Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# AWS CloudHSM tiendas clave
<a name="keystore-cloudhsm"></a>

Un almacén de AWS CloudHSM claves es un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview) respaldado por un [AWS CloudHSM clúster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Al crear uno AWS KMS key en un almacén de claves personalizado, AWS KMS genera y almacena material de claves no extraíble para la clave de KMS en un AWS CloudHSM clúster que es de su propiedad y que administra. Cuando utilizas una clave KMS en un almacén de claves personalizado, las [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore) se realizan HSMs en el clúster. Esta función combina la comodidad y la amplia integración AWS KMS con el control adicional de un AWS CloudHSM clúster en su Cuenta de AWS entorno. 

AWS KMS proporciona soporte completo de consola y API para crear, usar y administrar sus almacenes de claves personalizados. Puede usar las claves KMS de su almacén de claves personalizado de la misma manera que usa cualquier clave KMS. Por ejemplo, puede usar las claves KMS para generar claves de datos y para cifrar datos. También puede usar las claves de KMS en su almacén de claves personalizado con AWS servicios que admitan las claves administradas por el cliente.

**¿Necesito un almacén de claves personalizado?**

Para la mayoría de los usuarios, el almacén de AWS KMS claves predeterminado, que está protegido por [módulos criptográficos validados por el FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), cumple sus requisitos de seguridad. No es necesario agregar una capa extra de responsabilidad de mantenimiento o una dependencia de un servicio adicional. 

Sin embargo, puede plantearse crear un almacén de claves personalizado si su organización cumple alguno de los siguientes requisitos:
+ Tiene claves que deben protegerse de forma explícita en un HSM de un solo inquilino o en un HSM sobre el que tiene control directo.
+ Necesita poder eliminar inmediatamente el material clave de. AWS KMS
+ Debe poder auditar todo el uso de sus claves de forma independiente AWS KMS o AWS CloudTrail.

**¿Cómo funcionan los almacenes de claves personalizados?**

Cada almacén de claves personalizado está asociado a un AWS CloudHSM clúster de su Cuenta de AWS. Al conectar el almacén de claves personalizado a su clúster, AWS KMS crea la infraestructura de red necesaria para respaldar la conexión. A continuación, inicia sesión en el AWS CloudHSM cliente de claves del clúster con las credenciales de un [usuario criptográfico dedicado](#concept-kmsuser) del clúster.

Puede crear y administrar sus almacenes de claves personalizados AWS KMS y crear y administrar sus clústeres de HSM en AWS CloudHSM. Al crear AWS KMS keys en un almacén de claves AWS KMS personalizado, puede ver y administrar las claves de KMS en AWS KMSél. Pero también puede ver y administrar su material de claves en AWS CloudHSM, de igual modo que haría con otras claves en el clúster.

![\[Administrar claves KMS en un almacén de claves personalizado\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/kms-hsm-view.png)


Puede [crear claves KMS de cifrado simétrico con el material de claves](create-cmk-keystore.md) generado AWS KMS en su almacén de claves personalizado. A continuación, utilice las mismas técnicas para ver y administrar las claves de KMS del almacén de claves personalizado que utiliza para las claves de KMS del almacén de AWS KMS claves. Puede controlar el acceso con políticas de claves y de IAM, crear etiquetas y alias, habilitar y desactivar las claves KMS y programar la eliminación de claves. Puede usar las claves de KMS para [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore) y utilizarlas con AWS servicios que se integren con AWS KMS ellas. 

Además, tiene el control total sobre el AWS CloudHSM clúster, lo que incluye la creación, la eliminación HSMs y la administración de las copias de seguridad. Puede usar el AWS CloudHSM cliente y las bibliotecas de software compatibles para ver, auditar y administrar el material clave de sus claves de KMS. Mientras el almacén de claves personalizadas esté desconectado, AWS KMS no podrá acceder a él y los usuarios no podrán utilizar las claves de KMS del almacén de claves personalizadas para operaciones criptográficas. Esta capa de control agregada convierte a los almacenes de claves personalizados en una solución potente para las organizaciones que la necesitan.

**¿Por dónde empiezo?**

Para crear y administrar un almacén de AWS CloudHSM claves, utilice las funciones de AWS KMS y AWS CloudHSM.

1. Comience en AWS CloudHSM. [Cree un clúster de AWS CloudHSM activo](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) o seleccione uno existente. El clúster debe tener al menos dos zonas de disponibilidad activas HSMs en diferentes zonas de disponibilidad. A continuación, cree una [cuenta de usuario de criptografía (CU) dedicado](#concept-kmsuser) en dicho clúster para AWS KMS. 

1. En AWS KMS, [cree un almacén de claves personalizado](create-keystore.md) que esté asociado al AWS CloudHSM clúster seleccionado. AWS KMS proporciona una interfaz de administración completa que le permite crear, ver, editar y eliminar sus almacenes de claves personalizados.

1. Cuando esté listo para usar su almacén de claves personalizado, [conéctelo al AWS CloudHSM clúster asociado](connect-keystore.md). AWS KMS crea la infraestructura de red que necesita para soportar la conexión. A continuación, se registra en el clúster con las credenciales de la cuenta de usuario de criptografía dedicado para que pueda generar y administrar material de claves en el clúster.

1. Ahora, puede [crear claves KMS de cifrado simétricas en su almacén de claves personalizado](create-cmk-keystore.md). Únicamente debe especificar el almacén de claves personalizado al crear la clave KMS.

Si se queda bloqueado en algún momento, puede buscar ayuda en el tema [Resolver problemas de un almacén de claves personalizado](fix-keystore.md). Si su pregunta no tiene respuesta, utilice el enlace de comentarios en la parte inferior de cada página de esta guía o escriba en el [Foro de discusión de AWS Key Management Service](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Cuotas**

AWS KMS permite hasta [10 almacenes de claves personalizados](resource-limits.md) en cada Cuenta de AWS región, incluidos los almacenes de [AWS CloudHSM claves y los almacenes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) de [claves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), independientemente del estado de conexión. Además, hay cuotas de AWS KMS solicitud [para el uso de claves KMS en un almacén de AWS CloudHSM claves](requests-per-second.md#rps-key-stores).

**Precios**

Para obtener información sobre el costo de los almacenes de claves AWS KMS personalizados y las claves administradas por el cliente en un almacén de claves personalizado, consulte [AWS Key Management Service los precios](https://aws.amazon.com/kms/pricing/). Para obtener información sobre el costo de AWS CloudHSM los clústeres HSMs, consulte [AWS CloudHSM los precios](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Regiones**

AWS KMS admite tiendas AWS CloudHSM clave en todos los Regiones de AWS lugares donde AWS KMS sea compatible, excepto en Asia Pacífico (Melbourne), China (Beijing), China (Ningxia) y Europa (España).

**Características no admitidas**

AWS KMS no admite las siguientes funciones en los almacenes de claves personalizadas.
+ [Claves de KMS asimétricas](symmetric-asymmetric.md)
+ [Claves KMS HMAC](hmac.md)
+ [Claves KMS con material de claves importado](importing-keys.md)
+ [Rotación automática de claves](rotate-keys.md)
+ [Claves de varias regiones](multi-region-keys-overview.md)

## AWS CloudHSM conceptos de almacén clave
<a name="hsm-key-store-concepts"></a>

En este tema se explican algunos de los términos y conceptos que se utilizan en las tiendas AWS CloudHSM clave.

### AWS CloudHSM almacén de claves
<a name="concept-hsm-key-store"></a>

Un *almacén de AWS CloudHSM claves* es un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview) asociado a un AWS CloudHSM clúster que usted posee y administra. AWS CloudHSM los clústeres están respaldados por módulos de seguridad de hardware (HSMs) certificados según las normas [FIPS 140-2 o FIPS 140-3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) de nivel 3.

Cuando crea una clave KMS en su almacén de claves, AWS KMS genera una AWS CloudHSM clave simétrica del estándar de cifrado avanzado (AES) de 256 bits, persistente y no exportable en el clúster asociado. AWS CloudHSM Este material clave nunca lo deja sin cifrar. HSMs Cuando se utiliza una clave KMS en un almacén de AWS CloudHSM claves, las operaciones criptográficas se realizan HSMs en el clúster. 

AWS CloudHSM los almacenes de claves combinan la práctica y completa interfaz de administración de claves AWS KMS con los controles adicionales que proporciona un AWS CloudHSM clúster de su Cuenta de AWS empresa. Esta función integrada le permite crear, administrar y usar las claves de KMS y, AWS KMS al mismo tiempo, mantener el control total de las HSMs que almacenan su material clave, incluida la administración de los clústeres y las copias de seguridad. HSMs Puede usar la AWS KMS consola APIs para administrar el almacén de AWS CloudHSM claves y sus claves KMS. También puede usar la AWS CloudHSM consola APIs, el software de cliente y las bibliotecas de software asociadas para administrar el clúster asociado.

Puede [ver y administrar](view-keystore.md) su almacén de AWS CloudHSM claves, [editar sus propiedades](update-keystore.md) y [conectarlo](connect-keystore.md) y [desconectarlo](disconnect-keystore.md) del AWS CloudHSM clúster asociado. Si necesita [eliminar un almacén de AWS CloudHSM claves](delete-keystore.md#delete-keystore-console), primero debe eliminar las claves de KMS del almacén de claves programando su eliminación y esperando a que caduque el período de gracia. AWS CloudHSM Al eliminar el almacén de AWS CloudHSM claves, se elimina el recurso del AWS CloudHSM clúster AWS KMS, pero esto no afecta a él.

### AWS CloudHSM clúster
<a name="concept-cluster"></a>

Cada almacén de AWS CloudHSM claves está asociado a un *AWS CloudHSM clúster*. Cuando crea uno AWS KMS key en su almacén de AWS CloudHSM claves, AWS KMS crea su material clave en el clúster asociado. Al utilizar una clave de KMS en el almacén de claves de AWS CloudHSM , la operación criptográfica se realiza en el clúster asociado.

Cada AWS CloudHSM clúster solo se puede asociar a un almacén de AWS CloudHSM claves. El clúster que elija no se puede asociar a otro almacén de AWS CloudHSM claves ni compartir un historial de copias de seguridad con un clúster que esté asociado a otro almacén de AWS CloudHSM claves. El clúster debe estar inicializado y activo, y debe estar en la misma Cuenta de AWS región que el almacén de AWS CloudHSM claves. Puede crear un clúster nuevo o utilizar uno existente. AWS KMS no necesita el uso exclusivo del clúster. Para crear claves de KMS en el almacén de AWS CloudHSM claves, su clúster asociado, debe contener al menos dos claves activas HSMs. El resto de operaciones solo precisan un HSM.

El AWS CloudHSM clúster se especifica al crear el almacén de AWS CloudHSM claves y no se puede cambiar. Sin embargo, puede sustituir cualquier clúster que comparta un historial de copias de seguridad con el clúster original. De este modo podrá eliminar el clúster, en caso necesario, y reemplazarlo por uno creado a partir de una de sus copias de seguridad. Usted conserva el control total del AWS CloudHSM clúster asociado para poder administrar los usuarios y las claves, crear y eliminar HSMs, y usar y administrar las copias de seguridad. 

Cuando esté listo para usar su almacén de AWS CloudHSM claves, lo conectará al AWS CloudHSM clúster asociado. Puede conectar y desconectar su almacén de claves personalizado en cualquier momento. Cuando el almacén de claves personalizado está conectado, se pueden crear y utilizar sus claves KMS. Cuando esté desconectado, podrá ver y administrar el almacén de AWS CloudHSM claves y sus claves KMS. Sin embargo, no puede crear nuevas claves de KMS ni utilizar las claves de KMS del almacén de AWS CloudHSM claves para operaciones criptográficas.

### Usuario de criptografía de `kmsuser`
<a name="concept-kmsuser"></a>

Para crear y administrar el material clave en el AWS CloudHSM clúster asociado en su nombre, AWS KMS utilice un *[usuario AWS CloudHSM criptográfico](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) (CU)* dedicado en el clúster denominado`kmsuser`. La `kmsuser` CU es una cuenta de CU estándar que se sincroniza automáticamente con todos los componentes del clúster y se guarda HSMs en las copias de seguridad del clúster. 

Antes de crear el almacén de AWS CloudHSM claves, debe [crear una cuenta de `kmsuser` CU](create-keystore.md#before-keystore) en el AWS CloudHSM clúster mediante el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) la CLI de CloudHSM. A continuación, al [crear el almacén de AWS CloudHSM claves](create-keystore.md), debe proporcionar la contraseña de la `kmsuser` cuenta a. AWS KMS Al [conectar el almacén de claves personalizado](connect-keystore.md), AWS KMS inicia sesión en el clúster como `kmsuser` CU y cambia su contraseña. AWS KMS cifra la `kmsuser` contraseña antes de guardarla de forma segura. Cuando se gira la contraseña, la nueva contraseña se cifra y se almacena de la misma manera.

AWS KMS permanece conectado `kmsuser` mientras el almacén de AWS CloudHSM claves esté conectado. No debería usar esta cuenta de CU para otros fines. Sin embargo, conservará el control total de la cuenta del CU `kmsuser`. Podrá [buscar las claves](find-key-material.md) de propiedad de `kmsuser` en todo momento. Si es necesario, puede [desconectar el almacén de claves personalizado](disconnect-keystore.md), cambiar la contraseña de `kmsuser`, [iniciar sesión en el clúster como `kmsuser`](fix-keystore.md#fix-login-as-kmsuser), y ver y administrar las claves propiedad de `kmsuser`.

Para obtener instrucciones sobre cómo crear la cuenta del CU `kmsuser`, consulte [Crear el usuario de criptografía `kmsuser`](create-keystore.md#before-keystore).

### Claves KMS en un almacén de AWS CloudHSM claves
<a name="concept-cmk-key-store"></a>

Puede usar la AWS KMS API AWS KMS o para crear una AWS KMS keys en un almacén de AWS CloudHSM claves. Utilice la misma técnica que utilizaría en cualquier clave KMS. La única diferencia es que debe identificar el almacén de AWS CloudHSM claves y especificar que el origen del material de claves es el AWS CloudHSM clúster. 

Cuando se [crea una clave de KMS en un almacén de AWS CloudHSM claves](create-cmk-keystore.md), se AWS KMS crea la clave de KMS AWS KMS y se genera un material de clave simétrica del estándar de cifrado avanzado (AES) persistente y no exportable de 256 bits en el clúster asociado. Cuando se utiliza la AWS KMS clave en una operación criptográfica, la operación se realiza en el clúster mediante la clave AES basada en el AWS CloudHSM clúster. Aunque AWS CloudHSM admite claves simétricas y asimétricas de distintos tipos, los almacenes de claves solo admiten claves de AWS CloudHSM cifrado simétricas AES.

Puede ver las claves KMS en un AWS CloudHSM almacén de claves de la AWS KMS consola y utilizar las opciones de la consola para mostrar el ID del almacén de claves personalizado. También puede utilizar la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación para buscar el ID del almacén de AWS CloudHSM claves y el ID del AWS CloudHSM clúster.

Las claves de KMS de un almacén de claves funcionan igual que cualquier otra AWS CloudHSM clave de KMS de un almacén de claves AWS KMS. Los usuarios autorizados necesitan los permisos para usar y administrar las claves KMS. Se utilizan los mismos procedimientos de consola y las mismas operaciones de API para ver y administrar las claves de KMS en un almacén de AWS CloudHSM claves. Puede habilitar y desactivar claves KMS, crear y usar etiquetas y alias, y configurar y cambiar las políticas de claves y de IAM. Puede utilizar las claves de KMS de un almacén de AWS CloudHSM claves para realizar operaciones criptográficas y utilizarlas con [AWS servicios integrados](service-integration.md) que admitan el uso de claves gestionadas por el cliente. Sin embargo, no puede activar la [rotación automática de claves](rotate-keys.md) ni [importar material de claves a una clave](importing-keys.md) de KMS de un almacén de AWS CloudHSM claves. 

También puede utilizar el mismo proceso para [programar la eliminación](deleting-keys.md#delete-cmk-keystore) de una clave KMS en un almacén de AWS CloudHSM claves. Una vez transcurrido el período de espera, AWS KMS elimina la clave de KMS de KMS. A continuación, hace todo lo posible por eliminar el material clave de la clave KMS del AWS CloudHSM clúster asociado. Sin embargo, es posible que deba [eliminar el material de claves huérfano](fix-keystore.md#fix-keystore-orphaned-key) manualmente del clúster y de sus copias de seguridad.

# Controle el acceso a su almacén de AWS CloudHSM llaves
<a name="authorize-key-store"></a>

Las políticas de IAM se utilizan para controlar el acceso al almacén de AWS CloudHSM claves y al AWS CloudHSM clúster. Puede utilizar políticas clave, políticas de IAM y concesiones para controlar el acceso a su almacén AWS KMS keys de AWS CloudHSM claves. Le recomendamos que únicamente otorgue a los usuarios, grupos y roles los permisos necesarios para las tareas que es probable que se vayan a realizar.

Para respaldar sus almacenes de AWS CloudHSM claves, AWS KMS necesita permiso para obtener información sobre sus AWS CloudHSM clústeres. También necesita permiso para crear la infraestructura de red que conecta el almacén de AWS CloudHSM claves con su AWS CloudHSM clúster. Para obtener estos permisos, AWS KMS crea el rol **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculado al servicio en su. Cuenta de AWS Para obtener más información, consulte [Autorización AWS KMS para gestionar los recursos AWS CloudHSM de Amazon EC2](authorize-kms.md).

Al diseñar su almacén de AWS CloudHSM claves, asegúrese de que los responsables que lo utilizan y administran solo tengan los permisos que necesitan. En la siguiente lista se describen los permisos mínimos necesarios para los administradores y usuarios del almacén de AWS CloudHSM claves.
+ Los responsables que crean y administran el almacén de AWS CloudHSM claves necesitan el siguiente permiso para utilizar las operaciones de la API del almacén de AWS CloudHSM claves.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ Los responsables que crean y administran el AWS CloudHSM clúster asociado a tu almacén de AWS CloudHSM claves necesitan permiso para crear e inicializar un clúster. AWS CloudHSM Esto incluye el permiso para crear o usar una Amazon Virtual Private Cloud (VPC), crear subredes y crear una instancia de Amazon. EC2 Es posible que también necesiten crear HSMs, eliminar y gestionar las copias de seguridad. Para obtener una lista de los permisos necesarios, consulte [Administración de identidades y accesos para AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) en la *Guía del usuario de AWS CloudHSM *.
+ Los responsables que crean y administran AWS KMS keys tu almacén de AWS CloudHSM claves necesitan [los mismos permisos](create-keys.md#create-key-permissions) que quienes crean y administran cualquier clave de KMS. AWS KMS La [política de claves predeterminada](key-policy-default.md) para una clave de KMS en un almacén de AWS CloudHSM claves es idéntica a la política de claves predeterminada para las claves de KMS en AWS KMS. [El control de acceso basado en atributos](abac.md) (ABAC), que utiliza etiquetas y alias para controlar el acceso a las claves de KMS, también es efectivo en las claves de KMS de los almacenes de claves. AWS CloudHSM 
+ [Los responsables que utilizan las claves KMS de su almacén de claves para realizar [operaciones criptográficas necesitan permiso para realizar la operación criptográfica](manage-cmk-keystore.md#use-cmk-keystore) con la AWS CloudHSM clave KMS, como KMS:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Puede proporcionar estos permisos en una política de claves o una política de IAM. Sin embargo, no necesitan ningún permiso adicional para usar una clave KMS en un almacén de claves. AWS CloudHSM 

# Crear un almacén de AWS CloudHSM claves
<a name="create-keystore"></a>

Puede crear uno o varios almacenes de AWS CloudHSM claves en su cuenta. Cada almacén de AWS CloudHSM claves está asociado a un AWS CloudHSM clúster de la misma Cuenta de AWS región. Antes de crear un almacén de claves de AWS CloudHSM , debe [cumplir los requisitos previos](#before-keystore). A continuación, antes de poder usar el almacén de AWS CloudHSM claves, debe [conectarlo](connect-keystore.md) a su AWS CloudHSM clúster.

**Notas**  
El KMS no puede comunicarse IPv6 con los almacenes de AWS CloudHSM claves.  
Si intenta crear un almacén de AWS CloudHSM claves con todos los mismos valores de propiedades que un almacén de AWS CloudHSM claves *desconectado* existente, AWS KMS no crea un nuevo almacén de AWS CloudHSM claves y no genera ninguna excepción ni muestra un error. En su lugar, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el identificador del almacén de AWS CloudHSM claves existente.   
No es necesario que conecte su almacén de AWS CloudHSM claves inmediatamente. Puede dejarlo desconectado hasta que lo necesite. Sin embargo, para comprobar que se ha configurado correctamente, debería [conectarlo](connect-keystore.md), [ver su estado de conexión](view-keystore.md) y, a continuación, [desconectarlo](disconnect-keystore.md).

**Topics**
+ [Cumplir los requisitos previos](#before-keystore)
+ [Cree un nuevo almacén de claves AWS CloudHSM](#create-hsm-keystore)

## Cumplir los requisitos previos
<a name="before-keystore"></a>

Cada almacén de AWS CloudHSM claves está respaldado por un AWS CloudHSM clúster. Para crear un almacén de AWS CloudHSM claves, debe especificar un AWS CloudHSM clúster activo que no esté ya asociado a otro almacén de claves. También debe crear un usuario criptográfico (CU) dedicado en el clúster HSMs que AWS KMS pueda usar para crear y administrar las claves en su nombre.

Antes de crear un almacén de AWS CloudHSM claves, haz lo siguiente:

**Seleccione un AWS CloudHSM clúster**  
Cada almacén de AWS CloudHSM claves está [asociado exactamente a un AWS CloudHSM clúster](keystore-cloudhsm.md#concept-cluster). Cuando crea AWS KMS keys en su almacén de AWS CloudHSM claves, AWS KMS crea los metadatos de la clave de KMS, como un ID y un nombre de recurso de Amazon (ARN). AWS KMS A continuación, crea el material clave en HSMs el clúster asociado. Puede [crear un AWS CloudHSM clúster nuevo](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) o utilizar uno existente. AWS KMS no requiere acceso exclusivo al clúster.  
El AWS CloudHSM clúster que seleccione está asociado permanentemente al almacén de AWS CloudHSM claves. Tras crear el almacén de AWS CloudHSM claves, puede [cambiar el ID de clúster](update-keystore.md) del clúster asociado, pero el clúster que especifique debe compartir un historial de respaldo con el clúster original. Para usar un clúster no relacionado, debe crear un nuevo almacén de AWS CloudHSM claves.  
El AWS CloudHSM clúster que seleccione debe tener las siguientes características:  
+ **El clúster debe estar activo**. 

  Debe crear el clúster, inicializarlo, instalar el software de AWS CloudHSM cliente para su plataforma y, a continuación, activar el clúster. Para obtener instrucciones, consulte [Introducción a AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) en la *Guía del usuario de AWS CloudHSM *.
+ **No está habilitado Mutual TLS (mTLS).** 

  KMS no admite mTLS para los clústeres. Esta configuración no debe estar habilitada.
+ **El clúster debe estar en la misma cuenta y región** que el almacén de AWS CloudHSM claves. No puede asociar un almacén de AWS CloudHSM claves de una región a un clúster de otra región. Para crear una infraestructura de claves en varias regiones, debe crear clústeres y almacenes de AWS CloudHSM claves en cada región.
+ **El clúster no puede estar asociado con otro almacén de claves personalizado** en la misma cuenta y región. Cada almacén de AWS CloudHSM claves de la cuenta y la región debe estar asociado a un AWS CloudHSM clúster diferente. No puede especificar un clúster que ya esté asociado a un almacén de claves personalizado o a un clúster que comparte historial de copias de seguridad con un clúster asociado. Los clústers que comparten un historial de copias de seguridad deben tener el mismo certificado del clúster. Para ver el certificado de clúster de un clúster, utilice la AWS CloudHSM consola o la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación.

  Si la [copia de seguridad de un clúster de AWS CloudHSM en una región diferente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), se considera un clúster diferente y puede asociar la copia de seguridad a un almacén de claves personalizado en su región. Sin embargo, las claves KMS de los dos almacenes de claves personalizados no son interoperables, incluso si tienen la misma clave de respaldo. AWS KMS vincula los metadatos al texto cifrado para que solo se puedan descifrar con la clave KMS que los cifró.
+ El clúster debe configurarse con [subredes privadas](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) en **al menos dos zonas de disponibilidad** de la región. Como no AWS CloudHSM es compatible con todas las zonas de disponibilidad, le recomendamos que cree subredes privadas en todas las zonas de disponibilidad de la región. No puede volver a configurar las subredes para un clúster existente, pero puede [crear un clúster a partir de una copia de seguridad](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) con subredes distintas en la configuración del clúster.
**importante**  
Después de crear el almacén de AWS CloudHSM claves, no elimine ninguna de las subredes privadas configuradas para su AWS CloudHSM clúster. Si AWS KMS no puede encontrar todas las subredes de la configuración del clúster, los intentos de [conexión al almacén de claves personalizado](connect-keystore.md) fallan y se produce un estado de error de `SUBNET_NOT_FOUND` conexión. Para obtener más información, consulte [Cómo arreglar un error de conexión](fix-keystore.md#fix-keystore-failed).
+ El [grupo de seguridad del clúster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) debe incluir reglas de entrada y reglas de salida que permitan el tráfico TCP a través de los puertos IPv4 2223-2225. El **origen** de las reglas de entrada y el **destino** de las reglas de salida deben coincidir con el ID del grupo de seguridad. Estas reglas se establecen de forma predeterminada al crear el clúster. No las elimine ni las cambie.
+ **El clúster debe contener al menos dos activos HSMs en distintas zonas** de disponibilidad. Para comprobar el número de HSMs, utilice la AWS CloudHSM consola o la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación. Si es necesario, puede [agregar un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Buscar el certificado de anclaje de confianza**  
Al crear un almacén de claves personalizado, debe cargar el certificado de anclaje de confianza del AWS CloudHSM clúster a AWS KMS. AWS KMS necesita el certificado de anclaje de confianza para conectar el almacén de AWS CloudHSM claves al AWS CloudHSM clúster asociado.  
Cada AWS CloudHSM clúster activo tiene un *certificado de anclaje de confianza*. Al [inicializar el clúster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), se genera el certificado. Guárdelo en el archivo `customerCA.crt` y cópielo en alojamientos que se conecten con el clúster.

**Cree el usuario `kmsuser` criptográfico para AWS KMS**  <a name="kmsuser-concept"></a>
Para administrar su almacén de AWS CloudHSM claves, AWS KMS inicie sesión en la cuenta [de usuario `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (CU) del clúster seleccionado. Antes de crear el almacén de AWS CloudHSM claves, debe crear la `kmsuser` CU. A continuación, al crear el almacén de AWS CloudHSM claves, debe proporcionar la contraseña `kmsuser` para AWS KMS. Siempre que conectes el almacén de AWS CloudHSM claves a su AWS CloudHSM clúster asociado, AWS KMS inicia sesión con la `kmsuser` contraseña y rota la contraseña `kmsuser`   
No especifique la opción `2FA` al crear el CU `kmsuser`. Si lo hace, AWS KMS no podrá iniciar sesión y su almacén de AWS CloudHSM claves no podrá conectarse a este AWS CloudHSM clúster. Después de especificar 2FA, ya no podrá deshacer dicha acción. En su lugar, deberá eliminar el CU y crearlo de nuevo.
**Notas**  
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.  
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.

1. Siga los procedimientos de introducción descritos en el tema [Getting started with CloudHSM Command Line Interface (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) de la *Guía del usuario de AWS CloudHSM *.

1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) para crear un CU denominado `kmsuser`.

   La contraseña debe contener entre 7 y 32 caracteres alfanuméricos, distingue entre mayúsculas y minúsculas, y no puede tener caracteres especiales.

   El siguiente ejemplo de comando crea un CU de `kmsuser`. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Cree un nuevo almacén de claves AWS CloudHSM
<a name="create-hsm-keystore"></a>

Tras [reunir los requisitos previos](#before-keystore), puede crear un nuevo almacén de AWS CloudHSM claves en la AWS KMS consola o mediante la [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operación.

### Uso de la consola AWS KMS
<a name="create-keystore-console"></a>

Al crear un almacén de AWS CloudHSM claves en Consola de administración de AWS, puede añadir y crear los [requisitos previos](#before-keystore) como parte de su flujo de trabajo. Sin embargo, el proceso es más rápido si los compila previamente.

1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Almacenes de claves personalizados**, **Almacenes de claves de AWS CloudHSM **.

1. Seleccione **Create a key store (Crear un m almacén de claves)**.

1. Escriba un nombre fácil de recordar para el almacén de claves personalizado. El nombre debe ser único entre todos los almacenes de claves personalizados de su cuenta.
**importante**  
No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en los CloudTrail registros y otros resultados.

1. Seleccione [un AWS CloudHSM clúster](keystore-cloudhsm.md#concept-cluster) para el almacén de AWS CloudHSM claves. O bien, para crear un AWS CloudHSM clúster nuevo, elija el enlace **Crear un AWS CloudHSM clúster**.

   El menú muestra los AWS CloudHSM clústeres de su cuenta y región que aún no están asociados a un almacén de AWS CloudHSM claves. El clúster debe [cumplir los requisitos](#before-keystore) de asociación con un almacén de claves personalizado. 

1. Seleccione **Elegir archivo** y, a continuación, cargue el certificado de anclaje de confianza del AWS CloudHSM clúster que haya elegido. Este es el archivo `customerCA.crt` que creó al [inicializar el clúster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Escriba la contraseña [del `kmsuser` usuario de criptografía](keystore-cloudhsm.md#concept-kmsuser) (CU) que creó en el clúster seleccionado. 

1. Seleccione **Crear**.

Cuando el procedimiento se complete correctamente, el nuevo almacén de AWS CloudHSM claves aparecerá en la lista de almacenes de AWS CloudHSM claves de la cuenta y la región. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

Si intenta crear un almacén de AWS CloudHSM claves con todos los mismos valores de propiedades que un almacén de AWS CloudHSM claves *desconectado* existente, AWS KMS no se crea un almacén de AWS CloudHSM claves nuevo y no se produce ninguna excepción ni se muestra ningún error. En su lugar, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el identificador del almacén de AWS CloudHSM claves existente. 

**Siguiente**: Los nuevos almacenes de AWS CloudHSM claves no se conectan automáticamente. Para poder crear AWS KMS keys en el almacén de AWS CloudHSM claves, debe [conectar el almacén de claves personalizado](connect-keystore.md) a su AWS CloudHSM clúster asociado.

### Uso de la AWS KMS API
<a name="create-keystore-api"></a>

Puede usar la [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operación para crear un nuevo almacén de AWS CloudHSM claves asociado a un AWS CloudHSM clúster de la cuenta y la región. En estos ejemplos se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

La operación `CreateCustomKeyStore` requiere los siguientes valores de parámetro.
+ CustomKeyStoreName — Un nombre descriptivo para el almacén de claves personalizado que es único en la cuenta.
**importante**  
No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.
+ CloudHsmClusterId — El ID de clúster de un AWS CloudHSM clúster que [cumple los requisitos de](#before-keystore) un almacén de AWS CloudHSM claves.
+ KeyStorePassword — La contraseña de la cuenta `kmsuser` CU del clúster especificado. 
+ TrustAnchorCertificate — El contenido del `customerCA.crt` archivo que creó al [inicializar el clúster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

En el siguiente ejemplo se usa un ID de clúster ficticio. Antes de ejecutar el comando, reemplácelo por un ID de clúster válido.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Si utiliza el AWS CLI, puede especificar el archivo de certificado de anclaje de confianza, en lugar de su contenido. En el siguiente ejemplo, el archivo `customerCA.crt` se encuentra en el directorio raíz.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Si la operación se ejecuta correctamente, `CreateCustomKeyStore` devolverá el ID del almacén de claves personalizado, tal y como se muestra en la siguiente respuesta de ejemplo.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Si la operación falla, corrija el error que indica la excepción e inténtelo de nuevo. Para obtener ayuda adicional, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

Si intenta crear un almacén de AWS CloudHSM claves con todos los mismos valores de propiedades que un almacén de AWS CloudHSM claves *desconectado* existente, AWS KMS no se crea un almacén de AWS CloudHSM claves nuevo y no se produce ninguna excepción ni se muestra un error. En su lugar, AWS KMS reconoce el duplicado como consecuencia probable de un reintento y devuelve el identificador del almacén de AWS CloudHSM claves existente. 

**A continuación**: Para usar el almacén de AWS CloudHSM claves, [conéctelo a su AWS CloudHSM clúster](connect-keystore.md).

# Ver un almacén de AWS CloudHSM claves
<a name="view-keystore"></a>

Puede ver los almacenes de AWS CloudHSM claves de cada cuenta y región mediante la AWS KMS consola o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. 

## Uso de la AWS KMS consola
<a name="view-keystore-console"></a>

Al ver los almacenes de AWS CloudHSM claves del Consola de administración de AWS, puede ver lo siguiente:
+ El nombre y el ID del almacén de claves personalizado
+ El ID del AWS CloudHSM clúster asociado
+ El número de HSMs en el clúster
+ El estado de conexión actual

Un valor de estado de conexión (**estado**) de **desconectado** indica que el almacén de claves personalizado es nuevo y nunca se ha conectado, o que se ha [desconectado intencionadamente de su AWS CloudHSM clúster](disconnect-keystore.md). Sin embargo, si sus intentos de utilizar una clave KMS en un almacén de claves personalizadas conectado fallan, podría indicar que hay un problema con el almacén de claves personalizado o su AWS CloudHSM clúster. Para obtener ayuda, consulte [¿Cómo arreglar una clave KMS que produce error?](fix-keystore.md#fix-cmk-failed).

Para ver los almacenes de AWS CloudHSM claves de una cuenta y región determinadas, utilice el siguiente procedimiento.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Almacenes de claves personalizados**, **Almacenes de claves de AWS CloudHSM **.

Para personalizar la pantalla, haga clic en el icono de engranaje que aparece por debajo del botón **Create key store (Crear almacén de claves)**.

## Uso de la API AWS KMS
<a name="view-keystore-api"></a>

Para ver sus almacenes de AWS CloudHSM claves, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de la cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar el resultado de un almacén de claves personalizado determinado. En el caso de los almacenes de claves, la salida consiste en el nombre y el ID del almacén de claves personalizados, el ID del AWS CloudHSM clúster asociado y el estado de la conexión. AWS CloudHSM Si el estado de conexión indica un error, el resultado también incluirá un código de error que describe el motivo del error.

En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

Por ejemplo, el siguiente comando devuelve todos los almacenes de claves personalizados de la cuenta y la región. Puede usar los parámetros `Limit` y `Marker` para desplazarse por los almacenes de claves personalizados del resultado.

```
$ aws kms describe-custom-key-stores
```

El siguiente comando de ejemplo usa el parámetro `CustomKeyStoreName` para obtener únicamente el almacén de claves personalizado con el nombre fácil de recordar `ExampleCloudHSMKeyStore`. Puede usar el parámetro `CustomKeyStoreName` o `CustomKeyStoreId` (pero no ambos) en cada comando.

El siguiente ejemplo de salida representa un almacén de AWS CloudHSM claves que está conectado a su AWS CloudHSM clúster.

**nota**  
El `CustomKeyStoreType` campo se agregó a la `DescribeCustomKeyStores` respuesta para distinguir los almacenes de AWS CloudHSM claves de los almacenes de claves externos.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

Un `ConnectionState` número de `Disconnected` indica que un almacén de claves personalizado nunca se ha conectado o que se ha [desconectado intencionadamente de su AWS CloudHSM clúster](disconnect-keystore.md). Sin embargo, si los intentos de utilizar una clave KMS en un almacén de AWS CloudHSM claves conectado fallan, podría indicar que hay un problema con el almacén de AWS CloudHSM claves o su AWS CloudHSM clúster. Para obtener ayuda, consulte [¿Cómo arreglar una clave KMS que produce error?](fix-keystore.md#fix-cmk-failed).

Si el `ConnectionState` del almacén de claves personalizado es `FAILED`, la respuesta `DescribeCustomKeyStores` incluirá un elemento `ConnectionErrorCode` que explica el motivo del error.

Por ejemplo, en el resultado siguiente, el valor `INVALID_CREDENTIALS` indica que la conexión del almacén de claves personalizado ha fallado porque la contraseña de [`kmsuser` no es válida](fix-keystore.md#fix-keystore-password). Para obtener ayuda con esto y los errores de conexión, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**Más información:**
+ [Visualización de almacenes de claves externos](view-xks-keystore.md)
+ [Identifique las claves de KMS en los almacenes de AWS CloudHSM claves](identify-key-types.md#identify-key-hsm-keystore)
+ [Registrar llamadas a la AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md)

# Editar la configuración AWS CloudHSM del almacén de claves
<a name="update-keystore"></a>

Puede cambiar la configuración de un almacén de AWS CloudHSM claves existente. El almacén de claves personalizado debe estar desconectado de su AWS CloudHSM clúster.

Para editar la configuración del almacén de AWS CloudHSM claves:

1. [Desconecte el almacén de claves personalizado](disconnect-keystore.md) de su clúster de AWS CloudHSM .

   Mientras el almacén de claves personalizadas esté desconectado, no podrá crear AWS KMS keys (claves de KMS) en el almacén de claves personalizadas ni podrá utilizar las claves de KMS que contiene para [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore). 

1. Edite una o varias de las configuraciones del almacén de AWS CloudHSM claves.

   Puede editar la siguiente configuración en un almacén de claves personalizado:  
El nombre fácil de recordar del almacén de claves personalizado.  
Escriba un nuevo nombre fácil de recordar. El nuevo nombre debe ser único entre todos los almacenes de claves personalizadas de su Cuenta de AWS.  
No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.  
El ID de clúster del AWS CloudHSM clúster asociado.  
Edite este valor para sustituir el AWS CloudHSM clúster original por un clúster relacionado. Puede utilizar esta función para reparar un almacén de claves personalizado si su AWS CloudHSM clúster se daña o se elimina.   
Especifique un AWS CloudHSM clúster que comparta un historial de copias de seguridad con el clúster original y que [cumpla los requisitos](create-keystore.md#before-keystore) para asociarse a un almacén de claves personalizado, incluidos dos activos HSMs en distintas zonas de disponibilidad. Los clústers que comparten un historial de copias de seguridad deben tener el mismo certificado del clúster. Para ver el certificado de clúster de un clúster, utilice la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación. No puede usar la característica de edición para asociar el almacén de claves personalizado con un clúster de AWS CloudHSM sin relación.   
La contraseña actual del [`kmsuser` usuario de criptografía](keystore-cloudhsm.md#concept-kmsuser) (CU).  
Indica AWS KMS la contraseña actual de la `kmsuser` CU del AWS CloudHSM clúster. Esta acción no cambia la contraseña de la `kmsuser` CU del AWS CloudHSM clúster.  
Si cambia la contraseña de la `kmsuser` CU del AWS CloudHSM clúster, utilice esta función para indicar AWS KMS la nueva `kmsuser` contraseña. De lo contrario, AWS KMS no podrá iniciar sesión en el clúster y todos los intentos de conexión del almacén de claves personalizado al clúster darán error. 

1. [Vuelva a conectar el almacén de claves personalizado](connect-keystore.md) a su clúster de AWS CloudHSM .

## Edición de su configuración del almacén de claves
<a name="edit-keystore-settings"></a>

Puede editar la configuración del almacén de AWS CloudHSM claves en la AWS KMS consola o mediante esta [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación.

### Uso de la AWS KMS consola
<a name="update-keystore-console"></a>

Al editar un almacén de AWS CloudHSM claves, puede cambiar cualquiera de los valores configurables o alguno de ellos.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Almacenes de claves personalizados**, **Almacenes de claves de AWS CloudHSM **.

1. Elija la fila del almacén de AWS CloudHSM claves que desee editar. 

   Si el valor de la columna **Connection state** (Estado de conexión) no es **Disconnected** (Desconectado), deberá desconectar el almacén de claves personalizado antes de editarlo. [En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Disconnect** (Desconectar)].

   Mientras un almacén de AWS CloudHSM claves esté desconectado, puede administrar el almacén de AWS CloudHSM claves y sus claves de KMS, pero no puede crear ni usar claves de KMS en el almacén de AWS CloudHSM claves. 

1. Desde el menú **Key store actions** (Acciones del almacén de claves), seleccione **Edit** (Editar).

1. Realice una o más de las siguientes acciones.
   + Escriba un nuevo nombre fácil de recordar para el almacén de claves personalizado.
   + Escriba el ID de clúster de un AWS CloudHSM clúster relacionado.
   + Escriba la contraseña actual del usuario `kmsuser` criptográfico del AWS CloudHSM clúster asociado.

1. Seleccione **Save**.

   Si el procedimiento se ejecuta correctamente, aparecerá un mensaje donde se describe la configuración que ha editado. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

1. [Vuelva a conectar el almacén de claves personalizado.](connect-keystore.md)

   Para usar el almacén de AWS CloudHSM claves, debe volver a conectarlo después de editarlo. Puede dejar el almacén de claves de AWS CloudHSM desconectado. Sin embargo, mientras esté desconectado, no podrá crear claves de KMS en el almacén de AWS CloudHSM claves ni utilizar las claves de KMS del almacén de AWS CloudHSM claves en operaciones [criptográficas](manage-cmk-keystore.md#use-cmk-keystore).

### Uso de la API AWS KMS
<a name="update-keystore-api"></a>

Para cambiar las propiedades de un almacén de AWS CloudHSM claves, utilice la [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación. Puede cambiar varias propiedades de un almacén de claves personalizado en el mismo comando. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Para comprobar que los cambios son efectivos, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación.

En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

Comience por [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)[desconectar el almacén de claves personalizado](disconnect-keystore.md) de su AWS CloudHSM clúster. Reemplace el ID del almacén de claves personalizado de ejemplo, cks-1234567890abcdef0, por un ID real.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

En el primer ejemplo, [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)se utiliza para cambiar el nombre descriptivo del almacén de AWS CloudHSM claves a`DevelopmentKeys`. El comando usa el `CustomKeyStoreId` parámetro para identificar el almacén de AWS CloudHSM claves y `CustomKeyStoreName` para especificar el nuevo nombre del almacén de claves personalizado.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

En el siguiente ejemplo, se cambia el clúster asociado a un almacén de AWS CloudHSM claves por otra copia de seguridad del mismo clúster. El comando usa el `CustomKeyStoreId` parámetro para identificar el almacén de AWS CloudHSM claves y el `CloudHsmClusterId` parámetro para especificar el nuevo ID de clúster. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

El siguiente ejemplo indica AWS KMS que la `kmsuser` contraseña actual es`ExamplePassword`. El comando utiliza el `CustomKeyStoreId` parámetro para identificar el almacén de AWS CloudHSM claves y el `KeyStorePassword` parámetro para especificar la contraseña actual.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

El último comando vuelve a conectar el almacén de AWS CloudHSM claves a su AWS CloudHSM clúster. Puede dejar el almacén de claves personalizado desconectado, pero deberá conectarlo antes de crear claves KMS nuevas o para utilizar las claves KMS existentes para [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore). Reemplace el ID del almacén de claves personalizado de ejemplo por un ID real.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Conecta un almacén de AWS CloudHSM claves
<a name="connect-keystore"></a>

Los nuevos almacenes de AWS CloudHSM claves no están conectados. Para poder crearlo y usarlo AWS KMS keys en su almacén de AWS CloudHSM claves, debe conectarlo al AWS CloudHSM clúster asociado. Puedes conectar y desconectar tu almacén de AWS CloudHSM claves en cualquier momento y [ver su estado de conexión](view-keystore.md#view-keystore-console). 

No es necesario que conecte su almacén de AWS CloudHSM claves. Puede dejar un almacén de AWS CloudHSM claves desconectado indefinidamente y conectarlo solo cuando necesite usarlo. Sin embargo, le recomendamos que compruebe la conexión de forma periódica para verificar que la configuración es correcta y que se puede conectar.

**nota**  
AWS CloudHSM los almacenes de claves tienen un estado de `DISCONNECTED` conexión solo cuando el almacén de claves nunca se ha conectado o si lo desconectas explícitamente. Si el estado de conexión del almacén de AWS CloudHSM claves es `CONNECTED` pero tiene problemas para usarlo, asegúrese de que el AWS CloudHSM clúster asociado esté activo y contenga al menos uno activo HSMs. Si desea ayuda con las conexiones que dan error, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

Al conectar un almacén de AWS CloudHSM claves, AWS KMS busca el AWS CloudHSM clúster asociado, se conecta a él, inicia sesión en el AWS CloudHSM cliente como [usuario `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (CU) y, a continuación, cambia la `kmsuser` contraseña. AWS KMS permanece conectado al AWS CloudHSM cliente mientras el almacén de AWS CloudHSM claves esté conectado.

Para establecer la conexión, AWS KMS crea un [grupo de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) denominado `kms-<custom key store ID>` en la nube privada virtual (VPC) del clúster. El grupo de seguridad tiene una sola regla que permite el tráfico entrante desde el grupo de seguridad del clúster. AWS KMS también crea una [interface de red elástica](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) en cada zona de disponibilidad de la subred privada del clúster. AWS KMS agrega el ENIs al grupo `kms-<cluster ID>` de seguridad y al grupo de seguridad del clúster. La descripción de cada ENI es `KMS managed ENI for cluster <cluster-ID>`.

El proceso de conexión puede tardar bastante en completarse, unos 20 minutos. 

Antes de conectar el almacén de AWS CloudHSM claves, compruebe que cumple los requisitos.
+ Su AWS CloudHSM clúster asociado debe contener al menos un HSM activo. Para encontrar el número de HSMs en el clúster, visualice el clúster en la AWS CloudHSM consola o utilice la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación. Si es necesario, puede [agregar un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ El clúster debe tener una cuenta de [usuario `kmsuser` criptográfico](create-keystore.md#kmsuser-concept) (CU), pero esa CU no puede iniciar sesión en el clúster cuando se conecta al almacén de AWS CloudHSM claves. Para obtener ayuda con el cierre de sesión, consulte [Cómo cerrar sesión y volver a conectar](fix-keystore.md#login-kmsuser-2).
+ El estado de conexión del almacén de AWS CloudHSM claves no puede ser `DISCONNECTING` o`FAILED`. Para ver el estado de la conexión, utilice la AWS KMS consola o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta. Si el estado de conexión es `FAILED`, desconecte el almacén de claves personalizado, resuelva el problema y conéctelo de nuevo.

Si desea ayuda con las conexiones que dan error, consulte [Cómo arreglar un error de conexión](fix-keystore.md#fix-keystore-failed).

Cuando su almacén de AWS CloudHSM claves esté conectado, podrá [crear claves de KMS en él y utilizar las claves](create-cmk-keystore.md) de KMS existentes en las [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore).

## Conéctese y vuelva a conectarse a su almacén de AWS CloudHSM llaves
<a name="connect-hsm-keystore"></a>

Puede conectar o volver a conectar el almacén de AWS CloudHSM llaves en la AWS KMS consola o mediante esta operación. [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)

### Uso de la consola AWS KMS
<a name="connect-keystore-console"></a>

Para conectar un almacén de AWS CloudHSM claves al Consola de administración de AWS, comience por seleccionar el almacén de AWS CloudHSM claves en la página **Almacenes de claves personalizados**. El proceso de conexión puede tardar hasta 20 minutos en completarse.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Almacenes de claves personalizados**, **Almacenes de claves de AWS CloudHSM **.

1. Elija la fila del almacén de AWS CloudHSM claves que desee conectar. 

   Si el estado de conexión del almacén de AWS CloudHSM claves es **Fallido**, debe [desconectar el almacén de claves personalizado](disconnect-keystore.md#disconnect-keystore-console) antes de conectarlo.

1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Connect** (Conectar).

AWS KMS inicia el proceso de conexión del almacén de claves personalizado. Encuentra el clúster del AWS CloudHSM asociado, genera la infraestructura de red necesaria, se conecta a él, inicia sesión en el clúster de AWS CloudHSM con el CU `kmsuser` y rota la contraseña `kmsuser`. Cuando la operación finalizada, el estado de conexión cambia a **Connected (Conectado)**. 

Si la operación falla, aparecerá un mensaje de error que describe el motivo del error. Antes de volver a intentar conectarse, [consulte el estado de conexión](view-keystore.md) del almacén de AWS CloudHSM claves. Si es **Failed (Error)**, deberá [desconectar el almacén de claves personalizado](disconnect-keystore.md#disconnect-keystore-console) antes de conectarlo de nuevo. Si necesita más ayuda, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

**Siguiente:** [Crear una clave KMS en un almacén de AWS CloudHSM claves](create-cmk-keystore.md).

### Uso de la AWS KMS API
<a name="connect-keystore-api"></a>

Para conectar un almacén de AWS CloudHSM claves desconectado, utilice la [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación. El AWS CloudHSM clúster asociado debe contener al menos un HSM activo y el estado de la conexión no puede ser `FAILED` el mismo.

El proceso de conexión puede tardar bastante en completarse, unos 20 minutos. A menos que el error sea rápido, la operación devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar el estado de conexión del almacén de claves personalizado, consulte la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta.

En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

Para identificar el almacén de AWS CloudHSM claves, utilice su ID de almacén de claves personalizado. Puede encontrar el ID en la página de **almacenes de claves personalizados** de la consola o mediante la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación sin parámetros. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Para comprobar que el almacén de AWS CloudHSM claves está conectado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor `ConnectionState` de `CONNECTED` indica que el almacén de claves personalizado está conectado a su clúster de AWS CloudHSM .

**nota**  
El `CustomKeyStoreType` campo se agregó a la `DescribeCustomKeyStores` respuesta para distinguir los almacenes de AWS CloudHSM claves de los almacenes de claves externos.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Si el valor `ConnectionState` da error, el elemento `ConnectionErrorCode` indicará el motivo del error. En este caso, no se AWS KMS pudo encontrar un AWS CloudHSM clúster en su cuenta con el ID del clúster`cluster-1a23b4cdefg`. Si ha eliminado el clúster, puede [restaurarlo a partir de una copia de seguridad](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del clúster original y, a continuación, [editar el ID del clúster](update-keystore.md) para el almacén de claves personalizado. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Cómo arreglar un error de conexión](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Desconectar un almacén de AWS CloudHSM claves
<a name="disconnect-keystore"></a>

Al desconectar un almacén de AWS CloudHSM claves, se AWS KMS cierra la sesión del AWS CloudHSM cliente, se desconecta del AWS CloudHSM clúster asociado y se elimina la infraestructura de red que creó para admitir la conexión.

Mientras un almacén de AWS CloudHSM claves está desconectado, puede administrar el almacén de AWS CloudHSM claves y sus claves de KMS, pero no puede crear ni usar claves de KMS en el almacén de AWS CloudHSM claves. El estado de conexión del almacén de claves es `DISCONNECTED` y el [estado de clave](key-state.md) de las claves de KMS en el almacén de claves personalizado es `Unavailable`, a menos que sean `PendingDeletion`. Puede volver a conectar el almacén de AWS CloudHSM claves en cualquier momento.

**nota**  
AWS CloudHSM los almacenes de claves tienen un estado de `DISCONNECTED` conexión solo cuando el almacén de claves nunca se ha conectado o si se desconecta explícitamente. Si el estado de conexión del almacén de AWS CloudHSM claves es `CONNECTED` pero tiene problemas para usarlo, asegúrese de que el AWS CloudHSM clúster asociado esté activo y contenga al menos uno activo HSMs. Si desea ayuda con las conexiones que dan error, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

Al desconectar un almacén de claves personalizado, las claves de KMS del almacén de claves quedan inutilizables de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con [claves de datos](data-keys.md) protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).

**nota**  
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

Para realizar una mejor estimación del efecto de desconectar el almacén de claves personalizado, [identifique las claves de KMS](find-cmk-in-keystore.md) en el almacén de claves personalizado y [determine su uso en el pasado](deleting-keys-determining-usage.md).

Puede desconectar un almacén de AWS CloudHSM claves por motivos como los siguientes:
+ **Para rotar la contraseña `kmsuser`.** AWS KMS cambia la contraseña de `kmsuser` cada vez que se conecta al clúster de AWS CloudHSM . Para forzar la rotación de contraseñas, desconecte y vuelva a conectar.
+ **Para auditar el material clave** de las claves de KMS del AWS CloudHSM clúster. Al desconectar el almacén de claves personalizado, AWS KMS cierra sesión en la cuenta de [usuario `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) del AWS CloudHSM cliente. Esto le permite iniciar sesión en el clúster con el CU `kmsuser` y auditar y administrar el material de claves para la clave KMS.
+ **Para desactivar de inmediato todas las claves de KMS** en un almacén de claves de AWS CloudHSM Puede [deshabilitar y volver a habilitar las claves de KMS](enabling-keys.md) en un almacén de AWS CloudHSM claves mediante la [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación Consola de administración de AWS o. Estas operaciones se completan rápidamente, pero actúan en una clave KMS cada vez. Al desconectar el almacén de AWS CloudHSM claves, se cambia inmediatamente el estado de todas las claves KMS del almacén de AWS CloudHSM claves`Unavailable`, lo que impide que se utilicen en cualquier operación criptográfica.
+ **Para reparar un error en la conexión**. Si se produce un error al intentar conectar un almacén de AWS CloudHSM claves (el estado de conexión del almacén de claves personalizado es el mismo`FAILED`), debe desconectar el almacén de AWS CloudHSM claves antes de intentar volver a conectarlo.

## Desconecte el almacén de AWS CloudHSM claves
<a name="disconnect-hsm-keystore"></a>

Puede desconectar el almacén de AWS CloudHSM llaves en la AWS KMS consola o mediante esta [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación.

### Desconéctelo mediante la AWS KMS consola
<a name="disconnect-keystore-console"></a>

Para desconectar un almacén de AWS CloudHSM claves conectado de la AWS KMS consola, comience por elegir el almacén de AWS CloudHSM claves en la página **Almacenes de claves personalizados**.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Almacenes de claves personalizados**, **Almacenes de claves de AWS CloudHSM **.

1. Elija la fila del almacén de claves externo que desee desconectar. 

1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Disconnect** (Desconectar).

Cuando la operación finaliza, el estado de conexión cambia de **Disconnecting (Desconectando)** a **Disconnecting (Desconectado)**. Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

### Desconéctese mediante la API AWS KMS
<a name="disconnect-keystore-api"></a>

Para desconectar un almacén de AWS CloudHSM claves conectado, utilice la [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades.

En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

En este ejemplo, se desconecta un almacén de AWS CloudHSM claves. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Para comprobar que el almacén de AWS CloudHSM claves está desconectado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El `ConnectionState` valor de `DISCONNECTED` indica que este almacén de AWS CloudHSM claves de ejemplo no está conectado a su AWS CloudHSM clúster.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Eliminar un almacén de AWS CloudHSM claves
<a name="delete-keystore"></a>

Al eliminar un almacén de AWS CloudHSM claves, AWS KMS elimina todos los metadatos sobre el almacén de AWS CloudHSM claves de KMS, incluida la información sobre su asociación con un AWS CloudHSM clúster. Esta operación no afecta al AWS CloudHSM clúster HSMs, ni a sus usuarios. Puede crear un nuevo almacén de AWS CloudHSM claves asociado al mismo AWS CloudHSM clúster, pero no puede deshacer la operación de eliminación.

Solo puede eliminar un almacén de AWS CloudHSM claves que esté desconectado de su AWS CloudHSM clúster y que no contenga ninguno AWS KMS keys. Antes de eliminar un almacén de claves personalizado, haga lo siguiente.
+ Compruebe que no necesitará nunca utilizar ninguna de las claves KMS del almacén de claves para ninguna [operación criptográfica](manage-cmk-keystore.md#use-cmk-keystore). A continuación, [programe la eliminación](deleting-keys.md#delete-cmk-keystore) de todas las claves KMS del almacén de claves. Para obtener ayuda para encontrar las claves de KMS en un almacén de AWS CloudHSM claves, consulte[Busque las claves KMS en un almacén de AWS CloudHSM claves](find-cmk-in-keystore.md).
+ Confirme que se han eliminado todas las claves KMS. Para ver las claves KMS de un almacén de AWS CloudHSM claves, consulte[Identifique las claves de KMS en los almacenes de AWS CloudHSM claves](identify-key-types.md#identify-key-hsm-keystore).
+ [Desconecte el almacén de AWS CloudHSM claves](disconnect-keystore.md) de su AWS CloudHSM clúster.

En lugar de eliminar el almacén de AWS CloudHSM claves, considere la posibilidad de [desconectarlo](disconnect-keystore.md) del AWS CloudHSM clúster asociado. Mientras un almacén de AWS CloudHSM claves esté desconectado, puede administrar el almacén de AWS CloudHSM claves y su AWS KMS keys. Sin embargo, no puede crear ni usar claves KMS en el almacén de AWS CloudHSM claves. Puede volver a conectar el almacén de AWS CloudHSM claves en cualquier momento.

## Elimina tu almacén de AWS CloudHSM claves
<a name="delete-hsm-keystore"></a>

Puede eliminar el almacén de AWS CloudHSM claves en la AWS KMS consola o mediante esta [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operación.

### Uso de la AWS KMS consola
<a name="delete-keystore-console"></a>

Para eliminar un almacén de AWS CloudHSM claves del Consola de administración de AWS, comience por seleccionarlo en la AWS CloudHSM página **Almacenes de claves personalizados**.

1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Almacenes de claves personalizados**, **Almacenes de claves de AWS CloudHSM **.

1. Busque la fila que representa el almacén de AWS CloudHSM claves que desea eliminar. Si el **estado de conexión** del almacén de AWS CloudHSM claves no es **Desconectado**, debe [desconectar el almacén de AWS CloudHSM claves](disconnect-keystore.md) antes de eliminarlo.

1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Delete** (Eliminar).

Cuando se complete la operación, aparecerá un mensaje de éxito y el almacén de AWS CloudHSM claves ya no aparecerá en la lista de almacenes de claves. Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [Resolver problemas de un almacén de claves personalizado](fix-keystore.md).

### Uso de la AWS KMS API
<a name="delete-keystore-api"></a>

Para eliminar un almacén de AWS CloudHSM claves, utilice la [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades.

Para empezar, compruebe que el almacén de AWS CloudHSM claves no contiene ninguna AWS KMS keys. No puede eliminar un almacén de claves personalizado que contenga claves KMS. El primer comando de ejemplo utiliza [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)y [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)busca AWS KMS keys en el almacén de AWS CloudHSM claves con el ID de almacén de claves *cks-1234567890abcdef0* personalizado del ejemplo. En ese caso, el comando no devuelve ninguna clave KMS. Si es así, utilice la [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operación para programar la eliminación de cada una de las claves del KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

A continuación, desconecte el almacén de AWS CloudHSM claves. Este comando de ejemplo utiliza la [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación para desconectar un almacén de AWS CloudHSM claves de su AWS CloudHSM clúster. Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por uno válido.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Una vez desconectado el almacén de claves personalizado, puede utilizar la [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operación para eliminarlo. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Resolver problemas de un almacén de claves personalizado
<a name="fix-keystore"></a>

AWS CloudHSM los almacenes de llaves están diseñados para estar disponibles y ser resistentes. Sin embargo, hay algunas condiciones de error que puede que tengas que reparar para que tu almacén de AWS CloudHSM claves siga funcionando.

**Topics**
+ [¿Cómo arreglar las claves KMS no disponibles?](#fix-unavailable-cmks)
+ [¿Cómo arreglar una clave KMS que produce error?](#fix-cmk-failed)
+ [Cómo arreglar un error de conexión](#fix-keystore-failed)
+ [Cómo responder ante un error de operación criptográfica](#fix-keystore-communication)
+ [Cómo arreglar las credenciales de `kmsuser` no válidas](#fix-keystore-password)
+ [Cómo eliminar material de claves huérfano](#fix-keystore-orphaned-key)
+ [¿Cómo recuperar el material de claves eliminado de una clave KMS?](#fix-keystore-recover-backing-key)
+ [Cómo iniciar sesión como `kmsuser`](#fix-login-as-kmsuser)

## ¿Cómo arreglar las claves KMS no disponibles?
<a name="fix-unavailable-cmks"></a>

El [estado clave](key-state.md) AWS KMS keys de un almacén de AWS CloudHSM claves suele ser`Enabled`. Como todas las claves de KMS, el estado de las claves cambia al deshabilitar las claves de KMS en un almacén de AWS CloudHSM claves o al programar su eliminación. Sin embargo, a diferencia de otras claves KMS, las claves KMS de un almacén de claves personalizado también pueden tener el [estado de clave](key-state.md) `Unavailable`. 

El estado de clave `Unavailable` indica que la clave de KMS está en un almacén de claves personalizado que se ha [desconectado](disconnect-keystore.md) de forma intencional y que los intentos de conectarlo de nuevo han fallado. Mientras una clave KMS no esté disponible, puede consultarla y administrarla, pero no puede usarla en [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore).

Para buscar el estado de clave de una clave KMS en la página **Customer managed keys (Claves administradas por el cliente)** consulte el campo **Status (Estado)** de la clave KMS. O bien, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación y visualice el `KeyState` elemento en la respuesta. Para obtener más información, consulte [Identificación y visualización de claves](viewing-keys.md).

Las claves KMS en un almacén de claves personalizado desconectado tendrá el estado de clave `Unavailable` o `PendingDeletion`. Las claves de KMS programadas para su eliminación de un almacén de claves personalizado tienen el estado de clave `Pending Deletion`, incluso si el almacén de claves personalizado está desconectado. Esto permite cancelar la eliminación programada de la clave sin volver a conectar el almacén de claves personalizado. 

Para arreglar una clave KMS no disponible, [vuelva a conectar el almacén de claves personalizado](disconnect-keystore.md). Después de volver a conectar el almacén de claves personalizado, el estado de clave de las claves KMS en el almacén de claves personalizado se restaura automáticamente al estado anterior, como `Enabled` o `Disabled`. Las claves KMS pendientes de eliminación seguirán teniendo el estado `PendingDeletion`. Sin embargo, si el problema persiste, [habilitar y desactivar una clave KMS no disponible](enabling-keys.md) no cambia su estado de clave. La acción de habilitar o desactivar solo será efectiva cuando la clave esté disponible.

Si desea ayuda con las conexiones que dan error, consulte [Cómo arreglar un error de conexión](#fix-keystore-failed). 

## ¿Cómo arreglar una clave KMS que produce error?
<a name="fix-cmk-failed"></a>

Los problemas relacionados con la creación y el uso de las claves de KMS en AWS CloudHSM los almacenes de claves pueden deberse a un problema con el almacén de AWS CloudHSM claves, el AWS CloudHSM clúster asociado, la clave de KMS o su material de claves. 

Cuando un almacén de AWS CloudHSM claves se desconecta de su AWS CloudHSM clúster, el estado de las claves de KMS en el almacén de claves personalizado es el mismo`Unavailable`. Todas las solicitudes para crear claves de KMS en un almacén de AWS CloudHSM claves desconectado devuelven una `CustomKeyStoreInvalidStateException` excepción. Todas las solicitudes para cifrar, descifrar, volver a cifrar o generar claves de datos devuelve una excepción `KMSInvalidStateException`. Para solucionar el problema, [vuelva a conectar el almacén de AWS CloudHSM claves](connect-keystore.md).

Sin embargo, sus intentos de utilizar una clave KMS en un almacén de AWS CloudHSM claves para [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore) pueden fallar incluso si su estado de clave es `Enabled` y el estado de conexión del almacén de AWS CloudHSM claves es el mismo. `Connected` Esto puede deberse a una de las siguientes condiciones.
+ Puede que se haya eliminado el material de claves para la clave KMS del clúster de AWS CloudHSM asociado. Para investigar, [busque el identificador de claves](find-handle-for-cmk-id.md) del material de claves para una clave KMS y, si es necesario, intente [recuperar el material de claves](#fix-keystore-recover-backing-key).
+ Todas HSMs se eliminaron del AWS CloudHSM clúster asociado al almacén de AWS CloudHSM claves. Para usar una clave KMS en un almacén de AWS CloudHSM claves en una operación criptográfica, su AWS CloudHSM clúster debe contener al menos un HSM activo. Para comprobar el número y el estado HSMs de un AWS CloudHSM clúster, [utilice la AWS CloudHSM consola o la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html)operación. Para añadir un HSM al clúster, utilice la AWS CloudHSM consola o la [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operación.
+ Se eliminó el AWS CloudHSM clúster asociado al almacén de AWS CloudHSM claves. Para resolver el problema, [cree un clúster a partir de una copia de seguridad](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) relacionada con el clúster original, como una copia de seguridad de un clúster original o una copia de seguridad utilizada para crear el clúster original. A continuación, [edite el ID del clúster](update-keystore.md) en la configuración del almacén de claves personalizado. Para obtener instrucciones, consulte [¿Cómo recuperar el material de claves eliminado de una clave KMS?](#fix-keystore-recover-backing-key).
+ El AWS CloudHSM clúster asociado al almacén de claves personalizado no tenía ninguna sesión de PKCS \$111 disponible. Esto ocurre, por lo general, cuando se producen períodos de ráfagas de tráfico elevado, en los que se necesitan sesiones adicionales para dar servicio al tráfico. Para responder a una `KMSInternalException` con un mensaje de error sobre las sesiones de PKCS\$111, regrese y vuelva a intentar la solicitud. 

## Cómo arreglar un error de conexión
<a name="fix-keystore-failed"></a>

Si intenta [conectar un almacén de AWS CloudHSM claves](connect-keystore.md) a su AWS CloudHSM clúster, pero se produce un error en la operación, el estado de conexión del almacén de AWS CloudHSM claves cambia a`FAILED`. Para averiguar el estado de conexión de un almacén de AWS CloudHSM claves, utilice la AWS KMS consola o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. 

Algunos intentos de conexión producen un error rápidamente debido a errores de configuración del clúster detectados fácilmente. En este caso, el estado de la conexión aún es `DISCONNECTED`. Estos errores devuelven un mensaje de error o una[excepción](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) que explica por qué el intento produjo un error. Revise la descripción de la excepción y [los requisitos del clúster](create-keystore.md#before-keystore), solucione el problema, [actualice el almacén de AWS CloudHSM claves](update-keystore.md), si es necesario, e intente conectarse de nuevo.

Cuando el estado de la conexión sea`FAILED`, ejecute la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación y observe el `ConnectionErrorCode` elemento en la respuesta.

**nota**  
Cuando el estado de conexión de un almacén de AWS CloudHSM claves es`FAILED`, debe [desconectar el almacén de AWS CloudHSM claves](disconnect-keystore.md) antes de intentar volver a conectarlo. No puede conectar un almacén de AWS CloudHSM claves con un estado de `FAILED` conexión.
+ `CLUSTER_NOT_FOUND`indica que AWS KMS no puede encontrar un AWS CloudHSM clúster con el ID de clúster especificado. Esto puede deberse a que se ha proporcionado un ID de clúster erróneo a una operación de API o que se ha eliminado el clúster y no se ha reemplazado. Para corregir este error, compruebe el ID del clúster, por ejemplo, mediante la AWS CloudHSM consola o la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación. Si se ha eliminado el clúster, [cree un clúster a partir de una copia de seguridad reciente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del original. A continuación, [desconecte el almacén de AWS CloudHSM claves](disconnect-keystore.md), [edite la AWS CloudHSM configuración del ID del clúster del almacén](update-keystore.md) de claves y [vuelva a conectar el almacén de AWS CloudHSM claves](connect-keystore.md) al clúster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indica que el AWS CloudHSM clúster asociado no contiene ninguno HSMs. Para conectarse, el clúster debe tener al menos un HSM. Para encontrar el número de HSMs en el clúster, utilice la [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operación. Para solucionar este error, [agregue al menos un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) al clúster. Si agregas varias HSMs, es mejor crearlas en distintas zonas de disponibilidad.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indica que no se ha AWS KMS podido conectar el almacén de AWS CloudHSM claves a su AWS CloudHSM clúster porque al menos una [subred privada asociada al clúster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) no tiene ninguna dirección IP disponible. Una conexión a un almacén de AWS CloudHSM claves requiere una dirección IP libre en cada una de las subredes privadas asociadas, aunque es preferible tener dos.

  [No se pueden añadir direcciones IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (bloques CIDR) a una subred existente. Si es posible, se deben mover o eliminar otros recursos que estén utilizando las direcciones IP de la subred, como instancias de EC2 no utilizadas o interfaces de red elásticas. De lo contrario, puede [crear un clúster a partir de una copia de seguridad reciente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del AWS CloudHSM clúster con subredes privadas nuevas o existentes que tengan [más espacio libre de direcciones.](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) A continuación, para asociar el nuevo clúster a su almacén de AWS CloudHSM claves, [desconecte el almacén de claves personalizado](disconnect-keystore.md), [cambie el ID de clúster](update-keystore.md) del almacén de AWS CloudHSM claves por el ID del nuevo clúster e intente conectarse de nuevo.
**sugerencia**  
Para evitar [restablecer la `kmsuser` contraseña](#fix-keystore-password), utilice la copia de seguridad más reciente del AWS CloudHSM clúster.
+ `INTERNAL_ERROR`indica que no se AWS KMS pudo completar la solicitud debido a un error interno. Intente realizar de nuevo la solicitud . En el caso de `ConnectCustomKeyStore` las solicitudes, desconecte el almacén de AWS CloudHSM claves antes de intentar conectarse de nuevo.
+ `INVALID_CREDENTIALS`indica que AWS KMS no puede iniciar sesión en el AWS CloudHSM clúster asociado porque no tiene la contraseña de `kmsuser` cuenta correcta. Si desea ayuda para solucionar este error, consulte [Cómo arreglar las credenciales de `kmsuser` no válidas](#fix-keystore-password).
+ `NETWORK_ERRORS` suele hacer referencia a problemas temporales de red. [Desconecte el almacén de AWS CloudHSM claves](disconnect-keystore.md), espere unos minutos e intente conectarse de nuevo.
+ `SUBNET_NOT_FOUND`indica que se ha eliminado al menos una subred de la configuración del AWS CloudHSM clúster. Si AWS KMS no puede encontrar todas las subredes de la configuración del clúster, se produce un error al intentar conectar el almacén de AWS CloudHSM claves al AWS CloudHSM clúster. 

  Para corregir este error, [cree un clúster a partir de una copia de seguridad reciente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del mismo AWS CloudHSM clúster. (Este proceso crea una nueva configuración de clúster con una VPC y subredes privadas). Compruebe que el nuevo clúster cumple los [requisitos de un almacén de claves personalizado](create-keystore.md#before-keystore) y anote el nuevo ID del clúster. A continuación, para asociar el nuevo clúster a su almacén de AWS CloudHSM claves, [desconecte el almacén de claves personalizado](disconnect-keystore.md), [cambie el ID de clúster](update-keystore.md) del almacén de AWS CloudHSM claves por el ID del nuevo clúster e intente conectarse de nuevo.
**sugerencia**  
Para evitar [restablecer la `kmsuser` contraseña](#fix-keystore-password), utilice la copia de seguridad más reciente del AWS CloudHSM clúster.
+ `USER_LOCKED_OUT` indica que la [cuenta del usuario de criptografía (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) está bloqueada del clúster de AWS CloudHSM asociado porque se han realizado demasiados intentos fallidos de introducción de contraseña. Si desea ayuda para solucionar este error, consulte [Cómo arreglar las credenciales de `kmsuser` no válidas](#fix-keystore-password).

  Para corregir este error, [desconecte el almacén de AWS CloudHSM claves](disconnect-keystore.md) y utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) de la CLI de CloudHSM para cambiar la contraseña de la cuenta. `kmsuser` A continuación, [edite la configuración de la contraseña de `kmsuser`](update-keystore.md) para el almacén de claves personalizado e intente conectarlo de nuevo. Para obtener ayuda, utilice el procedimiento descrito en el tema [Cómo arreglar las credenciales de `kmsuser` no válidas](#fix-keystore-password).
+ `USER_LOGGED_IN`indica que la cuenta `kmsuser` CU ha iniciado sesión en el clúster asociado. AWS CloudHSM Esto AWS KMS impide rotar la contraseña de la `kmsuser` cuenta e iniciar sesión en el clúster. Para corregir este error, cierre la sesión del CU `kmsuser` del clúster. Si ha cambiado la `kmsuser` contraseña para iniciar sesión en el clúster, también debe actualizar el valor de la contraseña del almacén de AWS CloudHSM claves. Para obtener ayuda, consulte [Cómo cerrar sesión y volver a conectar](#login-kmsuser-2).
+ `USER_NOT_FOUND`indica que AWS KMS no puede encontrar una cuenta `kmsuser` CU en el AWS CloudHSM clúster asociado. Para corregir este error, [cree una cuenta `kmsuser` CU](create-keystore.md#kmsuser-concept) en el clúster y, a continuación, [actualice el valor de la contraseña del almacén](update-keystore.md) de AWS CloudHSM claves del almacén de claves. Para obtener ayuda, consulte [Cómo arreglar las credenciales de `kmsuser` no válidas](#fix-keystore-password).

## Cómo responder ante un error de operación criptográfica
<a name="fix-keystore-communication"></a>

Una operación criptográfica que utiliza una clave de KMS en un almacén de claves personalizado puede dar un error `KMSInvalidStateException`. Los siguientes mensajes de error pueden acompañar al error `KMSInvalidStateException`.


|  | 
| --- |
| KMS no puede comunicarse con el clúster de CloudHSM. Esto puede ser un problema de red transitorio. Si ve este error repetidamente, compruebe que las reglas de red ACLs y del grupo de seguridad de la VPC del AWS CloudHSM clúster sean correctas. | 
+ Aunque se trata de un error HTTPS 400, puede deberse a problemas de red transitorios. Para responder, comience por volver a intentar la solicitud. Sin embargo, si continúa fallando, examine la configuración de los componentes de red. Este error es probablemente causado por la configuración incorrecta de un componente de red, como una regla de firewall o una regla de grupo de seguridad de VPC que bloquea el tráfico saliente. Por ejemplo, el KMS no puede comunicarse con AWS CloudHSM los IPv6 clústeres existentes. Para obtener más información sobre los requisitos previos, consulte [Crear un almacén de AWS CloudHSM claves](create-keystore.md).


|  | 
| --- |
| KMS no puede comunicarse con el AWS CloudHSM clúster porque el usuario kmsuser está bloqueado. Si ve este error repetidamente, desconecte el almacén de AWS CloudHSM claves y restablezca la contraseña de la cuenta kmsuser. Actualice la contraseña de kmsuser para el almacén de claves personalizado y pruebe a realizar la solicitud de nuevo. | 
+ Este mensaje de error indica que la [cuenta del usuario de criptografía (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) está bloqueada del clúster del AWS CloudHSM asociado porque se han realizado demasiados intentos fallidos de introducción de contraseña. Si desea ayuda para solucionar este error, consulte [Cómo desconectar e iniciar sesión](#login-kmsuser-1).

## Cómo arreglar las credenciales de `kmsuser` no válidas
<a name="fix-keystore-password"></a>

Al [conectar un almacén de AWS CloudHSM claves](connect-keystore.md), AWS KMS inicia sesión en el AWS CloudHSM clúster asociado como [usuario `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (CU). Permanece conectado hasta que se desconecte el almacén de AWS CloudHSM claves. La respuesta [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) muestra un `ConnectionState` de `FAILED` y un valor de `ConnectionErrorCode` de `INVALID_CREDENTIALS`, como se muestra en el siguiente ejemplo.

Si desconecta el almacén de AWS CloudHSM claves y cambia la `kmsuser` contraseña, AWS KMS no podrá iniciar sesión en el AWS CloudHSM clúster con las credenciales de la cuenta `kmsuser` CU. Como resultado, todos los intentos de conectar el almacén de AWS CloudHSM claves fallan. La respuesta `DescribeCustomKeyStores` muestra un `ConnectionState` de `FAILED` y un valor de `ConnectionErrorCode` de `INVALID_CREDENTIALS`, como se muestra en el siguiente ejemplo.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Además, después de 5 intentos de iniciar sesión en el clúster con una contraseña incorrecta, AWS CloudHSM bloquea la cuenta del usuario. Para iniciar sesión en el clúster, deberá cambiar la contraseña de la cuenta.

Si AWS KMS recibe una respuesta de bloqueo cuando intenta iniciar sesión en el clúster como `kmsuser` CU, se produce un error en la solicitud de conexión del almacén de AWS CloudHSM claves. La [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta incluye un valor `ConnectionState` de `FAILED` y un `ConnectionErrorCode` valor de`USER_LOCKED_OUT`, como se muestra en el siguiente ejemplo.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Para reparar cualquiera de estas condiciones use el procedimiento siguiente. 

1. [Desconecte el almacén de AWS CloudHSM claves](disconnect-keystore.md). 

1. Ejecute la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación y visualice el valor del `ConnectionErrorCode` elemento en la respuesta. 
   + Si el valor de `ConnectionErrorCode` es `INVALID_CREDENTIALS`, determine la contraseña actual para la cuenta de `kmsuser`. Si es necesario, use el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) en la CLI de CloudHSM para establecer la contraseña con un valor conocido.
   + Si el valor de `ConnectionErrorCode` es `USER_LOCKED_OUT`, deberá usar el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) en la CLI de CloudHSM para modificar la contraseña de `kmsuser`.

1. [Edite la configuración de la contraseña de `kmsuser`](update-keystore.md) para que coincida con la contraseña de `kmsuser` del clúster. Esta acción le dice a AWS KMS qué contraseña debe usar para iniciar sesión en el clúster. No cambia la contraseña de `kmsuser` en el clúster.

1. [Conecte el almacén de claves personalizado](connect-keystore.md).

## Cómo eliminar material de claves huérfano
<a name="fix-keystore-orphaned-key"></a>

Tras programar la eliminación de una clave de KMS de un almacén de AWS CloudHSM claves, es posible que tenga que eliminar manualmente el material de claves correspondiente del AWS CloudHSM clúster asociado. 

Al crear una clave de KMS en un almacén de AWS CloudHSM claves, AWS KMS crea los metadatos de la clave de KMS AWS KMS y genera el material de claves en el AWS CloudHSM clúster asociado. Al programar la eliminación de una clave de KMS de un almacén de AWS CloudHSM claves, tras el período de espera, se AWS KMS eliminan los metadatos de la clave de KMS. A continuación, AWS KMS hace todo lo posible por eliminar el material clave correspondiente del AWS CloudHSM clúster. El intento podría fallar si AWS KMS no se puede acceder al clúster, por ejemplo, cuando se desconecta del almacén de AWS CloudHSM claves o si se cambia la `kmsuser` contraseña. AWS KMS no intenta eliminar el material clave de las copias de seguridad del clúster.

AWS KMS informa de los resultados de su intento de eliminar el material clave del clúster en la entrada de `DeleteKey` eventos de sus AWS CloudTrail registros. Aparece en el elemento `backingKeysDeletionStatus` del elemento `additionalEventData`, tal y como se muestra en la siguiente entrada de ejemplo. La entrada también incluye el ARN de la clave KMS, el ID del AWS CloudHSM clúster y el ID (`backing-key-id`) del material clave.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Notas**  
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.  
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.

Los siguientes procedimientos muestran cómo eliminar el material clave huérfano del clúster asociado. AWS CloudHSM 

1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado, inicie [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), como se explica en[Cómo desconectar e iniciar sesión](#login-kmsuser-1).
**nota**  
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

1. Utilice el comando [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) de la CLI de CloudHSM para eliminar la clave HSMs del clúster.

   Todas las entradas de CloudTrail registro para operaciones criptográficas con una clave KMS en un almacén de AWS CloudHSM claves incluyen un `additionalEventData` campo con una y. `customKeyStoreId` `backingKey` El valor devuelto en el campo `backingKeyId` es el atributo `id` de clave de CloudHSM. Recomendamos filtrar la operación de **eliminación de claves** `id` para eliminar el material clave huérfano que identificó en sus CloudTrail registros.

   AWS CloudHSM reconoce el `backingKeyId` valor como un valor hexadecimal. Para filtrar por `id`, debe anexar el `backingKeyId` con `Ox`. Por ejemplo, si está `backingKeyId` en su CloudTrail registro`1a2b3c45678abcdef`, debe filtrar por`0x1a2b3c45678abcdef`.

   En el siguiente ejemplo, se elimina una clave HSMs del clúster. Se `backing-key-id` muestra en la entrada de CloudTrail registro. Antes de ejecutar este comando, reemplace el `backing-key-id` de ejemplo por uno válido de su cuenta.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Cierre la sesión y vuelva a conectar el almacén de AWS CloudHSM claves como se describe en[Cómo cerrar sesión y volver a conectar](#login-kmsuser-2).

## ¿Cómo recuperar el material de claves eliminado de una clave KMS?
<a name="fix-keystore-recover-backing-key"></a>

Si AWS KMS key se elimina el material clave de un, la clave de KMS no se puede utilizar y no se puede descifrar todo el texto cifrado con la clave de KMS. Esto puede suceder si el material clave de una clave KMS de un almacén de AWS CloudHSM claves se elimina del clúster asociado. AWS CloudHSM Sin embargo, el material de claves se puede recuperar.

Al crear una AWS KMS key (clave KMS) en un almacén de AWS CloudHSM claves, AWS KMS inicia sesión en el AWS CloudHSM clúster asociado y crea el material clave para la clave KMS. También cambia la contraseña por un valor que solo él conoce y permanece conectado mientras el almacén de AWS CloudHSM claves esté conectado. Como solo el propietario de la clave, es decir, la CU que creó la clave, puede eliminarla, es poco probable que la clave se borre HSMs accidentalmente. 

Sin embargo, si el material clave de una clave de KMS se elimina HSMs de un clúster, el estado de la clave de KMS finalmente cambia a`UNAVAILABLE`. Si intenta usar la clave de KMS para una operación criptográfica, la operación da error con una excepción `KMSInvalidStateException`. Lo más importante es que todos los datos cifrados con la clave KMS no pueden descifrarse.

Puede recuperar el material de claves eliminado, bajo determinadas circunstancias, [creando un clúster a partir de una copia de seguridad](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) que contenga el material de claves. Esta estrategia funciona únicamente si se creó al menos una copia de seguridad mientras existió la clave y antes de que se eliminara. 

Utilice el siguiente proceso para recuperar el material de claves.

1. Busque una copia de seguridad del clúster que incluya el material de claves. La copia de seguridad también debe incluir todos los usuarios y claves necesarios para respaldar el clúster y sus datos cifrados.

   Utilice la [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operación para enumerar las copias de seguridad de un clúster. A continuación, use la marca temporal de la copia de seguridad para seleccionar una copia de seguridad. Para limitar la salida al clúster asociado al almacén de AWS CloudHSM claves, utilice el `Filters` parámetro, como se muestra en el siguiente ejemplo. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Crear un clúster a partir de la copia de seguridad seleccionada](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Compruebe que la copia de seguridad contiene la clave eliminada y otros usuarios y claves necesarios para el clúster. 

1. [Desconecte el almacén de AWS CloudHSM claves](disconnect-keystore.md) para poder editar sus propiedades.

1. [Edite el ID de clúster](update-keystore.md) del almacén de AWS CloudHSM claves. Escriba el ID del clúster creado a partir de la copia de seguridad. Puesto que el clúster comparte un historial de copias de seguridad con el clúster original, el nuevo ID del clúster debería ser válido. 

1. [Vuelva a conectar el almacén de AWS CloudHSM claves.](connect-keystore.md)

## Cómo iniciar sesión como `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Para crear y administrar el material clave del AWS CloudHSM clúster para su almacén de AWS CloudHSM claves, AWS KMS utilice la [cuenta de usuario `kmsuser` criptográfico (CU)](keystore-cloudhsm.md#concept-kmsuser). Al [crear el almacén de AWS CloudHSM claves, debe crear la cuenta `kmsuser` CU](create-keystore.md#before-keystore) en el clúster y proporcionar su contraseña. AWS KMS 

En general, AWS KMS administra la `kmsuser` cuenta. Sin embargo, para algunas tareas, debe desconectar el almacén de AWS CloudHSM claves, iniciar sesión en el clúster como `kmsuser` CU y utilizar la [interfaz de línea de comandos (CLI) de CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).

**nota**  
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

En este tema se explica cómo [desconectar el almacén de AWS CloudHSM claves e iniciar sesión](#login-kmsuser-1) como`kmsuser`, ejecutar la herramienta de línea de AWS CloudHSM comandos, [cerrar sesión y volver a conectar AWS CloudHSM](#login-kmsuser-2) el almacén de claves.

**Topics**
+ [Cómo desconectar e iniciar sesión](#login-kmsuser-1)
+ [Cómo cerrar sesión y volver a conectar](#login-kmsuser-2)

### Cómo desconectar e iniciar sesión
<a name="login-kmsuser-1"></a>

Siga el siguiente procedimiento cada vez que deba iniciar sesión en un clúster asociado como usuario de criptografía de `kmsuser`.

**Notas**  
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.  
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.

1. Desconecte el almacén de AWS CloudHSM claves, si aún no está desconectado. Puede usar la AWS KMS consola o la AWS KMS API. 

   Mientras su AWS CloudHSM clave esté conectada, AWS KMS iniciará sesión como`kmsuser`. Esto evita que inicie sesión como `kmsuser` o que cambie la contraseña de `kmsuser`.

   Por ejemplo, este comando se utiliza [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)para desconectar un almacén de claves de ejemplo. Sustituya el ID del almacén de AWS CloudHSM claves del ejemplo por uno válido.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Ejecute el comando **login** para iniciar sesión como administrador. Utilice los procedimientos descritos en la sección [Uso de la CLI de CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) de la *Guía del usuario de AWS CloudHSM *.

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) de la CLI de CloudHSM para cambiar la contraseña de `kmsuser` la cuenta por una que conozca. (AWS KMS rota la contraseña al conectar el almacén de claves). AWS CloudHSM La contraseña debe contener entre 7 y 32 caracteres alfanuméricos, distingue entre mayúsculas y minúsculas, y no puede tener caracteres especiales.

1. Inicie sesión como `kmsuser` con la contraseña que haya establecido. Si desea leer instrucciones detalladas, consulte la sección [Uso de la CLI de CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) de la *Guía del usuario de AWS CloudHSM *.

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Cómo cerrar sesión y volver a conectar
<a name="login-kmsuser-2"></a>

Utilice el siguiente procedimiento cada vez que necesite cerrar sesión como usuario de criptografía de `kmsuser` y volver a conectar su almacén de claves.

**Notas**  
Los siguientes procedimientos utilizan la herramienta de línea de comandos AWS CloudHSM Client SDK 5, [CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). La CLI de CloudHSM reemplaza `key-handle` por `key-reference`.  
El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad de administración CloudHSM (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos Client SDK 3 y Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) en la *Guía del usuario de AWS CloudHSM *.

1. Realice la tarea y, a continuación, utilice el comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) de la CLI de CloudHSM para cerrar sesión. Si no cierra sesión, los intentos de volver a conectar el almacén de claves fallarán. AWS CloudHSM 

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Edite la configuración de la contraseña de `kmsuser`](update-keystore.md) para el almacén de claves personalizado. 

   Esto indica AWS KMS la contraseña actual `kmsuser` del clúster. Si omite este paso, no AWS KMS podrá iniciar sesión en el clúster como tal `kmsuser` y todos los intentos de volver a conectar el almacén de claves personalizado fallarán. Puede utilizar la AWS KMS consola o el `KeyStorePassword` parámetro de la [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación.

   Por ejemplo, este comando indica AWS KMS que la contraseña actual es`tempPassword`. Reemplace la contraseña de ejemplo por una real. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Vuelva a conectar el almacén de AWS KMS claves a su AWS CloudHSM clúster. Sustituya el ID del almacén de AWS CloudHSM claves de ejemplo por uno válido. Durante el proceso de conexión, AWS KMS cambia la `kmsuser` contraseña por un valor que solo él conozca.

   La [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación vuelve rápidamente, pero el proceso de conexión puede tardar mucho tiempo. La respuesta inicial no indica que el proceso de conexión se haya realizado correctamente.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación para comprobar que el almacén de AWS CloudHSM claves está conectado. Sustituya el ID del almacén de AWS CloudHSM claves del ejemplo por uno válido.

   En este ejemplo, el campo de estado de la conexión muestra que el almacén de AWS CloudHSM claves ya está conectado.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```