandi `kmsuser`.
Misalnya, perintah ini digunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)untuk memutuskan sambungan penyimpanan kunci contoh. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Gunakan perintah **login** untuk login sebagai admin. *Gunakan prosedur yang dijelaskan di bagian [Menggunakan CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI dari Panduan Pengguna.AWS CloudHSM *
```
aws-cloudhsm > login --username admin --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
1. Gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengubah kata sandi akun menjadi kata sandi yang Anda ketahui. `kmsuser` (AWS KMS memutar kata sandi saat Anda menghubungkan toko AWS CloudHSM kunci Anda.) Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.
1. Login seperti `kmsuser` menggunakan kata sandi yang Anda tetapkan. *Untuk petunjuk terperinci, lihat bagian [Menggunakan CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI pada Panduan Pengguna.AWS CloudHSM *
```
aws-cloudhsm > login --username kmsuser --role crypto-user
Enter password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
### Cara logout dan menghubungkan kembali
Gunakan prosedur berikut setiap kali Anda harus keluar sebagai pengguna `kmsuser` kripto dan sambungkan kembali toko kunci Anda.
**Catatan**
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *
1. Lakukan tugas, lalu gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) di CloudHSM CLI untuk keluar. Jika Anda tidak keluar, upaya untuk menghubungkan kembali toko AWS CloudHSM kunci Anda akan gagal.
```
aws-cloudhsm logout
{
"error_code": 0,
"data": "Logout successful"
}
```
1. [Edit pengaturan kata sandi `kmsuser`](update-keystore.md) untuk penyimpanan kunci kustom.
Ini memberi tahu AWS KMS kata sandi saat ini untuk `kmsuser` di cluster. Jika Anda menghilangkan langkah ini, tidak AWS KMS akan dapat masuk ke cluster sebagai`kmsuser`, dan semua upaya untuk menghubungkan kembali toko kunci kustom Anda akan gagal. Anda dapat menggunakan AWS KMS konsol atau `KeyStorePassword` parameter [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.
Misalnya, perintah ini memberi tahu AWS KMS bahwa kata sandi saat ini adalah`tempPassword`. Ganti contoh kata sandi dengan kata sandi yang sebenarnya.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
```
1. Hubungkan kembali toko AWS KMS kunci ke AWS CloudHSM klasternya. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid. Selama proses koneksi, AWS KMS ubah `kmsuser` kata sandi ke nilai yang hanya diketahui.
[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Operasi kembali dengan cepat, tetapi proses koneksi dapat memakan waktu lama. Respons awal tidak menunjukkan keberhasilan proses koneksi.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.
Dalam contoh ini, bidang status koneksi menunjukkan bahwa penyimpanan AWS CloudHSM kunci sekarang terhubung.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```