As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Connect a um armazenamento de AWS CloudHSM chaves
<a name="connect-keystore"></a>

Os novos armazenamentos de AWS CloudHSM chaves não estão conectados. Antes de criar e usar AWS KMS keys em seu armazenamento de AWS CloudHSM chaves, você precisa conectá-lo ao AWS CloudHSM cluster associado. Você pode conectar e desconectar seu armazenamento de AWS CloudHSM chaves a qualquer momento e [visualizar seu estado de conexão](view-keystore.md#view-keystore-console). 

Você não precisa conectar seu armazenamento de AWS CloudHSM chaves. Você pode deixar um armazenamento de AWS CloudHSM chaves em um estado desconectado indefinidamente e conectá-lo somente quando precisar usá-lo. No entanto, você pode desejar testar a conexão periodicamente para verificar se as configurações estão corretas e se ele pode ser conectado.

**nota**  
AWS CloudHSM os armazenamentos de chaves têm um estado de `DISCONNECTED` conexão somente quando o armazenamento de chaves nunca foi conectado ou quando você o desconecta explicitamente. Se o estado da conexão do seu armazenamento de AWS CloudHSM chaves for, `CONNECTED` mas você estiver tendo problemas para usá-lo, verifique se o AWS CloudHSM cluster associado está ativo e contém pelo menos um ativo HSMs. Para obter ajuda com falhas de conexão, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

Quando você conecta um armazenamento de AWS CloudHSM chaves, AWS KMS encontra o AWS CloudHSM cluster associado, se conecta a ele, faz login no AWS CloudHSM cliente como [usuário `kmsuser` criptográfico (UC](keystore-cloudhsm.md#concept-kmsuser)) e, em seguida, alterna a `kmsuser` senha. AWS KMS permanece conectado ao AWS CloudHSM cliente enquanto o armazenamento de AWS CloudHSM chaves estiver conectado.

Para estabelecer a conexão, AWS KMS cria um [grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nomeado `kms-<custom key store ID>` na nuvem privada virtual (VPC) do cluster. O grupo de segurança tem uma única regra que permite o tráfego de entrada do grupo de segurança do cluster. AWS KMS também cria uma [interface de rede elástica](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) em cada zona de disponibilidade da sub-rede privada do cluster. AWS KMS adiciona o ENIs ao grupo `kms-<cluster ID>` de segurança e ao grupo de segurança do cluster. A descrição de cada ENI é `KMS managed ENI for cluster <cluster-ID>`.

O processo de conexão pode demorar um período prolongado para ser concluído; até 20 minutos. 

Antes de conectar o armazenamento de AWS CloudHSM chaves, verifique se ele atende aos requisitos.
+ Seu AWS CloudHSM cluster associado deve conter pelo menos um HSM ativo. Para encontrar o número de HSMs no cluster, visualize o cluster no AWS CloudHSM console ou use a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Se necessário, você pode [adicionar um HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ O cluster deve ter uma conta de [usuário `kmsuser` criptográfico](create-keystore.md#kmsuser-concept) (UC), mas essa UC não pode ser conectada ao cluster quando você conecta o AWS CloudHSM armazenamento de chaves. Para obter ajuda com o logout, consulte [Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).
+ O estado da conexão do armazenamento de AWS CloudHSM chaves não pode ser `DISCONNECTING` ou`FAILED`. Para ver o estado da conexão, use o AWS KMS console ou a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta. Se o estado da conexão for `FAILED`, desconecte o armazenamento de chaves personalizado, corrija o problema e conecte-o.

Para obter ajuda com falhas de conexão, consulte [Como corrigir uma falha de conexão](fix-keystore.md#fix-keystore-failed).

Quando seu armazenamento de AWS CloudHSM chaves está conectado, você pode [criar chaves KMS nele](create-cmk-keystore.md) e usar chaves KMS existentes em operações [criptográficas](manage-cmk-keystore.md#use-cmk-keystore).

## Conecte-se e reconecte-se ao seu armazenamento de AWS CloudHSM chaves
<a name="connect-hsm-keystore"></a>

Você pode conectar ou reconectar seu armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operação.

### Usando o AWS KMS console
<a name="connect-keystore-console"></a>

Para conectar um armazenamento de AWS CloudHSM chaves no Console de gerenciamento da AWS, comece selecionando o armazenamento de AWS CloudHSM chaves na página **Armazenamentos de chaves personalizadas**. O processo de conexão pode levar até 20 minutos.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).

1. Escolha a linha do armazenamento de AWS CloudHSM chaves que você deseja conectar. 

   Se o estado de conexão do armazenamento de AWS CloudHSM chaves for **Falha**, você deverá [desconectar o armazenamento de chaves personalizado](disconnect-keystore.md#disconnect-keystore-console) antes de conectá-lo.

1. No menu **Key store actions** (Ações do armazenamento de chaves), escolha **Connect** (Conectar).

AWS KMS inicia o processo de conexão do seu armazenamento de chaves personalizadas. Ele localiza o cluster do AWS CloudHSM associado, cria a infraestrutura de rede necessária, se conecta, faz login no cluster do AWS CloudHSM como CU do `kmsuser` e muda a senha do `kmsuser`. Quando a operação é concluída, o estado de conexão é alterado para **Connected** (Conectado). 

Se houver falha na operação, uma mensagem descrevendo o motivo da falha será exibida. Antes de tentar se conectar novamente, [veja o estado da conexão](view-keystore.md) do seu armazenamento de AWS CloudHSM chaves. Se for **Failed** (Falha), você deve [desconectar o armazenamento de chaves personalizado](disconnect-keystore.md#disconnect-keystore-console) antes de conectá-lo novamente. Se precisar de ajuda, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

**Próximo:** [Criar uma chave KMS em um armazenamento de AWS CloudHSM chaves](create-cmk-keystore.md).

### Usando a AWS KMS API
<a name="connect-keystore-api"></a>

Para conectar um armazenamento de AWS CloudHSM chaves desconectado, use a [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operação. O AWS CloudHSM cluster associado deve conter pelo menos um HSM ativo e o estado da conexão não pode ser`FAILED`.

O processo de conexão demora um período prolongado para ser concluído; até 20 minutos. A menos que se antecipe à falha, a operação retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. No entanto, essa resposta inicial não indica que a conexão foi bem-sucedida. Para determinar o estado da conexão do armazenamento de chaves personalizadas, veja a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta.

Os exemplos nesta seção usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Para identificar o armazenamento de AWS CloudHSM chaves, use seu ID de armazenamento de chaves personalizado. Você pode encontrar o ID na página **Armazenamentos de chaves personalizadas** no console ou usando a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação sem parâmetros. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Para verificar se o armazenamento de AWS CloudHSM chaves está conectado, use a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro `CustomKeyStoreId` ou `CustomKeyStoreName` (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor `ConnectionState` `CONNECTED` indica que o armazenamento de chaves personalizado está conectado ao cluster do AWS CloudHSM .

**nota**  
O `CustomKeyStoreType` campo foi adicionado à `DescribeCustomKeyStores` resposta para distinguir os armazenamentos de AWS CloudHSM chaves dos armazenamentos de chaves externos.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Se ocorrer falha no valor `ConnectionState`, o elemento `ConnectionErrorCode` indica o motivo da falha. Nesse caso, não AWS KMS foi possível encontrar um AWS CloudHSM cluster na sua conta com o ID do cluster`cluster-1a23b4cdefg`. Se você excluiu o cluster, você pode [restaurá-lo a partir de um backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) do cluster original e [editar o ID do cluster](update-keystore.md) para o armazenamento de chaves personalizado. Para obter ajuda para responder a um código de erro de conexão, consulte [Como corrigir uma falha de conexão](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```