Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione di problemi relativi a store delle chiavi personalizzate
AWS CloudHSM i key store sono progettati per essere disponibili e resistenti. Tuttavia, ci sono alcune condizioni di errore che potresti dover correggere per mantenere le AWS CloudHSM archivio chiavi operativo.
Argomenti
- Come riparare le KMS chiavi non disponibili
- Come correggere una chiave difettosa KMS
- Come correggere un errore di connessione
- Come rispondere a un errore di un'operazione di crittografia
- Come correggere credenziali kmsuser non valide
- Come eliminare materiale della chiave orfano
- Come recuperare il materiale chiave cancellato per una KMS chiave
- Come accedere come kmsuser
Come riparare le KMS chiavi non disponibili
Lo stato chiave di AWS KMS keys in un AWS CloudHSM il key store è in genereEnabled
. Come tutte le KMS chiavi, lo stato della chiave cambia quando si disabilitano le KMS chiavi in un AWS CloudHSM archivia le chiavi o pianificane l'eliminazione. Tuttavia, a differenza di altre KMS chiavi, le KMS chiavi in un archivio chiavi personalizzato possono avere anche uno stato chiave diUnavailable
.
Lo stato della chiave di Unavailable
indica che la KMS chiave si trova in un archivio chiavi personalizzato che è stato intenzionalmente disconnesso e che i tentativi di riconnessione, se presenti, hanno avuto esito negativo. Sebbene una KMS chiave non sia disponibile, è possibile visualizzarla e gestirlaKMS, ma non utilizzarla per operazioni crittografiche.
Per trovare lo stato della KMS chiave, nella pagina Customer managed keys, visualizza il campo Stato della KMS chiave. Oppure, utilizza l'DescribeKeyoperazione e visualizza l'KeyState
elemento nella risposta. Per informazioni dettagliate, consultare Visualizzazione di chiavi.
Le KMS chiavi in un archivio chiavi personalizzato disconnesso avranno lo stato chiave Unavailable
oPendingDeletion
. KMSle chiavi di cui è pianificata l'eliminazione da un archivio chiavi personalizzato hanno uno stato Pending Deletion
chiave, anche quando l'archivio chiavi personalizzato è disconnesso. Ciò ti consente di annullare l'eliminazione pianificata delle chiavi senza riconnettere lo store delle chiavi personalizzate.
Per correggere una KMS chiave non disponibile, ricollega l'archivio chiavi personalizzato. Dopo la riconnessione dell'archivio chiavi personalizzato, lo stato delle KMS chiavi nell'archivio chiavi personalizzato viene automaticamente ripristinato allo stato precedente, ad Enabled
esempio o. Disabled
KMSle chiavi in attesa di eliminazione rimangono nello PendingDeletion
stato. Tuttavia, sebbene il problema persista, l'attivazione e la disabilitazione di una KMS chiave non disponibile non ne modifica lo stato. L'abilitazione o la disabilitazione ha effetto solo quando la chiave diventa disponibile.
Per informazioni sulle connessioni non riuscite, consulta Come correggere un errore di connessione.
Come correggere una chiave difettosa KMS
Problemi con la creazione e l'utilizzo KMS delle chiavi in AWS CloudHSM gli archivi di chiavi possono essere causati da un problema con AWS CloudHSM key store, è associato AWS CloudHSM cluster, la KMS chiave o il relativo materiale chiave.
Quando un AWS CloudHSM il key store è disconnesso dal suo AWS CloudHSM cluster, lo stato chiave delle KMS chiavi nell'archivio chiavi personalizzato èUnavailable
. Tutte le richieste di creazione di KMS chiavi in un ambiente disconnesso AWS CloudHSM l'archivio di chiavi restituisce un'CustomKeyStoreInvalidStateException
eccezione. Tutte le richieste di crittografare, decrittografare, ricrittografare o generare chiavi di dati restituiscono un'eccezione KMSInvalidStateException
. Per risolvere il problema, ricollegare il AWS CloudHSM archivio chiavi.
Tuttavia, i tuoi tentativi di utilizzare una KMS chiave in un AWS CloudHSM l'archivio di chiavi per le operazioni crittografiche potrebbe fallire anche se lo stato della chiave Enabled
e lo stato della connessione di AWS CloudHSM key store èConnected
. Ciò può essere dovuto a una qualsiasi delle condizioni seguenti.
-
Il materiale chiave per la KMS chiave potrebbe essere stato eliminato dal file associato AWS CloudHSM grappolo. Per indagare, trovate l'ID chiave del materiale chiave di una KMS chiave e, se necessario, provate a recuperare il materiale chiave.
-
Tutti HSMs sono stati eliminati dal AWS CloudHSM cluster associato a AWS CloudHSM archivio chiavi. Usare una KMS chiave in un AWS CloudHSM memorizza le chiavi in un'operazione crittografica, è AWS CloudHSM il cluster deve contenerne almeno uno attivoHSM. Per verificare il numero e lo stato HSMs di un AWS CloudHSM cluster, usa il AWS CloudHSM console per l'DescribeClustersoperazione. Per aggiungere un HSM file al cluster, usa AWS CloudHSM console per l'CreateHsmoperazione.
-
Il AWS CloudHSM cluster associato a AWS CloudHSM il key store è stato eliminato. Per risolvere il problema, crea un cluster da un backup che è correlato al cluster originale, ad esempio un backup del cluster originale o un backup utilizzato per creare il cluster originale. Quindi, modifica l'ID cluster nelle impostazioni relative allo store delle chiavi personalizzate. Per istruzioni, consulta Come recuperare il materiale chiave cancellato per una KMS chiave.
-
Il AWS CloudHSM il cluster associato all'archivio di chiavi personalizzato non aveva alcuna sessione PKCS #11 disponibile. Ciò si verifica in genere durante i periodi di traffico di espansione elevato, ovvero quando sono necessarie sessioni aggiuntive per gestire il traffico. Per rispondere a un messaggio
KMSInternalException
di errore relativo alle sessioni PKCS #11, arretra e riprova la richiesta.
Come correggere un errore di connessione
Se provi a connettere un AWS CloudHSM key store al suo AWS CloudHSM cluster, ma l'operazione fallisce, lo stato della connessione di AWS CloudHSM key store cambia inFAILED
. Per trovare lo stato di connessione di un AWS CloudHSM key store, usa il AWS KMS
console per l'DescribeCustomKeyStoresoperazione.
In alternativa, alcuni tentativi di connessione si interrompono rapidamente a causa di errori di configurazione del cluster facilmente rilevati. In questo caso, lo stato della connessione è ancora DISCONNECTED
. Questi errori restituiranno un messaggio di errore o un'eccezione che spiega perché il tentativo non è riuscito. Rivedi la descrizione dell'eccezione e i requisiti del cluster, risolvi il problema, aggiorna il AWS CloudHSM archivia le chiavi, se necessario, e riprova a connetterti.
Quando lo stato della connessione è FAILED
impostato, esegui l'DescribeCustomKeyStoresoperazione e visualizza l'ConnectionErrorCode
elemento nella risposta.
Nota
Quando lo stato di connessione di un AWS CloudHSM key store èFAILED
, è necessario disconnettere il AWS CloudHSM key store prima di tentare di ricollegarlo. Non è possibile connettere un AWS CloudHSM archivio di chiavi con uno stato di FAILED
connessione.
-
CLUSTER_NOT_FOUND
indica che AWS KMS non riesce a trovare un AWS CloudHSM cluster con l'ID cluster specificato. Ciò potrebbe verificarsi perché a un'APIoperazione è stato fornito un ID cluster errato o perché il cluster è stato eliminato e non sostituito. Per correggere questo errore, verifica l'ID del cluster, ad esempio utilizzando il AWS CloudHSM console o DescribeClustersoperazione. Se il cluster è stato eliminato, crea un cluster a partire da un backup recente dell'originale. Quindi, scollegare il AWS CloudHSM key store, modifica il AWS CloudHSM key archivia l'impostazione dell'ID del cluster e riconnette il AWS CloudHSM archivio di chiavi nel cluster. -
INSUFFICIENT_CLOUDHSM_HSMS
indica che l'associato AWS CloudHSM il cluster non ne contieneHSMs. Per connettersi, il cluster deve averne almeno unoHSM. Per trovare il numero di HSMs nel cluster, usa l'DescribeClustersoperazione. Per risolvere questo errore, aggiungine almeno uno HSM al cluster. Se ne aggiungi piùHSMs, è meglio crearli in zone di disponibilità diverse. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET
indica che AWS KMS non è riuscito a connettere il AWS CloudHSM key store al suo AWS CloudHSM cluster perché almeno una sottorete privata associata al cluster non ha indirizzi IP disponibili. Un record AWS CloudHSM la connessione al key store richiede un indirizzo IP libero in ciascuna delle sottoreti private associate, sebbene ne siano preferibili due.Non è possibile aggiungere indirizzi IP
(CIDRblocchi) a una sottorete esistente. Se possibile, sposta o elimina altre risorse che utilizzano gli indirizzi IP nella sottorete, ad esempio EC2 istanze non utilizzate o interfacce di rete elastiche. Altrimenti, è possibile creare un cluster da un backup recente di AWS CloudHSM cluster con sottoreti private nuove o esistenti che dispongono di più spazio libero per gli indirizzi. Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, disconnetti l'archivio chiavi personalizzato, modifica l'ID del cluster di AWS CloudHSM archivia le chiavi nell'ID del nuovo cluster e riprova a connetterti. Suggerimento
Per evitare di reimpostare la kmsuser password, utilizza il backup più recente di AWS CloudHSM grappolo.
-
INTERNAL_ERROR
indica che AWS KMS non è riuscito a completare la richiesta a causa di un errore interno. Riprova la richiesta . PerConnectCustomKeyStore
le richieste, scollegare il AWS CloudHSM archivia le chiavi prima di riprovare a connetterti. -
INVALID_CREDENTIALS
indica che AWS KMS non può accedere al file associato AWS CloudHSM cluster perché non ha la password correttakmsuser
dell'account. Per informazioni su questo errore, consulta Come correggere credenziali kmsuser non valide. -
NETWORK_ERRORS
indica in genere problemi di rete temporanei. Disconnettere il AWS CloudHSM key store, attendi qualche minuto e riprova a connetterti. -
SUBNET_NOT_FOUND
indica che almeno una sottorete in AWS CloudHSM la configurazione del cluster è stata eliminata. Se AWS KMS non riesce a trovare tutte le sottoreti nella configurazione del cluster, tenta di connettere AWS CloudHSM archivio di chiavi per AWS CloudHSM errore del cluster.Per correggere questo errore, crea un cluster da un backup recente dello stesso AWS CloudHSM ammasso. (Questo processo crea una nuova configurazione del cluster con sottoreti VPC e sottoreti private.) Verificare che il nuovo cluster soddisfi i requisiti per uno store delle chiavi personalizzate e prendere nota del nuovo ID cluster. Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, disconnetti l'archivio chiavi personalizzato, modifica l'ID del cluster di AWS CloudHSM archivia le chiavi nell'ID del nuovo cluster e riprova a connetterti.
Suggerimento
Per evitare di reimpostare la kmsuser password, utilizza il backup più recente di AWS CloudHSM grappolo.
-
USER_LOCKED_OUT
indica che l'account utente kmsuser crittografico (CU) è bloccato dall'account associato AWS CloudHSM cluster a causa di troppi tentativi falliti di password. Per informazioni su questo errore, consulta Come correggere credenziali kmsuser non valide.Per correggere questo errore, disconnetti il AWS CloudHSM archivia le chiavi e usa il comando user change-password in Cloud HSM CLI per modificare la password dell'
kmsuser
account. Quindi, modifica l'impostazione della password kmsuser per lo store delle chiavi personalizzate ed esegui un nuovo tentativo di connessione. Per assistenza, utilizza la procedura descritta nell'argomento Come correggere credenziali kmsuser non valide. -
USER_LOGGED_IN
indica che l'accountkmsuser
CU è connesso al file associato AWS CloudHSM grappolo. Questo impedisce AWS KMS dalla rotazione della password dell'kmsuser
account e dall'accesso al cluster. Per correggere questo errore, registra l'utente di crittografiakmsuser
fuori dal cluster. Se hai cambiato lakmsuser
password per accedere al cluster, devi anche aggiornare il valore della password del key store per il AWS CloudHSM archivio chiavi. Per assistenza, consulta Come scollegarsi e riconnettersi. -
USER_NOT_FOUND
indica che AWS KMS non riesce a trovare un accountkmsuser
CU nell'account associato AWS CloudHSM ammasso. Per correggere questo errore, crea un account kmsuser CU nel cluster, quindi aggiorna il valore della password del key store per AWS CloudHSM archivio chiavi. Per assistenza, consulta Come correggere credenziali kmsuser non valide.
Come rispondere a un errore di un'operazione di crittografia
Un'operazione crittografica che utilizza una KMS chiave in un archivio di chiavi personalizzato potrebbe non riuscire con unKMSInvalidStateException
. L'eccezione KMSInvalidStateException
può essere accompagnata dai seguenti messaggi di errore.
KMSnon può comunicare con il tuo HSM cluster Cloud. Potrebbe trattarsi di un problema di rete temporaneo. Se vedi ripetutamente questo errore, verifica che la rete ACLs e il gruppo di sicurezza siano le regole VPC del tuo AWS CloudHSM i cluster sono corretti. |
-
Sebbene si tratti di un errore HTTPS 400, potrebbe derivare da problemi di rete transitori. Per rispondere, prova a riformulare la richiesta. Tuttavia, se il problema persiste, esamina la configurazione dei componenti di rete. Questo errore è probabilmente causato dall'errata configurazione di un componente di rete, ad esempio una regola firewall o una regola del gruppo di VPC sicurezza che blocca il traffico in uscita.
KMSnon può comunicare con il tuo AWS CloudHSM cluster perché kmsuser è bloccato. Se vedi questo errore ripetutamente, disconnetti il AWS CloudHSM archivia le chiavi e reimposta la password dell'account kmsuser. Aggiorna la password kmsuser per l'archivio di chiavi personalizzate e ritenta la richiesta. |
-
Questo messaggio di errore indica che l'account utente kmsuser crittografico (CU) è bloccato dall'account associato AWS CloudHSM cluster a causa di troppi tentativi falliti di password. Per informazioni su questo errore, consulta Come disconnettersi ed eseguire l'accesso.
Come correggere credenziali kmsuser
non valide
Quando si connette un AWS CloudHSM archivio chiavi, AWS KMS accede al file associato AWS CloudHSM raggruppa come utente kmsuser crittografico (CU). Rimane connesso fino al AWS CloudHSM il key store è disconnesso. La DescribeCustomKeyStoresrisposta mostra un ConnectionState
of FAILED
e un ConnectionErrorCode
valore diINVALID_CREDENTIALS
, come illustrato nell'esempio seguente.
Se si disconnette il AWS CloudHSM memorizza le chiavi e modifica la kmsuser
password, AWS KMS
non può accedere a AWS CloudHSM cluster con le credenziali dell'account kmsuser
CU. Di conseguenza, tutti i tentativi di connettere il AWS CloudHSM l'archivio delle chiavi fallisce. La risposta DescribeCustomKeyStores
mostra un ConnectionState
di FAILED
e il valore ConnectionErrorCode
di INVALID_CREDENTIALS
, come mostrato nell'esempio seguente.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Inoltre, dopo cinque tentativi falliti di accesso al cluster con una password errata, AWS CloudHSM blocca l'account utente. Per accedere al cluster, devi modificare la password dell'account.
Se AWS KMS riceve una risposta di blocco quando tenta di accedere al cluster come kmsuser
CU, la richiesta di connessione AWS CloudHSM l'archivio delle chiavi fallisce. La DescribeCustomKeyStoresrisposta include un ConnectionState
of FAILED
e un ConnectionErrorCode
valore diUSER_LOCKED_OUT
, come illustrato nell'esempio seguente.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Per correggere queste condizioni, utilizza la procedura seguente.
-
Esegui l'DescribeCustomKeyStoresoperazione e visualizza il valore dell'
ConnectionErrorCode
elemento nella risposta.-
Se
ConnectionErrorCode
èINVALID_CREDENTIALS
, determinare la password corrente per l'accountkmsuser
. Se necessario, usa il comando user change-password in Cloud HSM CLI per impostare la password su un valore noto. -
Se il
ConnectionErrorCode
valore èUSER_LOCKED_OUT
, è necessario utilizzare il comando user change-password in Cloud HSM CLI per modificare la password.kmsuser
-
-
Modificare l'impostazione della password kmsuser di modo che corrisponda alla password
kmsuser
corrente nel cluster. Questa azione dice AWS KMS quale password usare per accedere al cluster. Non modifica la passwordkmsuser
nel cluster.
Come eliminare materiale della chiave orfano
Dopo aver pianificato l'eliminazione di una KMS chiave da un AWS CloudHSM archivio chiavi, potrebbe essere necessario eliminare manualmente il materiale chiave corrispondente dal relativo archivio AWS CloudHSM grappolo.
Quando si crea una KMS chiave in un AWS CloudHSM archivio chiavi, AWS KMS crea i metadati KMS chiave in AWS KMS e genera il materiale chiave nel file associato AWS CloudHSM grappolo. Quando si pianifica l'eliminazione di una KMS chiave in un AWS CloudHSM archivio chiavi, dopo il periodo di attesa, AWS KMS elimina i metadati KMS chiave. Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave corrispondente dal AWS CloudHSM grappolo. Il tentativo potrebbe fallire se AWS KMS non può accedere al cluster, ad esempio quando è disconnesso dal AWS CloudHSM key store o modifiche alla kmsuser
password. AWS KMS non tenta di eliminare il materiale chiave dai backup del cluster.
AWS KMS riporta i risultati del suo tentativo di eliminare il materiale chiave dal cluster nell'DeleteKey
evento inserito nel AWS CloudTrail registri. Appare nell'elemento backingKeysDeletionStatus
dell'elemento additionalEventData
, come mostrato nella seguente voce di esempio. La voce include anche la KMS chiaveARN, la AWS CloudHSM ID del cluster e ID (backing-key-id
) del materiale chiave.
{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"
backing-key-id
\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id
\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Note
Le seguenti procedure utilizzano il AWS CloudHSM Strumento da riga di comando Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle
conkey-reference
.
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nel AWS CloudHSM Guida per l'utente.
Le seguenti procedure mostrano come eliminare il materiale chiave orfano dal relativo AWS CloudHSM grappolo.
-
Disconnettere il AWS CloudHSM key store, se non è già disconnesso, accedi, come spiegato in. Come disconnettersi ed eseguire l'accesso
Nota
Quando un archivio chiavi personalizzato è disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS le chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
-
Usa il comando key delete in Cloud HSM CLI per eliminare la chiave dal HSMs cluster.
Tutte le voci di CloudTrail registro per le operazioni crittografiche con una KMS chiave in a AWS CloudHSM l'archivio delle chiavi include un
additionalEventData
campo concustomKeyStoreId
ebackingKey
. Il valore restituito nelbackingKeyId
campo è l'id
attributo HSM chiave Cloud. Ti consigliamo di filtrare l'operazione di eliminazione delle chiaviid
per eliminare il materiale chiave orfano che hai identificato nei tuoi CloudTrail log.AWS CloudHSM riconosce il
backingKeyId
valore come valore esadecimale. Per filtrare in baseid
, è necessario anteporre il suffisso con.backingKeyId
Ox
Ad esempio, sebackingKeyId
nel CloudTrail registro è presente1a2b3c45678abcdef
, è necessario filtrare per.0x1a2b3c45678abcdef
L'esempio seguente elimina una chiave dal HSMs cluster.
backing-key-id
È elencato nella voce di CloudTrail registro. Prima di eseguire questo comando, sostituisci l'esempiobacking-key-id
con uno valido del tuo account.aws-cloudhsm
key delete --filter attr.id="
0x<backing-key-id>
"{ "error_code": 0, "data": { "message": "Key deleted successfully" } }
-
Disconnettersi e ricollegare il AWS CloudHSM archivio chiavi come descritto inCome scollegarsi e riconnettersi.
Come recuperare il materiale chiave cancellato per una KMS chiave
Se il materiale chiave per un AWS KMS key viene eliminato, la KMS chiave è inutilizzabile e tutto il testo cifrato crittografato con la KMS chiave non può essere decrittografato. Questo può accadere se il materiale chiave di una chiave è un KMS AWS CloudHSM l'archivio delle chiavi viene eliminato dall'archivio associato AWS CloudHSM cluster. Potrebbe tuttavia essere possibile recuperare questo materiale.
Quando si crea un AWS KMS key (KMSchiave) in un AWS CloudHSM archivio chiavi, AWS KMS accede al file associato AWS CloudHSM raggruppa e crea il materiale chiave per la KMS chiave. Inoltre, modifica la password con un valore che solo lui conosce e rimane connesso finché AWS CloudHSM il key store è connesso. Poiché solo il proprietario della chiave, ovvero la CU che ha creato una chiave, può eliminare la chiave, è improbabile che la chiave venga eliminata HSMs accidentalmente.
Tuttavia, se il materiale chiave di una KMS chiave viene eliminato da un cluster, lo stato della KMS chiave alla fine cambia HSMs in. UNAVAILABLE
Se si tenta di utilizzare la KMS chiave per un'operazione di crittografia, l'operazione ha esito negativo con un'KMSInvalidStateException
eccezione. Soprattutto, i dati crittografati con la KMS chiave non possono essere decrittografati.
In alcuni casi, è possibile recuperare il materiale della chiave creando un cluster a partire da un backup contenente tale materiale. Questa strategia funziona solo se almeno un backup è stato creato quando la chiave esisteva e prima di essere eliminata.
Utilizza la procedura seguente per recuperare il materiale della chiave.
-
Trovare un backup del cluster che contiene il materiale della chiave. Il backup deve contenere almeno tutti gli utenti e le chiavi necessari per supportare il cluster e i relativi dati crittografati.
Utilizzate l'DescribeBackupsoperazione per elencare i backup per un cluster. Utilizzare quindi il timestamp del backup per la selezione di un backup. Per limitare l'output al cluster associato a AWS CloudHSM key store, utilizzate il
Filters
parametro, come illustrato nell'esempio seguente.$
aws cloudhsmv2 describe-backups --filters clusterIds=
<cluster ID>
{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] }
-
Creare un cluster a partire dal backup selezionato. Verificare che il backup contenga la chiave eliminata e altri utenti e chiavi che il cluster richiede.
-
Disconnettere il AWS CloudHSM key store in modo da poterne modificare le proprietà.
-
Modifica l'ID del cluster di AWS CloudHSM archivio chiavi. Immettere l'ID cluster del cluster creato a partire dal backup. Poiché il cluster condivide una cronologia dei backup con il cluster originale, il nuovo ID cluster deve essere valido.
Come accedere come kmsuser
Per creare e gestire il materiale chiave nel AWS CloudHSM cluster per il tuo AWS CloudHSM archivio chiavi, AWS KMS utilizza l'account kmsuser Crypto User (CU). Crei l'account kmsuser CU nel tuo cluster e fornisci la sua password a AWS KMS quando crei il tuo AWS CloudHSM negozio di chiavi.
In generale, AWS KMS gestisce l'kmsuser
account. Tuttavia, per alcune attività, è necessario disconnettere il AWS CloudHSM key store, accedi al cluster come kmsuser
CU e usa la Cloud HSM Command Line Interface () CLI.
Nota
Sebbene un archivio chiavi personalizzato sia disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
Questo argomento spiega come disconnettere il AWS CloudHSM archivia le chiavi e accedi comekmsuser
, esegui il AWS CloudHSM strumento da riga di comando, quindi disconnettiti e riconnetti il tuo AWS CloudHSM archivio chiavi.
Come disconnettersi ed eseguire l'accesso
Utilizza la seguente procedura ogni volta che devi accedere a un cluster associato come utente kmsuser
crittografico.
Note
Le seguenti procedure utilizzano AWS CloudHSM Strumento da riga di comando Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle
conkey-reference
.
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nel AWS CloudHSM Guida per l'utente.
-
Disconnettere il AWS CloudHSM key store, se non è già disconnesso. Puoi utilizzare il plugin AWS KMS console o AWS KMS API.
Mentre il tuo AWS CloudHSM la chiave è connessa, AWS KMS è connesso come.
kmsuser
Ciò impedisce l'accesso comekmsuser
o la modifica della passwordkmsuser
.Ad esempio, questo comando utilizza DisconnectCustomKeyStoreper disconnettere un archivio di chiavi di esempio. Sostituisci l'esempio AWS CloudHSM ID del key store con uno valido.
$
aws kms disconnect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
Usa il comando login per accedere come amministratore. Utilizza le procedure descritte nella HSM CLI sezione Utilizzo del cloud del AWS CloudHSM Guida per l'utente.
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
-
Usa il comando user change-password in Cloud HSM CLI per cambiare la password dell'
kmsuser
account con una che conosci. (AWS KMS ruota la password quando colleghi il AWS CloudHSM archivio chiavi.) La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali. -
Effettua il login
kmsuser
utilizzando la password che hai impostato. Per istruzioni dettagliate, consulta la HSM CLI sezione Utilizzo del cloud del AWS CloudHSM Guida per l'utente.aws-cloudhsm >
login --username kmsuser --role crypto-user
Enter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Come scollegarsi e riconnettersi
Usa la seguente procedura ogni volta che devi disconnetterti come utente kmsuser
crittografico e ricollegare il tuo key store.
Note
Le seguenti procedure utilizzano AWS CloudHSM Strumento da riga di comando Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle
conkey-reference
.
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nel AWS CloudHSM Guida per l'utente.
-
Esegui l'operazione, quindi usa il comando logout in Cloud HSM CLI per disconnetterti. Se non ti disconnetti, tenta di ricollegare il AWS CloudHSM il key store fallirà.
aws-cloudhsm
logout
{ "error_code": 0, "data": "Logout successful" }
-
Modificare la password kmsuser per lo store delle chiavi personalizzate.
Questo racconta AWS KMS la password corrente per
kmsuser
nel cluster. Se ometti questo passaggio, AWS KMS non sarà in grado di accedere al cluster in quantokmsuser
tale e tutti i tentativi di riconnessione dell'archivio chiavi personalizzato falliranno. Puoi utilizzare il plugin AWS KMS console o ilKeyStorePassword
parametro dell'UpdateCustomKeyStoreoperazione.Ad esempio, questo comando indica AWS KMS che la password corrente è
tempPassword
. Sostituire la password di esempio con una effettiva.$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--key-store-passwordtempPassword
-
Ricollegare il AWS KMS key store al suo AWS CloudHSM grappolo. Sostituisci l'esempio AWS CloudHSM ID del key store con uno valido. Durante il processo di connessione, AWS KMS modifica la
kmsuser
password con un valore che solo essa conosce.L'ConnectCustomKeyStoreoperazione viene ripristinata rapidamente, ma il processo di connessione può richiedere un periodo di tempo prolungato. La risposta iniziale non indica se il processo di connessione è riuscito.
$
aws kms connect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
Utilizzare l'DescribeCustomKeyStoresoperazione per verificare che il AWS CloudHSM il key store è connesso. Sostituisci l'esempio AWS CloudHSM ID del key store con uno valido.
In questo esempio, il campo dello stato della connessione mostra che AWS CloudHSM il key store è ora connesso.
$
aws kms describe-custom-key-stores --custom-key-store-id
cks-1234567890abcdef0
{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }