Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione di problemi relativi a store delle chiavi personalizzate
AWS CloudHSM i key store sono progettati per essere disponibili e resistenti. Tuttavia, ci sono alcune condizioni di errore che potresti dover correggere per mantenere operativo l'archivio AWS CloudHSM delle chiavi.
Argomenti
- Come correggere le KMS chiavi non disponibili
- Come correggere una chiave difettosa KMS
- Come correggere un errore di connessione
- Come rispondere a un errore di un'operazione di crittografia
- Come correggere credenziali kmsuser non valide
- Come eliminare materiale della chiave orfano
- Come recuperare il materiale chiave eliminato per una KMS chiave
- Come accedere come kmsuser
Come correggere le KMS chiavi non disponibili
Lo stato della chiave AWS KMS keys in un archivio di AWS CloudHSM chiavi è in genereEnabled. Come tutte le KMS chiavi, lo stato della chiave cambia quando si disabilitano le KMS chiavi in un archivio AWS CloudHSM chiavi o se ne pianifica l'eliminazione. Tuttavia, a differenza di altre KMS chiavi, le KMS chiavi in un archivio chiavi personalizzato possono avere anche uno stato chiave diUnavailable.
Lo stato della chiave di Unavailable indica che la KMS chiave si trova in un archivio chiavi personalizzato che è stato intenzionalmente disconnesso e che i tentativi di riconnessione, se presenti, hanno avuto esito negativo. Sebbene una KMS chiave non sia disponibile, è possibile visualizzarla e gestirlaKMS, ma non utilizzarla per operazioni crittografiche.
Per trovare lo stato della KMS chiave, nella pagina Customer managed keys, visualizza il campo Stato della KMS chiave. Oppure, utilizza l'DescribeKeyoperazione e visualizza l'KeyStateelemento nella risposta. Per informazioni dettagliate, consultare Identifica e visualizza le chiavi.
Le KMS chiavi in un archivio chiavi personalizzato disconnesso avranno lo stato chiave Unavailable oPendingDeletion. KMSle chiavi di cui è pianificata l'eliminazione da un archivio chiavi personalizzato hanno uno stato Pending Deletion chiave, anche quando l'archivio chiavi personalizzato è disconnesso. Ciò ti consente di annullare l'eliminazione pianificata delle chiavi senza riconnettere lo store delle chiavi personalizzate.
Per correggere una KMS chiave non disponibile, ricollega l'archivio chiavi personalizzato. Dopo la riconnessione dell'archivio chiavi personalizzato, lo stato delle KMS chiavi nell'archivio chiavi personalizzato viene automaticamente ripristinato allo stato precedente, ad Enabled esempio o. Disabled KMSle chiavi in attesa di eliminazione rimangono nello PendingDeletion stato. Tuttavia, sebbene il problema persista, l'attivazione e la disabilitazione di una KMS chiave non disponibile non ne modifica lo stato. L'abilitazione o la disabilitazione ha effetto solo quando la chiave diventa disponibile.
Per informazioni sulle connessioni non riuscite, consulta Come correggere un errore di connessione.
Come correggere una chiave difettosa KMS
I problemi relativi alla creazione e all'utilizzo KMS delle AWS CloudHSM chiavi negli archivi delle chiavi possono essere causati da un problema relativo all'archivio delle AWS CloudHSM chiavi, al AWS CloudHSM cluster associato, alla KMS chiave o al materiale delle chiavi.
Quando un archivio AWS CloudHSM chiavi viene disconnesso dal relativo AWS CloudHSM cluster, lo stato delle KMS chiavi nell'archivio chiavi personalizzato èUnavailable. Tutte le richieste di creazione di KMS chiavi in un archivio di AWS CloudHSM chiavi disconnesso restituiscono un'CustomKeyStoreInvalidStateExceptioneccezione. Tutte le richieste di crittografare, decrittografare, ricrittografare o generare chiavi di dati restituiscono un'eccezione KMSInvalidStateException. Per risolvere il problema, ricollega l'archivio delle AWS CloudHSM chiavi.
Tuttavia, i tentativi di utilizzare una KMS chiave in un archivio AWS CloudHSM chiavi per operazioni crittografiche potrebbero fallire anche se lo stato della chiave è Enabled e lo stato di connessione dell'archivio AWS CloudHSM chiavi è uguale. Connected Ciò può essere dovuto a una qualsiasi delle condizioni seguenti.
-
Il materiale chiave della KMS chiave potrebbe essere stato eliminato dal AWS CloudHSM cluster associato. Per indagare, trovate l'ID chiave del materiale chiave per una KMS chiave e, se necessario, provate a recuperare il materiale chiave.
-
Tutti HSMs sono stati eliminati dal AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi. Per utilizzare una KMS chiave in un archivio di AWS CloudHSM chiavi in un'operazione crittografica, il relativo AWS CloudHSM cluster deve contenerne almeno una attivaHSM. Per verificare il numero e lo stato HSMs di un AWS CloudHSM cluster, utilizza la AWS CloudHSM console o l'DescribeClustersoperazione. Per aggiungere un HSM file al cluster, usa la AWS CloudHSM console o l'CreateHsmoperazione.
-
Il AWS CloudHSM cluster associato al AWS CloudHSM key store è stato eliminato. Per risolvere il problema, crea un cluster da un backup che è correlato al cluster originale, ad esempio un backup del cluster originale o un backup utilizzato per creare il cluster originale. Quindi, modifica l'ID cluster nelle impostazioni relative allo store delle chiavi personalizzate. Per istruzioni, consulta Come recuperare il materiale chiave eliminato per una KMS chiave.
-
Il AWS CloudHSM cluster associato all'archivio di chiavi personalizzato non aveva alcuna sessione PKCS #11 disponibile. Ciò si verifica in genere durante i periodi di traffico di espansione elevato, ovvero quando sono necessarie sessioni aggiuntive per gestire il traffico. Per rispondere a un messaggio
KMSInternalExceptiondi errore relativo alle sessioni PKCS #11, arretra e riprova la richiesta.
Come correggere un errore di connessione
Se si tenta di connettere un archivio AWS CloudHSM chiavi al relativo AWS CloudHSM cluster, ma l'operazione non riesce, lo stato di connessione dell'archivio AWS CloudHSM chiavi cambia inFAILED. Per trovare lo stato di connessione di un AWS CloudHSM key store, usa la AWS KMS
console o l'DescribeCustomKeyStoresoperazione.
In alternativa, alcuni tentativi di connessione si interrompono rapidamente a causa di errori di configurazione del cluster facilmente rilevati. In questo caso, lo stato della connessione è ancora DISCONNECTED. Questi errori restituiranno un messaggio di errore o un'eccezione che spiega perché il tentativo non è riuscito. Esamina la descrizione dell'eccezione e i requisiti del cluster, risolvi il problema, aggiorna il AWS CloudHSM key store, se necessario, e riprova a connetterti.
Quando lo stato della connessione è FAILED impostato, esegui l'DescribeCustomKeyStoresoperazione e visualizza l'ConnectionErrorCodeelemento nella risposta.
Nota
Quando lo stato di connessione di un AWS CloudHSM key store èFAILED, è necessario disconnetterlo AWS CloudHSM prima di tentare di ricollegarlo. Non è possibile connettere un archivio AWS CloudHSM chiavi con uno FAILED stato di connessione.
-
CLUSTER_NOT_FOUNDindica che AWS KMS non è possibile trovare un AWS CloudHSM cluster con l'ID del cluster specificato. Ciò potrebbe verificarsi perché a un'APIoperazione è stato fornito un ID cluster errato o il cluster è stato eliminato e non sostituito. Per correggere questo errore, verifica l'ID del cluster, ad esempio utilizzando la AWS CloudHSM console o l'DescribeClustersoperazione. Se il cluster è stato eliminato, crea un cluster a partire da un backup recente dell'originale. Quindi, disconnetti l'archivio AWS CloudHSM chiavi, modifica l'impostazione dell'ID del cluster del AWS CloudHSM key store e ricollega l'archivio AWS CloudHSM chiavi al cluster. -
INSUFFICIENT_CLOUDHSM_HSMSindica che il AWS CloudHSM cluster associato non ne contiene. HSMs Per connettersi, il cluster deve averne almeno unoHSM. Per trovare il numero di HSMs nel cluster, usa l'DescribeClustersoperazione. Per risolvere questo errore, aggiungine almeno uno HSM al cluster. Se ne aggiungi piùHSMs, è meglio crearli in zone di disponibilità diverse. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNETindica che non è AWS KMS stato possibile connettere l'archivio di AWS CloudHSM chiavi al relativo AWS CloudHSM cluster perché almeno una sottorete privata associata al cluster non dispone di indirizzi IP disponibili. Una connessione al AWS CloudHSM key store richiede un indirizzo IP libero in ciascuna delle sottoreti private associate, sebbene ne siano preferibili due.Non è possibile aggiungere indirizzi IP
(CIDRblocchi) a una sottorete esistente. Se possibile, sposta o elimina altre risorse che utilizzano gli indirizzi IP nella sottorete, ad esempio EC2 istanze non utilizzate o interfacce di rete elastiche. Altrimenti, è possibile creare un cluster da un backup recente del AWS CloudHSM cluster con sottoreti private nuove o esistenti che dispongono di più spazio libero per gli indirizzi. Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, disconnetti l'archivio chiavi personalizzato, modifica l'ID del cluster dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo. Suggerimento
Per evitare di reimpostare la kmsuser password, utilizza il backup più recente del cluster. AWS CloudHSM
-
INTERNAL_ERRORindica che non è AWS KMS stato possibile completare la richiesta a causa di un errore interno. Riprova la richiesta . PerConnectCustomKeyStorele richieste, disconnetti l'archivio delle AWS CloudHSM chiavi prima di riprovare a connetterti. -
INVALID_CREDENTIALSindica che AWS KMS non può accedere al AWS CloudHSM cluster associato perché non dispone della password dell'kmsuseraccount corretta. Per informazioni su questo errore, consulta Come correggere credenziali kmsuser non valide. -
NETWORK_ERRORSindica in genere problemi di rete temporanei. Disconnetti il AWS CloudHSM key store, attendi qualche minuto e riprova a connetterti. -
SUBNET_NOT_FOUNDindica che almeno una sottorete nella configurazione del AWS CloudHSM cluster è stata eliminata. Se AWS KMS non è possibile trovare tutte le sottoreti nella configurazione del cluster, i tentativi di connettere l'archivio delle AWS CloudHSM chiavi al cluster hanno esito negativo. AWS CloudHSMPer correggere questo errore, crea un cluster da un backup recente dello stesso AWS CloudHSM cluster. (Questo processo crea una nuova configurazione del cluster con sottoreti VPC e sottoreti private). Verificare che il nuovo cluster soddisfi i requisiti per uno store delle chiavi personalizzate e prendere nota del nuovo ID cluster. Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, disconnetti l'archivio chiavi personalizzato, modifica l'ID del cluster dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
Suggerimento
Per evitare di reimpostare la kmsuser password, utilizza il backup più recente del cluster. AWS CloudHSM
-
USER_LOCKED_OUTindica che l'account crypto user (CU) kmsuser è bloccato per il cluster AWS CloudHSM a causa di troppi tentativi con password errate. Per informazioni su questo errore, consulta Come correggere credenziali kmsuser non valide.Per correggere questo errore, disconnetti l'archivio delle AWS CloudHSM chiavi e usa il comando user change-password in Cloud HSM CLI per modificare la password dell'account.
kmsuserQuindi, modifica l'impostazione della password kmsuser per lo store delle chiavi personalizzate ed esegui un nuovo tentativo di connessione. Per assistenza, utilizza la procedura descritta nell'argomento Come correggere credenziali kmsuser non valide. -
USER_LOGGED_INindica che l'accountkmsuserCU è connesso al cluster associato. AWS CloudHSM Ciò AWS KMS impedisce di ruotare la password dell'kmsuseraccount e di accedere al cluster. Per correggere questo errore, registra l'utente di crittografiakmsuserfuori dal cluster. Se hai cambiato lakmsuserpassword per accedere al cluster, devi anche aggiornare il valore della password dell'archivio chiavi per l'archivio delle AWS CloudHSM chiavi. Per assistenza, consulta Come scollegarsi e riconnettersi. -
USER_NOT_FOUNDindica che AWS KMS non è possibile trovare un accountkmsuserCU nel AWS CloudHSM cluster associato. Per correggere questo errore, crea un account kmsuser CU nel cluster, quindi aggiorna il valore della password del key store per l'archivio AWS CloudHSM chiavi. Per assistenza, consulta Come correggere credenziali kmsuser non valide.
Come rispondere a un errore di un'operazione di crittografia
Un'operazione crittografica che utilizza una KMS chiave in un archivio di chiavi personalizzato potrebbe non riuscire con un. KMSInvalidStateException L'eccezione KMSInvalidStateException può essere accompagnata dai seguenti messaggi di errore.
| KMSnon può comunicare con il tuo HSM cluster Cloud. Potrebbe trattarsi di un problema di rete temporaneo. Se vedi ripetutamente questo errore, verifica che la rete ACLs e le regole del gruppo VPC di sicurezza per il tuo AWS CloudHSM cluster siano corrette. |
-
Sebbene si tratti di un errore HTTPS 400, potrebbe derivare da problemi di rete temporanei. Per rispondere, prova a riformulare la richiesta. Tuttavia, se il problema persiste, esamina la configurazione dei componenti di rete. Questo errore è probabilmente causato dall'errata configurazione di un componente di rete, ad esempio una regola firewall o una regola del gruppo di VPC sicurezza che blocca il traffico in uscita.
| KMSnon è possibile comunicare con il AWS CloudHSM cluster perché l'utente kmsuser è bloccato. Se vedi questo errore ripetutamente, disconnetti il AWS CloudHSM key store e reimposta la password dell'account kmsuser. Aggiorna la password kmsuser per l'archivio di chiavi personalizzate e ritenta la richiesta. |
-
Questo messaggio di errore indica che l'account crypto user (CU) kmsuser è bloccato per il cluster AWS CloudHSM associato a causa del numero eccessivo di tentativi con password errate. Per informazioni su questo errore, consulta Come disconnettersi ed eseguire l'accesso.
Come correggere credenziali kmsuser non valide
Quando connetti un archivio di AWS CloudHSM chiavi, AWS KMS accede al AWS CloudHSM cluster associato come utente kmsuser crittografico (CU). Rimane connesso finché il AWS CloudHSM key store non viene disconnesso. La DescribeCustomKeyStoresrisposta mostra un ConnectionState of FAILED e un ConnectionErrorCode valore diINVALID_CREDENTIALS, come illustrato nell'esempio seguente.
Se si disconnette il AWS CloudHSM key store e si modifica la kmsuser password, AWS KMS
non è possibile accedere al AWS CloudHSM cluster con le credenziali dell'account kmsuser CU. Di conseguenza, tutti i tentativi di connessione al AWS CloudHSM key store falliscono. La risposta DescribeCustomKeyStores mostra un ConnectionState di FAILED e il valore ConnectionErrorCode di INVALID_CREDENTIALS, come mostrato nell'esempio seguente.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleKeyStore{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Inoltre, dopo cinque tentativi di accesso al cluster non riusciti a causa di una password errata, AWS CloudHSM blocca l'account utente. Per accedere al cluster, devi modificare la password dell'account.
Se AWS KMS riceve una risposta di blocco quando tenta di accedere al cluster come kmsuser CU, la richiesta di connessione al AWS CloudHSM key store ha esito negativo. La DescribeCustomKeyStoresrisposta include un ConnectionState of FAILED e un ConnectionErrorCode valore diUSER_LOCKED_OUT, come illustrato nell'esempio seguente.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleKeyStore{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Per correggere queste condizioni, utilizza la procedura seguente.
-
Esegui l'DescribeCustomKeyStoresoperazione e visualizza il valore dell'
ConnectionErrorCodeelemento nella risposta.-
Se
ConnectionErrorCodeèINVALID_CREDENTIALS, determinare la password corrente per l'accountkmsuser. Se necessario, usa il comando user change-password in Cloud HSM CLI per impostare la password su un valore noto. -
Se il
ConnectionErrorCodevalore èUSER_LOCKED_OUT, è necessario utilizzare il comando user change-password in Cloud HSM CLI per modificare la password.kmsuser
-
-
Modificare l'impostazione della password kmsuser di modo che corrisponda alla password
kmsusercorrente nel cluster. Questa operazione indica a AWS KMS quale password utilizzare per accedere al cluster. Non modifica la passwordkmsusernel cluster.
Come eliminare materiale della chiave orfano
Dopo aver pianificato l'eliminazione di una KMS chiave da un archivio di AWS CloudHSM chiavi, potrebbe essere necessario eliminare manualmente il materiale chiave corrispondente dal cluster associato. AWS CloudHSM
Quando si crea una KMS chiave in un AWS CloudHSM key store, AWS KMS crea i metadati KMS chiave AWS KMS e genera il materiale chiave nel cluster associato AWS CloudHSM . Quando si pianifica l'eliminazione di una KMS chiave in un archivio di AWS CloudHSM chiavi, dopo il periodo di attesa, AWS KMS elimina i metadati della KMS chiave. Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave corrispondente dal AWS CloudHSM cluster. Il tentativo potrebbe fallire se AWS KMS non è possibile accedere al cluster, ad esempio quando viene disconnesso dall'archivio delle AWS CloudHSM chiavi o la kmsuser password viene modificata. AWS KMS non tenta di eliminare il materiale chiave dai backup del cluster.
AWS KMS riporta i risultati del tentativo di eliminare il materiale chiave dal cluster nell'immissione degli DeleteKey eventi nei AWS CloudTrail log dell'utente. Appare nell'elemento backingKeysDeletionStatus dell'elemento additionalEventData, come mostrato nella seguente voce di esempio. La voce include anche la KMS chiaveARN, l'ID del AWS CloudHSM cluster e l'ID (backing-key-id) del materiale chiave.
{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Note
Le seguenti procedure utilizzano lo strumento da riga di comando di AWS CloudHSM Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle conkey-reference.
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nella Guida per l'AWS CloudHSM utente.
Le seguenti procedure mostrano come eliminare il materiale chiave orfano dal cluster associato AWS CloudHSM .
-
Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi accedi, come spiegato in. Come disconnettersi ed eseguire l'accesso
Nota
Mentre un archivio chiavi personalizzato è disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
-
Usa il comando key delete in Cloud HSM CLI per eliminare la chiave dal HSMs cluster.
Tutte le voci di CloudTrail registro per le operazioni crittografiche con una KMS chiave in un archivio di AWS CloudHSM chiavi includono un
additionalEventDatacampo concustomKeyStoreIdebackingKey. Il valore restituito nelbackingKeyIdcampo è l'idattributo HSM chiave Cloud. Ti consigliamo di filtrare l'operazione di eliminazione delle chiaviidper eliminare il materiale chiave orfano che hai identificato nei tuoi CloudTrail log.AWS CloudHSM riconosce il
backingKeyIdvalore come valore esadecimale. Per filtrare in baseid, è necessario anteporre il suffisso con.backingKeyIdOxAd esempio, sebackingKeyIdnel CloudTrail registro è presente1a2b3c45678abcdef, è necessario filtrare per.0x1a2b3c45678abcdefL'esempio seguente elimina una chiave dal HSMs cluster.
backing-key-idÈ elencato nella voce di CloudTrail registro. Prima di eseguire questo comando, sostituisci l'esempiobacking-key-idcon uno valido del tuo account.aws-cloudhsmkey delete --filter attr.id="0x<backing-key-id>"{ "error_code": 0, "data": { "message": "Key deleted successfully" } } -
Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto inCome scollegarsi e riconnettersi.
Come recuperare il materiale chiave eliminato per una KMS chiave
Se il materiale chiave di una AWS KMS key viene eliminato, la KMS chiave è inutilizzabile e tutto il testo cifrato crittografato con la KMS chiave non può essere decrittografato. Ciò può accadere se il materiale chiave di una KMS chiave in un archivio di AWS CloudHSM chiavi viene eliminato dal cluster associato. AWS CloudHSM Potrebbe tuttavia essere possibile recuperare questo materiale.
Quando si crea una AWS KMS key (KMSchiave) in un archivio AWS CloudHSM chiavi, AWS KMS accede al AWS CloudHSM cluster associato e crea il materiale chiave per la KMS chiave. Inoltre, modifica la password con un valore che solo lui conosce e rimane connesso finché l'archivio delle AWS CloudHSM chiavi è connesso. Poiché solo il proprietario della chiave, ovvero la CU che ha creato una chiave, può eliminare la chiave, è improbabile che la chiave venga eliminata accidentalmente. HSMs
Tuttavia, se il materiale chiave di una KMS chiave viene eliminato da un cluster, lo stato della KMS chiave alla fine cambia HSMs in. UNAVAILABLE Se si tenta di utilizzare la KMS chiave per un'operazione di crittografia, l'operazione ha esito negativo con un'KMSInvalidStateExceptioneccezione. Soprattutto, i dati crittografati con la KMS chiave non possono essere decrittografati.
In alcuni casi, è possibile recuperare il materiale della chiave creando un cluster a partire da un backup contenente tale materiale. Questa strategia funziona solo se almeno un backup è stato creato quando la chiave esisteva e prima di essere eliminata.
Utilizza la procedura seguente per recuperare il materiale della chiave.
-
Trovare un backup del cluster che contiene il materiale della chiave. Il backup deve contenere almeno tutti gli utenti e le chiavi necessari per supportare il cluster e i relativi dati crittografati.
Utilizzate l'DescribeBackupsoperazione per elencare i backup per un cluster. Utilizzare quindi il timestamp del backup per la selezione di un backup. Per limitare l'output al cluster associato al AWS CloudHSM key store, utilizzate il
Filtersparametro, come illustrato nell'esempio seguente.$aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] } -
Creare un cluster a partire dal backup selezionato. Verificare che il backup contenga la chiave eliminata e altri utenti e chiavi che il cluster richiede.
-
Disconnetti l'archivio delle AWS CloudHSM chiavi in modo da poterne modificare le proprietà.
-
Modifica l'ID del cluster del AWS CloudHSM key store. Immettere l'ID cluster del cluster creato a partire dal backup. Poiché il cluster condivide una cronologia dei backup con il cluster originale, il nuovo ID cluster deve essere valido.
Come accedere come kmsuser
Per creare e gestire il materiale chiave nel AWS CloudHSM cluster per il tuo AWS CloudHSM key store, AWS KMS utilizza l'account kmsuserCrypto User (CU). Crei l'account kmsuser CU nel tuo cluster e fornisci la sua password AWS KMS quando crei il tuo archivio di AWS CloudHSM chiavi.
In generale, AWS KMS gestisce l'kmsuseraccount. Tuttavia, per alcune attività, è necessario disconnettere l'archivio delle AWS CloudHSM chiavi, accedere al cluster come kmsuser CU e utilizzare la Cloud HSM Command Line Interface () CLI.
Nota
Sebbene un archivio chiavi personalizzato sia disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
Questo argomento spiega come disconnettere l'archivio AWS CloudHSM chiavi e accedere comekmsuser, eseguire lo strumento da riga di AWS CloudHSM comando, disconnettersi e ricollegare l'archivio chiavi. AWS CloudHSM
Come disconnettersi ed eseguire l'accesso
Utilizza la seguente procedura ogni volta che devi accedere a un cluster associato come utente kmsuser crittografico.
Note
Le seguenti procedure utilizzano lo strumento da riga di comando di AWS CloudHSM Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle conkey-reference.
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nella Guida per l'AWS CloudHSM utente.
-
Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso. È possibile utilizzare la AWS KMS console o. AWS KMS API
Mentre la tua AWS CloudHSM chiave è connessa, AWS KMS è connesso come.
kmsuserCiò impedisce l'accesso comekmsusero la modifica della passwordkmsuser.Ad esempio, questo comando utilizza DisconnectCustomKeyStoreper disconnettere un archivio di chiavi di esempio. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Usa il comando login per accedere come amministratore. Utilizza le procedure descritte nella HSM CLI sezione Uso del cloud della Guida per l'AWS CloudHSM utente.
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Usa il comando user change-password in Cloud HSM CLI per cambiare la password dell'
kmsuseraccount con una che conosci. (AWS KMS ruota la password quando colleghi il tuo AWS CloudHSM key store.) La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali. -
Effettua il login
kmsuserutilizzando la password che hai impostato. Per istruzioni dettagliate, consulta la HSM CLI sezione Utilizzo del cloud della Guida AWS CloudHSM per l'utente.aws-cloudhsm >login --username kmsuser --role crypto-userEnter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Come scollegarsi e riconnettersi
Usa la seguente procedura ogni volta che devi disconnetterti come utente kmsuser crittografico e ricollegare il tuo key store.
Note
Le seguenti procedure utilizzano lo strumento da riga di comando di AWS CloudHSM Client SDK 5, Cloud HSM CLI. Il Cloud HSM CLI sostituisce key-handle conkey-reference.
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando del Client SDK 3, la Cloud HSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando Client SDK 5, consulta Migrare dal Client SDK 3 CMU e KMU al Client SDK 5 Cloud HSM CLI nella Guida per l'AWS CloudHSM utente.
-
Esegui l'operazione, quindi utilizza il comando logout in Cloud HSM CLI per disconnetterti. Se non ti disconnetti, i tentativi di ricollegare il tuo AWS CloudHSM key store falliranno.
aws-cloudhsmlogout{ "error_code": 0, "data": "Logout successful" } -
Modificare la password kmsuser per lo store delle chiavi personalizzate.
Indica AWS KMS la password corrente per
kmsuseril cluster. Se ometti questo passaggio, non AWS KMS sarà possibilekmsuseraccedere al cluster e tutti i tentativi di riconnessione dell'archivio chiavi personalizzato falliranno. È possibile utilizzare la AWS KMS console o ilKeyStorePasswordparametro dell'UpdateCustomKeyStoreoperazione.Ad esempio, questo comando indica AWS KMS che la password corrente è
tempPassword. Sostituire la password di esempio con una effettiva.$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--key-store-passwordtempPassword -
Ricollegare l'archivio AWS KMS chiavi al relativo AWS CloudHSM cluster. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido. Durante il processo di connessione, AWS KMS modifica la
kmsuserpassword con un valore che solo lei conosce.L'ConnectCustomKeyStoreoperazione viene ripristinata rapidamente, ma il processo di connessione può richiedere un periodo di tempo prolungato. La risposta iniziale non indica se il processo di connessione è riuscito.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Utilizzare l'DescribeCustomKeyStoresoperazione per verificare che l'archivio AWS CloudHSM chiavi sia connesso. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.
In questo esempio, il campo dello stato della connessione mostra che il AWS CloudHSM key store è ora connesso.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
