As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Crie um armazenamento de AWS CloudHSM chaves
Você pode criar um ou vários armazenamentos de AWS CloudHSM chaves em sua conta. Cada armazenamento de AWS CloudHSM chaves está associado a um AWS CloudHSM cluster na mesma Conta da AWS região. Antes de criar o armazenamento de chaves do AWS CloudHSM , você precisa [organizar os pré-requisitos](#before-keystore). Então, antes de poder usar seu armazenamento de AWS CloudHSM chaves, você deve [conectá-lo](connect-keystore.md) ao AWS CloudHSM cluster.
**Observações**
O KMS não pode se comunicar IPv6 com as AWS CloudHSM principais lojas.
Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves *desconectado* existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM .
Você não precisa conectar seu armazenamento de AWS CloudHSM chaves imediatamente. Você pode deixá-lo em um estado desconectado até estar pronto para usá-lo. No entanto, para verificar se ele está configurado corretamente, convém [conectá-lo](connect-keystore.md),[ visualizar o estado da conexão](view-keystore.md) e [desconectá-lo](disconnect-keystore.md).
**Topics**
+ [Organizar os pré-requisitos](#before-keystore)
+ [Criar um novo repositório de AWS CloudHSM chaves](#create-hsm-keystore)
## Organizar os pré-requisitos
Cada armazenamento de AWS CloudHSM chaves é apoiado por um AWS CloudHSM cluster. Para criar um armazenamento de AWS CloudHSM chaves, você deve especificar um AWS CloudHSM cluster ativo que ainda não esteja associado a outro armazenamento de chaves. Você também precisa criar um usuário criptográfico (UC) dedicado no cluster HSMs que AWS KMS possa ser usado para criar e gerenciar chaves em seu nome.
Antes de criar um armazenamento de AWS CloudHSM chaves, faça o seguinte:
**Selecione um AWS CloudHSM cluster**
Cada armazenamento de AWS CloudHSM chaves está [associado a exatamente um AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Quando você cria AWS KMS keys em seu armazenamento de AWS CloudHSM chaves, AWS KMS cria os metadados da chave KMS, como um ID e um nome de recurso da Amazon (ARN) em. AWS KMS Em seguida, ele cria o HSMs material chave no cluster associado. Você pode [criar um novo AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) cluster ou usar um existente. AWS KMS não exige acesso exclusivo ao cluster.
O AWS CloudHSM cluster que você seleciona está permanentemente associado ao armazenamento de AWS CloudHSM chaves. Depois de criar o armazenamento de AWS CloudHSM chaves, você pode [alterar a ID](update-keystore.md) do cluster associado, mas o cluster especificado deve compartilhar um histórico de backup com o cluster original. Para usar um cluster não relacionado, você precisa criar um novo armazenamento de AWS CloudHSM chaves.
O AWS CloudHSM cluster selecionado deve ter as seguintes características:
+ **O cluster deve estar ativo**.
Você deve criar o cluster, inicializá-lo, instalar o software AWS CloudHSM cliente para sua plataforma e, em seguida, ativar o cluster. Para obter instruções detalhadas, consulte [Conceitos básicos do AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) no *Guia do usuário do AWS CloudHSM *.
+ **O TLS mútuo (mTLS) não está habilitado.**
O KMS não é compatível com mTLS para clusters. Essa configuração não deve ser habilitada.
+ **O cluster deve estar na mesma conta e região** do armazenamento de AWS CloudHSM chaves. Você não pode associar um armazenamento de AWS CloudHSM chaves em uma região a um cluster em uma região diferente. Para criar uma infraestrutura chave em várias regiões, você deve criar armazenamentos e clusters de AWS CloudHSM chaves em cada região.
+ **Não é possível associar o cluster a outro armazenamento personalizado de chaves** na mesma conta e região. Cada armazenamento de AWS CloudHSM chaves na conta e na região deve estar associado a um AWS CloudHSM cluster diferente. Você não pode especificar um cluster que já esteja associado a um armazenamento de chaves personalizado, tampouco um cluster que compartilhe um histórico de backup com um cluster associado. Os clusters que compartilham um histórico de backup têm o mesmo certificado do cluster. Para visualizar o certificado de cluster de um cluster, use o AWS CloudHSM console ou a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação.
Se você [fizer backup de um cluster do AWS CloudHSM em uma região diferente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), ele será considerado um cluster diferente e você poderá associar o backup a um armazenamento personalizado de chaves na região dele. No entanto, as chaves KMS nos dois armazenamentos de chaves personalizadas não são interoperáveis, mesmo que tenham a mesma chave de apoio. AWS KMS vincula os metadados ao texto cifrado para que eles possam ser descriptografados somente pela chave KMS que os criptografou.
+ O cluster deve ser configurado com [sub-redes privadas](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) em **pelo menos duas zonas de disponibilidade** na região. Como não AWS CloudHSM é compatível com todas as zonas de disponibilidade, recomendamos que você crie sub-redes privadas em todas as zonas de disponibilidade da região. Você não pode reconfigurar as sub-redes para um cluster existente, mas pode [criar um cluster a partir de um backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) com diferentes sub-redes na configuração do cluster.
**Importante**
Depois de criar seu armazenamento de AWS CloudHSM chaves, não exclua nenhuma das sub-redes privadas configuradas para seu AWS CloudHSM cluster. Se AWS KMS não conseguir encontrar todas as sub-redes na configuração do cluster, as tentativas de [conexão com o armazenamento de chaves personalizadas](connect-keystore.md) falharão com um estado de erro de `SUBNET_NOT_FOUND` conexão. Para obter detalhes, consulte [Como corrigir uma falha de conexão](fix-keystore.md#fix-keystore-failed).
+ O [grupo de segurança do cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster--sg`) deve incluir regras de entrada e regras de saída que permitam a passagem do tráfego TCP nas portas IPv4 2223-2225. O **Source (Origem)** nas regras de entrada e o **Destination (Destino)** nas regras de saída deve corresponder ao ID do grupo de segurança. Essas regras são definidas por padrão quando você cria o cluster. Não as exclua nem as altere.
+ **O cluster deve conter pelo menos dois ativos HSMs** em diferentes zonas de disponibilidade. Para verificar o número de HSMs, use o AWS CloudHSM console ou a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Se necessário, você pode [adicionar um HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).
**Localizar o certificado da âncora de confiança**
Ao criar um armazenamento de chaves personalizado, você deve carregar o certificado de âncora confiável para o AWS CloudHSM cluster. AWS KMS AWS KMS precisa do certificado de âncora confiável para conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado.
Cada AWS CloudHSM cluster ativo tem um *certificado de âncora confiável*. Ao [inicializar o cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), você gera esse certificado, salve-o no `customerCA.crt` arquivo e copie-o em hosts que se conectam ao cluster.
**Crie o usuário `kmsuser` criptográfico para AWS KMS**
Para administrar seu armazenamento de AWS CloudHSM chaves, faça AWS KMS login na conta de [usuário `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (CU) no cluster selecionado. Antes de criar seu armazenamento de AWS CloudHSM chaves, você deve criar a `kmsuser` UC. Então, ao criar seu armazenamento de AWS CloudHSM chaves, você fornece a senha `kmsuser` para AWS KMS. Sempre que você conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado, AWS KMS efetua login como `kmsuser` e alterna a senha `kmsuser`
Não especifique a opção `2FA` ao criar o CU do `kmsuser`. Se você fizer isso, AWS KMS não poderá fazer login e seu armazenamento de AWS CloudHSM chaves não poderá ser conectado a esse AWS CloudHSM cluster. Ao especificar o código de autenticação de dois fatores, você não pode desfazê-lo. Em vez disso, você deve excluir o CU e recriá-lo.
**Observações**
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.
1. Siga os procedimentos de conceitos básicos conforme descritos no tópico [Getting started with CloudHSM Command Line Interface (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) do *Guia do usuário do AWS CloudHSM *.
1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) para criar um usuário de criptografia chamado `kmsuser`.
A senha deve conter de 7 a 32 caracteres alfanuméricos. Ela diferencia maiúsculas de minúsculas e não pode conter caracteres especiais.
O exemplo de comando a seguir cria um usuário de criptografia `kmsuser`.
```
aws-cloudhsm > user create --username kmsuser --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
## Criar um novo repositório de AWS CloudHSM chaves
Depois de [montar os pré-requisitos](#before-keystore), você pode criar um novo armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a operação. [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)
### Usando o AWS KMS console
Ao criar um armazenamento de AWS CloudHSM chaves no Console de gerenciamento da AWS, você pode adicionar e criar os [pré-requisitos](#before-keystore) como parte do seu fluxo de trabalho. No entanto, o processo é mais rápido quando eles são organizados com antecedência.
1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).
1. Selecione **Create key store** (Criar armazenamento de chaves).
1. Digite um nome amigável para o armazenamento de chaves personalizado. O nome deve ser exclusivo entre todos os outros armazenamentos de chaves personalizados de sua conta.
**Importante**
Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples em CloudTrail registros e outras saídas.
1. Selecione [um AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster) para o armazenamento de AWS CloudHSM chaves. Ou, para criar um novo AWS CloudHSM cluster, escolha o link **Criar um AWS CloudHSM cluster**.
O menu exibe os AWS CloudHSM clusters em sua conta e região que ainda não estão associados a um armazenamento de AWS CloudHSM chaves. O cluster deve [cumprir os requisitos](#before-keystore) para associação com um armazenamento de chaves personalizado.
1. **Escolha Escolher arquivo** e, em seguida, carregue o certificado de âncora confiável para o AWS CloudHSM cluster que você escolheu. Esse é o arquivo `customerCA.crt` que você criou ao [inicializar o cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).
1. Insira a senha [do usuário de criptografia `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) (CU) que você criou no cluster selecionado.
1. Escolha **Criar**.
Quando o procedimento for bem-sucedido, o novo armazenamento de AWS CloudHSM chaves aparecerá na lista de armazenamentos de AWS CloudHSM chaves na conta e na região. Se ele for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).
Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves *desconectado* existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM .
**Próximo**: Os novos armazenamentos de AWS CloudHSM chaves não são conectados automaticamente. Antes de criar AWS KMS keys no armazenamento de AWS CloudHSM chaves, você deve [conectar o armazenamento de chaves personalizadas](connect-keystore.md) ao AWS CloudHSM cluster associado.
### Usando a AWS KMS API
Você pode usar a [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operação para criar um novo armazenamento de AWS CloudHSM chaves associado a um AWS CloudHSM cluster na conta e na região. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.
A operação `CreateCustomKeyStore` exige os seguintes valores de parâmetros.
+ CustomKeyStoreName — Um nome amigável para o armazenamento de chaves personalizadas que é exclusivo na conta.
**Importante**
Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples em CloudTrail registros e outras saídas.
+ CloudHsmClusterId — O ID do cluster de um AWS CloudHSM cluster que [atende aos requisitos](#before-keystore) de um armazenamento de AWS CloudHSM chaves.
+ KeyStorePassword — A senha da conta `kmsuser` UC no cluster especificado.
+ TrustAnchorCertificate — O conteúdo do `customerCA.crt` arquivo que você criou quando [inicializou o cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).
O exemplo a seguir usa um ID de cluster fictício. Antes de executar o comando, substitua-o por um ID de cluster válido.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleCloudHSMKeyStore \
--cloud-hsm-cluster-id cluster-1a23b4cdefg \
--key-store-password kmsPswd \
--trust-anchor-certificate
```
Se você estiver usando o AWS CLI, poderá especificar o arquivo de certificado âncora confiável, em vez de seu conteúdo. No exemplo a seguir, o arquivo `customerCA.crt` no diretório raiz.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleCloudHSMKeyStore \
--cloud-hsm-cluster-id cluster-1a23b4cdefg \
--key-store-password kmsPswd \
--trust-anchor-certificate file://customerCA.crt
```
Quando a operação é bem-sucedida, `CreateCustomKeyStore` retorna o ID do armazenamento de chaves personalizado, conforme exibido na resposta de exemplo a seguir.
```
{
"CustomKeyStoreId": cks-1234567890abcdef0
}
```
Se a operação falhar, corrija o erro indicado pela exceção e tente novamente. Para obter ajuda adicional, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).
Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves *desconectado* existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM .
**Próximo**: Para usar o armazenamento de AWS CloudHSM chaves, [conecte-o ao AWS CloudHSM cluster](connect-keystore.md).