Conectar um repositório de chaves do AWS CloudHSM - AWS Key Management Service
Conectar e reconectar ao seu repositório de chaves do AWS CloudHSM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectar um repositório de chaves do AWS CloudHSM

Os novos armazenamentos de chaves do AWS CloudHSM não são conectados. Antes de criar e usar AWS KMS keys no armazenamento de chaves do AWS CloudHSM, você precisa conectá-lo ao cluster do AWS CloudHSM associado. Você pode conectar e desconectar seu armazenamento de chaves do AWS CloudHSM a qualquer momento e visualizar o estado da conexão.

Não é necessário conectar seu armazenamento de chaves do AWS CloudHSM. Você pode deixar um armazenamento de chaves do AWS CloudHSM em estado desconectado indefinidamente e conectá-lo somente quando precisar usá-lo. No entanto, você pode desejar testar a conexão periodicamente para verificar se as configurações estão corretas e se ele pode ser conectado.

nota

Os armazenamentos de chaves do AWS CloudHSM têm um estado de conexão DISCONNECTED somente quando nunca foram conectados ou quando você os desconecta explicitamente. Se o estado da conexão do armazenamento de chaves do AWS CloudHSM for CONNECTED, mas você estiver com problemas para usá-lo, certifique-se de que seu cluster do AWS CloudHSM esteja ativo e contenha pelo menos um HSM ativo. Para obter ajuda com falhas de conexão, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Quando você conecta um armazenamento de chaves do AWS CloudHSM, o AWS KMS localiza o cluster do AWS CloudHSM associado, estabelece conexão com ele, faz login no cliente do AWS CloudHSM como o usuário de criptografia do kmsuser e alterna a senha de kmsuser. O AWS KMS permanecerá conectado ao cliente do AWS CloudHSM enquanto o armazenamento de chaves do AWS CloudHSM estiver conectado.

Para estabelecer a conexão, o AWS KMS cria grupos de segurança chamados kms-<custom key store ID> na virtual private cloud (VPC) do cluster. O grupo de segurança tem uma única regra que permite o tráfego de entrada dos grupos de segurança do cluster. O AWS KMS também cria uma interface de rede elástica (ENI) em cada zona de disponibilidade da sub-rede privada para o cluster. O AWS KMS adiciona as ENIs ao grupo de segurança kms-<cluster ID> e os grupos de segurança para o cluster. A descrição de cada ENI é KMS managed ENI for cluster <cluster-ID>.

O processo de conexão pode demorar um período prolongado para ser concluído; até 20 minutos.

Antes de conectar o armazenamento de chaves do AWS CloudHSM, verifique se ele atende aos requisitos.

  • Seu cluster do AWS CloudHSM associado deve conter pelo menos um HSM ativo. Para localizar o número de HSMs no cluster, visualize o cluster no console do AWS CloudHSM ou use a operação DescribeClusters. Se necessário, você pode adicionar um HSM.

  • O cluster deve ter uma conta de usuário de criptografia kmsuser, mas esse usuário não pode estar registrado no cluster quando você conecta o armazenamento de chaves do AWS CloudHSM. Para obter ajuda com o logout, consulte Como fazer logout e se conectar novamente.

  • O estado da conexão do armazenamento de chaves do AWS CloudHSM não pode ser DISCONNECTING ou FAILED. Para visualizar o estado da conexão, use o console do AWS KMS ou a resposta DescribeCustomKeyStores. Se o estado da conexão for FAILED, desconecte o armazenamento de chaves personalizado, corrija o problema e conecte-o.

Para obter ajuda com falhas de conexão, consulte Como corrigir uma falha de conexão.

Quando seu armazenamento de chaves do AWS CloudHSM está conectado, é possível criar chaves do KMS nele e usar chaves do KMS existentes em operações de criptografia.

Conectar e reconectar ao seu repositório de chaves do AWS CloudHSM

Você pode conectar ou reconectar seu repositório de chaves do AWS CloudHSM usando o console do AWS KMS ou a operação ConnectCustomKeyStore.

Para conectar um armazenamento de chaves do AWS CloudHSM ao AWS Management Console, comece selecionando o armazenamento de chaves do AWS CloudHSM na página Custom key stores (Armazenamentos de chaves personalizados). O processo de conexão pode levar até 20 minutos.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, selecione Custom key stores (Repositórios de chaves personalizados), AWS CloudHSM key stores (Repositórios de chaves do ).

  4. Escolha a linha do armazenamento de chaves do AWS CloudHSM que deseja conectar.

    Se o status do armazenamento de chaves do AWS CloudHSM for Failed (Falha), você deve desconectar o armazenamento de chaves personalizado antes de conectá-lo.

  5. No menu Key store actions (Ações do armazenamento de chaves), escolha Connect (Conectar).

O AWS KMS inicia o processo de conexão do seu armazenamento de chaves personalizado. Ele localiza o cluster do AWS CloudHSM associado, cria a infraestrutura de rede necessária, se conecta, faz login no cluster do AWS CloudHSM como CU do kmsuser e muda a senha do kmsuser. Quando a operação é concluída, o estado de conexão é alterado para Connected (Conectado).

Se houver falha na operação, uma mensagem descrevendo o motivo da falha será exibida. Antes de tentar se conectar novamente, visualize o estado da conexão do armazenamento de chaves do AWS CloudHSM. Se for Failed (Falha), você deve desconectar o armazenamento de chaves personalizado antes de conectá-lo novamente. Se precisar de ajuda, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Próximo: Criar uma chave do KMS em um repositório de chaves do AWS CloudHSM.

Para conectar um armazenamento de chaves do AWS CloudHSM desconectado, use a operação ConnectCustomKeyStore. O cluster do AWS CloudHSM associado deve conter pelo menos um HSM ativo, e o estado da conexão não pode ser FAILED.

O processo de conexão demora um período prolongado para ser concluído; até 20 minutos. A menos que se antecipe à falha, a operação retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. No entanto, essa resposta inicial não indica que a conexão foi bem-sucedida. Para determinar o estado da conexão do armazenamento de chaves personalizado, consulte a resposta DescribeCustomKeyStores.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Para identificar o armazenamento de chaves do AWS CloudHSM, use o ID do armazenamento de chaves personalizado. Você pode encontrar o ID na página Custom key stores (Armazenamentos de chaves personalizados) no console ou usando a operação DescribeCustomKeyStores sem parâmetros. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para verificar se o armazenamento de chaves do AWS CloudHSM está conectado, use a operação DescribeCustomKeyStores. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId ou CustomKeyStoreName (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor ConnectionState CONNECTED indica que o armazenamento de chaves personalizado está conectado ao cluster do AWS CloudHSM.

nota

O campo CustomKeyStoreType foi adicionado à resposta DescribeCustomKeyStores para distinguir os armazenamentos de chaves do AWS CloudHSM dos armazenamentos de chaves externas.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Se ocorrer falha no valor ConnectionState, o elemento ConnectionErrorCode indica o motivo da falha. Nesse caso, o AWS KMS não conseguiu encontrar um cluster do AWS CloudHSM em sua conta com o ID do cluster cluster-1a23b4cdefg. Se você excluiu o cluster, você pode restaurá-lo a partir de um backup do cluster original e editar o ID do cluster para o armazenamento de chaves personalizado. Para obter ajuda para responder a um código de erro de conexão, consulte Como corrigir uma falha de conexão.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}