Risoluzione di problemi relativi a store delle chiavi personalizzate - AWS Key Management Service
Come riparare le KMS chiavi non disponibiliCome correggere una chiave difettosa KMSCome correggere un errore di connessioneCome rispondere a un errore di un'operazione di crittografiaCome correggere credenziali kmsuser non valideCome eliminare materiale della chiave orfanoCome recuperare il materiale chiave cancellato per una KMS chiaveCome accedere come kmsuser

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Risoluzione di problemi relativi a store delle chiavi personalizzate

AWS CloudHSM i key store sono progettati per essere disponibili e resistenti. Tuttavia, ci sono alcune condizioni di errore che potresti dover correggere per mantenere le AWS CloudHSM archivio chiavi operativo.

Come riparare le KMS chiavi non disponibili

Lo stato chiave di AWS KMS keys in un AWS CloudHSM il key store è in genereEnabled. Come tutte le KMS chiavi, lo stato della chiave cambia quando si disabilitano le KMS chiavi in un AWS CloudHSM archivia le chiavi o pianificane l'eliminazione. Tuttavia, a differenza di altre KMS chiavi, le KMS chiavi in un archivio chiavi personalizzato possono avere anche uno stato chiave diUnavailable.

Lo stato della chiave di Unavailable indica che la KMS chiave si trova in un archivio chiavi personalizzato che è stato intenzionalmente disconnesso e che i tentativi di riconnessione, se presenti, hanno avuto esito negativo. Sebbene una KMS chiave non sia disponibile, è possibile visualizzarla e gestirlaKMS, ma non utilizzarla per operazioni crittografiche.

Per trovare lo stato della KMS chiave, nella pagina Customer managed keys, visualizza il campo Stato della KMS chiave. Oppure, utilizza l'DescribeKeyoperazione e visualizza l'KeyStateelemento nella risposta. Per informazioni dettagliate, consultare Visualizzazione di chiavi.

Le KMS chiavi in un archivio chiavi personalizzato disconnesso avranno lo stato chiave Unavailable oPendingDeletion. KMSle chiavi di cui è pianificata l'eliminazione da un archivio chiavi personalizzato hanno uno stato Pending Deletion chiave, anche quando l'archivio chiavi personalizzato è disconnesso. Ciò ti consente di annullare l'eliminazione pianificata delle chiavi senza riconnettere lo store delle chiavi personalizzate.

Per correggere una KMS chiave non disponibile, ricollega l'archivio chiavi personalizzato. Dopo la riconnessione dell'archivio chiavi personalizzato, lo stato delle KMS chiavi nell'archivio chiavi personalizzato viene automaticamente ripristinato allo stato precedente, ad Enabled esempio o. Disabled KMSle chiavi in attesa di eliminazione rimangono nello PendingDeletion stato. Tuttavia, sebbene il problema persista, l'attivazione e la disabilitazione di una KMS chiave non disponibile non ne modifica lo stato. L'abilitazione o la disabilitazione ha effetto solo quando la chiave diventa disponibile.

Per informazioni sulle connessioni non riuscite, consulta Come correggere un errore di connessione.

Come correggere una chiave difettosa KMS

Problemi con la creazione e l'utilizzo KMS delle chiavi in AWS CloudHSM gli archivi di chiavi possono essere causati da un problema con AWS CloudHSM key store, è associato AWS CloudHSM cluster, la KMS chiave o il relativo materiale chiave.

Quando un AWS CloudHSM il key store è disconnesso dal suo AWS CloudHSM cluster, lo stato chiave delle KMS chiavi nell'archivio chiavi personalizzato èUnavailable. Tutte le richieste di creazione di KMS chiavi in un ambiente disconnesso AWS CloudHSM l'archivio di chiavi restituisce un'CustomKeyStoreInvalidStateExceptioneccezione. Tutte le richieste di crittografare, decrittografare, ricrittografare o generare chiavi di dati restituiscono un'eccezione KMSInvalidStateException. Per risolvere il problema, ricollegare il AWS CloudHSM archivio chiavi.

Tuttavia, i tuoi tentativi di utilizzare una KMS chiave in un AWS CloudHSM l'archivio di chiavi per le operazioni crittografiche potrebbe fallire anche se lo stato della chiave Enabled e lo stato della connessione di AWS CloudHSM key store èConnected. Ciò può essere dovuto a una qualsiasi delle condizioni seguenti.

  • Il materiale chiave per la KMS chiave potrebbe essere stato eliminato dal file associato AWS CloudHSM grappolo. Per indagare, trovate l'ID chiave del materiale chiave di una KMS chiave e, se necessario, provate a recuperare il materiale chiave.

  • Tutti HSMs sono stati eliminati dal AWS CloudHSM cluster associato a AWS CloudHSM archivio chiavi. Usare una KMS chiave in un AWS CloudHSM memorizza le chiavi in un'operazione crittografica, è AWS CloudHSM il cluster deve contenerne almeno uno attivoHSM. Per verificare il numero e lo stato HSMs di un AWS CloudHSM cluster, usa il AWS CloudHSM console per l'DescribeClustersoperazione. Per aggiungere un HSM file al cluster, usa AWS CloudHSM console per l'CreateHsmoperazione.

  • Il AWS CloudHSM cluster associato a AWS CloudHSM il key store è stato eliminato. Per risolvere il problema, crea un cluster da un backup che è correlato al cluster originale, ad esempio un backup del cluster originale o un backup utilizzato per creare il cluster originale. Quindi, modifica l'ID cluster nelle impostazioni relative allo store delle chiavi personalizzate. Per istruzioni, consulta Come recuperare il materiale chiave cancellato per una KMS chiave.

  • Il AWS CloudHSM il cluster associato all'archivio di chiavi personalizzato non aveva alcuna sessione PKCS #11 disponibile. Ciò si verifica in genere durante i periodi di traffico di espansione elevato, ovvero quando sono necessarie sessioni aggiuntive per gestire il traffico. Per rispondere a un messaggio KMSInternalException di errore relativo alle sessioni PKCS #11, arretra e riprova la richiesta.

Come correggere un errore di connessione

Se provi a connettere un AWS CloudHSM key store al suo AWS CloudHSM cluster, ma l'operazione fallisce, lo stato della connessione di AWS CloudHSM key store cambia inFAILED. Per trovare lo stato di connessione di un AWS CloudHSM key store, usa il AWS KMS console per l'DescribeCustomKeyStoresoperazione.

In alternativa, alcuni tentativi di connessione si interrompono rapidamente a causa di errori di configurazione del cluster facilmente rilevati. In questo caso, lo stato della connessione è ancora DISCONNECTED. Questi errori restituiranno un messaggio di errore o un'eccezione che spiega perché il tentativo non è riuscito. Rivedi la descrizione dell'eccezione e i requisiti del cluster, risolvi il problema, aggiorna il AWS CloudHSM archivia le chiavi, se necessario, e riprova a connetterti.

Quando lo stato della connessione è FAILED impostato, esegui l'DescribeCustomKeyStoresoperazione e visualizza l'ConnectionErrorCodeelemento nella risposta.

Nota

Quando lo stato di connessione di un AWS CloudHSM key store èFAILED, è necessario disconnettere il AWS CloudHSM key store prima di tentare di ricollegarlo. Non è possibile connettere un AWS CloudHSM archivio di chiavi con uno stato di FAILED connessione.

Come rispondere a un errore di un'operazione di crittografia

Un'operazione crittografica che utilizza una KMS chiave in un archivio di chiavi personalizzato potrebbe non riuscire con unKMSInvalidStateException. L'eccezione KMSInvalidStateException può essere accompagnata dai seguenti messaggi di errore.

KMSnon può comunicare con il tuo HSM cluster Cloud. Potrebbe trattarsi di un problema di rete temporaneo. Se vedi ripetutamente questo errore, verifica che la rete ACLs e il gruppo di sicurezza siano le regole VPC del tuo AWS CloudHSM i cluster sono corretti.

  • Sebbene si tratti di un errore HTTPS 400, potrebbe derivare da problemi di rete transitori. Per rispondere, prova a riformulare la richiesta. Tuttavia, se il problema persiste, esamina la configurazione dei componenti di rete. Questo errore è probabilmente causato dall'errata configurazione di un componente di rete, ad esempio una regola firewall o una regola del gruppo di VPC sicurezza che blocca il traffico in uscita.

KMSnon può comunicare con il tuo AWS CloudHSM cluster perché kmsuser è bloccato. Se vedi questo errore ripetutamente, disconnetti il AWS CloudHSM archivia le chiavi e reimposta la password dell'account kmsuser. Aggiorna la password kmsuser per l'archivio di chiavi personalizzate e ritenta la richiesta.

Come correggere credenziali kmsuser non valide

Quando si connette un AWS CloudHSM archivio chiavi, AWS KMS accede al file associato AWS CloudHSM raggruppa come utente kmsuser crittografico (CU). Rimane connesso fino al AWS CloudHSM il key store è disconnesso. La DescribeCustomKeyStoresrisposta mostra un ConnectionState of FAILED e un ConnectionErrorCode valore diINVALID_CREDENTIALS, come illustrato nell'esempio seguente.

Se si disconnette il AWS CloudHSM memorizza le chiavi e modifica la kmsuser password, AWS KMS non può accedere a AWS CloudHSM cluster con le credenziali dell'account kmsuser CU. Di conseguenza, tutti i tentativi di connettere il AWS CloudHSM l'archivio delle chiavi fallisce. La risposta DescribeCustomKeyStores mostra un ConnectionState di FAILED e il valore ConnectionErrorCode di INVALID_CREDENTIALS, come mostrato nell'esempio seguente.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Inoltre, dopo cinque tentativi falliti di accesso al cluster con una password errata, AWS CloudHSM blocca l'account utente. Per accedere al cluster, devi modificare la password dell'account.

Se AWS KMS riceve una risposta di blocco quando tenta di accedere al cluster come kmsuser CU, la richiesta di connessione AWS CloudHSM l'archivio delle chiavi fallisce. La DescribeCustomKeyStoresrisposta include un ConnectionState of FAILED e un ConnectionErrorCode valore diUSER_LOCKED_OUT, come illustrato nell'esempio seguente.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Per correggere queste condizioni, utilizza la procedura seguente.

  1. Disconnettere il AWS CloudHSM archivio chiavi.

  2. Esegui l'DescribeCustomKeyStoresoperazione e visualizza il valore dell'ConnectionErrorCodeelemento nella risposta.

    • Se ConnectionErrorCode è INVALID_CREDENTIALS, determinare la password corrente per l'account kmsuser. Se necessario, usa il comando user change-password in Cloud HSM CLI per impostare la password su un valore noto.

    • Se il ConnectionErrorCode valore èUSER_LOCKED_OUT, è necessario utilizzare il comando user change-password in Cloud HSM CLI per modificare la password. kmsuser

  3. Modificare l'impostazione della password kmsuser di modo che corrisponda alla password kmsuser corrente nel cluster. Questa azione dice AWS KMS quale password usare per accedere al cluster. Non modifica la password kmsuser nel cluster.

  4. Connettere lo store delle chiavi personalizzate.

Come eliminare materiale della chiave orfano

Dopo aver pianificato l'eliminazione di una KMS chiave da un AWS CloudHSM archivio chiavi, potrebbe essere necessario eliminare manualmente il materiale chiave corrispondente dal relativo archivio AWS CloudHSM grappolo.

Quando si crea una KMS chiave in un AWS CloudHSM archivio chiavi, AWS KMS crea i metadati KMS chiave in AWS KMS e genera il materiale chiave nel file associato AWS CloudHSM grappolo. Quando si pianifica l'eliminazione di una KMS chiave in un AWS CloudHSM archivio chiavi, dopo il periodo di attesa, AWS KMS elimina i metadati KMS chiave. Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave corrispondente dal AWS CloudHSM grappolo. Il tentativo potrebbe fallire se AWS KMS non può accedere al cluster, ad esempio quando è disconnesso dal AWS CloudHSM key store o modifiche alla kmsuser password. AWS KMS non tenta di eliminare il materiale chiave dai backup del cluster.

AWS KMS riporta i risultati del suo tentativo di eliminare il materiale chiave dal cluster nell'DeleteKeyevento inserito nel AWS CloudTrail registri. Appare nell'elemento backingKeysDeletionStatus dell'elemento additionalEventData, come mostrato nella seguente voce di esempio. La voce include anche la KMS chiaveARN, la AWS CloudHSM ID del cluster e ID (backing-key-id) del materiale chiave.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
Note

Le seguenti procedure utilizzano il AWS CloudHSM Strumento da riga di comando Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle conkey-reference.

Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nel AWS CloudHSM Guida per l'utente.

Le seguenti procedure mostrano come eliminare il materiale chiave orfano dal relativo AWS CloudHSM grappolo.

  1. Disconnettere il AWS CloudHSM key store, se non è già disconnesso, accedi, come spiegato in. Come disconnettersi ed eseguire l'accesso

    Nota

    Quando un archivio chiavi personalizzato è disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS le chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

  2. Usa il comando key delete in Cloud HSM CLI per eliminare la chiave dal HSMs cluster.

    Tutte le voci di CloudTrail registro per le operazioni crittografiche con una KMS chiave in a AWS CloudHSM l'archivio delle chiavi include un additionalEventData campo con customKeyStoreId ebackingKey. Il valore restituito nel backingKeyId campo è l'idattributo HSM chiave Cloud. Ti consigliamo di filtrare l'operazione di eliminazione delle chiavi id per eliminare il materiale chiave orfano che hai identificato nei tuoi CloudTrail log.

    AWS CloudHSM riconosce il backingKeyId valore come valore esadecimale. Per filtrare in baseid, è necessario anteporre il suffisso con. backingKeyId Ox Ad esempio, se backingKeyId nel CloudTrail registro è presente1a2b3c45678abcdef, è necessario filtrare per. 0x1a2b3c45678abcdef

    L'esempio seguente elimina una chiave dal HSMs cluster. backing-key-idÈ elencato nella voce di CloudTrail registro. Prima di eseguire questo comando, sostituisci l'esempio backing-key-id con uno valido del tuo account.

    aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
{
  "error_code": 0,
  "data": {
    "message": "Key deleted successfully"
  }
}

  3. Disconnettersi e ricollegare il AWS CloudHSM archivio chiavi come descritto inCome scollegarsi e riconnettersi.

Come recuperare il materiale chiave cancellato per una KMS chiave

Se il materiale chiave per un AWS KMS key viene eliminato, la KMS chiave è inutilizzabile e tutto il testo cifrato crittografato con la KMS chiave non può essere decrittografato. Questo può accadere se il materiale chiave di una chiave è un KMS AWS CloudHSM l'archivio delle chiavi viene eliminato dall'archivio associato AWS CloudHSM cluster. Potrebbe tuttavia essere possibile recuperare questo materiale.

Quando si crea un AWS KMS key (KMSchiave) in un AWS CloudHSM archivio chiavi, AWS KMS accede al file associato AWS CloudHSM raggruppa e crea il materiale chiave per la KMS chiave. Inoltre, modifica la password con un valore che solo lui conosce e rimane connesso finché AWS CloudHSM il key store è connesso. Poiché solo il proprietario della chiave, ovvero la CU che ha creato una chiave, può eliminare la chiave, è improbabile che la chiave venga eliminata HSMs accidentalmente.

Tuttavia, se il materiale chiave di una KMS chiave viene eliminato da un cluster, lo stato della KMS chiave alla fine cambia HSMs in. UNAVAILABLE Se si tenta di utilizzare la KMS chiave per un'operazione di crittografia, l'operazione ha esito negativo con un'KMSInvalidStateExceptioneccezione. Soprattutto, i dati crittografati con la KMS chiave non possono essere decrittografati.

In alcuni casi, è possibile recuperare il materiale della chiave creando un cluster a partire da un backup contenente tale materiale. Questa strategia funziona solo se almeno un backup è stato creato quando la chiave esisteva e prima di essere eliminata.

Utilizza la procedura seguente per recuperare il materiale della chiave.

  1. Trovare un backup del cluster che contiene il materiale della chiave. Il backup deve contenere almeno tutti gli utenti e le chiavi necessari per supportare il cluster e i relativi dati crittografati.

    Utilizzate l'DescribeBackupsoperazione per elencare i backup per un cluster. Utilizzare quindi il timestamp del backup per la selezione di un backup. Per limitare l'output al cluster associato a AWS CloudHSM key store, utilizzate il Filters parametro, come illustrato nell'esempio seguente. 

    $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
{
    "Backups": [
        {
            "ClusterId": "cluster-1a23b4cdefg",
            "BackupId": "backup-9g87f6edcba",
            "CreateTimestamp": 1536667238.328,
            "BackupState": "READY"
        },
             ...
    ]
}

  2. Creare un cluster a partire dal backup selezionato. Verificare che il backup contenga la chiave eliminata e altri utenti e chiavi che il cluster richiede.

  3. Disconnettere il AWS CloudHSM key store in modo da poterne modificare le proprietà.

  4. Modifica l'ID del cluster di AWS CloudHSM archivio chiavi. Immettere l'ID cluster del cluster creato a partire dal backup. Poiché il cluster condivide una cronologia dei backup con il cluster originale, il nuovo ID cluster deve essere valido.

  5. Ricollegare il AWS CloudHSM archivio chiavi.

Come accedere come kmsuser

Per creare e gestire il materiale chiave nel AWS CloudHSM cluster per il tuo AWS CloudHSM archivio chiavi, AWS KMS utilizza l'account kmsuser Crypto User (CU). Crei l'account kmsuser CU nel tuo cluster e fornisci la sua password a AWS KMS quando crei il tuo AWS CloudHSM negozio di chiavi.

In generale, AWS KMS gestisce l'kmsuseraccount. Tuttavia, per alcune attività, è necessario disconnettere il AWS CloudHSM key store, accedi al cluster come kmsuser CU e usa la Cloud HSM Command Line Interface () CLI.

Nota

Sebbene un archivio chiavi personalizzato sia disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Questo argomento spiega come disconnettere il AWS CloudHSM archivia le chiavi e accedi comekmsuser, esegui il AWS CloudHSM strumento da riga di comando, quindi disconnettiti e riconnetti il tuo AWS CloudHSM archivio chiavi.

Come disconnettersi ed eseguire l'accesso

Utilizza la seguente procedura ogni volta che devi accedere a un cluster associato come utente kmsuser crittografico.

Note

Le seguenti procedure utilizzano AWS CloudHSM Strumento da riga di comando Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle conkey-reference.

Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nel AWS CloudHSM Guida per l'utente.

  1. Disconnettere il AWS CloudHSM key store, se non è già disconnesso. Puoi utilizzare il plugin AWS KMS console o AWS KMS API.

    Mentre il tuo AWS CloudHSM la chiave è connessa, AWS KMS è connesso come. kmsuser Ciò impedisce l'accesso come kmsuser o la modifica della password kmsuser.

    Ad esempio, questo comando utilizza DisconnectCustomKeyStoreper disconnettere un archivio di chiavi di esempio. Sostituisci l'esempio AWS CloudHSM ID del key store con uno valido.

    $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

  2. Usa il comando login per accedere come amministratore. Utilizza le procedure descritte nella HSM CLI sezione Utilizzo del cloud del AWS CloudHSM Guida per l'utente.

    aws-cloudhsm > login --username admin --role admin
          Enter password:
{
  "error_code": 0,
  "data": {
    "username": "admin",
    "role": "admin"
  }
}

  3. Usa il comando user change-password in Cloud HSM CLI per cambiare la password dell'kmsuseraccount con una che conosci. (AWS KMS ruota la password quando colleghi il AWS CloudHSM archivio chiavi.) La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.

  4. Effettua il login kmsuser utilizzando la password che hai impostato. Per istruzioni dettagliate, consulta la HSM CLI sezione Utilizzo del cloud del AWS CloudHSM Guida per l'utente.

    aws-cloudhsm > login --username kmsuser --role crypto-user
          Enter password:
{
  "error_code": 0,
  "data": {
    "username": "kmsuser",
    "role": "crypto-user"
  }
}

Come scollegarsi e riconnettersi

Usa la seguente procedura ogni volta che devi disconnetterti come utente kmsuser crittografico e ricollegare il tuo key store.

Note

Le seguenti procedure utilizzano AWS CloudHSM Strumento da riga di comando Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle conkey-reference.

Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nel AWS CloudHSM Guida per l'utente.

  1. Esegui l'operazione, quindi usa il comando logout in Cloud HSM CLI per disconnetterti. Se non ti disconnetti, tenta di ricollegare il AWS CloudHSM il key store fallirà.

    aws-cloudhsm  logout
{
  "error_code": 0,
  "data": "Logout successful"
}

  2. Modificare la password kmsuser per lo store delle chiavi personalizzate.

    Questo racconta AWS KMS la password corrente per kmsuser nel cluster. Se ometti questo passaggio, AWS KMS non sarà in grado di accedere al cluster in quanto kmsuser tale e tutti i tentativi di riconnessione dell'archivio chiavi personalizzato falliranno. Puoi utilizzare il plugin AWS KMS console o il KeyStorePassword parametro dell'UpdateCustomKeyStoreoperazione.

    Ad esempio, questo comando indica AWS KMS che la password corrente ètempPassword. Sostituire la password di esempio con una effettiva. 

    $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword

  3. Ricollegare il AWS KMS key store al suo AWS CloudHSM grappolo. Sostituisci l'esempio AWS CloudHSM ID del key store con uno valido. Durante il processo di connessione, AWS KMS modifica la kmsuser password con un valore che solo essa conosce.

    L'ConnectCustomKeyStoreoperazione viene ripristinata rapidamente, ma il processo di connessione può richiedere un periodo di tempo prolungato. La risposta iniziale non indica se il processo di connessione è riuscito.

    $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

  4. Utilizzare l'DescribeCustomKeyStoresoperazione per verificare che il AWS CloudHSM il key store è connesso. Sostituisci l'esempio AWS CloudHSM ID del key store con uno valido.

    In questo esempio, il campo dello stato della connessione mostra che AWS CloudHSM il key store è ora connesso.

    $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}