本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
對自訂金鑰存放區進行故障診斷
AWS CloudHSM 主要商店設計為可用且具備彈性。但是,您可能需要修復一些錯誤情況才能保持您的 AWS CloudHSM 關鍵存儲操作。
主題
如何修復無法使用的KMS金鑰
的關鍵狀態 AWS KMS keys 在一個 AWS CloudHSM 密鑰存儲通常是Enabled
。像所有密KMS鑰一樣,當您禁用密鑰時,密KMS鑰狀態會更改 AWS CloudHSM 密鑰存儲或排程它們進行刪除。不過,與其他KMS金鑰不同,自訂KMS金鑰存放區中的金鑰也可以具有的金鑰狀態Unavailable
。
的金鑰狀態Unavailable
表示KMS金鑰位於有意中斷連線的自訂金鑰存放區中,並嘗試重新連線 (如果有的話) 失敗。當KMS金鑰無法使用時,您可以檢視和管理KMS金鑰,但無法將其用於密碼編譯作業。
若要尋找金鑰的金KMS鑰狀態,請在客戶管理的金鑰頁面上檢視金KMS鑰的 [狀態] 欄位。或者,使用DescribeKey操作並查看響應中的KeyState
元素。如需詳細資訊,請參閱 檢視金鑰。
已中斷連線的自訂KMS金鑰存放區中的金鑰狀態為Unavailable
或PendingDeletion
。KMS排定從自訂金鑰存放區刪除的金鑰具有金Pending Deletion
鑰狀態,即使自訂金鑰存放區中斷連線也是如此。這可讓您取消排程的金鑰刪除,而無需重新連接自訂金鑰存放區。
若要修正無法使用的KMS金鑰,請重新連線自訂金鑰存放區。重新連線自訂金鑰存放區之後,自訂金鑰存放區中KMS金鑰的金鑰狀態會自動還原到先前的狀態,例如Enabled
或Disabled
。KMS擱置刪除的金鑰會保留在PendingDeletion
狀態。但是,雖然問題仍然存在,但啟用和停用無法使用的KMS金鑰並不會變更其金鑰狀態。啟用或停用動作僅在金鑰可供使用時生效。
如需失敗的連接的協助,請參閱如何修正連線失敗。
如何修復失敗的KMS密鑰
在中創建和使用KMS密鑰時出現問題 AWS CloudHSM 關鍵存儲可能是由您的問題引起的 AWS CloudHSM 金鑰存放區, 其關聯 AWS CloudHSM 集群,KMS密鑰或它的關鍵材料。
當 AWS CloudHSM 密鑰存儲與其斷開 AWS CloudHSM 群集,自定義密KMS鑰存儲中密鑰的密鑰狀態是Unavailable
。在斷開連接的所有請求中創建KMS密鑰 AWS CloudHSM 密鑰存儲返回一個CustomKeyStoreInvalidStateException
異常。加密、解密、重新加密或產生資料金鑰的所有請求會傳回 KMSInvalidStateException
例外狀況。若要修正此問題,請重新連線 AWS CloudHSM 金鑰存放區。
但是,您嘗試使用KMS密鑰 AWS CloudHSM 密碼編譯作業的金鑰存放區可能會失敗,即使其金鑰狀態為Enabled
且連線狀態為 AWS CloudHSM 密鑰存儲是Connected
。這可能是因為以下任何情況所造成。
-
金鑰的金鑰材料可能已從關聯的中刪除 KMS AWS CloudHSM 集群。若要進行調查,請尋找金鑰的金鑰材料的KMS金鑰 ID,如有必要,請嘗試復原金鑰材料。
-
所HSMs有內容都已從 AWS CloudHSM 與相關聯的叢集 AWS CloudHSM 金鑰存放區。若要使用KMS金鑰 AWS CloudHSM 密鑰存儲在加密操作中,其 AWS CloudHSM 叢集必須包含至少一個作用中的HSM。若要驗證中的編號和狀態 HSMs AWS CloudHSM 叢集,使用 AWS CloudHSM 控制台或DescribeClusters操作。若要新增HSM至叢集,請使用 AWS CloudHSM 控制台或CreateHsm操作。
-
所以此 AWS CloudHSM 與相關聯的叢集 AWS CloudHSM 金鑰存放區已刪除。若要修正此問題,請從與原始叢集相關的備份 (例如,原始叢集的備份,或用於建立原始叢集的備份) 建立叢集。然後在自訂金鑰存放區設定中編輯叢集 ID。如需說明,請參閱 如何復原已刪除金鑰的KMS金鑰材料。
-
所以此 AWS CloudHSM 與自訂金鑰存放區關聯的叢集沒有任何可用的 PKCS #11 工作階段。這通常發生在高爆量流量期間,此時需要額外的工作階段來服務流量。若要回應
KMSInternalException
有關 PKCS #11 工作階段的錯誤訊息,請退回並再次重試要求。
如何修正連線失敗
如果您嘗試連接 AWS CloudHSM 密鑰存儲到其 AWS CloudHSM 群集,但操作失敗,連接狀態 AWS CloudHSM 金鑰存放區變更為FAILED
。若要尋找的連線狀態 AWS CloudHSM 金鑰存放區,使用 AWS KMS
控制台或DescribeCustomKeyStores操作。
或者,由於很容易偵測到叢集組態錯誤,一些連接嘗試會很快失敗。在這種情況下,連接狀態仍然是 DISCONNECTED
。這些失敗會傳回錯誤訊息或 例外狀況來說明嘗試失敗的原因。檢閱例外狀況描述和叢集需求、修正問題、更新 AWS CloudHSM 密鑰存儲,如果必要的話,並嘗試再次連接。
當連接狀態為時FAILED
,執行DescribeCustomKeyStores作業並查看回應中的ConnectionErrorCode
元素。
注意
當一個連接狀態 AWS CloudHSM 密鑰存儲是FAILED
,您必須斷開連接 AWS CloudHSM在嘗試重新連接之前的密鑰存儲。您無法連接 AWS CloudHSM 具有FAILED
連接狀態的密鑰存儲區。
-
CLUSTER_NOT_FOUND
表示 AWS KMS 找不到 AWS CloudHSM 具有指定叢集 ID 的叢集。這可能是因為提供了錯誤的叢集 ID 給API作業,或者叢集已刪除而未取代。若要修正此錯誤,請驗證叢集 ID,例如使用 AWS CloudHSM 控制台或DescribeClusters操作。如果已刪除叢集,請從原始叢集的最近備份建立叢集。然後,斷開 AWS CloudHSM 金鑰存放區,編輯 AWS CloudHSM 金鑰存放區叢集 ID 設定,並重新連線 AWS CloudHSM 叢集的金鑰存放區。 -
INSUFFICIENT_CLOUDHSM_HSMS
表示相關聯 AWS CloudHSM 群集不包含任何HSMs. 若要連線,叢集必須至少有一個HSM。若要尋找叢集HSMs中的編號,請使用DescribeClusters作業。若要解決此錯誤,請至少新增一個HSM至叢集。如果您新增多個HSMs,最好在不同的可用區域中建立它們。 -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET
表示 AWS KMS 無法連接 AWS CloudHSM 密鑰存儲到其 AWS CloudHSM 叢集,因為至少有一個與叢集關聯的私有子網路沒有任何可用的 IP 位址。同時 AWS CloudHSM 金鑰存放區連線需要在每個關聯的私有子網路中使用一個可用的 IP 位址,但最好使用兩個位址。您無法將 IP 位址
(CIDR區塊) 新增至現有的子網路。如果可能,請移動或刪除使用子網路中 IP 位址的其他資源,例如未使用的EC2執行個體或彈性網路介面。否則,您可以從最近的備份建立叢集 AWS CloudHSM 叢集與具有更多可用位址空間的新的或現有的私有子網路。然後,將新叢集與您的叢集相關聯 AWS CloudHSM 金鑰存放區, 中斷自訂金鑰存放區的連線, 變更 AWS CloudHSM 密鑰存儲到新集群的 ID,然後嘗試再次連接。 提示
若要避免重設kmsuser密碼,請使用最新的備份 AWS CloudHSM 集群。
-
INTERNAL_ERROR
表示 AWS KMS 由於內部錯誤,無法完成要求。重試 請求。對於ConnectCustomKeyStore
請求,請中斷連接 AWS CloudHSM 重新嘗試連接之前的密鑰存儲。 -
INVALID_CREDENTIALS
表示 AWS KMS 無法登錄到關聯 AWS CloudHSM 集群,因為它沒有正確的kmsuser
帳戶密碼。如需此錯誤的協助,請參閱如何修正無效的 kmsuser 登入資料。 -
NETWORK_ERRORS
通常指出暫時性的網路問題。斷開 AWS CloudHSM 密鑰存儲,等待幾分鐘,然後嘗試再次連接。 -
SUBNET_NOT_FOUND
表示至少有一個子網路 AWS CloudHSM 已刪除叢集配置。If AWS KMS 找不到叢集配置中的所有子網路,嘗試連線 AWS CloudHSM 金鑰存放區 AWS CloudHSM 叢集失敗。若要修正此錯誤,請從最近的備份建立叢集 AWS CloudHSM 集群。(此程序會建立具有VPC和私有子網路的新叢集配置。) 請確認新叢集符合自訂金鑰存放區的需求,並記下新的叢集 ID。然後,將新叢集與您的叢集相關聯 AWS CloudHSM 金鑰存放區, 中斷自訂金鑰存放區的連線, 變更 AWS CloudHSM 密鑰存儲到新集群的 ID,然後嘗試再次連接。
提示
若要避免重設kmsuser密碼,請使用最新的備份 AWS CloudHSM 集群。
-
USER_LOCKED_OUT
表示kmsuser加密用戶(CU)帳戶已被鎖定在關聯 AWS CloudHSM 由於密碼嘗試失敗次數過多而造成群集。如需此錯誤的協助,請參閱如何修正無效的 kmsuser 登入資料。若要修正此錯誤,請中斷連線 AWS CloudHSM 密鑰存儲並使用雲中的用戶更改密碼命令HSMCLI來更改
kmsuser
帳戶密碼。然後編輯自訂金鑰存放區的kmsuser 密碼設定,並嘗試重新連接。如需協助,請使用如何修正無效的 kmsuser 登入資料主題中描述的程序。 -
USER_LOGGED_IN
表示kmsuser
CU 帳戶已登錄到關聯 AWS CloudHSM 集群。這可以防止 AWS KMS 從輪換kmsuser
帳戶密碼並登錄到集群。若要修正這個錯誤,請將kmsuser
CU 登出叢集。如果您變更kmsuser
密碼以登入叢集,您還必須更新的金鑰存放區密碼值 AWS CloudHSM 金鑰存放區。如需協助,請參閱 如何登出和重新連線。 -
USER_NOT_FOUND
表示 AWS KMS 在關聯的中找不到kmsuser
CU 帳戶 AWS CloudHSM 集群。若要修正此錯誤,請在叢集中建立 kmsuser CU 帳戶,然後更新 AWS CloudHSM 金鑰存放區。如需協助,請參閱 如何修正無效的 kmsuser 登入資料。
如何回應密碼編譯操作失敗
在自訂金鑰存放區中使用KMS金鑰的密碼編譯作業可能會失敗,並顯示. KMSInvalidStateException
下列錯誤訊息可能會伴隨 KMSInvalidStateException
。
KMS無法與您的雲端HSM叢集通訊。這可能是暫時性的網路問題。如果您重複看到此錯誤,請確認您VPC的網路ACLs和安全性群組規則 AWS CloudHSM 群集是正確的。 |
-
雖然這是 HTTPS 400 錯誤,但可能是暫時性的網路問題所導致。若要回應,請先重試請求。不過,如果繼續失敗,請檢查聯網元件的組態。此錯誤很可能是因為網路元件設定錯誤所造成,例如防火牆規則或封鎖傳出流量的VPC安全性群組規則。
KMS無法與您的溝通 AWS CloudHSM 群集,因為 kmsuser 已被鎖定。如果您重複看到此錯誤,請中斷連線 AWS CloudHSM 密鑰存儲和重置 kmsuser 帳戶密碼。更新自訂金鑰存放區的 kmsuser 密碼並重試請求。 |
-
此錯誤消息表明kmsuser加密用戶(CU)帳戶已被鎖定在相關聯的帳戶之外 AWS CloudHSM 由於密碼嘗試失敗次數過多而造成群集。如需此錯誤的協助,請參閱如何中斷連線和登入。
如何修正無效的 kmsuser
登入資料
當您連接 AWS CloudHSM 鑰匙存儲, AWS KMS 登錄到關聯 AWS CloudHSM 群集為加kmsuser密用戶(CU)。它保持登錄狀態,直到 AWS CloudHSM 金鑰存放區已中斷連線。回DescribeCustomKeyStores應顯示ConnectionState
的是FAILED
和ConnectionErrorCode
值INVALID_CREDENTIALS
,如下列範例所示。
如果您斷開連接 AWS CloudHSM 密鑰存儲和更改kmsuser
密碼, AWS KMS
無法登錄 AWS CloudHSM 使用 kmsuser
CU 帳戶的憑據集群。因此,所有嘗試連接 AWS CloudHSM 金鑰存放區失敗。DescribeCustomKeyStores
回應顯示 FAILED
的 ConnectionState
和 INVALID_CREDENTIALS
的 ConnectionErrorCode
值,如以下範例所示。
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
此外,在嘗試使用錯誤密碼登入叢集的五次失敗之後, AWS CloudHSM 鎖定使用者帳戶。若要登入叢集,您必須變更帳戶的密碼。
If AWS KMS 當它嘗試以 kmsuser
CU (連接的請求) 身份登入叢集時,會取得鎖定回應 AWS CloudHSM 金鑰存放區失敗。回DescribeCustomKeyStores應包含ConnectionState
的FAILED
和ConnectionErrorCode
值USER_LOCKED_OUT
,如下列範例所示。
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
若要修正任一個情況,請使用下列程序。
-
執行DescribeCustomKeyStores作業並檢視回應中
ConnectionErrorCode
元素的值。 -
編輯 kmsuser 密碼設定,讓它符合叢集中目前的
kmsuser
密碼。這個動作告訴 AWS KMS 用來登入叢集的密碼。它不會變更叢集中的kmsuser
密碼。
如何刪除遺棄的金鑰材料
排程從刪除KMS金鑰之後 AWS CloudHSM 密鑰存儲,您可能需要從關聯的密鑰手動刪除相應的密鑰材料 AWS CloudHSM 集群。
當您在 KMS AWS CloudHSM 鑰匙存儲, AWS KMS 建立KMS金鑰中繼資料 AWS KMS 並產生關聯的關鍵材料 AWS CloudHSM 集群。當您排程刪除中的KMS索引鍵時 AWS CloudHSM 鑰匙店,等待期後, AWS KMS 刪除KMS金鑰中繼資料。然後 AWS KMS 盡最大努力從中刪除相應的關鍵材料 AWS CloudHSM 集群。如果嘗試可能會失敗 AWS KMS 無法存取叢集,例如當叢集中斷連線時 AWS CloudHSM 密鑰存儲或kmsuser
密碼更改。 AWS KMS 不會嘗試從叢集備份刪除金鑰材料。
AWS KMS 報告其嘗試從集群中刪除密鑰材料DeleteKey
的結果 AWS CloudTrail 日誌。它會出現在 additionalEventData
元素的 backingKeysDeletionStatus
元素中,如以下範例項目所示。該條目還包括KMS密鑰ARN, AWS CloudHSM 叢集識別碼,以及金鑰材料的 ID (backing-key-id
)。
{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"
backing-key-id
\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id
\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
備註
下列程序使用 AWS CloudHSM 客戶端 SDK 5 命令行工具,雲HSMCLI。雲端HSMCLI會取代key-handle
為key-reference
.
在二零二五年一月一日 AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、雲端HSM管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需有關用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱從用戶端 SDK 3 CMU 和用戶端 5 雲端移轉KMU至用戶端 SDK 5 雲端 HSM CLI AWS CloudHSM 使用者指南。
以下程序示範如何從關聯的刪除孤立的主鍵材料 AWS CloudHSM 集群。
-
斷開 AWS CloudHSM 密鑰存儲,如果尚未斷開連接,則登錄,如中所述如何中斷連線和登入。
注意
當自訂金鑰存放區中斷連線時,所有嘗試在自訂KMS金鑰存放區中建立金鑰或在密碼編譯作業中使用現有KMS金鑰的嘗試都會失敗。此動作可防止使用者存放和存取敏感資料。
-
使用 Cloud HSM CLI 中的金鑰刪除指令,從叢集HSMs中刪除金鑰。
用於密碼編譯操作的所有 CloudTrail 日誌條目,其中包含一個密KMS鑰 AWS CloudHSM 金鑰存放區包含帶有
customKeyStoreId
和的additionalEventData
欄位backingKey
。欄位中傳回的backingKeyId
值是 Cloud HSM 金鑰id
屬性。我們建議您透過篩選金鑰刪除作業,id
以刪除您在記錄檔 CloudTrail 中識別的孤立金鑰材料。AWS CloudHSM 將該
backingKeyId
值識別為十六進制值。若要篩選條件id
,您必須在前面加上backingKeyId
。Ox
例如,如果記 CloudTrail 錄檔backingKeyId
中的是1a2b3c45678abcdef
,您可以依據篩選0x1a2b3c45678abcdef
。下列範例會從叢集HSMs中刪除金鑰。會列
backing-key-id
在 CloudTrail 記錄項目中。在運行此命令之前,請用您帳戶中的backing-key-id
有效示例替換該示例。aws-cloudhsm
key delete --filter attr.id="
0x<backing-key-id>
"{ "error_code": 0, "data": { "message": "Key deleted successfully" } }
-
登出並重新連接 AWS CloudHSM 如中所述的金鑰存放區如何登出和重新連線。
如何復原已刪除金鑰的KMS金鑰材料
如果關鍵材料為 AWS KMS key 被刪除,密KMS鑰無法使用,並且在密KMS鑰下加密的所有密文都無法解密。這可能發生,如果在一個鍵的KMS關鍵材料 AWS CloudHSM 密鑰存儲已從關聯中刪除 AWS CloudHSM 集群。不過,復原金鑰材料可能可行。
當您創建 AWS KMS key (KMS鍵)中 AWS CloudHSM 鑰匙存儲, AWS KMS 登錄到關聯 AWS CloudHSM 集群並創建密鑰的關KMS鍵材料。它還將密碼更改為只有它知道並保持登錄的值,只要 AWS CloudHSM 金鑰存放區已連線。因為只有金鑰擁有者 (也就是建立金鑰的 CU) 可以刪除金鑰,因此不太可能會HSMs意外刪除金鑰。
但是,如果從叢集HSMs中刪除KMS金鑰的金鑰材料,則金鑰的金鑰狀態最終會變更為UNAVAILABLE
。KMS如果您嘗試使用KMS金鑰進行密碼編譯作業,作業會失敗,並顯示KMSInvalidStateException
例外狀況。最重要的是,任何以KMS金鑰加密的資料都無法解密。
在某些情況下,您可以透過從包含金鑰材料的備份建立叢集來復原已刪除的金鑰材料。此策略僅在當該金鑰存在時並且在刪除它之前建立了至少一個備份的情況下才有用。
使用以下程序來復原金鑰材料。
-
尋找包含金鑰材料的叢集備份。該備份也必須包含您需要支援叢集及其加密資料的所有使用者和金鑰。
使用此DescribeBackups作業列出叢集的備份。然後使用備份時間戳記來協助您選取備份。若要將輸出限制為與 AWS CloudHSM 金鑰存放區中,使用
Filters
參數,如下列範例所示。$
aws cloudhsmv2 describe-backups --filters clusterIds=
<cluster ID>
{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] }
-
從選取的備份建立叢集。驗證備份包含已刪除的金鑰和叢集所需的其他使用者和金鑰。
-
斷開 AWS CloudHSM 金鑰存放區,以便您可以編輯其屬性。
-
編輯的叢集 ID AWS CloudHSM 金鑰存放區。輸入您從備份建立之叢集的叢集 ID。由於該叢集與原始叢集共用備份歷史記錄,新叢集 ID 應該是有效的。
如何以 kmsuser
身分登入
若要在中建立和管理關鍵材料 AWS CloudHSM 您的叢集 AWS CloudHSM 鑰匙存儲, AWS KMS 使用kmsuser加密用戶(CU)帳戶。您可以在叢集中建立 kmsuser CU 帳戶,並將其密碼提供給 AWS KMS 當你創建 AWS CloudHSM 金鑰存放區。
在一般情況下, AWS KMS 管理kmsuser
帳戶。但是,對於某些任務,您需要斷開 AWS CloudHSM 金鑰存放區,以 kmsuser
CU 身分登入叢集,然後使用雲端HSM命令列介面 (CLI)。
注意
當自訂金鑰存放區中斷連線時,所有嘗試在自訂KMS金鑰存放區中建立金鑰或在密碼編譯作業中使用現有KMS金鑰的嘗試都會失敗。此動作可防止使用者存放和存取敏感資料。
本主題說明如何中斷連接 AWS CloudHSM 密鑰存儲和登錄為kmsuser
,運行 AWS CloudHSM 命令行工具,然後註銷並重新連接 AWS CloudHSM 金鑰存放區。
如何中斷連線和登入
每次需要以kmsuser
密碼使用者身分登入關聯的叢集時,請遵循下列程序。
備註
下列程序使用 AWS CloudHSM 客戶端 SDK 5 命令行工具,雲HSMCLI。雲端HSMCLI會取代key-handle
為key-reference
.
在二零二五年一月一日 AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、雲端HSM管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需有關用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱從用戶端 SDK 3 CMU 和用戶端 5 雲端移轉KMU至用戶端 SDK 5 雲端 HSM CLI AWS CloudHSM 使用者指南。
-
斷開 AWS CloudHSM 密鑰存儲,如果尚未斷開連接。您可以使用 AWS KMS 控制台或 AWS KMS API.
雖然你 AWS CloudHSM 鑰匙已連接, AWS KMS 已登入為
kmsuser
. 如此會防止您以kmsuser
身分登入或變更kmsuser
密碼。例如,此命令用DisconnectCustomKeyStore於中斷範例金鑰存放區的連線。取代範例 AWS CloudHSM 金鑰存放區 ID 與有效的。
$
aws kms disconnect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
使用 login 命令以管理員身份登錄。使用「使用雲端 HSM CLI」一節中所述的程序 AWS CloudHSM 使用者指南。
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
-
使用 Cloud 中的用戶更改密碼命令HSMCLI將
kmsuser
帳戶的密碼更改為您知道的密碼。 (AWS KMS 連接時旋轉密碼 AWS CloudHSM 金鑰存放區。) 密碼必須包含 7 到 32 個英數字元。區分大小寫,且不能包含任何特殊字元。 -
kmsuser
使用您設定的密碼登入。如需詳細指示,請參閱 HSM CLI AWS CloudHSM 使用者指南。aws-cloudhsm >
login --username kmsuser --role crypto-user
Enter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
如何登出和重新連線
每次您需要以kmsuser
加密使用者身分登出並重新連線金鑰存放區時,請使用下列程序。
備註
下列程序使用 AWS CloudHSM 客戶端 SDK 5 命令行工具,雲HSMCLI。雲端HSMCLI會取代key-handle
為key-reference
.
在二零二五年一月一日 AWS CloudHSM 將結束對用戶端 SDK 3 命令列工具、雲端HSM管理公用程式 (CMU) 和金鑰管理公用程式 (KMU) 的支援。如需有關用戶端 SDK 3 命令列工具和用戶端 SDK 5 命令列工具之間差異的詳細資訊,請參閱從用戶端 SDK 3 CMU 和用戶端 5 雲端移轉KMU至用戶端 SDK 5 雲端 HSM CLI AWS CloudHSM 使用者指南。
-
執行工作,然後使用 Cloud HSM CLI 中的登出指令登出。如果您未登出,請嘗試重新連線 AWS CloudHSM 密鑰存儲將失敗。
aws-cloudhsm
logout
{ "error_code": 0, "data": "Logout successful" }
-
這告訴 AWS KMS 叢集中目前
kmsuser
的密碼。如果您省略此步驟, AWS KMS 將無法登錄到群集kmsuser
,並且所有嘗試重新連接您的自定義密鑰存儲都將失敗。您可以使用 AWS KMS 控制台或UpdateCustomKeyStore操作的KeyStorePassword
參數。例如,這個命令告訴 AWS KMS 目前的密碼是
tempPassword
。將範例密碼以實際密碼取代。$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--key-store-passwordtempPassword
-
重新連接 AWS KMS 密鑰存儲到其 AWS CloudHSM 集群。取代範例 AWS CloudHSM 金鑰存放區 ID 與有效的。在連接過程中, AWS KMS 將
kmsuser
密碼更改為只有它知道的值。ConnectCustomKeyStore作業會快速傳回,但連線程序可能需要較長的時間。初始回應並不表示連接程序已成功。
$
aws kms connect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
使用DescribeCustomKeyStores作業來驗證 AWS CloudHSM 金鑰存放區已連線。取代範例 AWS CloudHSM 金鑰存放區 ID 與有效的。
在此範例中,連線狀態欄位會顯示 AWS CloudHSM 金鑰存放區現已連線。
$
aws kms describe-custom-key-stores --custom-key-store-id
cks-1234567890abcdef0
{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }