Connetti e disconnetti un AWS CloudHSM archivio chiavi - AWS Key Management Service
Connessione di un AWS CloudHSM archivio chiaviDisconnettere un AWS CloudHSM archivio chiaviConnect a AWS CloudHSM archivio chiavi (console)Connect un key store personalizzato (API)Disconnetti un AWS CloudHSM archivio chiavi (console)Disconnettere un AWS CloudHSM archivio chiavi () API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Connetti e disconnetti un AWS CloudHSM archivio chiavi

Novità AWS CloudHSM gli archivi di chiavi non sono collegati. Prima di poter creare e utilizzare AWS KMS keys nel tuo AWS CloudHSM key store, è necessario collegarlo al suo associato AWS CloudHSM grappolo. Puoi connettere e disconnettere il tuo AWS CloudHSM archivia le chiavi in qualsiasi momento e visualizza lo stato della connessione.

Non è necessario collegare il AWS CloudHSM archivio chiavi. Puoi lasciare un AWS CloudHSM memorizza le chiavi in uno stato disconnesso a tempo indeterminato e connettile solo quando è necessario utilizzarle. Puoi tuttavia testare la connessione periodicamente per verificare che le impostazioni sono corrette e che non vi sono problemi di connessione dello store.

Nota

AWS CloudHSM gli archivi di chiavi hanno uno stato di DISCONNECTED connessione solo quando l'archivio chiavi non è mai stato connesso o lo si disconnette esplicitamente. Se le ricette di AWS CloudHSM lo stato di connessione del key store è CONNECTED ma hai problemi ad usarlo, assicurati che sia associato AWS CloudHSM il cluster è attivo e ne contiene almeno uno attivoHSMs. Per informazioni sugli errori di connessione, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.

Connessione di un AWS CloudHSM archivio chiavi

Quando si connette un AWS CloudHSM archivio chiavi, AWS KMS trova l'associato AWS CloudHSM cluster, si connette ad esso, accede a AWS CloudHSM client come utente kmsuser crittografico (CU), quindi ruota la password. kmsuser AWS KMS rimane connesso a AWS CloudHSM cliente purché AWS CloudHSM il key store è connesso.

Per stabilire la connessione, AWS KMS crea un gruppo di sicurezza denominato kms-<custom key store ID> nel cloud privato virtuale (VPC) del cluster. Il gruppo di sicurezza ha un'unica regola che consente il traffico in entrata dal gruppo di sicurezza del cluster. AWS KMS crea anche un'interfaccia di rete elastica (ENI) in ogni zona di disponibilità della sottorete privata per il cluster. AWS KMS aggiunge ENIs al gruppo di kms-<cluster ID> sicurezza e al gruppo di sicurezza per il cluster. La descrizione di ciascuno ENI èKMS managed ENI for cluster <cluster-ID>.

Il completamento del processo di connessione può richiedere fino a 20 minuti.

Prima di connettere il AWS CloudHSM key store, verifica che soddisfi i requisiti.

  • È associato AWS CloudHSM il cluster deve contenerne almeno uno attivoHSM. Per trovare il numero di HSMs nel cluster, visualizza il cluster nel AWS CloudHSM console o usa l'DescribeClustersoperazione. Se necessario, puoi aggiungere un HSM.

  • Il cluster deve disporre di un account utente kmsuser crittografico (CU), ma tale CU non può essere registrato nel cluster quando si connette il AWS CloudHSM archivio chiavi. Per informazioni su come effettuare la disconnessione, consulta Come scollegarsi e riconnettersi.

  • Lo stato di connessione di AWS CloudHSM key store non può essere DISCONNECTING oFAILED. Per visualizzare lo stato della connessione, utilizzare il AWS KMS console o la DescribeCustomKeyStoresrisposta. Se lo stato della connessione è FAILED, disconnetti l'archivio delle chiavi personalizzate, correggi il problema e riconnettilo.

Per informazioni sugli errori di connessione, consulta Come correggere un errore di connessione.

Quando il tuo AWS CloudHSM l'archivio di chiavi è connesso, è possibile creare KMS chiavi al suo interno e utilizzare KMS le chiavi esistenti nelle operazioni crittografiche.

Disconnettere un AWS CloudHSM archivio chiavi

Quando si disconnette un AWS CloudHSM archivio chiavi, AWS KMS si disconnette da AWS CloudHSM client, si disconnette dal sistema associato AWS CloudHSM raggruppa e rimuove l'infrastruttura di rete creata per supportare la connessione.

Mentre un AWS CloudHSM il key store è disconnesso, puoi gestire il AWS CloudHSM key store e KMS le relative chiavi, ma non è possibile creare o utilizzare KMS chiavi in AWS CloudHSM archivio chiavi. Lo stato di connessione dell'archivio chiavi è DISCONNECTED e lo stato delle KMS chiavi nell'archivio chiavi personalizzato èUnavailable, a meno che non lo sianoPendingDeletion. È possibile ricollegare il AWS CloudHSM archivio chiavi in qualsiasi momento.

Quando si disconnette un archivio chiavi personalizzato, le KMS chiavi nell'archivio chiavi diventano immediatamente inutilizzabili (a seconda dell'eventuale coerenza). Tuttavia, le risorse crittografate con chiavi dati protette dalla KMS chiave non vengono modificate finché la KMS chiave non viene riutilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda Servizi AWS, molti dei quali utilizzano chiavi dati per proteggere le risorse. Per informazioni dettagliate, consultare In che modo le chiavi inutilizzabili influiscono sulle chiavi dati KMS.

Nota

Quando un archivio chiavi personalizzato è disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Per stimare meglio l'effetto della disconnessione dell'archivio chiavi personalizzato, identifica le KMS chiavi nell'archivio chiavi personalizzato e determinane l'uso passato.

È possibile disconnettere un AWS CloudHSM key store per ragioni come le seguenti:

  • Per ruotare la kmsuser password. AWS KMS cambia la kmsuser password ogni volta che si connette al AWS CloudHSM grappolo. Per forzare una rotazione della password, esegui la disconnessione e quindi una nuova connessione.

  • Per controllare il materiale chiave per le KMS chiavi nel AWS CloudHSM grappolo. Quando si disconnette l'archivio chiavi personalizzato, AWS KMS si disconnette dall'account utente kmsuser crittografico nel AWS CloudHSM cliente. Ciò consente di accedere al cluster come kmsuser CU e controllare e gestire il materiale chiave relativo alla KMS chiave.

  • Per disabilitare immediatamente tutte le KMS chiavi del AWS CloudHSM archivio chiavi. È possibile disabilitare e riattivare KMS le chiavi in un AWS CloudHSM archivio di chiavi utilizzando il AWS Management Console o l'DisableKeyoperazione. Queste operazioni vengono completate rapidamente, ma agiscono su un KMS tasto alla volta. Disconnettere il AWS CloudHSM key store modifica immediatamente lo stato della chiave di tutte le KMS chiavi del AWS CloudHSM key store toUnavailable, che ne impedisce l'utilizzo in qualsiasi operazione crittografica.

  • Per riparare un tentativo di connessione non riuscito. Se si tenta di connettere un AWS CloudHSM l'archivio chiavi fallisce (lo stato di connessione dell'archivio chiavi personalizzato èFAILED), è necessario disconnettere il AWS CloudHSM key store prima di provare a riconnetterlo.

Connect a AWS CloudHSM archivio chiavi (console)

Per connettere un AWS CloudHSM archivio chiavi in AWS Management Console, inizia selezionando AWS CloudHSM key store dalla pagina Custom key store. Il completamento del processo di connessione può richiedere fino a 20 minuti.

  1. Accedere a AWS Management Console e apri il AWS Key Management Service (AWS KMS) console in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.

  3. Nel riquadro di navigazione, scegli Custom key stores, AWS CloudHSM archivi di chiavi.

  4. Scegli la riga del AWS CloudHSM archivio di chiavi a cui vuoi connettere.

    Se lo stato di connessione del AWS CloudHSM key store è Failed, è necessario disconnettere l'archivio chiavi personalizzato prima di connetterlo.

  5. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Connect (Connetti).

AWS KMS avvia il processo di connessione dell'archivio chiavi personalizzato. Trova il associato AWS CloudHSM cluster, crea l'infrastruttura di rete richiesta, si connette ad essa, accede a AWS CloudHSM si raggruppa come kmsuser CU e ruota la password. kmsuser Al termine dell'operazione, lo stato della connessione diventa Connesso.

Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il motivo del problema. Prima di riprovare a connetterti, visualizza lo stato della connessione del AWS CloudHSM archivio chiavi. Se è Non riuscito, devi scollegare l'archivio di chiavi personalizzate prima di ricollegarlo. Per assistenza, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.

Successivo: Crea KMS chiavi in un AWS CloudHSM archivio di chiavi.

Connect un key store personalizzato (API)

Per connettere un dispositivo disconnesso AWS CloudHSM key store, usa l'ConnectCustomKeyStoreoperazione. L'associato AWS CloudHSM il cluster deve contenerne almeno uno attivo HSM e lo stato della connessione non può esserloFAILED.

Il completamento del processo di connessione può richiedere fino a 20 minuti. A meno che non fallisca rapidamente, l'operazione restituisce una risposta di HTTP 200 e un JSON oggetto senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare lo stato di connessione dell'archivio chiavi personalizzato, consultate la DescribeCustomKeyStoresrisposta.

Negli esempi di questa sezione viene utilizzato il AWS Command Line Interface (AWS CLI), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.

Per identificare il AWS CloudHSM key store, usa il relativo Key Store ID personalizzato. È possibile trovare l'ID nella pagina Custom key stores della console o utilizzando l'DescribeCustomKeyStoresoperazione senza parametri. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Per verificare che AWS CloudHSM il key store è connesso, utilizzare l'DescribeCustomKeyStoresoperazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il ConnectionState valore di CONNECTED indica che l'archivio chiavi personalizzato è collegato al suo AWS CloudHSM ammasso.

Nota

Il CustomKeyStoreType campo è stato aggiunto alla DescribeCustomKeyStores risposta per distinguere AWS CloudHSM archivi di chiavi da archivi di chiavi esterni.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Se il valore di ConnectionState è Failed (Non riuscito), l'elemento ConnectionErrorCode indica il motivo dell'errore. In questo caso, AWS KMS non sono riuscito a trovare un AWS CloudHSM raggruppa nel tuo account con l'ID del clustercluster-1a23b4cdefg. Se hai eliminato il cluster, puoi ripristinarlo a partire da un backup del cluster originale e quindi modificare l'ID cluster per lo store delle chiavi personalizzate. Per informazioni sulla risposta a un codice di errore di connessione, consulta Come correggere un errore di connessione.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

Successivo: Crea KMS chiavi in un AWS CloudHSM archivio di chiavi.

Disconnetti un AWS CloudHSM archivio chiavi (console)

Per disconnettere un dispositivo connesso AWS CloudHSM archivio chiavi in AWS Management Console, inizia scegliendo il AWS CloudHSM key store dalla pagina Custom Key Stores.

  1. Accedi al AWS Management Console e apri il AWS Key Management Service (AWS KMS) console in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo superiore destro della pagina.

  3. Nel riquadro di navigazione, scegli Custom key stores, AWS CloudHSM archivi di chiavi.

  4. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi disconnettere.

  5. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Disconnect (Disconnetti).

Al termine dell'operazione, lo stato della connessione da Disconnessione in corso diventa Disconnesso. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.

Disconnettere un AWS CloudHSM archivio chiavi () API

Per disconnettere un dispositivo connesso AWS CloudHSM key store, usa l'DisconnectCustomKeyStoreoperazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un JSON oggetto senza proprietà.

Gli esempi di questa sezione utilizzano il AWS Command Line Interface (AWS CLI), ma è possibile utilizzare qualsiasi linguaggio di programmazione supportato.

Questo esempio disconnette un AWS CloudHSM archivio chiavi. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Per verificare che AWS CloudHSM il key store è disconnesso, utilizzare l'DescribeCustomKeyStoresoperazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il ConnectionState valore di DISCONNECTED indica che questo esempio AWS CloudHSM il key store non è collegato al suo AWS CloudHSM ammasso.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}