Cara menggunakan KMS kunci dalam AWS CloudHSM toko kunci - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cara menggunakan KMS kunci dalam AWS CloudHSM toko kunci

Setelah Anda membuat KMS kunci enkripsi simetris di AWS CloudHSM toko kunci, Anda dapat menggunakannya untuk operasi kriptografi berikut:

Operasi yang menghasilkan pasangan kunci data asimetris, GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintext, tidak didukung di penyimpanan kunci khusus.

Saat Anda menggunakan KMS kunci Anda dalam permintaan, identifikasi KMS kunci dengan ID atau aliasnya; Anda tidak perlu menentukan AWS CloudHSM toko kunci atau AWS CloudHSM klaster. Respons mencakup bidang yang sama yang dikembalikan untuk KMS kunci enkripsi simetris apa pun.

Namun, ketika Anda menggunakan KMS kunci dalam AWS CloudHSM key store, operasi kriptografi dilakukan seluruhnya di dalam AWS CloudHSM Cluster yang berhubungan dengan AWS CloudHSM toko kunci. Operasi menggunakan bahan kunci dalam cluster yang terkait dengan KMS kunci yang Anda pilih.

Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan.

  • Keadaan kunci dari KMS kunci harusEnabled. Untuk menemukan status kunci, gunakan bidang Status di AWS KMS konsol atau KeyState bidang dalam DescribeKeyrespons.

  • Bagian AWS CloudHSM toko kunci harus terhubung ke AWS CloudHSM klaster. Statusnya di AWS KMS konsol atau ConnectionState dalam DescribeCustomKeyStorestanggapan harusCONNECTED.

  • Bagian AWS CloudHSM cluster yang terkait dengan penyimpanan kunci kustom harus berisi setidaknya satu aktifHSM. Untuk menemukan jumlah yang aktif HSMs di cluster, gunakan AWS KMS konsol, AWS CloudHSM konsol, atau DescribeClustersoperasi.

  • Bagian AWS CloudHSM cluster harus berisi bahan kunci untuk KMS kunci. Jika materi kunci dihapus dari cluster, atau HSM dibuat dari cadangan yang tidak menyertakan materi kunci, operasi kriptografi akan gagal.

Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan KMSInvalidStateException pengecualian. Biasanya, Anda hanya perlu menghubungkan kembali AWS CloudHSM toko kunci. Untuk bantuan tambahan, lihat Cara memperbaiki kunci yang gagal KMS.

Saat menggunakan KMS tombol dalam AWS CloudHSM toko kunci, ketahuilah bahwa KMS kunci di masing-masing AWS CloudHSM toko kunci berbagi kuota permintaan toko kunci khusus untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan aThrottlingException. Jika AWS CloudHSM Cluster yang berhubungan dengan AWS CloudHSM key store sedang memproses banyak perintah, termasuk yang tidak terkait dengan AWS CloudHSM toko utama, Anda mungkin mendapatkan ThrottlingException pada tingkat yang lebih rendah. Jika Anda mendapatkan ThrottlingException untuk permintaan apa pun, turunkan tingkat permintaan Anda dan coba lagi perintahnya. Untuk detail tentang kuota permintaan toko kunci kustom, lihatKuota permintaan toko kunci kustom.