Connect 並斷開連接 AWS CloudHSM 鑰匙存儲 - AWS Key Management Service
連接 AWS CloudHSM 鑰匙存儲斷開連接 AWS CloudHSM 鑰匙存儲Connect 一個 AWS CloudHSM 金鑰存放區 (主控台)Connect 自訂金鑰存放區 (API)斷開連接 AWS CloudHSM 金鑰存放區 (主控台)斷開連接 AWS CloudHSM 鑰匙存儲(API)

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Connect 並斷開連接 AWS CloudHSM 鑰匙存儲

新增 AWS CloudHSM 金鑰存放區未連線。在您可以創建和使用之前 AWS KMS keys 在您的 AWS CloudHSM 密鑰存儲,您需要將其連接到其關聯 AWS CloudHSM 集群。您可以連接並斷開連接 AWS CloudHSM 密鑰存儲在任何時候,並查看其連接狀態

您不需要連接 AWS CloudHSM 金鑰存放區。你可以留下 AWS CloudHSM 密鑰存儲無限期處於斷開連接狀態,並且僅在需要使用時才將其連接。不過,您可能希望定期測試連接,以驗證設定正確並且可連接。

注意

AWS CloudHSM 只有當金鑰存放區從未DISCONNECTED連線或您明確中斷連線時,金鑰存放區才會有連線狀態。如果您的 AWS CloudHSM 密鑰存儲連接狀態是,CONNECTED但您在使用它時遇到問題,請確保其關聯 AWS CloudHSM 群集處於活動狀態,並且至少包含一個活動HSMs。如需連線失敗的協助,請參閱 對自訂金鑰存放區進行故障診斷

連接 AWS CloudHSM 鑰匙存儲

當您連接 AWS CloudHSM 鑰匙存儲, AWS KMS 尋找相關聯的 AWS CloudHSM 群集,連接到它,登錄到 AWS CloudHSM 客戶端作為kmsuser加密用戶(CU),然後旋轉kmsuser密碼。 AWS KMS 保持登錄到 AWS CloudHSM 客戶只要 AWS CloudHSM 金鑰存放區已連線。

要建立連接, AWS KMS 會建立kms-<custom key store ID>在叢集的虛擬私有雲端 (VPC) 中命名的安全性群組。安全性群組具有單一規則,可允許來自叢集安全性群組的輸入流量。 AWS KMS 也會在叢集的私有子網ENI路的每個可用區域中建立 elastic network interface ()。 AWS KMS 會新增ENIs至kms-<cluster ID>安全性群組和叢集的安全性群組。每個的描述ENI是KMS managed ENI for cluster <cluster-ID>

連接程序可能需要很長的時間才能完成;最多 20 分鐘。

連接之前 AWS CloudHSM 金鑰存放區,確認其符合要求。

  • 其相關聯 AWS CloudHSM 叢集必須包含至少一個作用中的HSM。若要尋找叢集HSMs中的數目,請檢視 AWS CloudHSM 控制台或使用DescribeClusters操作。如有必要,您可以新增 HSM.

  • 叢集必須有kmsuser加密使用者 (CU) 帳戶,但是當您連線至叢集時,該 CU 無法登入叢集 AWS CloudHSM 金鑰存放區。如需登出的說明,請參閱如何登出和重新連線

  • 的連接狀態 AWS CloudHSM 密鑰存儲不能是DISCONNECTINGFAILED。若要檢視連線狀態,請使用 AWS KMS 控制台或DescribeCustomKeyStores響應。如果連接狀態為 FAILED,請中斷連接自訂金鑰存放區,解決問題,然後進行連接。

如需連線失敗的協助,請參閱 如何修正連線失敗

當您的 AWS CloudHSM 密鑰存儲已連接,您可以在其中創建密KMS鑰並在加密操作中使用現有密KMS鑰。

斷開連接 AWS CloudHSM 鑰匙存儲

當您斷開連接時 AWS CloudHSM 鑰匙存儲, AWS KMS 登出 AWS CloudHSM 用戶端,中斷與相關聯的連線 AWS CloudHSM 叢集,並移除它為支援連線而建立的網路基礎結構。

而一個 AWS CloudHSM 密鑰存儲已斷開連接,您可以管理 AWS CloudHSM KMS金鑰存放區及其金鑰,但您無法在 KMS AWS CloudHSM 金鑰存放區。金鑰存放區的連線狀態為,DISCONNECTED且自訂金鑰存放區中KMS金鑰的金鑰狀態為Unavailable,除非它們是PendingDeletion。您可以重新連接 AWS CloudHSM 鑰匙存儲在任何時候。

當您中斷自訂金鑰存放區的連線時,KMS金鑰存放區中的金鑰會立即變得無法使用 (視最終一致性而定)。不過,使用受金鑰保護之資料金鑰加密的KMS資源,除非再次使用金KMS鑰 (例如解密資料金鑰),才會受到影響。這個問題會影響 AWS 服務,其中許多使用資料金鑰來保護您的資源。如需詳細資訊,請參閱 無法使用的KMS密鑰如何影響數據鍵

注意

當自訂金鑰存放區中斷連線時,所有嘗試在自訂KMS金鑰存放區中建立金鑰或在密碼編譯作業中使用現有KMS金鑰的嘗試都會失敗。此動作可防止使用者存放和存取敏感資料。

若要更好地估計中斷自訂金鑰存放區的連線效果,請識別自訂KMS金鑰存放區中的金鑰,並判斷其過去的使用狀況。

您可能會斷開連接 AWS CloudHSM 金鑰儲存庫的原因如下:

  • 旋轉kmsuser密碼。 AWS KMS 每次連接到kmsuser密碼時都會更改密碼 AWS CloudHSM 集群。若要強制密碼輪換,只需中斷連接並重新連接。

  • 若要稽核中KMS金鑰的金鑰材料 AWS CloudHSM 集群。當您斷開自定義密鑰存儲區時, AWS KMS 註銷中的kmsuser加密用戶帳戶 AWS CloudHSM 用戶端。這可讓您以 kmsuser CU 的身分登入叢集,並稽核和管理金鑰的金KMS鑰材料。

  • 若要立即停用中的所有KMS金鑰 AWS CloudHSM 金鑰存放區。您可以在中停用和重新啟用KMS金鑰 AWS CloudHSM 使用金鑰存放區 AWS Management Console 或操DisableKey作。這些操作很快完成,但它們一次只能執行一個KMS鍵。斷開連接 AWS CloudHSM 密鑰存儲立即更改所有密鑰的密KMS鑰狀態 AWS CloudHSM 密鑰存儲到Unavailable,可防止它們在任何密碼編譯操作中使用。

  • 為了修復失敗的連接嘗試。如果嘗試連接 AWS CloudHSM 金鑰存放區失敗 (自訂金鑰存放區的連線狀態為FAILED),您必須中斷連線 AWS CloudHSM 密鑰存儲,然後再次嘗試連接它。

Connect 一個 AWS CloudHSM 金鑰存放區 (主控台)

若要連接 AWS CloudHSM 金鑰存放區中 AWS Management Console,首先選取 AWS CloudHSM 自訂金鑰存放區頁面中的金鑰存放區。此連接程序最長可能需要 20 分鐘的時間才能完成。

  1. 登入到 AWS Management Console 並打開 AWS Key Management Service (AWS KMS)控制台在 https://console.aws.amazon.com/公里

  2. 若要變更 AWS 區域,使用頁面右上角的「地區」選取器。

  3. 在功能窗格中,選擇 [自訂金鑰存放區] AWS CloudHSM 主要商店

  4. 選擇的行 AWS CloudHSM 您要連線的金鑰存放區。

    如果連接狀態 AWS CloudHSM 金鑰存放區失敗,您必須先中斷連線自訂金鑰存放區才能連線。

  5. Key store actions (金鑰存放區動作) 選單中,選擇 Connect (連接)。

AWS KMS 開始連接您的自訂金鑰存放區的程序。它找到相關聯的 AWS CloudHSM 群集,構建所需的網絡基礎架構,連接到它,登錄到 AWS CloudHSM 群集作為 kmsuser CU,並旋轉kmsuser密碼。當操作完成時,連接狀態會變為 CONNECTED (已連接)。

如果部署失敗,說明失敗原因的錯誤訊息會顯示。在您嘗試再次連線之前,請檢視您的連線狀態 AWS CloudHSM 金鑰存放區。如狀態為 FAILED (失敗),在重新連接之前,您必須先中斷連接自訂金鑰存放區。如果您需要協助,請參閱對自訂金鑰存放區進行故障診斷

下一步:在一個中創建KMS密鑰 AWS CloudHSM 鑰匙存儲

Connect 自訂金鑰存放區 (API)

若要連線中斷連線 AWS CloudHSM 密鑰存儲,使用ConnectCustomKeyStore操作。相關的 AWS CloudHSM 群集必須至少包含一個活動HSM的,連接狀態不能是FAILED

連接程序可能需要很長的時間才能完成;最多 20 分鐘。除非快速失敗,否則作業會傳回 HTTP 200 回應和沒有屬性的JSON物件。不過,這個初始回應並不表示連接已成功。若要判斷自訂金鑰存放區的連線狀態,請參閱DescribeCustomKeyStores回應。

本節中的範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

若要識別 AWS CloudHSM 金鑰存放區,使用其自訂金鑰存放區 ID。您可以在主控台的 [自訂金鑰存放區] 頁面上找到 ID,或使用不含參數的DescribeCustomKeyStores作業。執行此範例之前,請將範例 ID 以有效的 ID 取代。

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

若要驗證 AWS CloudHSM 密鑰存儲已連接,使用DescribeCustomKeyStores操作。在預設情況下,此操作會傳回您帳戶和區域中的所有自訂金鑰存放區。但是,您可以使用 CustomKeyStoreIdCustomKeyStoreName 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的回應。的ConnectionStateCONNECTED表示自訂金鑰存放區已連接至其 AWS CloudHSM 集群。

注意

CustomKeyStoreType字段被添加到DescribeCustomKeyStores響應中以區分 AWS CloudHSM 外部金鑰存放區的金鑰存放區。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

如果 ConnectionState 值為 failed,ConnectionErrorCode 元素會指出失敗的原因。在這種情況下, AWS KMS 找不到 AWS CloudHSM 使用叢集 ID 在您的帳戶中進行叢集cluster-1a23b4cdefg。如果已刪除叢集,則可以從原始叢集的備份還原叢集,然後編輯自訂金鑰存放區的叢集 ID。如需回應連接錯誤代碼的說明,請參閱 如何修正連線失敗

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

下一步:在一個中創建KMS密鑰 AWS CloudHSM 鑰匙存儲

斷開連接 AWS CloudHSM 金鑰存放區 (主控台)

中斷連接的連接 AWS CloudHSM 金鑰存放區中 AWS Management Console,首先選擇 AWS CloudHSM 「自訂金鑰存放區」頁面中的金鑰存放區。

  1. 登入到 AWS Management Console 並打開 AWS Key Management Service (AWS KMS)控制台在 https://console.aws.amazon.com/公里

  2. 若要變更 AWS 區域,使用頁面右上角的「地區」選取器。

  3. 在功能窗格中,選擇 [自訂金鑰存放區] AWS CloudHSM 主要商店

  4. 選擇您想要中斷連接的外部金鑰存放區列。

  5. Key store actions (金鑰存放區動作) 選單中,選擇 Disconnect (中斷連接)。

當操作完成時,連接狀態會從 Disconnecting (正在中斷連接) 變為 Disconnected (已中斷連接)。如果操作失敗,會出現錯誤訊息,其中描述問題並提供如何修正的協助。如果您需要更多協助,請參閱對自訂金鑰存放區進行故障診斷

斷開連接 AWS CloudHSM 鑰匙存儲(API)

中斷連接的連接 AWS CloudHSM 密鑰存儲,使用DisconnectCustomKeyStore操作。如果操作成功, AWS KMS 返回一個 HTTP 200 響應和一個沒有屬性的JSON對象。

本節中的範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

這個例子斷開連接 AWS CloudHSM 金鑰存放區。執行此範例之前,請將範例 ID 以有效的 ID 取代。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

若要驗證 AWS CloudHSM 密鑰存儲中斷連接,使用DescribeCustomKeyStores操作。在預設情況下,此操作會傳回您帳戶和區域中的所有自訂金鑰存放區。但是,您可以使用 CustomKeyStoreIdCustomKeyStoreName 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的回應。的ConnectionState值表DISCONNECTED示此範例 AWS CloudHSM 密鑰存儲未連接到其 AWS CloudHSM 集群。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}