Visualizar um repositório de chaves do AWS CloudHSM

Você pode visualizar os armazenamentos de chaves do AWS CloudHSM em cada conta e região usando o console do AWS KMS ou usando a operação DescribeCustomKeyStores.

Ao visualizar armazenamentos de chaves do AWS CloudHSM no AWS Management Console, você poderá ver as seguintes informações:

O nome e ID do armazenamento de chaves personalizado
O ID do cluster do AWS CloudHSM associado
O número de HSMs no cluster
O estado da conexão atual

Um estado de conexão (Status) com o valor Disconnected (Desconectado) indica que o armazenamento de chaves personalizado é novo e nunca foi conectado ou foi intencionalmente desconectado do cluster do AWS CloudHSM. No entanto, se as suas tentativas de usar uma chave do KMS em um armazenamento de chaves personalizado conectado falharem, pode ser indício de um problema com o armazenamento de chaves personalizado ou com o cluster do AWS CloudHSM. Para obter ajuda, consulte Como corrigir uma chave do KMS com falha.

Para visualizar armazenamentos de chaves do AWS CloudHSM em uma determinada conta e região, use o procedimento a seguir.

Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, selecione Custom key stores (Repositórios de chaves personalizados), AWS CloudHSM key stores (Repositórios de chaves do ).

Para personalizar a exibição, clique no ícone de engrenagem que aparece abaixo do botão Create key store (Criar armazenamento de chaves).

Para visualizar seus armazenamentos de chaves do AWS CloudHSM, use a operação DescribeCustomKeyStores. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados na conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId ou CustomKeyStoreName (mas não ambos) para limitar o resultado para um determinado armazenamento de chaves personalizado. Para armazenamentos de chaves do AWS CloudHSM, a saída consiste no ID e nome do armazenamento de chaves personalizado, no tipo de armazenamento de chaves personalizado, no ID do cluster do AWS CloudHSM associado e no estado da conexão. Se o estado da conexão indica um erro, o resultado também inclui um código de erro que descreve o motivo do erro.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Por exemplo, o comando a seguir retorna todos os armazenamentos de chaves personalizados na conta e região. Você pode usar os parâmetros Marker e Limit para percorrer os armazenamentos de chaves personalizados do resultado.


$ aws kms describe-custom-key-stores

O comando de exemplo a seguir usa o parâmetro CustomKeyStoreName para obter apenas o armazenamento de chaves personalizado com o nome amigável ExampleCloudHSMKeyStore. É possível usar o parâmetro CustomKeyStoreName ou CustomKeyStoreId (mas não ambos) em cada comando.

O exemplo de resultado a seguir representa um armazenamento de chaves do AWS CloudHSM que está conectado ao cluster do AWS CloudHSM.

nota

O campo CustomKeyStoreType foi adicionado à resposta DescribeCustomKeyStores para distinguir os armazenamentos de chaves do AWS CloudHSM dos armazenamentos de chaves externas.


$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}

Um ConnectionState Disconnected indica que um armazenamento de chaves personalizado nunca foi conectado, ou foi intencionalmente desconectado do cluster do AWS CloudHSM. No entanto, se as tentativas de usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM conectado falharem, pode ser indício de um problema com o armazenamento de chaves do AWS CloudHSM ou com o cluster do AWS CloudHSM. Para obter ajuda, consulte Como corrigir uma chave do KMS com falha.

Quando o ConnectionState do armazenamento de chaves personalizado FAILED, a resposta DescribeCustomKeyStores inclui um elemento ConnectionErrorCode que explica o motivo desse erro.

Por exemplo, no resultado a seguir, o valor INVALID_CREDENTIALS indica que a conexão do armazenamento de chaves personalizado falhou porque a senha kmsuser é inválido. Para obter ajuda com relação a esta e outras falhas de erro de conexão, consulte Solucionar problemas de um armazenamento de chaves personalizado.


$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}

Saiba mais:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Criar um repositório de chaves do AWS CloudHSM

Editar as configurações de repositório de chaves do AWS CloudHSM