Criação de um armazenamento de AWS CloudHSM chaves - AWS Key Management Service
Organizar os pré-requisitosCrie um armazenamento de AWS CloudHSM chaves (console)Crie um armazenamento de AWS CloudHSM chaves (API)

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de um armazenamento de AWS CloudHSM chaves

Você pode criar um ou vários armazenamentos de AWS CloudHSM chaves em sua conta. Cada armazenamento de AWS CloudHSM chaves está associado a um AWS CloudHSM cluster na mesma Conta da AWS região. Antes de criar o armazenamento de chaves do AWS CloudHSM , você precisa organizar os pré-requisitos. Então, antes de poder usar seu armazenamento de AWS CloudHSM chaves, você deve conectá-lo ao AWS CloudHSM cluster.

nota

Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves desconectado existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM .

dica

Você não precisa conectar seu armazenamento de AWS CloudHSM chaves imediatamente. Você pode deixá-lo em um estado desconectado até estar pronto para usá-lo. No entanto, para verificar se ele está configurado corretamente, convém conectá-lo, visualizar o estado da conexão e desconectá-lo.

Organizar os pré-requisitos

Cada armazenamento de AWS CloudHSM chaves é apoiado por um AWS CloudHSM cluster. Para criar um armazenamento de AWS CloudHSM chaves, você deve especificar um AWS CloudHSM cluster ativo que ainda não esteja associado a outro armazenamento de chaves. Você também precisa criar um usuário criptográfico (UC) dedicado no cluster HSMs que AWS KMS possa ser usado para criar e gerenciar chaves em seu nome.

Antes de criar um armazenamento de AWS CloudHSM chaves, faça o seguinte:

Selecione um AWS CloudHSM cluster

Cada armazenamento de AWS CloudHSM chaves está associado a exatamente um AWS CloudHSM cluster. Quando você cria um AWS KMS keysem seu armazenamento de AWS CloudHSM chaves, AWS KMS cria os metadados da KMS chave, como um ID e o Amazon Resource Name (ARN) em AWS KMS. Em seguida, ele cria o HSMs material chave no cluster associado. Você pode criar um novo AWS CloudHSM cluster ou usar um existente. AWS KMS não exige acesso exclusivo ao cluster.

O AWS CloudHSM cluster que você seleciona está permanentemente associado ao armazenamento de AWS CloudHSM chaves. Depois de criar o armazenamento de AWS CloudHSM chaves, você pode alterar a ID do cluster associado, mas o cluster especificado deve compartilhar um histórico de backup com o cluster original. Para usar um cluster não relacionado, você precisa criar um novo armazenamento de AWS CloudHSM chaves.

O AWS CloudHSM cluster selecionado deve ter as seguintes características:

  • O cluster deve estar ativo.

    Você deve criar o cluster, inicializá-lo, instalar o software AWS CloudHSM cliente para sua plataforma e, em seguida, ativar o cluster. Para obter instruções detalhadas, consulte Conceitos básicos do AWS CloudHSM no Guia do usuário do AWS CloudHSM .

  • O cluster deve estar na mesma conta e região do armazenamento de AWS CloudHSM chaves. Você não pode associar um armazenamento de AWS CloudHSM chaves em uma região a um cluster em uma região diferente. Para criar uma infraestrutura chave em várias regiões, você deve criar armazenamentos e clusters de AWS CloudHSM chaves em cada região.

  • Não é possível associar o cluster a outro armazenamento personalizado de chaves na mesma conta e região. Cada armazenamento de AWS CloudHSM chaves na conta e na região deve estar associado a um AWS CloudHSM cluster diferente. Você não pode especificar um cluster que já esteja associado a um armazenamento de chaves personalizado, tampouco um cluster que compartilhe um histórico de backup com um cluster associado. Os clusters que compartilham um histórico de backup têm o mesmo certificado do cluster. Para visualizar o certificado de cluster de um cluster, use o AWS CloudHSM console ou a DescribeClustersoperação.

    Se você fizer backup de um AWS CloudHSM cluster em uma região diferente, ele será considerado um cluster diferente e você poderá associar o backup a um armazenamento de chaves personalizado em sua região. No entanto, KMS as chaves nos dois armazenamentos de chaves personalizadas não são interoperáveis, mesmo que tenham a mesma chave de apoio. AWS KMS vincula os metadados ao texto cifrado para que eles possam ser descriptografados somente pela chave que os criptografou. KMS

  • O cluster deve ser configurado com sub-redes privadas em pelo menos duas zonas de disponibilidade na região. Como não AWS CloudHSM é compatível com todas as zonas de disponibilidade, recomendamos que você crie sub-redes privadas em todas as zonas de disponibilidade da região. Você não pode reconfigurar as sub-redes para um cluster existente, mas pode criar um cluster a partir de um backup com diferentes sub-redes na configuração do cluster.

    Importante

    Depois de criar seu armazenamento de AWS CloudHSM chaves, não exclua nenhuma das sub-redes privadas configuradas para seu AWS CloudHSM cluster. Se AWS KMS não conseguir encontrar todas as sub-redes na configuração do cluster, as tentativas de conexão com o armazenamento de chaves personalizadas falharão com um estado de erro de SUBNET_NOT_FOUND conexão. Para obter detalhes, consulte Como corrigir uma falha de conexão.

  • O grupo de segurança do cluster (cloudhsm-cluster-<cluster-id>-sg) deve incluir regras de entrada e regras de saída que permitam o TCP tráfego nas portas 2223-2225. O Source (Origem) nas regras de entrada e o Destination (Destino) nas regras de saída deve corresponder ao ID do grupo de segurança. Essas regras são definidas por padrão quando você cria o cluster. Não as exclua nem as altere.

  • O cluster deve conter pelo menos dois ativos HSMs em diferentes zonas de disponibilidade. Para verificar o número deHSMs, use o AWS CloudHSM console ou a DescribeClustersoperação. Se necessário, você pode adicionar um HSM.

Localizar o certificado da âncora de confiança

Ao criar um armazenamento de chaves personalizado, você deve carregar o certificado de âncora confiável para o AWS CloudHSM cluster. AWS KMS AWS KMS precisa do certificado de âncora confiável para conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado.

Cada AWS CloudHSM cluster ativo tem um certificado de âncora confiável. Ao inicializar o cluster, você gera esse certificado, salve-o no customerCA.crt arquivo e copie-o em hosts que se conectam ao cluster.

Crie o usuário kmsuser criptográfico para AWS KMS

Para administrar seu armazenamento de AWS CloudHSM chaves, faça AWS KMS login na conta de usuário kmsuser criptográfico (CU) no cluster selecionado. Antes de criar seu armazenamento de AWS CloudHSM chaves, você deve criar a kmsuser UC. Então, ao criar seu armazenamento de AWS CloudHSM chaves, você fornece a senha kmsuser para AWS KMS. Sempre que você conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado, AWS KMS efetua login como kmsuser e alterna a senha kmsuser

Importante

Não especifique a opção 2FA ao criar o CU do kmsuser. Se você fizer isso, AWS KMS não poderá fazer login e seu armazenamento de AWS CloudHSM chaves não poderá ser conectado a esse AWS CloudHSM cluster. Ao especificar o código de autenticação de dois fatores, você não pode desfazê-lo. Em vez disso, você deve excluir o CU e recriá-lo.

Para criar o CU do kmsuser, use o procedimento a seguir.

  1. Inicie cloudhsm_mgmt_util conforme descrito no tópico Introdução ao Cloud HSM Management Utility () do Guia do usuário. CMU AWS CloudHSM

  2. Use o createUsercomando em cloudhsm_mgmt_util para criar uma UC chamada. kmsuser

    nota

    A senha deve conter de 7 a 32 caracteres alfanuméricos. Ela diferencia maiúsculas de minúsculas e não pode conter caracteres especiais.

    Por exemplo, o seguinte comando cria um CU do kmsuser com uma senha de kmsPswd. 

    aws-cloudhsm> createUser CU kmsuser kmsPswd

Crie um armazenamento de AWS CloudHSM chaves (console)

Ao criar um armazenamento de AWS CloudHSM chaves no AWS Management Console, você pode adicionar e criar os pré-requisitos como parte do seu fluxo de trabalho. No entanto, o processo é mais rápido quando eles são organizados com antecedência.

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, selecione Custom key stores (Repositórios de chaves personalizados), AWS CloudHSM key stores (Repositórios de chaves do ).

  4. Selecione Create key store (Criar armazenamento de chaves).

  5. Digite um nome amigável para o armazenamento de chaves personalizado. O nome deve ser exclusivo entre todos os outros armazenamentos de chaves personalizados de sua conta.

    Importante

    Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples em CloudTrail registros e outras saídas.

  6. Selecione um AWS CloudHSM cluster para o armazenamento de AWS CloudHSM chaves. Ou, para criar um novo AWS CloudHSM cluster, escolha o link Criar um AWS CloudHSM cluster.

    O menu exibe os AWS CloudHSM clusters em sua conta e região que ainda não estão associados a um armazenamento de AWS CloudHSM chaves. O cluster deve cumprir os requisitos para associação com um armazenamento de chaves personalizado.

  7. Escolha Escolher arquivo e, em seguida, carregue o certificado de âncora confiável para o AWS CloudHSM cluster que você escolheu. Esse é o arquivo customerCA.crt que você criou ao inicializar o cluster.

  8. Insira a senha do usuário de criptografia kmsuser (CU) que você criou no cluster selecionado.

  9. Escolha Criar.

Quando o procedimento for bem-sucedido, o novo armazenamento de AWS CloudHSM chaves aparecerá na lista de armazenamentos de AWS CloudHSM chaves na conta e na região. Se ele for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves desconectado existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM .

Próximo: Os novos armazenamentos de AWS CloudHSM chaves não são conectados automaticamente. Antes de criar AWS KMS keys no armazenamento de AWS CloudHSM chaves, você deve conectar o armazenamento de chaves personalizadas ao AWS CloudHSM cluster associado.

Crie um armazenamento de AWS CloudHSM chaves (API)

Você pode usar a CreateCustomKeyStoreoperação para criar um novo armazenamento de AWS CloudHSM chaves associado a um AWS CloudHSM cluster na conta e na região. Esses exemplos usam o AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A operação CreateCustomKeyStore exige os seguintes valores de parâmetros.

  • CustomKeyStoreName — Um nome amigável para o armazenamento de chaves personalizadas que é exclusivo na conta.

    Importante

    Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples em CloudTrail registros e outras saídas.

  • CloudHsmClusterId — O ID do cluster de um AWS CloudHSM cluster que atende aos requisitos de um armazenamento de AWS CloudHSM chaves.

  • KeyStorePassword — A senha da conta kmsuser UC no cluster especificado.

  • TrustAnchorCertificate — O conteúdo do customerCA.crt arquivo que você criou quando inicializou o cluster.

O exemplo a seguir usa um ID de cluster fictício. Antes de executar o comando, substitua-o por um ID de cluster válido.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

Se você estiver usando o AWS CLI, poderá especificar o arquivo de certificado âncora confiável, em vez de seu conteúdo. No exemplo a seguir, o arquivo customerCA.crt no diretório raiz.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

Quando a operação é bem-sucedida, CreateCustomKeyStore retorna o ID do armazenamento de chaves personalizado, conforme exibido na resposta de exemplo a seguir.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Se a operação falhar, corrija o erro indicado pela exceção e tente novamente. Para obter ajuda adicional, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves desconectado existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM .

Próximo: Para usar o armazenamento de AWS CloudHSM chaves, conecte-o ao AWS CloudHSM cluster.