Ändern Sie die Einstellungen für die Haltbarkeit von AWS CloudHSM Client-Schlüsseln - AWS CloudHSM

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ändern Sie die Einstellungen für die Haltbarkeit von AWS CloudHSM Client-Schlüsseln

Die Schlüsselsynchronisierung ist größtenteils ein automatischer Prozess, aber Sie können die Einstellungen für die Haltbarkeit von Schlüsseln auf der Clientseite verwalten. Die clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln funktionieren in Client-SDK 5 und Client-SDK 3 unterschiedlich.

  • In Client SDK 5 führen wir das Konzept der Schlüsselverfügbarkeitsquoren ein, bei dem Sie Cluster mit mindestens zwei Quoren ausführen müssen. HSMs Sie können die clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln verwenden, um die beiden HSM-Anforderungen abzulehnen. Weitere Informationen zu Quora finden Sie unter Konzepte des Client-SDK 5.

  • Im Client-SDK 3 geben Sie mithilfe der clientseitigen Einstellungen für die Haltbarkeit von Schlüsseln die Anzahl der HSMs Schlüssel an, für die die Schlüsselerstellung erfolgreich sein muss, damit der gesamte Vorgang als erfolgreich gewertet werden kann.

In Client-SDK 5 ist die Schlüsselsynchronisierung ein vollautomatischer Prozess. Beim Quorum für die Schlüsselverfügbarkeit müssen neu erstellte Schlüssel auf zwei HSMs im Cluster vorhanden sein, bevor Ihre Anwendung den Schlüssel verwenden kann. Um das Quorum für die Schlüsselverfügbarkeit verwenden zu können, muss Ihr Cluster über mindestens zwei verfügen. HSMs

Wenn Ihre Clusterkonfiguration die Anforderungen an die Haltbarkeit von Schlüsseln nicht erfüllt, schlägt jeder Versuch, einen Token-Schlüssel zu erstellen oder zu verwenden, fehl und die folgende Fehlermeldung wird in den Protokollen angezeigt:

Key <key handle> does not meet the availability requirements - The key must be available on at least 2 HSMs before being used.

Sie können die Client-Konfigurationseinstellungen verwenden, um das Quorum für die Schlüsselverfügbarkeit zu deaktivieren. Möglicherweise möchten Sie sich abmelden, um beispielsweise einen Cluster mit einem einzigen HSM auszuführen.

Konzepte des Client-SDK 5

Quorum für Schlüsselverfügbarkeit

AWS CloudHSM gibt die Anzahl der HSMs in einem Cluster vorhandenen Schlüssel an, bevor Ihre Anwendung den Schlüssel verwenden kann. Erfordert Cluster mit mindestens zwei HSMs.

Verwaltung der Einstellungen für die Haltbarkeit von Client-Schlüsseln

Um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu verwalten, müssen Sie das Configure-Tool für Client-SDK 5 verwenden.

PKCS #11 library
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    $ sudo /opt/cloudhsm/bin/configure-pkcs11 --disable-key-availability-check
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-pkcs11.exe" --disable-key-availability-check
OpenSSL Dynamic Engine
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    $ sudo /opt/cloudhsm/bin/configure-dyn --disable-key-availability-check
Key Storage Provider (KSP)
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-ksp.exe" --disable-key-availability-check
JCE provider
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    $ sudo /opt/cloudhsm/bin/configure-jce --disable-key-availability-check
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-jce.exe" --disable-key-availability-check
CloudHSM CLI
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Linux zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    $ sudo /opt/cloudhsm/bin/configure-cli --disable-key-availability-check
Um die Haltbarkeit von Client-Schlüsseln für Client-SDK 5 unter Windows zu deaktivieren

  • Verwenden Sie das Configure-Tool, um die Einstellungen für die Haltbarkeit von Client-Schlüsseln zu deaktivieren. 

    PS C:\> & "C:\Program Files\Amazon\CloudHSM\bin\configure-cli.exe" --disable-key-availability-check

In Client-SDK 3 ist die Schlüsselsynchronisierung größtenteils ein automatischer Prozess, aber Sie können die Einstellungen für die Haltbarkeit von Schlüsseln des Clients verwenden, um die Haltbarkeit von Schlüsseln zu erhöhen. Sie geben die Anzahl HSMs an, bei der die Schlüsselerstellung erfolgreich sein muss, damit der gesamte Vorgang als erfolgreich gewertet wird. Bei der clientseitigen Synchronisation wird stets versucht, Schlüssel für jedes HSM im Cluster zu klonen, unabhängig davon, welche Einstellung Sie wählen. Ihre Einstellung erzwingt die Schlüsselerstellung anhand der von HSMs Ihnen angegebenen Anzahl. Wenn Sie einen Wert angeben und das System den Schlüssel nicht auf diese Anzahl von replizieren kann HSMs, entfernt das System automatisch unerwünschtes Schlüsselmaterial, und Sie können es erneut versuchen.

Wichtig

Wenn Sie keine Einstellungen für die Haltbarkeit von Client-Schlüsseln festlegen (oder den Standardwert 1 verwenden), besteht die Gefahr, dass Ihre Schlüssel verloren gehen. Wenn Ihr aktuelles HSM ausfällt, bevor der serverseitige Dienst diesen Schlüssel auf ein anderes HSM geklont hat, verlieren Sie das Schlüsselmaterial.

Um die Haltbarkeit der Schlüssel zu maximieren, sollten Sie erwägen, mindestens zwei HSMs für die clientseitige Synchronisation anzugeben. Denken Sie daran, dass die Arbeitslast auf Ihrem Cluster unabhängig davon, wie viele HSMs Sie angeben, dieselbe bleibt. Bei der clientseitigen Synchronisation wird stets nach besten Kräften versucht, Schlüssel für jedes HSM im Cluster zu klonen.

Empfehlungen

  • Minimum: Zwei HSMs pro Cluster

  • Maximum: Eins weniger als die Gesamtzahl der HSMs in Ihrem Cluster

Wenn die clientseitige Synchronisation fehlschlägt, bereinigt der Client-Dienst alle unerwünschten Schlüssel, die möglicherweise erstellt wurden und nun unerwünscht sind. Bei dieser Bereinigung handelt es sich um eine bestmögliche Lösung, die möglicherweise nicht immer funktioniert. Wenn die Bereinigung fehlschlägt, müssen Sie möglicherweise unerwünschtes Schlüsselmaterial löschen. Weitere Informationen finden Sie unter Schlüssel-Synchronisierungsfehler.

Einrichtung der Konfigurationsdatei für die Haltbarkeit von Client-Schlüsseln

Um die Einstellungen für die Haltbarkeit von Client-Schlüsseln festzulegen, müssen Sie cloudhsm_client.cfg bearbeiten.

Bearbeiten der Clientkonfigurationsdatei

  1. Öffnen Sie cloudhsm_client.cfg.

    Linux:

    /opt/cloudhsm/etc/cloudhsm_client.cfg

    Windows:

    C:\ProgramData\Amazon\CloudHSM\data\cloudhsm_client.cfg

  2. Fügen Sie im client Knoten der Datei einen Wert hinzu create_object_minimum_nodes und geben Sie einen Wert für die Mindestanzahl HSMs an, für die Schlüssel erfolgreich erstellt AWS CloudHSM werden müssen, damit die Schlüsselerstellung erfolgreich ist.

    "create_object_minimum_nodes" : 2
    Anmerkung

    Das Befehlszeilentool key_mgmt_util (KMU) bietet eine zusätzliche Einstellung für die Haltbarkeit von Client-Schlüsseln. Weitere Informationen finden Sie unter KMU- und clientseitige Schlüsselsynchronisierung.

Konfigurationsreferenz

Dies sind die clientseitigen Synchronisierungseigenschaften, die in einem Auszug aus der cloudhsm_client.cfg:

{
    "client": {
        "create_object_minimum_nodes" : 2,
        ...
    },
    
    ...
}
create_object_minimum_nodes

Gibt die Mindestanzahl von Vorgängen an, die HSMs erforderlich sind, um die Schlüsselgenerierung, den Schlüsselimport oder das Entpacken von Schlüsseln als erfolgreich zu betrachten. Falls eingestellt, ist die Voreinstellung 1. Das bedeutet, dass der clientseitige Dienst bei jedem Vorgang zur Schlüsselerstellung versucht, Schlüssel für jedes HSM im Cluster zu erstellen. Um jedoch einen Erfolg zurückzugeben, muss nur ein einziger Schlüssel auf einem HSM im Cluster erstellt werden.

KMU- und clientseitige Schlüsselsynchronisierung

Wenn Sie Schlüssel mit dem Befehlszeilentool key_mgmt_util (KMU) erstellen, verwenden Sie einen optionalen Befehlszeilenparameter (-min_srv), um die Anzahl der zu klonenden Schlüssel zu begrenzen. HSMs Wenn Sie den Befehlszeilenparameter und einen Wert in der Konfigurationsdatei angeben, wird der GRÖSSERE der beiden Werte berücksichtigt. AWS CloudHSM

Weitere Informationen finden Sie unter den folgenden Themen: