Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Risoluzione di problemi relativi a store delle chiavi personalizzate
AWS CloudHSM gli archivi di chiavi sono progettati per essere disponibili e resistenti. Tuttavia, ci sono alcune condizioni di errore che potresti dover correggere per mantenere operativo l'archivio AWS CloudHSM delle chiavi.
**Topics**
+ [Come correggere chiavi KMS non disponibili](#fix-unavailable-cmks)
+ [Come correggere una chiave KMS non funzionante](#fix-cmk-failed)
+ [Come correggere un errore di connessione](#fix-keystore-failed)
+ [Come rispondere a un errore di un'operazione di crittografia](#fix-keystore-communication)
+ [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password)
+ [Come eliminare materiale della chiave orfano](#fix-keystore-orphaned-key)
+ [Come recuperare il materiale chiave eliminato per una chiave KMS](#fix-keystore-recover-backing-key)
+ [Come accedere come `kmsuser`](#fix-login-as-kmsuser)
## Come correggere chiavi KMS non disponibili
[Lo stato della chiave](key-state.md) di AWS KMS keys un AWS CloudHSM key store è in genere`Enabled`. Come tutte le chiavi KMS, lo stato delle chiavi cambia quando si disabilitano le chiavi KMS in un archivio AWS CloudHSM chiavi o se ne pianifica l'eliminazione. Tuttavia, a differenza delle altre chiavi KMS, le chiavi KMS in un archivio delle chiavi personalizzate possono anche avere lo [stato di chiave](key-state.md) `Unavailable`.
Lo stato di chiave `Unavailable` indica che la chiave KMS si trova in un archivio delle chiavi personalizzate che è stato intenzionalmente [disconnesso](disconnect-keystore.md) e che gli eventuali tentativi di riconnetterlo non sono riusciti. Quando una chiave KMS non è disponibile, puoi visualizzare e gestire la chiave KMS, ma non utilizzarla per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore).
Per trovare lo stato di chiave di una chiave KMS, nella pagina **Chiavi gestite cliente**, visualizza il campo **Stato** della chiave KMS. Oppure, usa l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione e visualizza l'`KeyState`elemento nella risposta. Per informazioni dettagliate, vedi [Identifica e visualizza le chiavi](viewing-keys.md).
Le chiavi KMS in uno store delle chiavi personalizzate disconnesso avranno lo stato di chiave `Unavailable` o `PendingDeletion`. Le chiavi KMS per le quali è stata pianificata l'eliminazione da un archivio delle chiavi personalizzate hanno lo stato della chiave `Pending Deletion`, anche quando tale archivio è disconnesso. Ciò ti consente di annullare l'eliminazione pianificata delle chiavi senza riconnettere lo store delle chiavi personalizzate.
Per correggere una chiave KMS non disponibile, [riconnetti l'archivio delle chiavi personalizzate](disconnect-keystore.md). Dopo la riconnessione, per le chiavi KMS nello store delle chiavi personalizzate viene ripristinato lo stato di chiave precedente, ovvero `Enabled` o `Disabled`. Lo stato delle chiavi KMS in attesa di eliminazione rimane `PendingDeletion`. Tuttavia, se il problema persiste, l'[abilitazione e la disabilitazione di una chiave KMS](enabling-keys.md) non disponibile non ne modifica lo stato. L'abilitazione o la disabilitazione ha effetto solo quando la chiave diventa disponibile.
Per informazioni sulle connessioni non riuscite, consulta [Come correggere un errore di connessione](#fix-keystore-failed).
## Come correggere una chiave KMS non funzionante
I problemi con la creazione e l'utilizzo delle chiavi KMS negli AWS CloudHSM archivi delle chiavi possono essere causati da un problema con l'archivio delle AWS CloudHSM chiavi, il AWS CloudHSM cluster associato, la chiave KMS o il relativo materiale chiave.
Quando un archivio AWS CloudHSM chiavi viene disconnesso dal relativo AWS CloudHSM cluster, lo stato delle chiavi KMS nell'archivio chiavi personalizzato è. `Unavailable` Tutte le richieste di creazione di chiavi KMS in un archivio di chiavi disconnesso restituiscono un' AWS CloudHSM eccezione. `CustomKeyStoreInvalidStateException` Tutte le richieste di crittografare, decrittografare, ricrittografare o generare chiavi di dati restituiscono un'eccezione `KMSInvalidStateException`. Per risolvere il problema, [ricollega l'archivio delle AWS CloudHSM chiavi](connect-keystore.md).
Tuttavia, i tentativi di utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi per [operazioni crittografiche](manage-cmk-keystore.md#use-cmk-keystore) potrebbero fallire anche se lo stato della chiave è `Enabled` e lo stato di connessione dell'archivio AWS CloudHSM chiavi è uguale. `Connected` Ciò può essere dovuto a una qualsiasi delle condizioni seguenti.
+ Il materiale della chiave per la chiave KMS potrebbe essere stato eliminato dal cluster AWS CloudHSM associato. Per indagare, [trova l'ID chiave](find-handle-for-cmk-id.md) del materiale chiave per una chiave KMS e, se necessario, prova a [recuperare il](#fix-keystore-recover-backing-key) materiale chiave.
+ Tutti HSMs sono stati eliminati dal AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi. Per utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi in un'operazione crittografica, il relativo AWS CloudHSM cluster deve contenere almeno un HSM attivo. Per verificare il numero e lo stato di HSMs un AWS CloudHSM cluster, [usa la AWS CloudHSM console o l'operazione](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html). [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) Per aggiungere un HSM al cluster, usa la AWS CloudHSM console o l'[CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operazione.
+ Il AWS CloudHSM cluster associato al AWS CloudHSM key store è stato eliminato. Per risolvere il problema, [crea un cluster da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) che è correlato al cluster originale, ad esempio un backup del cluster originale o un backup utilizzato per creare il cluster originale. Quindi, [modifica l'ID cluster](update-keystore.md) nelle impostazioni relative allo store delle chiavi personalizzate. Per istruzioni, consulta [Come recuperare il materiale chiave eliminato per una chiave KMS](#fix-keystore-recover-backing-key).
+ Il AWS CloudHSM cluster associato all'archivio di chiavi personalizzato non aveva sessioni PKCS \$111 disponibili. Ciò si verifica in genere durante i periodi di traffico di espansione elevato, ovvero quando sono necessarie sessioni aggiuntive per gestire il traffico. Per rispondere a un'eccezione `KMSInternalException` con un messaggio di errore relativo alle sessioni PKCS \$111, torna indietro e riprova a eseguire la richiesta.
## Come correggere un errore di connessione
Se si tenta di [connettere un AWS CloudHSM key store](connect-keystore.md) al relativo AWS CloudHSM cluster, ma l'operazione non riesce, lo stato di connessione dell'archivio AWS CloudHSM chiavi cambia in`FAILED`. Per trovare lo stato di connessione di un AWS CloudHSM key store, usa la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.
In alternativa, alcuni tentativi di connessione si interrompono rapidamente a causa di errori di configurazione del cluster facilmente rilevati. In questo caso, lo stato della connessione è ancora `DISCONNECTED`. Questi errori restituiranno un messaggio di errore o un'[eccezione](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) che spiega perché il tentativo non è riuscito. Esamina la descrizione dell'eccezione e [i requisiti del cluster](create-keystore.md#before-keystore), risolvi il problema, [aggiorna l'archivio delle AWS CloudHSM chiavi](update-keystore.md), se necessario, e riprova a connetterti.
Quando lo stato della connessione è `FAILED` impostato, esegui l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione e visualizza l'`ConnectionErrorCode`elemento nella risposta.
**Nota**
Quando lo stato di connessione di un AWS CloudHSM key store è`FAILED`, è necessario [disconnetterlo AWS CloudHSM prima di tentare](disconnect-keystore.md) di ricollegarlo. Non è possibile connettere un archivio AWS CloudHSM chiavi con uno `FAILED` stato di connessione.
+ `CLUSTER_NOT_FOUND`indica che AWS KMS non è possibile trovare un AWS CloudHSM cluster con l'ID cluster specificato. Il problema potrebbe essere dovuto a un ID cluster errato fornito a un'operazione API oppure all'eliminazione e alla mancata sostituzione del cluster. Per correggere questo errore, verifica l'ID del cluster, ad esempio utilizzando la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Se il cluster è stato eliminato, [crea un cluster a partire da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dell'originale. Quindi, [disconnetti l'archivio AWS CloudHSM chiavi](disconnect-keystore.md), [modifica l'impostazione dell'ID del cluster del AWS CloudHSM key store](update-keystore.md) e [ricollega l'archivio AWS CloudHSM chiavi](connect-keystore.md) al cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indica che il AWS CloudHSM cluster associato non ne contiene. HSMs Per eseguire la connessione, il cluster deve avere almeno un HSM. Per trovare il numero di HSMs nel cluster, usa l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Per correggere questo errore, [aggiungi almeno un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) al cluster. Se ne aggiungi più HSMs, è meglio crearli in zone di disponibilità diverse.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indica che non è AWS KMS stato possibile connettere l'archivio di AWS CloudHSM chiavi al relativo AWS CloudHSM cluster perché almeno una [sottorete privata associata al cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) non dispone di indirizzi IP disponibili. Una connessione al AWS CloudHSM key store richiede un indirizzo IP libero in ciascuna delle sottoreti private associate, sebbene ne siano preferibili due.
[Non puoi aggiungere indirizzi IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blocchi CIDR) a una sottorete esistente. Se possibile, sposta o elimina altre risorse che utilizzano gli indirizzi IP nella sottorete, ad esempio istanze EC2 inutilizzate o interfacce di rete elastiche. [Altrimenti, è possibile [creare un cluster da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del AWS CloudHSM cluster con sottoreti private nuove o esistenti che dispongono di più spazio libero per gli indirizzi.](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, [disconnetti l'archivio chiavi personalizzato](disconnect-keystore.md), [modifica l'ID del cluster](update-keystore.md) dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
**Suggerimento**
Per evitare di [reimpostare la `kmsuser` password](#fix-keystore-password), utilizza il backup più recente del cluster. AWS CloudHSM
+ `INTERNAL_ERROR`indica che non è AWS KMS stato possibile completare la richiesta a causa di un errore interno. Riprova la richiesta . Per `ConnectCustomKeyStore` le richieste, disconnetti l'archivio delle AWS CloudHSM chiavi prima di riprovare a connetterti.
+ `INVALID_CREDENTIALS`indica che AWS KMS non può accedere al AWS CloudHSM cluster associato perché non dispone della password dell'`kmsuser`account corretta. Per informazioni su questo errore, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
+ `NETWORK_ERRORS` indica in genere problemi di rete temporanei. [Disconnetti il AWS CloudHSM key store](disconnect-keystore.md), attendi qualche minuto e riprova a connetterti.
+ `SUBNET_NOT_FOUND`indica che almeno una sottorete nella configurazione del AWS CloudHSM cluster è stata eliminata. Se AWS KMS non è possibile trovare tutte le sottoreti nella configurazione del cluster, i tentativi di connettere l'archivio delle AWS CloudHSM chiavi al cluster hanno esito negativo. AWS CloudHSM
Per correggere questo errore, [crea un cluster da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dello stesso AWS CloudHSM cluster. Questo processo crea una nuova configurazione del cluster con un VPC e sottoreti private. Verificare che il nuovo cluster soddisfi i [requisiti per uno store delle chiavi personalizzate](create-keystore.md#before-keystore) e prendere nota del nuovo ID cluster. Quindi, per associare il nuovo cluster al tuo archivio AWS CloudHSM chiavi, [disconnetti l'archivio chiavi personalizzato](disconnect-keystore.md), [modifica l'ID del cluster](update-keystore.md) dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
**Suggerimento**
Per evitare di [reimpostare la `kmsuser` password](#fix-keystore-password), utilizza il backup più recente del cluster. AWS CloudHSM
+ `USER_LOCKED_OUT` indica che l'[account crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) è bloccato per il cluster AWS CloudHSM a causa di troppi tentativi con password errate. Per informazioni su questo errore, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
Per correggere questo errore, [scollegate l'archivio delle AWS CloudHSM chiavi e utilizzate il](disconnect-keystore.md) comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per modificare la password dell'account. `kmsuser` Quindi, [modifica l'impostazione della password `kmsuser`](update-keystore.md) per lo store delle chiavi personalizzate ed esegui un nuovo tentativo di connessione. Per assistenza, utilizza la procedura descritta nell'argomento [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
+ `USER_LOGGED_IN`indica che l'account `kmsuser` CU è connesso al cluster associato. AWS CloudHSM Ciò AWS KMS impedisce di ruotare la password dell'`kmsuser`account e di accedere al cluster. Per correggere questo errore, registra l'utente di crittografia `kmsuser` fuori dal cluster. Se hai cambiato la `kmsuser` password per accedere al cluster, devi anche aggiornare il valore della password dell'archivio chiavi per l'archivio delle AWS CloudHSM chiavi. Per assistenza, consulta [Come scollegarsi e riconnettersi](#login-kmsuser-2).
+ `USER_NOT_FOUND`indica che AWS KMS non è possibile trovare un account `kmsuser` CU nel AWS CloudHSM cluster associato. Per correggere questo errore, [crea un account `kmsuser` CU](create-keystore.md#kmsuser-concept) nel cluster, quindi [aggiorna il valore della password del key store](update-keystore.md) per l'archivio AWS CloudHSM chiavi. Per assistenza, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
## Come rispondere a un errore di un'operazione di crittografia
L'esito di un'operazione di crittografia che utilizza una chiave KMS in un archivio di chiavi personalizzate potrebbe essere negativo con un'`KMSInvalidStateException`. L'eccezione `KMSInvalidStateException` può essere accompagnata dai seguenti messaggi di errore.
| |
| --- |
| KMS non può comunicare con il tuo cluster CloudHSM. Potrebbe trattarsi di un problema di rete temporaneo. Se visualizzi ripetutamente questo errore, verifica che la rete ACLs e le regole del gruppo di sicurezza per il VPC del AWS CloudHSM cluster siano corrette. |
+ Sebbene si tratti di un errore HTTPS 400, potrebbe derivare da problemi di rete transitori. Per rispondere, prova a riformulare la richiesta. Tuttavia, se il problema persiste, esamina la configurazione dei componenti di rete. Questo errore è probabilmente causato dall'errata configurazione di un componente di rete, ad esempio una regola firewall o una regola di gruppo di protezione VPC che blocca il traffico in uscita. Ad esempio, KMS non può comunicare con i AWS CloudHSM cluster tramite. IPv6 Per i dettagli sui prerequisiti, vedere. [Crea un archivio di AWS CloudHSM chiavi](create-keystore.md)
| |
| --- |
| KMS non può comunicare con il AWS CloudHSM cluster perché l'utente kmsuser è bloccato. Se vedi questo errore ripetutamente, disconnetti l'archivio delle AWS CloudHSM chiavi e reimposta la password dell'account kmsuser. Aggiorna la password kmsuser per l'archivio di chiavi personalizzate e ritenta la richiesta. |
+ Questo messaggio di errore indica che l'[account crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) è bloccato per il cluster AWS CloudHSM associato a causa del numero eccessivo di tentativi con password errate. Per informazioni su questo errore, consulta [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1).
## Come correggere credenziali `kmsuser` non valide
Quando [connetti un archivio di AWS CloudHSM chiavi](connect-keystore.md), AWS KMS accede al AWS CloudHSM cluster associato come [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) (CU). Rimane connesso finché il AWS CloudHSM key store non viene disconnesso. La risposta [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) mostra un `ConnectionState` di `FAILED` e il valore `ConnectionErrorCode` di `INVALID_CREDENTIALS`, come mostrato nell'esempio seguente.
Se si disconnette il AWS CloudHSM key store e si modifica la `kmsuser` password, AWS KMS non è possibile accedere al AWS CloudHSM cluster con le credenziali dell'account CU. `kmsuser` Di conseguenza, tutti i tentativi di connessione al AWS CloudHSM key store falliscono. La risposta `DescribeCustomKeyStores` mostra un `ConnectionState` di `FAILED` e il valore `ConnectionErrorCode` di `INVALID_CREDENTIALS`, come mostrato nell'esempio seguente.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Inoltre, dopo cinque tentativi di accesso al cluster non riusciti a causa di una password errata, AWS CloudHSM blocca l'account utente. Per accedere al cluster, devi modificare la password dell'account.
Se AWS KMS riceve una risposta di blocco quando tenta di accedere al cluster come `kmsuser` CU, la richiesta di connessione al AWS CloudHSM key store ha esito negativo. La [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta include un `ConnectionState` of `FAILED` e un `ConnectionErrorCode` valore di`USER_LOCKED_OUT`, come illustrato nell'esempio seguente.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Per correggere queste condizioni, utilizza la procedura seguente.
1. [Disconnettere l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md).
1. Esegui l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione e visualizza il valore dell'`ConnectionErrorCode`elemento nella risposta.
+ Se `ConnectionErrorCode` è `INVALID_CREDENTIALS`, determinare la password corrente per l'account `kmsuser`. Se necessario, utilizzate il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per impostare la password su un valore noto.
+ Se il `ConnectionErrorCode` valore è`USER_LOCKED_OUT`, è necessario utilizzare il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per modificare la password. `kmsuser`
1. [Modificare l'impostazione della password `kmsuser`](update-keystore.md) di modo che corrisponda alla password `kmsuser` corrente nel cluster. Questa operazione indica a AWS KMS quale password utilizzare per accedere al cluster. Non modifica la password `kmsuser` nel cluster.
1. [Connettere lo store delle chiavi personalizzate](connect-keystore.md).
## Come eliminare materiale della chiave orfano
Dopo aver pianificato l'eliminazione di una chiave KMS da un archivio di AWS CloudHSM chiavi, potrebbe essere necessario eliminare manualmente il materiale chiave corrispondente dal cluster associato. AWS CloudHSM
Quando crei una chiave KMS in un archivio AWS CloudHSM chiavi, AWS KMS crea i metadati della chiave KMS AWS KMS e genera il materiale chiave nel cluster associato. AWS CloudHSM Quando pianifichi l'eliminazione di una chiave KMS in un archivio AWS CloudHSM chiavi, dopo il periodo di attesa, AWS KMS elimina i metadati della chiave KMS. Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave corrispondente dal cluster. AWS CloudHSM Il tentativo potrebbe fallire se AWS KMS non è possibile accedere al cluster, ad esempio quando viene disconnesso dall'archivio delle AWS CloudHSM chiavi o la `kmsuser` password viene modificata. AWS KMS non tenta di eliminare il materiale chiave dai backup del cluster.
AWS KMS riporta i risultati del tentativo di eliminare il materiale chiave dal cluster nell'immissione degli `DeleteKey` eventi nei AWS CloudTrail log dell'utente. Appare nell'elemento `backingKeysDeletionStatus` dell'elemento `additionalEventData`, come mostrato nella seguente voce di esempio. La voce include anche l'ARN della chiave KMS, AWS CloudHSM l'ID del cluster e l'ID `backing-key-id` () del materiale chiave.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
**Note**
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *
Le seguenti procedure mostrano come eliminare il materiale chiave orfano dal cluster associato. AWS CloudHSM
1. Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), come spiegato in. [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1)
**Nota**
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
1. Utilizza il comando [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) nella CLI di CloudhSM per eliminare la chiave HSMs dal cluster.
Tutte le voci di CloudTrail registro per le operazioni crittografiche con una chiave KMS in un archivio di AWS CloudHSM chiavi includono un `additionalEventData` campo con e. `customKeyStoreId` `backingKey` Il valore restituito nel `backingKeyId` campo è l'attributo chiave `id` CloudHSM. Ti consigliamo di filtrare l'operazione di **eliminazione delle chiavi** `id` per eliminare il materiale chiave orfano che hai identificato nei tuoi log. CloudTrail
AWS CloudHSM riconosce il `backingKeyId` valore come valore esadecimale. Per filtrare in base`id`, è necessario anteporre il suffisso con. `backingKeyId` `Ox` Ad esempio, se `backingKeyId` nel CloudTrail registro è presente`1a2b3c45678abcdef`, è necessario filtrare per. `0x1a2b3c45678abcdef`
L'esempio seguente elimina una chiave dal HSMs cluster. `backing-key-id`È elencato nella voce di CloudTrail registro. Prima di eseguire questo comando, sostituisci l'esempio `backing-key-id` con uno valido del tuo account.
```
aws-cloudhsm key delete --filter attr.id="0x"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
1. Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto in[Come scollegarsi e riconnettersi](#login-kmsuser-2).
## Come recuperare il materiale chiave eliminato per una chiave KMS
Se il materiale chiave di un AWS KMS key viene eliminato, la chiave KMS è inutilizzabile e tutto il testo cifrato che è stato crittografato con la chiave KMS non può essere decrittografato. Ciò può accadere se il materiale chiave per una chiave KMS in un AWS CloudHSM archivio di chiavi viene eliminato dal cluster associato. AWS CloudHSM Potrebbe tuttavia essere possibile recuperare questo materiale.
Quando crei una AWS KMS key (chiave KMS) in un archivio AWS CloudHSM chiavi, AWS KMS accede al AWS CloudHSM cluster associato e crea il materiale chiave per la chiave KMS. Inoltre, modifica la password con un valore che solo lui conosce e rimane connesso finché l'archivio delle AWS CloudHSM chiavi è connesso. Poiché solo il proprietario della chiave, ovvero la CU che ha creato una chiave, può eliminare la chiave, è improbabile che la chiave venga eliminata accidentalmente. HSMs
Tuttavia, se il materiale chiave di una chiave KMS viene eliminato da un cluster, lo stato della chiave della chiave KMS alla fine cambia HSMs in. `UNAVAILABLE` Se tenti di utilizzare la chiave KMS per un'operazione di crittografia, questa ha esito negativo con un'eccezione `KMSInvalidStateException`. Cosa più importante, tutti i dati crittografati con la chiave KMS non possono essere decrittati.
In alcuni casi, è possibile recuperare il materiale della chiave [creando un cluster a partire da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) contenente tale materiale. Questa strategia funziona solo se almeno un backup è stato creato quando la chiave esisteva e prima di essere eliminata.
Utilizza la procedura seguente per recuperare il materiale della chiave.
1. Trovare un backup del cluster che contiene il materiale della chiave. Il backup deve contenere almeno tutti gli utenti e le chiavi necessari per supportare il cluster e i relativi dati crittografati.
Usa l'[DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operazione per elencare i backup per un cluster. Utilizzare quindi il timestamp del backup per la selezione di un backup. Per limitare l'output al cluster associato al AWS CloudHSM key store, utilizzate il `Filters` parametro, come illustrato nell'esempio seguente.
```
$ aws cloudhsmv2 describe-backups --filters clusterIds=
{
"Backups": [
{
"ClusterId": "cluster-1a23b4cdefg",
"BackupId": "backup-9g87f6edcba",
"CreateTimestamp": 1536667238.328,
"BackupState": "READY"
},
...
]
}
```
1. [Creare un cluster a partire dal backup selezionato](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Verificare che il backup contenga la chiave eliminata e altri utenti e chiavi che il cluster richiede.
1. [Disconnetti l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md) in modo da poterne modificare le proprietà.
1. [Modifica l'ID del cluster](update-keystore.md) del AWS CloudHSM key store. Immettere l'ID cluster del cluster creato a partire dal backup. Poiché il cluster condivide una cronologia dei backup con il cluster originale, il nuovo ID cluster deve essere valido.
1. [Ricollegare l'archivio delle AWS CloudHSM chiavi](connect-keystore.md).
## Come accedere come `kmsuser`
Per creare e gestire il materiale chiave nel AWS CloudHSM cluster per il tuo AWS CloudHSM key store, AWS KMS utilizza l'account [`kmsuser`Crypto User (CU)](keystore-cloudhsm.md#concept-kmsuser). [Crei l'account `kmsuser` CU](create-keystore.md#before-keystore) nel tuo cluster e fornisci la sua password AWS KMS quando crei il tuo archivio di AWS CloudHSM chiavi.
In generale, AWS KMS gestisce l'`kmsuser`account. Tuttavia, per alcune attività, è necessario disconnettere l'archivio delle AWS CloudHSM chiavi, accedere al cluster come `kmsuser` CU e utilizzare l'interfaccia a [riga di comando (CLI) di CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).
**Nota**
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
Questo argomento spiega come [disconnettere l'archivio AWS CloudHSM chiavi e accedere](#login-kmsuser-1) come`kmsuser`, eseguire lo strumento da riga di AWS CloudHSM comando, [disconnettersi e ricollegare](#login-kmsuser-2) l'archivio chiavi. AWS CloudHSM
**Topics**
+ [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1)
+ [Come scollegarsi e riconnettersi](#login-kmsuser-2)
### Come disconnettersi ed eseguire l'accesso
Utilizza la seguente procedura ogni volta che devi accedere a un cluster associato come utente `kmsuser` crittografico.
**Note**
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *
1. Disconnetti l'archivio delle chiavi, se non è già disconnesso. AWS CloudHSM Puoi usare la AWS KMS console o AWS KMS l'API.
Mentre la AWS CloudHSM chiave è connessa, AWS KMS viene effettuato l'accesso come. `kmsuser` Ciò impedisce l'accesso come `kmsuser` o la modifica della password `kmsuser`.
Ad esempio, questo comando utilizza [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)per disconnettere un archivio di chiavi di esempio. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Usa il comando **login** per accedere come amministratore. *Utilizza le procedure descritte nella sezione [Using CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI della Guida per l'utente.AWS CloudHSM *
```
aws-cloudhsm > login --username admin --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
1. Utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudhSM per cambiare la password dell'`kmsuser`account con una che conosci. (AWS KMS ruota la password quando colleghi il tuo key store.) AWS CloudHSM La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.
1. Effettua il login `kmsuser` utilizzando la password che hai impostato. *Per istruzioni dettagliate, consulta la sezione [Using CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI della Guida per l'utente.AWS CloudHSM *
```
aws-cloudhsm > login --username kmsuser --role crypto-user
Enter password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
### Come scollegarsi e riconnettersi
Usa la seguente procedura ogni volta che devi disconnetterti come utente `kmsuser` crittografico e ricollegare il tuo key store.
**Note**
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *
1. Esegui l'operazione, quindi utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) nella CLI di CloudHSM per disconnetterti. Se non ti disconnetti, i tentativi di ricollegare il tuo AWS CloudHSM key store falliranno.
```
aws-cloudhsm logout
{
"error_code": 0,
"data": "Logout successful"
}
```
1. [Modificare la password `kmsuser`](update-keystore.md) per lo store delle chiavi personalizzate.
Indica AWS KMS la password corrente per `kmsuser` il cluster. Se si omette questo passaggio, non AWS KMS sarà possibile accedere al cluster e tutti i tentativi di riconnessione dell'archivio chiavi personalizzato falliranno. `kmsuser` È possibile utilizzare la AWS KMS console o il `KeyStorePassword` parametro dell'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione.
Ad esempio, questo comando indica AWS KMS che la password corrente è`tempPassword`. Sostituire la password di esempio con una effettiva.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
```
1. Ricollegare l'archivio AWS KMS chiavi al relativo AWS CloudHSM cluster. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido. Durante il processo di connessione, AWS KMS modifica la `kmsuser` password con un valore che solo lei conosce.
L'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione viene ripristinata rapidamente, ma il processo di connessione può richiedere un periodo di tempo prolungato. La risposta iniziale non indica se il processo di connessione è riuscito.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione per verificare che l'archivio delle AWS CloudHSM chiavi sia connesso. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.
In questo esempio, il campo dello stato della connessione mostra che il AWS CloudHSM key store è ora connesso.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```