Connect a AWS CloudHSM key store - AWS Key Management Service
Connect e riconnettiti al tuo AWS CloudHSM key store

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connect a AWS CloudHSM key store

I nuovi archivi di AWS CloudHSM chiavi non sono collegati. Prima di poterlo creare e utilizzare AWS KMS keys nell'archivio delle AWS CloudHSM chiavi, è necessario collegarlo al AWS CloudHSM cluster associato. È possibile connettere e disconnettere l'archivio AWS CloudHSM delle chiavi in qualsiasi momento e visualizzarne lo stato della connessione.

Non è necessario collegare il proprio AWS CloudHSM key store. È possibile lasciare un archivio AWS CloudHSM chiavi in uno stato disconnesso a tempo indeterminato e collegarlo solo quando è necessario utilizzarlo. Puoi tuttavia testare la connessione periodicamente per verificare che le impostazioni sono corrette e che non vi sono problemi di connessione dello store.

Nota

AWS CloudHSM gli archivi chiavi hanno uno stato di DISCONNECTED connessione solo quando l'archivio chiavi non è mai stato connesso o lo si disconnette esplicitamente. Se lo stato di connessione del AWS CloudHSM keystore è lo stesso CONNECTED ma hai problemi a utilizzarlo, assicurati che il AWS CloudHSM cluster associato sia attivo e ne contenga almeno uno attivo. HSMs Per informazioni sugli errori di connessione, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.

Quando ti connetti a un AWS CloudHSM key store, AWS KMS trova il AWS CloudHSM cluster associato, si connette ad esso, accede al AWS CloudHSM client come utente kmsuser crittografico (CU), quindi ruota la password. kmsuser AWS KMS rimane connesso al AWS CloudHSM client finché l'archivio delle AWS CloudHSM chiavi è connesso.

Per stabilire la connessione, AWS KMS crea un gruppo di sicurezza denominato kms-<custom key store ID> nel cloud privato virtuale (VPC) del cluster. Il gruppo di sicurezza ha un'unica regola che consente il traffico in entrata dal gruppo di sicurezza del cluster. AWS KMS crea anche un'interfaccia di rete elastica (ENI) in ogni zona di disponibilità della sottorete privata per il cluster. AWS KMS aggiunge ENIs al gruppo di kms-<cluster ID> sicurezza e al gruppo di sicurezza per il cluster. La descrizione di ciascuno ENI èKMS managed ENI for cluster <cluster-ID>.

Il completamento del processo di connessione può richiedere fino a 20 minuti.

Prima di collegare il AWS CloudHSM key store, verificate che soddisfi i requisiti.

  • Il AWS CloudHSM cluster associato deve contenere almeno un cluster attivoHSM. Per trovare il numero di HSMs nel cluster, visualizza il cluster nella AWS CloudHSM console o usa l'DescribeClustersoperazione. Se necessario, puoi aggiungere un HSM.

  • Il cluster deve disporre di un account utente kmsuser crittografico (CU), ma tale CU non può essere registrato nel cluster quando si connette l'archivio delle AWS CloudHSM chiavi. Per informazioni su come effettuare la disconnessione, consulta Come scollegarsi e riconnettersi.

  • Lo stato di connessione del AWS CloudHSM key store non può essere o. DISCONNECTING FAILED Per visualizzare lo stato della connessione, utilizzare la AWS KMS console o la DescribeCustomKeyStoresrisposta. Se lo stato della connessione è FAILED, disconnetti l'archivio delle chiavi personalizzate, correggi il problema e riconnettilo.

Per informazioni sugli errori di connessione, consulta Come correggere un errore di connessione.

Quando l'archivio AWS CloudHSM delle chiavi è connesso, è possibile creare KMS chiavi al suo interno e utilizzare KMS le chiavi esistenti nelle operazioni crittografiche.

Connect e riconnettiti al tuo AWS CloudHSM key store

È possibile connettere o ricollegare l'archivio AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'ConnectCustomKeyStoreoperazione.

Per connettere un AWS CloudHSM key store in AWS Management Console, iniziate selezionando il AWS CloudHSM key store dalla pagina Custom key store. Il completamento del processo di connessione può richiedere fino a 20 minuti.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) su https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Archivi di chiavi personalizzate, Archivi di chiavi AWS CloudHSM .

  4. Scegli la riga dell'archivio di AWS CloudHSM chiavi che desideri connettere.

    Se lo stato di connessione dell'archivio AWS CloudHSM chiavi è Fallito, è necessario disconnettere l'archivio chiavi personalizzato prima di connetterlo.

  5. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Connect (Connetti).

AWS KMS avvia il processo di connessione dell'archivio chiavi personalizzato. Trova il cluster AWS CloudHSM associato, crea l'infrastruttura di rete necessaria, si connette alla stessa, accede al cluster AWS CloudHSM come utente di crittografia kmsuser ed esegue la rotazione della password kmsuser. Al termine dell'operazione, lo stato della connessione diventa Connesso.

Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il motivo del problema. Prima di riprovare a connetterti, visualizza lo stato della connessione del tuo AWS CloudHSM key store. Se è Non riuscito, devi scollegare l'archivio di chiavi personalizzate prima di ricollegarlo. Per assistenza, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.

Successivo: Creare una KMS chiave in un archivio di AWS CloudHSM chiavi.

Per connettere un archivio di AWS CloudHSM chiavi disconnesso, utilizzare l'ConnectCustomKeyStoreoperazione. Il AWS CloudHSM cluster associato deve contenere almeno un cluster attivo HSM e lo stato della connessione non può esserloFAILED.

Il completamento del processo di connessione può richiedere fino a 20 minuti. A meno che non fallisca rapidamente, l'operazione restituisce una risposta di HTTP 200 e un JSON oggetto senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare lo stato di connessione dell'archivio chiavi personalizzato, consultate la DescribeCustomKeyStoresrisposta.

Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Per identificare l'archivio AWS CloudHSM chiavi, utilizza il relativo ID dell'archivio chiavi personalizzato. È possibile trovare l'ID nella pagina Custom key stores della console o utilizzando l'DescribeCustomKeyStoresoperazione senza parametri. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Per verificare che l'archivio AWS CloudHSM chiavi sia connesso, usa l'DescribeCustomKeyStoresoperazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Se il valore di ConnectionState è CONNECTED, indica che lo store delle chiavi personalizzate è connesso al relativo cluster AWS CloudHSM .

Nota

Il CustomKeyStoreType campo è stato aggiunto alla DescribeCustomKeyStores risposta per distinguere gli archivi di AWS CloudHSM chiavi dagli archivi di chiavi esterni.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Se il valore di ConnectionState è Failed (Non riuscito), l'elemento ConnectionErrorCode indica il motivo dell'errore. In questo caso, non è AWS KMS stato possibile trovare un AWS CloudHSM cluster nel tuo account con l'ID del clustercluster-1a23b4cdefg. Se hai eliminato il cluster, puoi ripristinarlo a partire da un backup del cluster originale e quindi modificare l'ID cluster per lo store delle chiavi personalizzate. Per informazioni sulla risposta a un codice di errore di connessione, consulta Come correggere un errore di connessione.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}