Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea un archivio di AWS CloudHSM chiavi
Puoi creare uno o più archivi di AWS CloudHSM chiavi nel tuo account. Ogni archivio di AWS CloudHSM chiavi è associato a un AWS CloudHSM cluster nella stessa Account AWS regione. Prima di creare l'archivio delle chiavi di AWS CloudHSM , devi assemblare i prerequisiti. Quindi, prima di poter utilizzare l'archivio AWS CloudHSM delle chiavi, è necessario collegarlo al relativo AWS CloudHSM cluster.
Note
Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi disconnesso esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM
Non è necessario collegare immediatamente l'archivio delle AWS CloudHSM chiavi. Puoi lasciarlo disconnesso fino a che non sei pronto a utilizzarlo. Tuttavia, per verificare che sia configurato correttamente, puoi connetterlo, visualizzarne lo stato di connessione e quindi disconnetterlo.
Assemblare i prerequisiti
Ogni archivio di AWS CloudHSM chiavi è supportato da un AWS CloudHSM cluster. Per creare un AWS CloudHSM key store, è necessario specificare un AWS CloudHSM cluster attivo che non sia già associato a un altro key store. È inoltre necessario creare un utente crittografico (CU) dedicato nei cluster HSMs che AWS KMS possa utilizzare per creare e gestire le chiavi per conto dell'utente.
Prima di creare un archivio di AWS CloudHSM chiavi, procedi come segue:
- Seleziona un AWS CloudHSM cluster
-
Ogni archivio di AWS CloudHSM chiavi è associato esattamente a un AWS CloudHSM cluster. Quando crei AWS KMS keys nel tuo AWS CloudHSM key store, AWS KMS crea i metadati KMS chiave, come un ID e Amazon Resource Name (ARN) in AWS KMS. Quindi crea il materiale chiave nel HSMs cluster associato. È possibile creare un nuovo AWS CloudHSM cluster o utilizzarne uno esistente. AWS KMS non richiede l'accesso esclusivo al cluster.
Il AWS CloudHSM cluster selezionato è associato in modo permanente all'archivio delle AWS CloudHSM chiavi. Dopo aver creato l'archivio delle AWS CloudHSM chiavi, è possibile modificare l'ID del cluster associato, ma il cluster specificato deve condividere una cronologia di backup con il cluster originale. Per utilizzare un cluster non correlato, è necessario creare un nuovo archivio di AWS CloudHSM chiavi.
Il AWS CloudHSM cluster selezionato deve avere le seguenti caratteristiche:
-
Il cluster deve essere attivo.
È necessario creare il cluster, inizializzarlo, installare il software AWS CloudHSM client per la piattaforma e quindi attivare il cluster. Per istruzioni dettagliate, consulta la sezione Nozioni di base su AWS CloudHSM della Guida per l'utente di AWS CloudHSM .
-
Il cluster deve trovarsi nello stesso account e nella stessa regione dell'archivio delle AWS CloudHSM chiavi. Non è possibile associare un archivio di AWS CloudHSM chiavi in una regione a un cluster in un'altra regione. Per creare un'infrastruttura chiave in più regioni, è necessario creare archivi e cluster di AWS CloudHSM chiavi in ciascuna regione.
-
Il cluster non può essere associato a un altro archivio chiavi personalizzate nello stesso account e nella stessa regione. Ogni archivio di AWS CloudHSM chiavi nell'account e nella regione deve essere associato a un AWS CloudHSM cluster diverso. Non puoi specificare un cluster che è già associato a uno store delle chiavi personalizzate o un cluster che condivide una cronologia dei backup con un cluster associato. I cluster che condividono una cronologia dei backup hanno lo stesso certificato di cluster. Per visualizzare il certificato del cluster di un cluster, utilizza la AWS CloudHSM console o l'DescribeClustersoperazione.
Se effettui il backup in un cluster AWS CloudHSM in una regione differente, tale cluster viene considerato diverso e puoi associare il backup a un archivio chiavi personalizzate nella relativa regione. Tuttavia, KMS le chiavi nei due archivi di chiavi personalizzati non sono interoperabili, anche se hanno la stessa chiave di supporto. AWS KMS associa i metadati al testo cifrato in modo che possa essere decrittografato solo dalla chiave che lo ha crittografato. KMS
-
Il cluster deve essere configurato con sottoreti private in almeno due zone di disponibilità nella regione. Poiché non AWS CloudHSM è supportato in tutte le zone di disponibilità, si consiglia di creare sottoreti private in tutte le zone di disponibilità della regione. Non puoi riconfigurare le sottoreti di un cluster esistente, ma puoi creare un cluster a partire da un backup con varie sottoreti nella configurazione del cluster.
Importante
Dopo aver creato l'archivio AWS CloudHSM delle chiavi, non eliminare nessuna delle sottoreti private configurate per il relativo cluster. AWS CloudHSM Se AWS KMS non riesci a trovare tutte le sottoreti nella configurazione del cluster, i tentativi di connessione all'archivio chiavi personalizzato hanno esito negativo e viene generato un
SUBNET_NOT_FOUNDerrore di connessione. Per informazioni dettagliate, consultare Come correggere un errore di connessione. -
Il gruppo di sicurezza per il cluster (
cloudhsm-cluster-) deve includere regole in entrata e regole in uscita che consentano il TCP traffico sulle porte 2223-2225. La Source (Origine) nelle regole in entrata e la Destination (Destinazione) nelle regole in uscita devono corrispondere all'ID del gruppo di sicurezza. Tali regole sono configurate per impostazione predefinita quando si crea il cluster. Non eliminarle o modificarle.<cluster-id>-sg -
Il cluster deve contenere almeno due zone di disponibilità attive in zone di disponibilità diverse. HSMs Per verificare il numero diHSMs, utilizzare la AWS CloudHSM console o l'DescribeClustersoperazione. Se necessario, puoi aggiungere un HSM.
-
- Ricerca del certificato trust anchor
-
Quando crei un archivio di chiavi personalizzato, devi caricare il certificato trust anchor per il AWS CloudHSM cluster su AWS KMS. AWS KMS necessita del certificato trust anchor per connettere l'archivio di AWS CloudHSM chiavi al cluster associato AWS CloudHSM .
Ogni AWS CloudHSM cluster attivo ha un certificato trust anchor. Quando inizializzi il cluster, genera questo certificato, salvalo nel file
customerCA.crte copialo negli host che si connettono al cluster. - Crea l'utente
kmsusercrittografico per AWS KMS -
Per amministrare il tuo archivio di AWS CloudHSM chiavi, AWS KMS accedi all'account utente kmsuser crittografico (CU) nel cluster selezionato. Prima di creare il tuo AWS CloudHSM key store, devi creare il CU.
kmsuserQuindi, quando crei il tuo archivio di AWS CloudHSM chiavi, fornisci la passwordkmsuserper AWS KMS. Ogni volta che colleghi l'archivio di AWS CloudHSM chiavi al AWS CloudHSM cluster associato, AWS KMS accede come passwordkmsusere ruota la passwordkmsuserImportante
Non specificare l'opzione
2FAquando crei l'utente di crittografiakmsuser. In caso affermativo, AWS KMS non è possibile effettuare il login e l'archivio AWS CloudHSM delle chiavi non può essere connesso a questo AWS CloudHSM cluster. Una volta specificata, l'opzione 2FA non può essere annullata. Dovrai invece eliminare l'utente di crittografia e ricrearlo.Note
Le seguenti procedure utilizzano lo strumento da riga di comando di AWS CloudHSM Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce
key-handleconkey-reference.Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nella Guida per l'AWS CloudHSM utente.
-
Segui le procedure introduttive descritte nell'argomento Guida introduttiva a Cloud HSM Command Line Interface (CLI) della Guida per l'AWS CloudHSM utente.
-
Utilizzate il comando user create per creare una CU denominata
kmsuser.La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.
Il comando di esempio seguente crea una
kmsuserCU.aws-cloudhsm >user create --username kmsuser --role crypto-userEnter password: Confirm password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
-
Crea un nuovo archivio di AWS CloudHSM chiavi
Dopo aver assemblato i prerequisiti, è possibile creare un nuovo archivio di AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'CreateCustomKeyStoreoperazione.
Quando si crea un archivio di AWS CloudHSM chiavi in AWS Management Console, è possibile aggiungere e creare i prerequisiti come parte del flusso di lavoro. Tuttavia, il processo risulta più rapido se li hai assemblati in precedenza.
-
Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) su https://console.aws.amazon.com/kms.
-
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
-
Nel riquadro di navigazione, scegli Archivi di chiavi personalizzate, Archivi di chiavi AWS CloudHSM .
-
Scegli Crea un archivio di chiavi.
-
Immettere un nome descrittivo per lo store delle chiavi personalizzate. Il nome deve essere univoco per tutti gli archivi delle chiavi personalizzate presenti nell'account.
Importante
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei log e in altri output. CloudTrail
-
Seleziona un AWS CloudHSM cluster per l'archivio delle chiavi. AWS CloudHSM Oppure, per creare un nuovo AWS CloudHSM cluster, scegli il link Crea un AWS CloudHSM cluster.
Il menu mostra AWS CloudHSM i cluster del tuo account e della tua regione che non sono già associati a un AWS CloudHSM key store. Il cluster deve soddisfare i requisiti per l'associazione con uno store delle chiavi personalizzate.
-
Scegli il file, quindi carica il certificato trust anchor per il AWS CloudHSM cluster che hai scelto. Si tratta del file
customerCA.crtcreato all'inizializzazione del cluster. -
Immettere la password del crypto user (CU) kmsuser creato nel cluster selezionato.
-
Scegli Create (Crea) .
Quando la procedura ha esito positivo, il nuovo archivio AWS CloudHSM chiavi viene visualizzato nell'elenco degli archivi AWS CloudHSM chiave dell'account e della regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.
Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi disconnesso esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM
Avanti: I nuovi archivi di AWS CloudHSM chiavi non vengono collegati automaticamente. Prima di poter creare AWS KMS keys nel AWS CloudHSM key store, è necessario connettere l'archivio chiavi personalizzato al AWS CloudHSM cluster associato.
È possibile utilizzare l'CreateCustomKeyStoreoperazione per creare un nuovo archivio di AWS CloudHSM chiavi associato a un AWS CloudHSM cluster nell'account e nella regione. Questi esempi utilizzano l' AWS Command Line Interface (AWS CLI), ma puoi anche utilizzare qualsiasi linguaggio di programmazione supportato.
L'operazione CreateCustomKeyStore richiede i valori di parametro seguenti.
-
CustomKeyStoreName — Un nome descrittivo per l'archivio di chiavi personalizzato che è unico nell'account.
Importante
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail registri e in altri output.
-
CloudHsmClusterId — L'ID del cluster di un AWS CloudHSM cluster che soddisfa i requisiti per un archivio di chiavi. AWS CloudHSM
-
KeyStorePassword — La password dell'account
kmsuserCU nel cluster specificato. -
TrustAnchorCertificate — Il contenuto del
customerCA.crtfile creato durante l'inizializzazione del cluster.
L'esempio seguente utilizza un ID cluster fittizio. Prima di eseguire il comando, sostituiscilo con un ID cluster valido
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificate<certificate-goes-here>
Se si utilizza il AWS CLI, è possibile specificare il file del certificato trust anchor, anziché il relativo contenuto. Nell'esempio seguente, il file customerCA.crt si trova nella directory principale:
$aws kms create-custom-key-store --custom-key-store-nameExampleCloudHSMKeyStore\ --cloud-hsm-cluster-idcluster-1a23b4cdefg\ --key-store-passwordkmsPswd\ --trust-anchor-certificatefile://customerCA.crt
Se l'operazione riesce, CreateCustomKeyStore restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.
{ "CustomKeyStoreId": cks-1234567890abcdef0 }
Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.
Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi disconnesso esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM
Avanti: per utilizzare l'archivio delle AWS CloudHSM chiavi, collegalo al relativo cluster. AWS CloudHSM
