Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea un AWS CloudHSM archivio di chiavi
È possibile crearne uno o più AWS CloudHSM le chiavi vengono memorizzate nel tuo account. Ciascuno AWS CloudHSM il key store è associato a uno AWS CloudHSM cluster nello stesso Account AWS e Regione. Prima di creare il tuo AWS CloudHSM key store, è necessario assemblare i prerequisiti. Quindi, prima di poter usare il AWS CloudHSM key store, è necessario collegarlo al suo AWS CloudHSM grappolo.
Nota
Se provi a creare un AWS CloudHSM key store con tutti gli stessi valori di proprietà di un dispositivo disconnesso esistente AWS CloudHSM archivio chiavi, AWS KMS non ne crea uno nuovo AWS CloudHSM key store e non genera un'eccezione né visualizza un errore. Invece, AWS KMS riconosce il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID del tentativo esistente AWS CloudHSM archivio chiavi.
Suggerimento
Non è necessario collegare il AWS CloudHSM archivia immediatamente le chiavi. Puoi lasciarlo disconnesso fino a che non sei pronto a utilizzarlo. Tuttavia, per verificare che sia configurato correttamente, puoi connetterlo, visualizzarne lo stato di connessione e quindi disconnetterlo.
Argomenti
Assemblare i prerequisiti
Ciascuno AWS CloudHSM il key store è supportato da un AWS CloudHSM grappolo. Per creare un AWS CloudHSM key store, è necessario specificare un valore attivo AWS CloudHSM cluster che non è già associato a un altro archivio di chiavi. È inoltre necessario creare un utente crittografico (CU) dedicato nella cartella del HSMs cluster AWS KMS puoi usarlo per creare e gestire chiavi per tuo conto.
Prima di creare un AWS CloudHSM key store, procedi come segue:
- Seleziona un AWS CloudHSM cluster
-
Ogni AWS CloudHSM il key store è associato esattamente a uno AWS CloudHSM grappolo. Quando si crea un AWS KMS keysnel tuo AWS CloudHSM negozio di chiavi, AWS KMS crea i metadati KMS chiave, come un ID e Amazon Resource Name (ARN) in AWS KMS. Quindi crea il materiale chiave nel HSMs cluster associato. Puoi crearne uno nuovo AWS CloudHSMraggruppa o usane uno esistente. AWS KMS non richiede l'accesso esclusivo al cluster.
Il AWS CloudHSM il cluster selezionato è associato in modo permanente al AWS CloudHSM archivio chiavi. Dopo aver creato il AWS CloudHSM key store, è possibile modificare l'ID del cluster associato, ma il cluster specificato deve condividere una cronologia di backup con il cluster originale. Per utilizzare un cluster non correlato, è necessario crearne uno nuovo AWS CloudHSM archivio chiavi.
Il AWS CloudHSM il cluster selezionato deve avere le seguenti caratteristiche:
-
Il cluster deve essere attivo.
È necessario creare il cluster, inizializzarlo, installare il AWS CloudHSM software client per la piattaforma, quindi attivare il cluster. Per istruzioni dettagliate, consulta Guida introduttiva a AWS CloudHSM nella AWS CloudHSM Guida per l'utente.
-
Il cluster deve trovarsi nello stesso account e nella stessa regione del AWS CloudHSM archivio chiavi. Non è possibile associare un AWS CloudHSM archivio di chiavi in una regione con un cluster in un'altra regione. Per creare un'infrastruttura chiave in più regioni, è necessario creare AWS CloudHSM archivi di chiavi e cluster in ogni regione.
-
Il cluster non può essere associato a un altro archivio chiavi personalizzate nello stesso account e nella stessa regione. Ciascuno AWS CloudHSM l'archivio di chiavi nell'account e nella regione deve essere associato a un altro AWS CloudHSM grappolo. Non puoi specificare un cluster che è già associato a uno store delle chiavi personalizzate o un cluster che condivide una cronologia dei backup con un cluster associato. I cluster che condividono una cronologia dei backup hanno lo stesso certificato di cluster. Per visualizzare il certificato del cluster di un cluster, utilizzare il AWS CloudHSM console per l'DescribeClustersoperazione.
Se si esegue il backup di un AWS CloudHSM cluster in una regione diversa, viene considerato un cluster diverso ed è possibile associare il backup a un archivio di chiavi personalizzato nella relativa regione. Tuttavia, KMS le chiavi nei due archivi di chiavi personalizzate non sono interoperabili, anche se hanno la stessa chiave di supporto. AWS KMS associa i metadati al testo cifrato in modo che possa essere decrittografato solo dalla chiave che lo ha crittografato. KMS
-
Il cluster deve essere configurato con sottoreti private in almeno due zone di disponibilità nella regione. Perché AWS CloudHSM non è supportato in tutte le zone di disponibilità, si consiglia di creare sottoreti private in tutte le zone di disponibilità della regione. Non puoi riconfigurare le sottoreti di un cluster esistente, ma puoi creare un cluster a partire da un backup con varie sottoreti nella configurazione del cluster.
Importante
Dopo aver creato il AWS CloudHSM key store, non eliminate nessuna delle sottoreti private configurate per il suo AWS CloudHSM ammasso. Se AWS KMS non riesce a trovare tutte le sottoreti nella configurazione del cluster, i tentativi di connessione all'archivio chiavi personalizzato falliscono con uno stato di errore di
SUBNET_NOT_FOUNDconnessione. Per informazioni dettagliate, consultare Come correggere un errore di connessione. -
Il gruppo di sicurezza per il cluster (
cloudhsm-cluster-) deve includere regole in entrata e regole in uscita che consentano il TCP traffico sulle porte 2223-2225. La Source (Origine) nelle regole in entrata e la Destination (Destinazione) nelle regole in uscita devono corrispondere all'ID del gruppo di sicurezza. Tali regole sono configurate per impostazione predefinita quando si crea il cluster. Non eliminarle o modificarle.<cluster-id>-sg -
Il cluster deve contenere almeno due zone di disponibilità attive in zone di disponibilità diverse. HSMs Per verificare il numero diHSMs, utilizzare il AWS CloudHSM console per l'DescribeClustersoperazione. Se necessario, puoi aggiungere un HSM.
-
- Ricerca del certificato trust anchor
-
Quando crei un archivio di chiavi personalizzato, devi caricare il certificato trust anchor per AWS CloudHSM raggruppare su AWS KMS. AWS KMS necessita del certificato trust anchor per connettere il AWS CloudHSM key store a cui è associato AWS CloudHSM grappolo.
Ogni attivo AWS CloudHSM il cluster ha un certificato Trust Anchor. Quando inizializzi il cluster, genera questo certificato, salvalo nel file
customerCA.crte copialo negli host che si connettono al cluster. - Crea l'utente
kmsusercrittografico per AWS KMS -
Per amministrare il tuo AWS CloudHSM archivio chiavi, AWS KMS accede all'account utente kmsuser crittografico (CU) nel cluster selezionato. Prima di creare il tuo AWS CloudHSM key store, è necessario creare la
kmsuserCU. Quindi, quando crei il tuo AWS CloudHSM key store, fornisci la passwordkmsuserper AWS KMS. Ogni volta che si connette il AWS CloudHSM archivio di chiavi a cui è associato AWS CloudHSM grappolo, AWS KMS accede comekmsusere ruota la passwordkmsuserImportante
Non specificare l'opzione
2FAquando crei l'utente di crittografiakmsuser. Se lo fai, AWS KMS non riesci ad accedere e il tuo AWS CloudHSM il key store non può essere collegato a questo AWS CloudHSM ammasso. Una volta specificata, l'opzione 2FA non può essere annullata. Dovrai invece eliminare l'utente di crittografia e ricrearlo.Note
Le seguenti procedure utilizzano AWS CloudHSM Strumento da riga di comando Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce
key-handleconkey-reference.Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nel AWS CloudHSM Guida per l'utente.
-
Segui le procedure introduttive descritte nell'argomento Guida introduttiva a Cloud HSM Command Line Interface (CLI) del AWS CloudHSM Guida per l'utente.
-
Usa il comando user create per creare una CU denominata
kmsuser.La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.
Il comando di esempio seguente crea una
kmsuserCU.aws-cloudhsm >user create --username kmsuser --role crypto-userEnter password: Confirm password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
-
Crea un AWS CloudHSM archivio chiavi (console)
Quando si crea un AWS CloudHSM archivio chiavi in AWS Management Console, è possibile aggiungere e creare i prerequisiti come parte del flusso di lavoro. Tuttavia, il processo risulta più rapido se li hai assemblati in precedenza.
-
Accedi al AWS Management Console e apri il AWS Key Management Service (AWS KMS) console in https://console.aws.amazon.com/kms
. -
Per modificare il Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.
-
Nel riquadro di navigazione, scegli Custom key stores, AWS CloudHSM archivi di chiavi.
-
Scegli Crea un archivio di chiavi.
-
Immettere un nome descrittivo per lo store delle chiavi personalizzate. Il nome deve essere univoco per tutti gli archivi delle chiavi personalizzate presenti nell'account.
Importante
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.
-
Seleziona un AWS CloudHSM cluster per AWS CloudHSM archivio chiavi. Oppure, per crearne uno nuovo AWS CloudHSM cluster, scegli Crea un AWS CloudHSM collegamento al cluster.
Il menu mostra il AWS CloudHSM cluster presenti nel tuo account e nella tua regione che non sono già associati a un AWS CloudHSM archivio chiavi. Il cluster deve soddisfare i requisiti per l'associazione con uno store delle chiavi personalizzate.
-
Scegli il file, quindi carica il certificato trust anchor per AWS CloudHSM cluster che hai scelto. Si tratta del file
customerCA.crtcreato all'inizializzazione del cluster. -
Immettere la password del crypto user (CU) kmsuser creato nel cluster selezionato.
-
Scegli Create (Crea) .
Quando la procedura ha esito positivo, il nuovo AWS CloudHSM key store appare nell'elenco di AWS CloudHSM archivi di chiavi nell'account e nella regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.
Se provi a creare un AWS CloudHSM key store con tutti gli stessi valori di proprietà di un dispositivo disconnesso esistente AWS CloudHSM archivio chiavi, AWS KMS non ne crea uno nuovo AWS CloudHSM key store e non genera un'eccezione né visualizza un errore. Invece, AWS KMS riconosce il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID del tentativo esistente AWS CloudHSM archivio chiavi.
Avanti: Nuovo AWS CloudHSM i key store non vengono collegati automaticamente. Prima di poter creare AWS KMS keys nel AWS CloudHSM archivio chiavi, è necessario connettere l'archivio chiavi personalizzato a quello associato AWS CloudHSM ammasso.
Crea un AWS CloudHSM archivio chiavi (API)
È possibile utilizzare l'CreateCustomKeyStoreoperazione per crearne uno nuovo AWS CloudHSM archivio di chiavi associato a un AWS CloudHSM cluster nell'account e nella regione. Questi esempi utilizzano AWS Command Line Interface (AWS CLI), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.
L'operazione CreateCustomKeyStore richiede i valori di parametro seguenti.
-
CustomKeyStoreName — Un nome descrittivo per l'archivio chiavi personalizzato che è unico nell'account.
Importante
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail registri e in altri output.
-
CloudHsmClusterId — L'ID del cluster di un AWS CloudHSM cluster che soddisfa i requisiti per un AWS CloudHSM archivio chiavi.
-
KeyStorePassword — La password dell'account
kmsuserCU nel cluster specificato. -
TrustAnchorCertificate — Il contenuto del
customerCA.crtfile creato durante l'inizializzazione del cluster.
L'esempio seguente utilizza un ID cluster fittizio. Prima di eseguire il comando, sostituiscilo con un ID cluster valido
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificate<certificate-goes-here>
Se si utilizza il AWS CLI, è possibile specificare il file del certificato trust anchor, anziché il relativo contenuto. Nell'esempio seguente, il file customerCA.crt si trova nella directory principale:
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificatefile://customerCA.crt
Se l'operazione riesce, CreateCustomKeyStore restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.
{ "CustomKeyStoreId": cks-1234567890abcdef0 }
Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.
Se provi a creare un AWS CloudHSM key store con tutti gli stessi valori di proprietà di un dispositivo disconnesso esistente AWS CloudHSM archivio chiavi, AWS KMS non ne crea uno nuovo AWS CloudHSM key store e non genera un'eccezione né visualizza un errore. Invece, AWS KMS riconosce il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID del tentativo esistente AWS CloudHSM archivio chiavi.
Avanti: Per utilizzare il AWS CloudHSM key store, collegalo al suo AWS CloudHSM grappolo.
