Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# AWS CloudHSM toko-toko utama
<a name="keystore-cloudhsm"></a>

Toko AWS CloudHSM kunci adalah [toko kunci khusus](key-store-overview.md#custom-key-store-overview) yang didukung oleh [AWS CloudHSM cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Saat Anda membuat AWS KMS key di penyimpanan kunci khusus, buat dan simpan materi AWS KMS kunci yang tidak dapat diekstraksi untuk kunci KMS dalam AWS CloudHSM klaster yang Anda miliki dan kelola. Bila Anda menggunakan kunci KMS di toko kunci kustom, [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dilakukan di HSMs dalam cluster. Fitur ini menggabungkan kenyamanan dan integrasi luas AWS KMS dengan kontrol tambahan AWS CloudHSM cluster di Anda Akun AWS. 

AWS KMS menyediakan konsol lengkap dan dukungan API untuk membuat, menggunakan, dan mengelola toko kunci kustom Anda. Anda dapat menggunakan kunci KMS di toko kunci kustom Anda dengan cara yang sama seperti Anda menggunakan kunci KMS apa pun. Misalnya, Anda dapat menggunakan kunci KMS untuk menghasilkan kunci data dan mengenkripsi data. Anda juga dapat menggunakan kunci KMS di toko kunci kustom Anda dengan AWS layanan yang mendukung kunci yang dikelola pelanggan.

**Apakah saya memerlukan toko kunci khusus?**

Bagi sebagian besar pengguna, penyimpanan AWS KMS kunci default, yang dilindungi oleh [modul kriptografi tervalidasi FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), memenuhi persyaratan keamanan mereka. Tidak perlu menambahkan lapisan tambahan dari tanggung jawab pemeliharaan atau dependensi pada layanan tambahan. 

Namun, Anda dapat mempertimbangkan untuk membuat penyimpanan kunci kustom jika organisasi Anda memiliki salah satu persyaratan berikut:
+ Anda memiliki kunci yang secara eksplisit diperlukan untuk dilindungi dalam HSM penyewa tunggal atau dalam HSM yang Anda memiliki kendali langsung atas.
+ Anda membutuhkan kemampuan untuk segera menghapus materi kunci dari AWS KMS.
+ Anda harus dapat mengaudit semua penggunaan kunci Anda secara independen dari AWS KMS atau AWS CloudTrail.

**Bagaimana cara kerja toko kunci khusus?**

Setiap toko kunci khusus dikaitkan dengan AWS CloudHSM cluster di Anda Akun AWS. Saat Anda menghubungkan penyimpanan kunci khusus ke klasternya, AWS KMS buat infrastruktur jaringan untuk mendukung koneksi. Kemudian masuk ke AWS CloudHSM klien kunci di cluster menggunakan kredensyal [pengguna crypto khusus](#concept-kmsuser) di cluster.

Anda membuat dan mengelola toko kunci kustom Anda di AWS KMS dan membuat dan mengelola klaster HSM Anda di. AWS CloudHSM Saat Anda membuat AWS KMS keys di toko kunci AWS KMS khusus, Anda melihat dan mengelola kunci KMS di AWS KMS. Tetapi Anda juga dapat melihat dan mengelola material kunci di AWS CloudHSM, seperti yang akan Anda lakukan untuk kunci lain dalam klaster.

![\[Mengelola kunci KMS di toko kunci khusus\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/kms-hsm-view.png)


Anda dapat [membuat kunci KMS enkripsi simetris](create-cmk-keystore.md) dengan materi kunci yang dihasilkan oleh AWS KMS di toko kunci kustom Anda. Kemudian gunakan teknik yang sama untuk melihat dan mengelola kunci KMS di toko kunci kustom Anda yang Anda gunakan untuk kunci KMS di toko AWS KMS kunci. Anda dapat mengontrol akses dengan IAM dan kebijakan kunci, membuat tag dan alias, mengaktifkan dan menonaktifkan kunci KMS, dan menjadwalkan penghapusan kunci. Anda dapat menggunakan kunci KMS untuk [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dan menggunakannya dengan AWS layanan yang terintegrasi dengannya. AWS KMS

Selain itu, Anda memiliki kontrol penuh atas AWS CloudHSM cluster, termasuk membuat dan menghapus HSMs dan mengelola cadangan. Anda dapat menggunakan AWS CloudHSM klien dan pustaka perangkat lunak yang didukung untuk melihat, mengaudit, dan mengelola materi utama untuk kunci KMS Anda. Sementara toko kunci khusus terputus, AWS KMS tidak dapat mengaksesnya, dan pengguna tidak dapat menggunakan kunci KMS di toko kunci khusus untuk operasi kriptografi. Lapisan kontrol tambahan ini membuat penyimpanan kunci kustom menjadi solusi yang ampuh untuk organisasi yang memerlukannya.

**Di mana saya mulai?**

Untuk membuat dan mengelola toko AWS CloudHSM kunci, Anda menggunakan fitur AWS KMS dan AWS CloudHSM.

1. Mulai masuk AWS CloudHSM. [Buat klaster AWS CloudHSM aktif](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) atau pilih klaster yang ada. Cluster harus memiliki setidaknya dua yang aktif HSMs di Availability Zone yang berbeda. Kemudian buat [akun pengguna kripto (CU) khusus](#concept-kmsuser) di klaster tersebut untuk AWS KMS. 

1. Di AWS KMS, [buat penyimpanan kunci khusus](create-keystore.md) yang terkait dengan AWS CloudHSM cluster yang Anda pilih. AWS KMS menyediakan antarmuka manajemen lengkap yang memungkinkan Anda membuat, melihat, mengedit, dan menghapus toko kunci kustom Anda.

1. Saat Anda siap menggunakan toko kunci kustom Anda, [sambungkan ke AWS CloudHSM klaster terkait](connect-keystore.md). AWS KMS menciptakan infrastruktur jaringan yang dibutuhkan untuk mendukung koneksi. Ini kemudian login ke klaster menggunakan kredensial akun pengguna kripto khusus sehingga dapat menghasilkan dan mengelola material kunci dalam klaster.

1. Sekarang, Anda dapat [membuat kunci KMS enkripsi simetris di toko kunci khusus Anda](create-cmk-keystore.md). Cukup tentukan toko kunci khusus saat Anda membuat kunci KMS.

Jika Anda bingung pada suatu titik, Anda dapat menemukan bantuan di topik [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md). Jika pertanyaan Anda tidak terjawab, gunakan tautan umpan balik di bagian bawah setiap halaman panduan ini atau posting pertanyaan di [Forum Diskusi AWS Key Management Service](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Kuota**

AWS KMS memungkinkan hingga [10 toko kunci khusus](resource-limits.md) di masing-masing Akun AWS dan Wilayah, termasuk toko utama dan [toko AWS CloudHSM kunci](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) [eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), terlepas dari status koneksi mereka. Selain itu, ada kuota AWS KMS permintaan tentang [penggunaan kunci KMS di toko AWS CloudHSM kunci](requests-per-second.md#rps-key-stores).

**Harga**

Untuk informasi tentang biaya toko kunci AWS KMS khusus dan kunci yang dikelola pelanggan di toko kunci kustom, lihat [AWS Key Management Service harga](https://aws.amazon.com/kms/pricing/). Untuk informasi tentang biaya AWS CloudHSM cluster dan HSMs, lihat [AWS CloudHSM Harga](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Daerah**

AWS KMS mendukung toko-toko AWS CloudHSM utama di semua Wilayah AWS tempat yang AWS KMS didukung, kecuali untuk Asia Pasifik (Melbourne), Tiongkok (Beijing), Tiongkok (Ningxia), dan Eropa (Spanyol).

**Fitur yang tidak didukung**

AWS KMS tidak mendukung fitur berikut di toko kunci khusus.
+ [Tombol Asymmetric KMS](symmetric-asymmetric.md)
+ [Kunci HMAC KMS](hmac.md)
+ [Kunci KMS dengan bahan kunci impor](importing-keys.md)
+ [Rotasi kunci otomatis](rotate-keys.md)
+ [Kunci Multi-Region](multi-region-keys-overview.md)

## AWS CloudHSM konsep toko utama
<a name="hsm-key-store-concepts"></a>

Topik ini menjelaskan beberapa istilah dan konsep yang digunakan di toko-toko AWS CloudHSM utama.

### AWS CloudHSM toko kunci
<a name="concept-hsm-key-store"></a>

*Toko AWS CloudHSM kunci adalah toko* [kunci khusus](key-store-overview.md#custom-key-store-overview) yang terkait dengan AWS CloudHSM cluster yang Anda miliki dan kelola. AWS CloudHSM cluster didukung oleh modul keamanan perangkat keras (HSMs) yang disertifikasi di [FIPS 140-2 atau FIPS 140-3Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html).

Saat Anda membuat kunci KMS di toko kunci Anda, AWS KMS buat AWS CloudHSM kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkait. AWS CloudHSM Materi kunci ini tidak pernah meninggalkan Anda yang HSMs tidak terenkripsi. Bila Anda menggunakan kunci KMS di toko AWS CloudHSM kunci, operasi kriptografi dilakukan di HSMs dalam cluster. 

AWS CloudHSM toko utama menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kontrol tambahan yang disediakan oleh AWS CloudHSM cluster di Anda Akun AWS. Fitur terintegrasi ini memungkinkan Anda membuat, mengelola, dan menggunakan kunci KMS AWS KMS sambil mempertahankan kontrol penuh dari HSMs yang menyimpan materi utama mereka, termasuk mengelola cluster, HSMs, dan backup. Anda dapat menggunakan AWS KMS konsol dan APIs mengelola toko AWS CloudHSM kunci dan kunci KMS-nya. Anda juga dapat menggunakan AWS CloudHSM konsol, perangkat lunak klien APIs, dan pustaka perangkat lunak terkait untuk mengelola klaster terkait.

Anda dapat [melihat dan mengelola](view-keystore.md) toko AWS CloudHSM kunci Anda, [mengedit propertinya](update-keystore.md), dan [menghubungkan](connect-keystore.md) dan [memutusnya](disconnect-keystore.md) dari AWS CloudHSM klaster terkait. Jika Anda perlu [menghapus toko AWS CloudHSM kunci](delete-keystore.md#delete-keystore-console), Anda harus terlebih dahulu menghapus kunci KMS di toko AWS CloudHSM kunci dengan menjadwalkan penghapusan mereka dan menunggu sampai masa tenggang berakhir. Menghapus penyimpanan AWS CloudHSM kunci menghapus sumber daya dari AWS KMS, tetapi itu tidak mempengaruhi AWS CloudHSM cluster Anda.

### AWS CloudHSM kluster
<a name="concept-cluster"></a>

Setiap toko AWS CloudHSM kunci dikaitkan dengan satu *AWS CloudHSM cluster*. Saat Anda membuat AWS KMS key di toko AWS CloudHSM kunci Anda, AWS KMS buat materi kuncinya di cluster terkait. Ketika Anda menggunakan kunci KMS di toko AWS CloudHSM kunci Anda, operasi kriptografi dilakukan di cluster terkait.

Setiap AWS CloudHSM cluster dapat dikaitkan dengan hanya satu penyimpanan AWS CloudHSM kunci. Cluster yang Anda pilih tidak dapat dikaitkan dengan penyimpanan AWS CloudHSM kunci lain atau berbagi riwayat cadangan dengan cluster yang terkait dengan penyimpanan AWS CloudHSM kunci lain. Cluster harus diinisialisasi dan aktif, dan harus sama Akun AWS dan Region sebagai penyimpanan AWS CloudHSM kunci. Anda dapat membuat cluster baru atau menggunakan yang sudah ada. AWS KMS tidak perlu penggunaan cluster secara eksklusif. Untuk membuat kunci KMS di toko AWS CloudHSM kunci, cluster terkait itu harus berisi setidaknya dua aktif HSMs. Semua operasi lain hanya memerlukan satu HSM.

Anda menentukan AWS CloudHSM cluster saat Anda membuat penyimpanan AWS CloudHSM kunci, dan Anda tidak dapat mengubahnya. Namun, Anda dapat mengganti setiap klaster yang berbagi riwayat cadangan dengan klaster asli. Hal ini memungkinkan Anda menghapus klaster, jika perlu, dan menggantinya dengan klaster yang dibuat dari salah satu cadangan. Anda mempertahankan kontrol penuh atas AWS CloudHSM klaster terkait sehingga Anda dapat mengelola pengguna dan kunci, membuat dan menghapus HSMs, serta menggunakan dan mengelola cadangan. 

Ketika Anda siap untuk menggunakan toko AWS CloudHSM kunci Anda, Anda menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutus penyimpanan kunci kustom Anda kapan saja. Ketika toko kunci khusus terhubung, Anda dapat membuat dan menggunakan kunci KMS-nya. Ketika terputus, Anda dapat melihat dan mengelola toko AWS CloudHSM kunci dan kunci KMS-nya. Tetapi Anda tidak dapat membuat kunci KMS baru atau menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi.

### Pengguna kripto `kmsuser`
<a name="concept-kmsuser"></a>

Untuk membuat dan mengelola materi utama di AWS CloudHSM klaster terkait atas nama Anda, AWS KMS gunakan *[pengguna AWS CloudHSM kripto](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) khusus (CU)* di cluster bernama`kmsuser`. `kmsuser`CU adalah akun CU standar yang secara otomatis disinkronkan ke semua HSMs di cluster dan disimpan dalam cadangan cluster. 

Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda [membuat akun `kmsuser` CU](create-keystore.md#before-keystore) di AWS CloudHSM cluster Anda menggunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) di CloudHSM CLI. Kemudian ketika Anda [membuat toko AWS CloudHSM kunci](create-keystore.md), Anda memberikan kata sandi `kmsuser` akun ke AWS KMS. Saat Anda [menghubungkan toko kunci khusus](connect-keystore.md), AWS KMS masuk ke cluster sebagai `kmsuser` CU dan memutar kata sandinya. AWS KMS mengenkripsi `kmsuser` kata sandi Anda sebelum menyimpannya dengan aman. Ketika kata sandi diputar, kata sandi baru dienkripsi dan disimpan dengan cara yang sama.

AWS KMS tetap masuk `kmsuser` selama toko AWS CloudHSM kunci terhubung. Anda tidak boleh menggunakan akun CU ini untuk tujuan lain. Namun, Anda mempertahankan kontrol tertinggi dari akun CU `kmsuser`. Kapan saja, Anda dapat [menemukan kunci yang](find-key-material.md) `kmsuser` dimilikinya. Jika perlu, Anda dapat [memutuskan koneksi penyimpanan kunci kustom](disconnect-keystore.md), mengubah kata sandi `kmsuser`,[login ke klaster sebagai `kmsuser`](fix-keystore.md#fix-login-as-kmsuser), serta melihat dan mengelola kunci yang dimiliki `kmsuser`.

Untuk petunjuk tentang cara membuat akun CU `kmsuser` Anda, lihat [Membuat Pengguna Kripto `kmsuser`](create-keystore.md#before-keystore).

### Kunci KMS di toko AWS CloudHSM kunci
<a name="concept-cmk-key-store"></a>

Anda dapat menggunakan AWS KMS API AWS KMS atau untuk membuat AWS KMS keys di toko AWS CloudHSM kunci. Anda menggunakan teknik yang sama yang akan Anda gunakan pada kunci KMS apa pun. Satu-satunya perbedaan adalah Anda harus mengidentifikasi penyimpanan AWS CloudHSM kunci dan menentukan bahwa asal bahan utama adalah AWS CloudHSM cluster. 

Saat Anda [membuat kunci KMS di penyimpanan kunci, buat AWS CloudHSM kunci](create-cmk-keystore.md) KMS AWS KMS dan itu menghasilkan AWS KMS materi kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkaitnya. Ketika Anda menggunakan AWS KMS kunci dalam operasi kriptografi, operasi dilakukan di AWS CloudHSM cluster menggunakan kunci AES berbasis cluster. Meskipun AWS CloudHSM mendukung kunci simetris dan asimetris dari berbagai jenis, toko AWS CloudHSM kunci hanya mendukung kunci enkripsi simetris AES.

Anda dapat melihat kunci KMS di penyimpanan AWS CloudHSM kunci di AWS KMS konsol, dan menggunakan opsi konsol untuk menampilkan ID penyimpanan kunci khusus. Anda juga dapat menggunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi untuk menemukan ID penyimpanan AWS CloudHSM kunci dan ID AWS CloudHSM cluster.

Kunci KMS di toko AWS CloudHSM kunci berfungsi seperti kunci KMS apa pun. AWS KMS Pengguna yang berwenang memerlukan izin yang sama untuk menggunakan dan mengelola kunci KMS. Anda menggunakan prosedur konsol dan operasi API yang sama untuk melihat dan mengelola kunci KMS di penyimpanan AWS CloudHSM kunci. Ini termasuk mengaktifkan dan menonaktifkan kunci KMS, membuat dan menggunakan tag dan alias, dan mengatur dan mengubah IAM dan kebijakan utama. Anda dapat menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi, dan menggunakannya dengan [AWS layanan terintegrasi](service-integration.md) yang mendukung penggunaan kunci yang dikelola pelanggan Namun, Anda tidak dapat mengaktifkan [rotasi kunci otomatis](rotate-keys.md) atau [mengimpor bahan kunci](importing-keys.md) ke kunci KMS di toko kunci. AWS CloudHSM 

Anda juga menggunakan proses yang sama untuk [menjadwalkan penghapusan](deleting-keys.md#delete-cmk-keystore) kunci KMS di toko kunci. AWS CloudHSM Setelah masa tunggu berakhir, AWS KMS hapus kunci KMS dari KMS. Kemudian itu membuat upaya terbaik untuk menghapus materi kunci untuk kunci KMS dari AWS CloudHSM cluster terkait. Namun, Anda mungkin perlu secara manual [menghapus material kunci tanpa induk](fix-keystore.md#fix-keystore-orphaned-key) dari klaster dan cadangannya.

# Kontrol akses ke toko AWS CloudHSM kunci Anda
<a name="authorize-key-store"></a>

Anda menggunakan kebijakan IAM untuk mengontrol akses ke penyimpanan AWS CloudHSM kunci dan AWS CloudHSM klaster Anda. Anda dapat menggunakan kebijakan utama, kebijakan IAM, dan hibah untuk mengontrol akses ke toko AWS KMS keys AWS CloudHSM kunci Anda. Sebaiknya Anda menyediakan pengguna, grup, dan peran izin yang hanya mereka perlukan untuk tugas-tugas yang sangat mungkin akan mereka lakukan.

Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Anda. Akun AWS Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2](authorize-kms.md).

Saat mendesain toko AWS CloudHSM kunci Anda, pastikan bahwa kepala sekolah yang menggunakan dan mengelolanya hanya memiliki izin yang mereka butuhkan. Daftar berikut menjelaskan izin minimum yang diperlukan untuk pengelola dan pengguna toko AWS CloudHSM utama.
+ Prinsipal yang membuat dan mengelola toko AWS CloudHSM kunci Anda memerlukan izin berikut untuk menggunakan operasi API penyimpanan AWS CloudHSM kunci.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ Prinsipal yang membuat dan mengelola AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda memerlukan izin untuk membuat dan menginisialisasi cluster. AWS CloudHSM Ini termasuk izin untuk membuat atau menggunakan Amazon Virtual Private Cloud (VPC), membuat subnet, dan membuat instance Amazon. EC2 Mereka mungkin juga perlu membuat dan menghapus HSMs, dan mengelola cadangan. Untuk daftar izin yang diperlukan, lihat [Identitas dan manajemen akses AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) di *Panduan AWS CloudHSM Pengguna*.
+ Prinsipal yang membuat dan mengelola AWS KMS keys di toko AWS CloudHSM kunci Anda memerlukan [izin yang sama dengan](create-keys.md#create-key-permissions) mereka yang membuat dan mengelola kunci KMS apa pun. AWS KMS[Kebijakan kunci default](key-policy-default.md) untuk kunci KMS di penyimpanan AWS CloudHSM kunci identik dengan kebijakan kunci default untuk kunci KMS di. AWS KMS[Attribute-based access control](abac.md) (ABAC), yang menggunakan tag dan alias untuk mengontrol akses ke kunci KMS, juga efektif pada kunci KMS di toko-toko utama. AWS CloudHSM 
+ [Prinsipal yang menggunakan kunci KMS di toko AWS CloudHSM kunci Anda untuk operasi kriptografi memerlukan izin untuk melakukan [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dengan kunci KMS, seperti KMS: Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Anda dapat memberikan izin ini dalam kebijakan utama, kebijakan IAM. Tapi, mereka tidak memerlukan izin tambahan untuk menggunakan kunci KMS di toko AWS CloudHSM kunci.

# Buat toko AWS CloudHSM kunci
<a name="create-keystore"></a>

Anda dapat membuat satu atau beberapa toko AWS CloudHSM utama di akun Anda. Setiap toko AWS CloudHSM kunci dikaitkan dengan satu AWS CloudHSM cluster di wilayah Akun AWS dan yang sama. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda perlu [merakit prasyarat](#before-keystore). Kemudian, sebelum Anda dapat menggunakan toko AWS CloudHSM kunci Anda, Anda harus [menghubungkannya](connect-keystore.md) ke AWS CloudHSM klasternya.

**Catatan**  
KMS tidak dapat berkomunikasi IPv6 dengan toko-toko AWS CloudHSM utama.  
Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci *terputus* yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM .   
Anda tidak harus segera menghubungkan toko AWS CloudHSM kunci Anda. Anda dapat membiarkannya dalam keadaan terputus sampai Anda siap menggunakannya. Namun, untuk memverifikasi bahwa itu dikonfigurasi dengan benar, Anda mungkin ingin [menghubungkannya](connect-keystore.md), [melihat status koneksinya](view-keystore.md), dan kemudian [memutuskannya](disconnect-keystore.md).

**Topics**
+ [Memasang prasyarat](#before-keystore)
+ [Buat toko AWS CloudHSM kunci baru](#create-hsm-keystore)

## Memasang prasyarat
<a name="before-keystore"></a>

Setiap toko AWS CloudHSM kunci didukung oleh sebuah AWS CloudHSM cluster. Untuk membuat penyimpanan AWS CloudHSM kunci, Anda harus menentukan AWS CloudHSM cluster aktif yang belum dikaitkan dengan penyimpanan kunci lain. Anda juga perlu membuat pengguna kripto khusus (CU) di cluster HSMs yang AWS KMS dapat digunakan untuk membuat dan mengelola kunci atas nama Anda.

Sebelum Anda membuat toko AWS CloudHSM kunci, lakukan hal berikut:

**Pilih AWS CloudHSM klaster**  
Setiap toko AWS CloudHSM kunci [dikaitkan dengan tepat satu AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Saat Anda membuat AWS KMS keys di toko AWS CloudHSM kunci, AWS KMS buat metadata kunci KMS, seperti ID dan Nama Sumber Daya Amazon (ARN) di. AWS KMS Kemudian menciptakan materi kunci di HSMs cluster terkait. Anda dapat [membuat AWS CloudHSM cluster baru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) atau menggunakan yang sudah ada. AWS KMS tidak memerlukan akses eksklusif ke cluster.  
 AWS CloudHSM Cluster yang Anda pilih secara permanen terkait dengan penyimpanan AWS CloudHSM kunci. Setelah Anda membuat penyimpanan AWS CloudHSM kunci, Anda dapat [mengubah ID cluster](update-keystore.md) dari cluster terkait, tetapi cluster yang Anda tentukan harus berbagi riwayat cadangan dengan cluster asli. Untuk menggunakan cluster yang tidak terkait, Anda perlu membuat toko AWS CloudHSM kunci baru.  
 AWS CloudHSM Cluster yang Anda pilih harus memiliki karakteristik sebagai berikut:  
+ **Klaster harus aktif**. 

  Anda harus membuat cluster, menginisialisasi, menginstal perangkat lunak AWS CloudHSM klien untuk platform Anda, dan kemudian mengaktifkan cluster. Untuk petunjuk terperinci, lihat [Memulai AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) di *Panduan AWS CloudHSM Pengguna*.
+ **Mutual TLS (mTLS) tidak diaktifkan.** 

  KMS tidak mendukung mTL untuk cluster. Pengaturan ini tidak boleh diaktifkan.
+ **Cluster harus berada di akun dan Wilayah yang sama** dengan penyimpanan AWS CloudHSM kunci. Anda tidak dapat mengaitkan penyimpanan AWS CloudHSM kunci di satu Wilayah dengan klaster di Wilayah yang berbeda. Untuk membuat infrastruktur utama di beberapa Wilayah, Anda harus membuat penyimpanan dan klaster AWS CloudHSM utama di setiap Wilayah.
+ **Cluster tidak dapat dikaitkan dengan penyimpanan kunci khusus lain** di akun dan Wilayah yang sama. Setiap penyimpanan AWS CloudHSM kunci di akun dan Wilayah harus dikaitkan dengan AWS CloudHSM cluster yang berbeda. Anda tidak dapat menentukan klaster yang sudah dikaitkan dengan penyimpanan kunci kustom atau klaster yang berbagi riwayat pencadangan dengan klaster yang dikaitkan. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat cluster cluster, gunakan AWS CloudHSM konsol atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi.

  Jika Anda [mencadangkan AWS CloudHSM kluster ke Wilayah yang berbeda](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), itu dianggap sebagai klaster yang berbeda, dan Anda dapat mengaitkan cadangan dengan penyimpanan kunci khusus di Wilayahnya. Namun, kunci KMS di dua toko kunci khusus tidak dapat dioperasikan, bahkan jika mereka memiliki kunci dukungan yang sama. AWS KMS mengikat metadata ke ciphertext sehingga dapat didekripsi hanya dengan kunci KMS yang mengenkripsi itu.
+ Klaster harus dikonfigurasi dengan [subnet privat](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) dalam **minimal dua Availability Zone** di Wilayah tersebut. Karena tidak AWS CloudHSM didukung di semua Availability Zone, kami sarankan Anda membuat subnet pribadi di semua Availability Zone di wilayah tersebut. Anda tidak dapat mengonfigurasi ulang subnet untuk klaster yang ada, tetapi Anda dapat [membuat sebuah klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dengan subnet yang berbeda dalam konfigurasi klaster.
**penting**  
Setelah Anda membuat toko AWS CloudHSM kunci Anda, jangan hapus salah satu subnet pribadi yang dikonfigurasi untuk AWS CloudHSM klasternya. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk [terhubung ke penyimpanan kunci kustom](connect-keystore.md) gagal dengan status kesalahan `SUBNET_NOT_FOUND` koneksi. Lihat perinciannya di [Cara memperbaiki kegagalan koneksi](fix-keystore.md#fix-keystore-failed).
+ [Grup keamanan untuk cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) harus menyertakan aturan masuk dan aturan keluar yang memungkinkan lalu lintas TCP berakhir IPv4, pada port 2223-2225. **Sumber** dalam aturan masuk dan **Tujuan** dalam aturan keluar harus sesuai dengan ID grup keamanan. Aturan ini ditetapkan secara default saat Anda membuat klaster. Jangan menghapus atau mengubah aturan tersebut.
+ **Cluster harus berisi setidaknya dua aktif HSMs** di Availability Zone yang berbeda. Untuk memverifikasi jumlah HSMs, gunakan AWS CloudHSM konsol atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Jika perlu, Anda dapat [menambahkan HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Temukan sertifikat jangkar tepercaya**  
Saat membuat penyimpanan kunci khusus, Anda harus mengunggah sertifikat jangkar kepercayaan untuk AWS CloudHSM AWS KMS klaster. AWS KMS membutuhkan sertifikat jangkar kepercayaan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkaitnya.  
Setiap AWS CloudHSM cluster aktif memiliki *sertifikat jangkar kepercayaan*. Ketika [menginisialisasi klaster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), Anda menghasilkan sertifikat ini, menyimpannya dalam file `customerCA.crt`, dan menyalinnya ke host yang terhubung ke klaster.

**Buat pengguna `kmsuser` crypto untuk AWS KMS**  <a name="kmsuser-concept"></a>
Untuk mengelola toko AWS CloudHSM kunci Anda, masuk AWS KMS ke akun [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) (CU) di klaster yang dipilih. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda harus membuat `kmsuser` CU. Kemudian ketika Anda membuat toko AWS CloudHSM kunci Anda, Anda memberikan kata sandi `kmsuser` untuk AWS KMS. Setiap kali Anda menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster terkait AWS KMS , masuk sebagai `kmsuser` dan memutar kata sandi `kmsuser`   
Jangan menentukan opsi `2FA` saat Anda membuat CU `kmsuser`. Jika Anda melakukannya, AWS KMS tidak dapat masuk dan toko AWS CloudHSM kunci Anda tidak dapat terhubung ke AWS CloudHSM cluster ini. Setelah Anda menentukan 2FA, Anda tidak dapat membatalkannya. Sebaliknya, Anda harus menghapus CU dan membuatnya ulang.
**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

1. *Ikuti prosedur memulai seperti yang dijelaskan dalam topik [Memulai dengan CloudHSM Command Line Interface (CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html)) dari Panduan Pengguna.AWS CloudHSM *

1. Gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) untuk membuat CU bernama`kmsuser`.

   Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.

   Contoh perintah berikut menciptakan `kmsuser` CU. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Buat toko AWS CloudHSM kunci baru
<a name="create-hsm-keystore"></a>

Setelah [merakit prasyarat](#before-keystore), Anda dapat membuat toko AWS CloudHSM kunci baru di AWS KMS konsol atau dengan menggunakan operasi. [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)

### Menggunakan AWS KMS konsol
<a name="create-keystore-console"></a>

Saat Anda membuat penyimpanan AWS CloudHSM kunci di Konsol Manajemen AWS, Anda dapat menambahkan dan membuat [prasyarat](#before-keystore) sebagai bagian dari alur kerja Anda. Namun, prosesnya lebih cepat saat Anda merakitnya terlebih dahulu.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih **Buat toko kunci**.

1. Masukkan nama yang mudah diingat untuk penyimpanan kunci kustom. Nama harus unik di antara semua toko kunci khusus di akun Anda.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

1. [Pilih AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster) untuk penyimpanan AWS CloudHSM kunci. Atau, untuk membuat AWS CloudHSM cluster baru, pilih link **Create an AWS CloudHSM cluster**.

   Menu menampilkan AWS CloudHSM cluster di akun dan wilayah Anda yang belum dikaitkan dengan toko AWS CloudHSM kunci. Klaster harus [memenuhi persyaratan](#before-keystore) untuk asosiasi dengan penyimpanan kunci kustom. 

1. Pilih **Pilih file**, lalu unggah sertifikat jangkar kepercayaan untuk AWS CloudHSM klaster yang Anda pilih. Ini adalah file `customerCA.crt` yang Anda buat saat Anda [menginisialisasi klaster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Masukkan kata sandi dari [pengguna kripto (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) yang Anda buat dalam klaster yang dipilih. 

1. Pilih **Buat**.

Ketika prosedur berhasil, toko AWS CloudHSM kunci baru muncul di daftar toko AWS CloudHSM utama di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci *terputus* yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM . 

**Berikutnya**: Toko AWS CloudHSM kunci baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko AWS CloudHSM kunci, Anda harus [menghubungkan toko kunci khusus](connect-keystore.md) ke AWS CloudHSM cluster terkait.

### Menggunakan AWS KMS API
<a name="create-keystore-api"></a>

Anda dapat menggunakan [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operasi untuk membuat toko AWS CloudHSM kunci baru yang terkait dengan AWS CloudHSM cluster di akun dan Wilayah. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Operasi `CreateCustomKeyStore` memerlukan nilai parameter berikut.
+ CustomKeyStoreName — Nama ramah untuk toko kunci khusus yang unik di akun.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.
+ CloudHsmClusterId — ID cluster AWS CloudHSM cluster yang [memenuhi persyaratan](#before-keystore) untuk penyimpanan AWS CloudHSM kunci.
+ KeyStorePassword — Kata sandi akun `kmsuser` CU di cluster yang ditentukan. 
+ TrustAnchorCertificate — Isi `customerCA.crt` file yang Anda buat saat Anda [menginisialisasi cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

Contoh berikut menggunakan ID klaster fiktif. Sebelum menjalankan perintah, ganti dengan ID klaster yang valid.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Jika Anda menggunakan AWS CLI, Anda dapat menentukan file sertifikat jangkar kepercayaan, bukan isinya. Dalam contoh berikut, file `customerCA.crt` tidak berada dalam direktori akar.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Saat operasi berhasil, `CreateCustomKeyStore` mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci *terputus* yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM . 

**Berikutnya**: Untuk menggunakan toko AWS CloudHSM kunci, [hubungkan ke AWS CloudHSM klaster nya](connect-keystore.md).

# Lihat toko AWS CloudHSM kunci
<a name="view-keystore"></a>

Anda dapat melihat toko AWS CloudHSM utama di setiap akun dan Wilayah dengan menggunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. 

## Menggunakan AWS KMS konsol
<a name="view-keystore-console"></a>

Ketika Anda melihat toko-toko AWS CloudHSM utama di Konsol Manajemen AWS, Anda dapat melihat yang berikut:
+ Nama dan ID toko kunci kustom
+ ID AWS CloudHSM klaster terkait
+ Jumlah HSMs dalam cluster
+ Status koneksi saat ini

Nilai status koneksi (**Status**) dari **Terputus** menunjukkan bahwa penyimpanan kunci khusus baru dan belum pernah terhubung, atau sengaja terputus [dari klasternya](disconnect-keystore.md). AWS CloudHSM Namun, jika upaya Anda untuk menggunakan kunci KMS di penyimpanan kunci kustom yang terhubung gagal, itu mungkin menunjukkan masalah dengan penyimpanan kunci khusus atau AWS CloudHSM klasternya. Untuk bantuan, lihat [Cara memperbaiki kunci KMS yang gagal](fix-keystore.md#fix-cmk-failed).

Untuk melihat toko AWS CloudHSM utama di akun dan Wilayah tertentu, gunakan prosedur berikut.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

Untuk menyesuaikan tampilan, klik ikon roda gigi yang muncul di bawah tombol **Buat penyimpanan kunci**.

## Menggunakan AWS KMS API
<a name="view-keystore-api"></a>

Untuk melihat toko AWS CloudHSM utama Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi output ke penyimpanan kunci kustom tertentu. Untuk penyimpanan AWS CloudHSM kunci, output terdiri dari ID dan nama penyimpanan kunci kustom, jenis penyimpanan kunci kustom, ID AWS CloudHSM cluster terkait, dan status koneksi. Jika status koneksi menunjukkan kesalahan, output juga menyertakan kode kesalahan yang menjelaskan alasan kesalahan.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Misalnya, perintah berikut mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Anda dapat menggunakan parameter `Limit` dan `Marker` ke halaman melalui penyimpanan kunci kustom dalam output.

```
$ aws kms describe-custom-key-stores
```

Contoh perintah berikut menggunakan parameter `CustomKeyStoreName` untuk mendapatkan hanya penyimpanan kunci kustom dengan nama `ExampleCloudHSMKeyStore` yang mudah diingat. Anda dapat menggunakan parameter `CustomKeyStoreName` atau `CustomKeyStoreId` (tetapi tidak keduanya) di setiap perintah.

Contoh output berikut merupakan penyimpanan AWS CloudHSM kunci yang terhubung ke AWS CloudHSM cluster nya.

**catatan**  
`CustomKeyStoreType`Bidang ditambahkan ke `DescribeCustomKeyStores` respons untuk membedakan toko AWS CloudHSM kunci dari toko kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

A `ConnectionState` `Disconnected` menunjukkan bahwa toko kunci khusus tidak pernah terhubung atau sengaja terputus [dari klasternya AWS CloudHSM](disconnect-keystore.md). Namun, jika upaya untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci yang terhubung gagal, itu mungkin menunjukkan masalah dengan penyimpanan AWS CloudHSM kunci atau AWS CloudHSM klasternya. Untuk bantuan, lihat [Cara memperbaiki kunci KMS yang gagal](fix-keystore.md#fix-cmk-failed).

Jika `ConnectionState` dari penyimpanan kunci kustom adalah `FAILED`, respons `DescribeCustomKeyStores` mencakup elemen `ConnectionErrorCode` yang menjelaskan alasan kesalahan.

Sebagai contoh, dalam output berikut, nilai `INVALID_CREDENTIALS` menunjukkan bahwa koneksi penyimpanan kunci kustom gagal karena [kata sandi `kmsuser` tidak valid](fix-keystore.md#fix-keystore-password). Untuk bantuan dengan hal ini dan kegagalan kesalahan koneksi lainnya, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**Pelajari lebih lanjut:**
+ [Lihat toko kunci eksternal](view-xks-keystore.md)
+ [Identifikasi kunci KMS di toko-toko AWS CloudHSM utama](identify-key-types.md#identify-key-hsm-keystore)
+ [Logging panggilan AWS KMS API dengan AWS CloudTrail](logging-using-cloudtrail.md)

# Edit pengaturan penyimpanan AWS CloudHSM kunci
<a name="update-keystore"></a>

Anda dapat mengubah pengaturan toko AWS CloudHSM kunci yang ada. Toko kunci khusus harus terputus AWS CloudHSM klasternya.

Untuk mengedit pengaturan penyimpanan AWS CloudHSM kunci:

1. [Putuskan koneksi penyimpanan kunci kustom](disconnect-keystore.md) dari klaster AWS CloudHSM -nya.

   [Sementara toko kunci khusus terputus, Anda tidak dapat membuat AWS KMS keys (kunci KMS) di toko kunci khusus dan Anda tidak dapat menggunakan kunci KMS yang dikandungnya untuk operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore) 

1. Edit satu atau beberapa pengaturan penyimpanan AWS CloudHSM utama.

   Anda dapat mengedit pengaturan berikut di penyimpanan kunci kustom:  
Nama penyimpanan kunci kustom yang mudah diingat.  
Masukkan nama baru yang mudah diingat. Nama baru harus unik di antara semua toko kunci khusus di Anda Akun AWS.  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.  
ID cluster dari AWS CloudHSM cluster terkait.  
Edit nilai ini untuk menggantikan AWS CloudHSM cluster terkait dengan yang asli. Anda dapat menggunakan fitur ini untuk memperbaiki penyimpanan kunci khusus jika AWS CloudHSM klasternya rusak atau dihapus.   
Tentukan AWS CloudHSM klaster yang berbagi riwayat cadangan dengan klaster asli dan [memenuhi persyaratan](create-keystore.md#before-keystore) untuk asosiasi dengan penyimpanan kunci khusus, termasuk dua aktif HSMs di Availability Zone yang berbeda. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat cluster cluster, gunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Anda tidak dapat menggunakan fitur edit untuk mengaitkan penyimpanan kunci kustom dengan klaster AWS CloudHSM yang tidak terkait.   
Kata sandi saat ini dari [pengguna kripto (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser).  
 AWS KMS Memberitahu kata sandi `kmsuser` CU saat ini di AWS CloudHSM cluster. Tindakan ini tidak mengubah kata sandi `kmsuser` CU di AWS CloudHSM cluster.  
Jika Anda mengubah kata sandi `kmsuser` CU di AWS CloudHSM cluster, gunakan fitur ini untuk memberi tahu AWS KMS `kmsuser` kata sandi baru. Jika tidak, AWS KMS tidak dapat login ke klaster dan semua upaya untuk menghubungkan penyimpanan kunci kustom untuk klaster mengalami kegagalan. 

1. [Sambungkan kembali penyimpanan kunci kustom](connect-keystore.md) ke klaster AWS CloudHSM -nya.

## Edit pengaturan toko kunci Anda
<a name="edit-keystore-settings"></a>

Anda dapat mengedit pengaturan penyimpanan AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="update-keystore-console"></a>

Saat Anda mengedit penyimpanan AWS CloudHSM kunci, Anda dapat mengubah salah satu atau nilai yang dapat dikonfigurasi.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih baris toko AWS CloudHSM kunci yang ingin Anda edit. 

   Jika nilai di kolom **status Koneksi** tidak **Terputus**, Anda harus memutuskan penyimpanan kunci khusus sebelum Anda dapat mengeditnya. (Dari menu **Key store actions**, pilih **Disconnect**.)

   Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci. AWS CloudHSM 

1. Dari menu **Key store actions**, pilih **Edit**.

1. Lakukan satu atau beberapa tindakan berikut.
   + Ketikkan nama yang mudah diingat untuk penyimpanan kunci kustom.
   + Ketik ID cluster dari AWS CloudHSM cluster terkait.
   + Ketik kata sandi pengguna `kmsuser` kripto saat ini di AWS CloudHSM cluster terkait.

1. Pilih **Simpan**.

   Ketika prosedur berhasil, suatu pesan akan menjelaskan pengaturan yang Anda diedit. Ketika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

1. [Hubungkan kembali penyimpanan kunci kustom](connect-keystore.md).

   Untuk menggunakan toko AWS CloudHSM kunci, Anda harus menghubungkannya kembali setelah mengedit. Anda dapat membiarkan toko AWS CloudHSM kunci terputus. [Tetapi saat terputus, Anda tidak dapat membuat kunci KMS di toko AWS CloudHSM kunci atau menggunakan kunci KMS di toko kunci dalam operasi AWS CloudHSM kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)

### Menggunakan AWS KMS API
<a name="update-keystore-api"></a>

Untuk mengubah properti toko AWS CloudHSM kunci, gunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi. Anda dapat mengubah beberapa properti dari penyimpanan kunci kustom dalam perintah yang sama. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Untuk memverifikasi bahwa perubahannya efektif, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Mulailah dengan menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)untuk [memutuskan penyimpanan kunci kustom](disconnect-keystore.md) dari AWS CloudHSM klasternya. Ganti contoh ID penyimpanan kunci kustom, cks-1234567890abcdef0, dengan ID yang sebenarnya.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Contoh pertama digunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)untuk mengubah nama ramah dari toko AWS CloudHSM kunci menjadi`DevelopmentKeys`. Perintah menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan `CustomKeyStoreName` untuk menentukan nama baru untuk toko kunci kustom.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

Contoh berikut mengubah cluster yang terkait dengan penyimpanan AWS CloudHSM kunci ke cadangan lain dari cluster yang sama. Perintah menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan `CloudHsmClusterId` parameter untuk menentukan ID cluster baru. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

Contoh berikut mengatakan AWS KMS bahwa `kmsuser` kata sandi saat ini adalah`ExamplePassword`. Perintah menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan `KeyStorePassword` parameter untuk menentukan kata sandi saat ini.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

Perintah terakhir menghubungkan kembali penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya. [Anda dapat meninggalkan penyimpanan kunci khusus dalam keadaan terputus, tetapi Anda harus menghubungkannya sebelum Anda dapat membuat kunci KMS baru atau menggunakan kunci KMS yang ada untuk operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore) Ganti contoh ID penyimpanan kunci kustom dengan ID yang sebenarnya.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Connect toko AWS CloudHSM kunci
<a name="connect-keystore"></a>

Toko AWS CloudHSM kunci baru tidak terhubung. Sebelum Anda dapat membuat dan menggunakan AWS KMS keys di toko AWS CloudHSM kunci Anda, Anda harus menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutuskan penyimpanan AWS CloudHSM kunci Anda kapan saja, dan [melihat status koneksinya](view-keystore.md#view-keystore-console). 

Anda tidak diharuskan untuk menghubungkan toko AWS CloudHSM kunci Anda. Anda dapat meninggalkan toko AWS CloudHSM kunci dalam keadaan terputus tanpa batas waktu dan menghubungkannya hanya ketika Anda perlu menggunakannya. Namun, Anda mungkin ingin menguji koneksi secara berkala untuk memverifikasi bahwa pengaturan sudah benar dan dapat tersambung.

**catatan**  
AWS CloudHSM toko kunci memiliki status `DISCONNECTED` koneksi hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. Jika status koneksi penyimpanan AWS CloudHSM kunci Anda `CONNECTED` tetapi Anda mengalami masalah dalam menggunakannya, pastikan AWS CloudHSM klaster terkaitnya aktif dan berisi setidaknya satu aktif HSMs. Untuk bantuan dengan kegagalan koneksi, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Saat Anda menghubungkan penyimpanan AWS CloudHSM kunci, AWS KMS temukan AWS CloudHSM klaster terkait, sambungkan ke sana, masuk ke AWS CloudHSM klien sebagai [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) (CU), dan kemudian memutar `kmsuser` kata sandi. AWS KMS tetap masuk ke AWS CloudHSM klien selama toko AWS CloudHSM kunci terhubung.

Untuk membuat koneksi, AWS KMS buat [grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) bernama `kms-<custom key store ID>` di virtual private cloud (VPC) cluster. Grup keamanan memiliki aturan tunggal yang memungkinkan lalu lintas masuk dari grup keamanan cluster. AWS KMS juga membuat [elastic network interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) di setiap Availability Zone dari subnet pribadi untuk cluster. AWS KMS menambahkan ENIs ke grup `kms-<cluster ID>` keamanan dan grup keamanan untuk cluster. Deskripsi dari masing-masing ENI adalah `KMS managed ENI for cluster <cluster-ID>`.

Proses koneksi dapat memakan waktu yang lama untuk selesai; hingga 20 menit. 

Sebelum Anda menghubungkan toko AWS CloudHSM kunci, verifikasi bahwa itu memenuhi persyaratan.
+  AWS CloudHSM Cluster yang terkait harus mengandung setidaknya satu HSM aktif. Untuk menemukan jumlah HSMs di cluster, lihat cluster di AWS CloudHSM konsol atau gunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Jika perlu, Anda dapat [menambahkan HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Cluster harus memiliki akun [pengguna `kmsuser` kripto](create-keystore.md#kmsuser-concept) (CU), tetapi CU tersebut tidak dapat masuk ke cluster saat Anda menghubungkan penyimpanan AWS CloudHSM kunci. Untuk bantuan dengan logout, lihat [Cara logout dan menghubungkan kembali](fix-keystore.md#login-kmsuser-2).
+ Status koneksi dari toko AWS CloudHSM kunci tidak dapat `DISCONNECTING` atau`FAILED`. Untuk melihat status koneksi, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. Jika status koneksi`FAILED`, lepaskan penyimpanan kunci khusus, perbaiki masalahnya, lalu sambungkan.

Untuk bantuan dengan kegagalan koneksi, lihat [Cara memperbaiki kegagalan koneksi](fix-keystore.md#fix-keystore-failed).

Ketika toko AWS CloudHSM kunci Anda terhubung, Anda dapat [membuat kunci KMS di dalamnya dan menggunakan kunci](create-cmk-keystore.md) KMS yang ada dalam operasi [kriptografi](manage-cmk-keystore.md#use-cmk-keystore).

## Connect dan sambungkan kembali ke toko AWS CloudHSM utama Anda
<a name="connect-hsm-keystore"></a>

Anda dapat menghubungkan, atau menghubungkan kembali, toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="connect-keystore-console"></a>

Untuk menghubungkan toko AWS CloudHSM kunci di Konsol Manajemen AWS, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman **Toko kunci kustom**. Proses koneksi bisa memakan waktu hingga 20 menit untuk menyelesaikannya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih baris toko AWS CloudHSM kunci yang ingin Anda sambungkan. 

   Jika status koneksi penyimpanan AWS CloudHSM kunci **Gagal**, Anda harus [memutuskan penyimpanan kunci khusus](disconnect-keystore.md#disconnect-keystore-console) sebelum Anda menghubungkannya.

1. Dari menu **Key Store Actions**, pilih **Connect**.

AWS KMS memulai proses menghubungkan toko kunci kustom Anda. Itu menemukan klaster AWS CloudHSM terkait, membangun infrastruktur jaringan yang diperlukan, menghubungkan ke sana, login ke klaster AWS CloudHSM sebagai CU `kmsuser`, dan memutar kata sandi `kmsuser`. Ketika operasi selesai, status koneksi berubah menjadi **Terhubung**. 

Jika operasi gagal, muncul pesan kesalahan yang menjelaskan alasan kegagalan. Sebelum Anda mencoba menghubungkan lagi, [lihat status koneksi](view-keystore.md) toko AWS CloudHSM kunci Anda. Jika **Gagal**, Anda harus [memutuskan penyimpanan kunci khusus](disconnect-keystore.md#disconnect-keystore-console) sebelum Anda menghubungkannya lagi. Jika Anda memerlukan bantuan, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

**Berikutnya:**[Buat kunci KMS di toko AWS CloudHSM kunci](create-cmk-keystore.md).

### Menggunakan AWS KMS API
<a name="connect-keystore-api"></a>

Untuk menghubungkan toko AWS CloudHSM kunci yang terputus, gunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi. AWS CloudHSM Cluster terkait harus berisi setidaknya satu HSM aktif dan status koneksi tidak dapat`FAILED`.

Proses koneksi memerlukan waktu yang lama untuk selesai; hingga 20 menit. Kecuali mengalami kegagalan dengan cepat, operasi tersebut mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan status koneksi penyimpanan kunci kustom, lihat [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)responsnya.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Untuk mengidentifikasi toko AWS CloudHSM kunci, gunakan ID toko kunci kustom. Anda dapat menemukan ID di halaman **toko kunci kustom** di konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi tanpa parameter. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk memverifikasi bahwa toko AWS CloudHSM kunci terhubung, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. Nilai `ConnectionState` dari `CONNECTED` menunjukkan bahwa penyimpanan kunci kustom terhubung ke klaster AWS CloudHSM .

**catatan**  
`CustomKeyStoreType`Bidang ditambahkan ke `DescribeCustomKeyStores` respons untuk membedakan toko AWS CloudHSM kunci dari toko kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Jika nilai `ConnectionState` gagal, elemen `ConnectionErrorCode` menunjukkan alasan kegagalan. Dalam hal ini, tidak AWS KMS dapat menemukan AWS CloudHSM cluster di akun Anda dengan ID cluster`cluster-1a23b4cdefg`. Jika Anda menghapus klaster, Anda dapat [memulihkannya dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari klaster asli dan [mengedit ID klaster](update-keystore.md) untuk penyimpanan kunci kustom. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Cara memperbaiki kegagalan koneksi](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Putuskan sambungan toko AWS CloudHSM kunci
<a name="disconnect-keystore"></a>

Saat Anda memutuskan sambungan penyimpanan AWS CloudHSM kunci, AWS KMS keluar dari AWS CloudHSM klien, terputus dari AWS CloudHSM cluster terkait, dan menghapus infrastruktur jaringan yang dibuatnya untuk mendukung koneksi.

Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci. AWS CloudHSM Status koneksi dari toko kunci adalah `DISCONNECTED` dan [status kunci kunci](key-state.md) KMS di toko kunci kustom adalah`Unavailable`, kecuali mereka`PendingDeletion`. Anda dapat menghubungkan kembali toko AWS CloudHSM kunci kapan saja.

**catatan**  
AWS CloudHSM toko kunci memiliki status `DISCONNECTED` koneksi hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. Jika status koneksi penyimpanan AWS CloudHSM kunci Anda `CONNECTED` tetapi Anda mengalami masalah dalam menggunakannya, pastikan AWS CloudHSM klaster terkaitnya aktif dan berisi setidaknya satu aktif HSMs. Untuk bantuan dengan kegagalan koneksi, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Saat Anda memutuskan penyimpanan kunci khusus, kunci KMS di toko kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan [kunci data](data-keys.md) yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Untuk memperkirakan efek pemutusan toko kunci kustom Anda dengan lebih baik, [identifikasi kunci KMS di toko kunci](find-cmk-in-keystore.md) khusus dan [tentukan penggunaannya di masa lalu](deleting-keys-determining-usage.md).

Anda dapat memutuskan sambungan penyimpanan AWS CloudHSM kunci karena alasan seperti berikut:
+ **Untuk memutar kata sandi `kmsuser`.** AWS KMS mengubah kata sandi `kmsuser` setiap kali terhubung ke klaster AWS CloudHSM . Untuk memberlakukan rotasi kata sandi, cukup putuskan koneksi dan hubungkan kembali.
+ **Untuk mengaudit materi kunci** untuk kunci KMS di AWS CloudHSM cluster. Saat Anda memutuskan penyimpanan kunci khusus, AWS KMS keluar dari akun [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) di AWS CloudHSM klien. Ini memungkinkan Anda untuk masuk ke cluster sebagai `kmsuser` CU dan mengaudit dan mengelola materi utama untuk kunci KMS.
+ **Untuk segera menonaktifkan semua kunci KMS** di toko AWS CloudHSM kunci. Anda dapat [menonaktifkan dan mengaktifkan kembali kunci KMS](enabling-keys.md) di toko AWS CloudHSM kunci dengan menggunakan Konsol Manajemen AWS atau operasi. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Operasi ini selesai dengan cepat, tetapi mereka bertindak pada satu kunci KMS pada satu waktu. Memutuskan sambungan penyimpanan AWS CloudHSM kunci segera mengubah status kunci dari semua kunci KMS di toko AWS CloudHSM kunci`Unavailable`, yang mencegahnya digunakan dalam operasi kriptografi apa pun.
+ **Untuk memperbaiki upaya koneksi yang gagal**. Jika upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal (status koneksi penyimpanan kunci kustom`FAILED`), Anda harus memutuskan sambungan penyimpanan AWS CloudHSM kunci sebelum Anda mencoba menghubungkannya lagi.

## Putuskan sambungan toko AWS CloudHSM kunci Anda
<a name="disconnect-hsm-keystore"></a>

Anda dapat memutuskan sambungan toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi.

### Putuskan sambungan menggunakan konsol AWS KMS
<a name="disconnect-keystore-console"></a>

Untuk memutuskan penyimpanan AWS CloudHSM kunci yang terhubung di AWS KMS konsol, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman **Toko Kunci Kustom**.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih baris toko kunci eksternal yang ingin Anda putuskan. 

1. Dari menu **Key Store Actions**, pilih **Disconnect**.

**Ketika operasi selesai, status koneksi berubah dari **Memutuskan sambungan ke Terputus**.** Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

### Putuskan sambungan menggunakan API AWS KMS
<a name="disconnect-keystore-api"></a>

Untuk memutuskan sambungan AWS CloudHSM kunci yang terhubung, gunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Contoh ini memutus penyimpanan AWS CloudHSM kunci. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terputus, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` dan `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. `ConnectionState`Nilai `DISCONNECTED` menunjukkan bahwa penyimpanan AWS CloudHSM kunci contoh ini tidak terhubung ke AWS CloudHSM klasternya.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Hapus toko AWS CloudHSM kunci
<a name="delete-keystore"></a>

Saat Anda menghapus penyimpanan AWS CloudHSM kunci, AWS KMS menghapus semua metadata tentang penyimpanan AWS CloudHSM kunci dari KMS, termasuk informasi tentang hubungannya dengan klaster. AWS CloudHSM Operasi ini tidak mempengaruhi AWS CloudHSM cluster, nya HSMs, atau penggunanya. Anda dapat membuat penyimpanan AWS CloudHSM kunci baru yang terkait dengan AWS CloudHSM cluster yang sama, tetapi Anda tidak dapat membatalkan operasi penghapusan.

Anda hanya dapat menghapus penyimpanan AWS CloudHSM kunci yang terputus dari AWS CloudHSM klasternya dan tidak berisi apa pun AWS KMS keys. Sebelum Anda menghapus penyimpanan kunci kustom, lakukan hal berikut:
+ Verifikasi bahwa Anda tidak perlu menggunakan salah satu kunci KMS di toko kunci untuk operasi [kriptografi](manage-cmk-keystore.md#use-cmk-keystore) apa pun. Kemudian [jadwalkan penghapusan](deleting-keys.md#delete-cmk-keystore) semua kunci KMS dari toko kunci. Untuk bantuan menemukan kunci KMS di toko AWS CloudHSM kunci, lihat[Temukan kunci KMS di toko AWS CloudHSM kunci](find-cmk-in-keystore.md).
+ Konfirmasikan bahwa semua kunci KMS telah dihapus. Untuk melihat kunci KMS di toko AWS CloudHSM kunci, lihat[Identifikasi kunci KMS di toko-toko AWS CloudHSM utama](identify-key-types.md#identify-key-hsm-keystore).
+ [Putuskan sambungan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md) dari AWS CloudHSM klasternya.

Alih-alih menghapus penyimpanan AWS CloudHSM kunci, pertimbangkan untuk [memutuskannya](disconnect-keystore.md) dari cluster terkait AWS CloudHSM . Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan nya AWS KMS keys. Tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko AWS CloudHSM kunci. Anda dapat menghubungkan kembali toko AWS CloudHSM kunci kapan saja.

## Hapus toko AWS CloudHSM kunci Anda
<a name="delete-hsm-keystore"></a>

Anda dapat menghapus toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="delete-keystore-console"></a>

Untuk menghapus toko AWS CloudHSM kunci di Konsol Manajemen AWS, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman **Toko kunci kustom**.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Temukan baris yang mewakili penyimpanan AWS CloudHSM kunci yang ingin Anda hapus. Jika **status koneksi** penyimpanan AWS CloudHSM kunci tidak **Terputus**, Anda harus [memutuskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md) sebelum Anda menghapusnya.

1. Dari menu **Key Store Actions**, pilih **Delete**.

Ketika operasi selesai, pesan sukses muncul dan toko AWS CloudHSM kunci tidak lagi muncul di daftar toko utama. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

### Menggunakan AWS KMS API
<a name="delete-keystore-api"></a>

Untuk menghapus toko AWS CloudHSM kunci, gunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.

Untuk memulai, verifikasi bahwa toko AWS CloudHSM kunci tidak mengandung apa pun AWS KMS keys. Anda tidak dapat menghapus toko kunci khusus yang berisi kunci KMS. Perintah contoh pertama [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)menggunakan [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)dan mencari AWS KMS keys di toko AWS CloudHSM kunci dengan contoh ID toko kunci *cks-1234567890abcdef0* kustom. Dalam hal ini, perintah tidak mengembalikan kunci KMS apa pun. Jika ya, gunakan [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operasi untuk menjadwalkan penghapusan masing-masing tombol KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Selanjutnya, lepaskan AWS CloudHSM kunci toko. Perintah contoh ini menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi untuk memutuskan penyimpanan AWS CloudHSM kunci dari AWS CloudHSM klaster nya. Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Setelah toko kunci khusus terputus, Anda dapat menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi untuk menghapusnya. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Memecahkan masalah penyimpanan kunci kustom
<a name="fix-keystore"></a>

AWS CloudHSM toko-toko utama dirancang agar tersedia dan tangguh. Namun, ada beberapa kondisi kesalahan yang mungkin harus Anda perbaiki agar toko AWS CloudHSM kunci Anda tetap beroperasi.

**Topics**
+ [Cara memperbaiki kunci KMS yang tidak tersedia](#fix-unavailable-cmks)
+ [Cara memperbaiki kunci KMS yang gagal](#fix-cmk-failed)
+ [Cara memperbaiki kegagalan koneksi](#fix-keystore-failed)
+ [Bagaimana menanggapi kegagalan operasi kriptografi](#fix-keystore-communication)
+ [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password)
+ [Cara menghapus material kunci tanpa induk](#fix-keystore-orphaned-key)
+ [Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS](#fix-keystore-recover-backing-key)
+ [Cara login sebagai `kmsuser`](#fix-login-as-kmsuser)

## Cara memperbaiki kunci KMS yang tidak tersedia
<a name="fix-unavailable-cmks"></a>

[Keadaan kunci](key-state.md) AWS KMS keys di toko AWS CloudHSM kunci biasanya`Enabled`. Seperti semua kunci KMS, status kunci berubah ketika Anda menonaktifkan kunci KMS di toko AWS CloudHSM kunci atau menjadwalkannya untuk dihapus. Namun, tidak seperti kunci KMS lainnya, kunci KMS di toko kunci khusus juga dapat memiliki [status kunci](key-state.md). `Unavailable` 

Status kunci `Unavailable` menunjukkan bahwa kunci KMS berada di penyimpanan kunci khusus yang sengaja [terputus](disconnect-keystore.md) dan mencoba untuk menghubungkannya kembali, jika ada, gagal. [Meskipun kunci KMS tidak tersedia, Anda dapat melihat dan mengelola kunci KMS, tetapi Anda tidak dapat menggunakannya untuk operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)

Untuk menemukan status kunci kunci KMS, pada halaman **Kunci yang dikelola Pelanggan**, lihat bidang **Status** kunci KMS. Atau, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi dan lihat `KeyState` elemen dalam respons. Lihat perinciannya di [Identifikasi dan lihat kunci](viewing-keys.md).

Kunci KMS di toko kunci kustom yang terputus akan memiliki status kunci atau. `Unavailable` `PendingDeletion` Kunci KMS yang dijadwalkan untuk dihapus dari toko kunci khusus memiliki status `Pending Deletion` kunci, bahkan ketika toko kunci khusus terputus. Hal ini memungkinkan Anda membatalkan penghapusan kunci terjadwal tanpa menghubungkan kembali penyimpanan kunci kustom. 

Untuk memperbaiki kunci KMS yang tidak tersedia, [sambungkan kembali toko kunci kustom](disconnect-keystore.md). Setelah penyimpanan kunci kustom terhubung kembali, status kunci kunci KMS di toko kunci kustom secara otomatis dikembalikan ke keadaan sebelumnya, seperti `Enabled` atau. `Disabled` Kunci KMS yang tertunda penghapusan tetap berada di negara bagian. `PendingDeletion` Namun, sementara masalah tetap ada, [mengaktifkan dan menonaktifkan kunci KMS yang tidak tersedia tidak mengubah status kuncinya](enabling-keys.md). Tindakan mengaktifkan atau menonaktifkan hanya berlaku ketika kunci menjadi tersedia.

Untuk bantuan dengan koneksi yang gagal, lihat [Cara memperbaiki kegagalan koneksi](#fix-keystore-failed). 

## Cara memperbaiki kunci KMS yang gagal
<a name="fix-cmk-failed"></a>

Masalah dengan membuat dan menggunakan kunci KMS di toko-toko AWS CloudHSM utama dapat disebabkan oleh masalah dengan toko AWS CloudHSM kunci Anda, AWS CloudHSM cluster terkait, kunci KMS, atau materi utamanya. 

Ketika penyimpanan AWS CloudHSM kunci terputus dari AWS CloudHSM klasternya, status kunci kunci KMS di toko kunci kustom adalah. `Unavailable` Semua permintaan untuk membuat kunci KMS di toko AWS CloudHSM kunci yang terputus mengembalikan pengecualian. `CustomKeyStoreInvalidStateException` Semua permintaan untuk mengenkripsi, mendekripsi, mengenkripsi ulang, atau menghasilkan kunci data mengembalikan pengecualian `KMSInvalidStateException`. Untuk memperbaiki masalah, [sambungkan kembali toko AWS CloudHSM kunci](connect-keystore.md).

Namun, upaya Anda untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci untuk [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) mungkin gagal bahkan ketika status kuncinya `Enabled` dan status koneksi penyimpanan AWS CloudHSM kunci adalah. `Connected` Ini mungkin disebabkan oleh salah satu kondisi berikut.
+ Materi kunci untuk kunci KMS mungkin telah dihapus dari AWS CloudHSM cluster terkait. Untuk menyelidiki, [temukan id kunci](find-handle-for-cmk-id.md) dari bahan kunci untuk kunci KMS dan, jika perlu, cobalah untuk [memulihkan materi kunci](#fix-keystore-recover-backing-key).
+ Semua HSMs dihapus dari AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci dalam operasi kriptografi, AWS CloudHSM klaster harus berisi setidaknya satu HSM aktif. Untuk memverifikasi jumlah dan status HSMs dalam sebuah AWS CloudHSM cluster, [gunakan AWS CloudHSM konsol](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Untuk menambahkan HSM ke cluster, gunakan AWS CloudHSM konsol atau [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operasi.
+  AWS CloudHSM Cluster yang terkait dengan penyimpanan AWS CloudHSM kunci telah dihapus. Untuk memperbaiki masalah, [buat klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) yang berkaitan dengan klaster asli, seperti cadangan klaster asli, atau cadangan yang digunakan untuk membuat klaster asli. Kemudian, [edit ID klaster](update-keystore.md) dalam pengaturan penyimpanan kunci kustom. Untuk petunjuk, lihat [Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS](#fix-keystore-recover-backing-key).
+  AWS CloudHSM Cluster yang terkait dengan penyimpanan kunci khusus tidak memiliki sesi PKCS \$111 yang tersedia. Ini biasanya terjadi selama periode lalu lintas burst tinggi ketika sesi tambahan diperlukan untuk melayani lalu lintas. Untuk menanggapi `KMSInternalException` dengan pesan kesalahan tentang sesi PKCS \$111, mundur dan coba lagi permintaan tersebut. 

## Cara memperbaiki kegagalan koneksi
<a name="fix-keystore-failed"></a>

Jika Anda mencoba [menghubungkan penyimpanan AWS CloudHSM kunci](connect-keystore.md) ke AWS CloudHSM klasternya, tetapi operasi gagal, status koneksi penyimpanan AWS CloudHSM kunci berubah menjadi`FAILED`. Untuk menemukan status koneksi penyimpanan AWS CloudHSM kunci, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. 

Atau, beberapa upaya koneksi gagal dengan cepat karena kesalahan konfigurasi klaster dengan mudah terdeteksi. Dalam hal ini, status koneksi masih`DISCONNECTED`. Kegagalan ini mengembalikan pesan kesalahan atau [pengecualian](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) yang menjelaskan mengapa percobaan mengalami kegagalan. Tinjau deskripsi pengecualian dan [persyaratan cluster](create-keystore.md#before-keystore), perbaiki masalah, [perbarui toko AWS CloudHSM kunci](update-keystore.md), jika perlu, dan coba sambungkan lagi.

Ketika status koneksi`FAILED`, jalankan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi dan lihat `ConnectionErrorCode` elemen dalam respons.

**catatan**  
Ketika status koneksi penyimpanan AWS CloudHSM kunci`FAILED`, Anda harus [memutuskan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkannya](disconnect-keystore.md) kembali. Anda tidak dapat menghubungkan toko AWS CloudHSM kunci dengan status `FAILED` koneksi.
+ `CLUSTER_NOT_FOUND`menunjukkan bahwa AWS KMS tidak dapat menemukan AWS CloudHSM cluster dengan ID cluster yang ditentukan. Hal ini mungkin terjadi karena ID klaster yang salah disediakan untuk operasi API atau klaster telah dihapus dan tidak diganti. Untuk memperbaiki kesalahan ini, verifikasi ID cluster, seperti dengan menggunakan AWS CloudHSM konsol atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Jika klaster telah dihapus, [buat klaster dari cadangan terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari aslinya. Kemudian, [lepaskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md), [edit pengaturan ID cluster penyimpanan AWS CloudHSM kunci](update-keystore.md), dan [sambungkan kembali penyimpanan AWS CloudHSM kunci](connect-keystore.md) ke cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`menunjukkan bahwa AWS CloudHSM cluster terkait tidak mengandung apapun HSMs. Untuk menghubungkan, klaster harus memiliki minimal satu HSM. Untuk menemukan jumlah HSMs di cluster, gunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Untuk mengatasi kesalahan ini, [tambahkan minimal satu HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) ke klaster. Jika Anda menambahkan beberapa HSMs, yang terbaik adalah membuatnya di Availability Zone yang berbeda.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`menunjukkan bahwa tidak AWS KMS dapat menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya karena setidaknya satu [subnet pribadi yang terkait dengan cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) tidak memiliki alamat IP yang tersedia. Koneksi penyimpanan AWS CloudHSM kunci memerlukan satu alamat IP gratis di masing-masing subnet pribadi terkait, meskipun dua lebih disukai.

  Anda [tidak dapat menambahkan alamat IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blok CIDR) ke subnet yang ada. Jika memungkinkan, pindahkan atau hapus sumber daya lain yang menggunakan alamat IP di subnet, seperti instans EC2 yang tidak digunakan atau antarmuka jaringan elastis. Jika tidak, Anda dapat [membuat cluster dari cadangan klaster terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dengan subnet pribadi baru atau yang sudah ada yang memiliki [lebih banyak ruang alamat kosong](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing). AWS CloudHSM Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, [lepaskan penyimpanan kunci kustom](disconnect-keystore.md), [ubah ID cluster](update-keystore.md) penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi.
**Tip**  
Untuk menghindari [pengaturan ulang `kmsuser` kata sandi](#fix-keystore-password), gunakan cadangan AWS CloudHSM klaster terbaru.
+ `INTERNAL_ERROR`menunjukkan bahwa tidak AWS KMS dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. Untuk `ConnectCustomKeyStore` permintaan, putuskan sambungan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkan lagi.
+ `INVALID_CREDENTIALS`menunjukkan bahwa AWS KMS tidak dapat masuk ke AWS CloudHSM cluster terkait karena tidak memiliki kata sandi `kmsuser` akun yang benar. Untuk bantuan dengan kesalahan ini, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
+ `NETWORK_ERRORS` biasanya menunjukkan masalah jaringan sementara. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md), tunggu beberapa menit, dan coba sambungkan lagi.
+ `SUBNET_NOT_FOUND`menunjukkan bahwa setidaknya satu subnet dalam konfigurasi AWS CloudHSM cluster telah dihapus. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster gagal. 

  Untuk memperbaiki kesalahan ini, [buat cluster dari cadangan terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari AWS CloudHSM cluster yang sama. (Proses ini membuat konfigurasi klaster baru dengan VPC dan subnet privat.) Pastikan klaster baru memenuhi [persyaratan untuk penyimpanan kunci kustom](create-keystore.md#before-keystore), dan perhatikan ID klaster baru. Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, [lepaskan penyimpanan kunci kustom](disconnect-keystore.md), [ubah ID cluster](update-keystore.md) penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi.
**Tip**  
Untuk menghindari [pengaturan ulang `kmsuser` kata sandi](#fix-keystore-password), gunakan cadangan AWS CloudHSM klaster terbaru.
+ `USER_LOCKED_OUT` menunjukkan bahwa [akun pengguna kripto (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) dikunci dari klaster AWS CloudHSM yang terkait karena terlalu banyak upaya sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).

  Untuk memperbaiki kesalahan ini, [lepaskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md) dan gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) akun. `kmsuser` Kemudian, [edit pengaturan kata sandi `kmsuser`](update-keystore.md) untuk penyimpanan kunci kustom, dan coba untuk menyambungkan lagi. Untuk bantuan, gunakan prosedur yang dijelaskan dalam topik [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
+ `USER_LOGGED_IN`menunjukkan bahwa akun `kmsuser` CU masuk ke AWS CloudHSM cluster terkait. Ini AWS KMS mencegah memutar kata sandi `kmsuser` akun dan masuk ke cluster. Untuk memperbaiki kesalahan ini, logout CU `kmsuser` dari cluster. Jika Anda mengubah `kmsuser` kata sandi untuk masuk ke cluster, Anda juga harus memperbarui nilai kata sandi penyimpanan kunci untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat [Cara logout dan menghubungkan kembali](#login-kmsuser-2).
+ `USER_NOT_FOUND`menunjukkan bahwa AWS KMS tidak dapat menemukan akun `kmsuser` CU di AWS CloudHSM cluster terkait. Untuk memperbaiki kesalahan ini, [buat akun `kmsuser` CU](create-keystore.md#kmsuser-concept) di cluster, lalu [perbarui nilai kata sandi penyimpanan kunci](update-keystore.md) untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).

## Bagaimana menanggapi kegagalan operasi kriptografi
<a name="fix-keystore-communication"></a>

Operasi kriptografi yang menggunakan kunci KMS di toko kunci khusus mungkin gagal dengan file. `KMSInvalidStateException` Pesan kesalahan berikut mungkin menyertai`KMSInvalidStateException`.


|  | 
| --- |
| KMS tidak dapat berkomunikasi dengan klaster CloudHSM Anda. Ini mungkin masalah jaringan sementara. Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa aturan Jaringan ACLs dan grup keamanan untuk VPC AWS CloudHSM klaster Anda sudah benar. | 
+ Meskipun ini adalah kesalahan HTTPS 400, mungkin ini adalah hasil dari masalah jaringan sementara. Untuk menanggapi, mulailah dengan mencoba kembali permintaan. Namun, jika terus gagal, periksa konfigurasi komponen jaringan Anda. Kesalahan ini kemungkinan besar disebabkan oleh kesalahan konfigurasi komponen jaringan, seperti aturan firewall atau aturan grup keamanan VPC yang memblokir lalu lintas keluar. Misalnya, KMS tidak dapat berkomunikasi dengan AWS CloudHSM cluster. IPv6 Untuk detail tentang prasyarat, lihat. [Buat toko AWS CloudHSM kunci](create-keystore.md)


|  | 
| --- |
| KMS tidak dapat berkomunikasi dengan AWS CloudHSM cluster Anda karena kmsuser terkunci. Jika Anda melihat kesalahan ini berulang kali, lepaskan AWS CloudHSM kunci penyimpanan dan setel ulang kata sandi akun kmsuser. Perbarui kata sandi kmsuser untuk toko kunci khusus dan coba permintaan lagi. | 
+ Pesan kesalahan ini menunjukkan bahwa [akun pengguna `kmsuser` kripto (CU)](keystore-cloudhsm.md#concept-kmsuser) dikunci dari AWS CloudHSM cluster terkait karena terlalu banyak upaya kata sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat [Cara memutuskan koneksi dan login](#login-kmsuser-1).

## Cara memperbaiki kredensial `kmsuser` tidak valid
<a name="fix-keystore-password"></a>

Saat Anda [menghubungkan penyimpanan AWS CloudHSM kunci](connect-keystore.md), AWS KMS masuk ke AWS CloudHSM klaster terkait sebagai [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) (CU). Itu tetap masuk sampai toko AWS CloudHSM kunci terputus. Respons [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) menunjukkan `ConnectionState` dari nilai `FAILED` dan `ConnectionErrorCode` dari `INVALID_CREDENTIALS`, seperti yang ditunjukkan dalam contoh berikut.

Jika Anda memutuskan penyimpanan AWS CloudHSM kunci dan mengubah `kmsuser` kata sandi, AWS KMS tidak dapat masuk ke AWS CloudHSM cluster dengan kredensi akun CU. `kmsuser` Akibatnya, semua upaya untuk menghubungkan toko AWS CloudHSM kunci gagal. Respons `DescribeCustomKeyStores` menunjukkan `ConnectionState` dari nilai `FAILED` dan `ConnectionErrorCode` dari `INVALID_CREDENTIALS`, seperti yang ditunjukkan dalam contoh berikut.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Selain itu, setelah lima kali percobaan gagal untuk login ke klaster dengan kata sandi yang salah, AWS CloudHSM mengunci akun pengguna. Untuk login ke klaster, Anda harus mengubah kata sandi akun.

Jika AWS KMS mendapat respons penguncian saat mencoba masuk ke cluster sebagai `kmsuser` CU, permintaan untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Respons termasuk `ConnectionState` dari `FAILED` dan `ConnectionErrorCode` nilai`USER_LOCKED_OUT`, seperti yang ditunjukkan pada contoh berikut.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Untuk memperbaiki salah satu kondisi ini, gunakan prosedur berikut. 

1. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md). 

1. Jalankan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi dan lihat nilai `ConnectionErrorCode` elemen dalam respons. 
   + Jika nilai `ConnectionErrorCode` adalah `INVALID_CREDENTIALS`, tentukan kata sandi saat ini untuk akun `kmsuser`. Jika perlu, gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengatur kata sandi ke nilai yang diketahui.
   + Jika `ConnectionErrorCode` nilainya`USER_LOCKED_OUT`, Anda harus menggunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengubah kata sandi. `kmsuser`

1. [Edit pengaturan kata sandi `kmsuser`](update-keystore.md) sehingga cocok dengan kata sandi `kmsuser` saat ini dalam klaster. Tindakan ini memberi tahu kata sandi AWS KMS mana yang digunakan untuk login ke klaster. Itu tidak mengubah kata sandi `kmsuser` dalam klaster.

1. [Hubungkan penyimpanan kunci kustom](connect-keystore.md).

## Cara menghapus material kunci tanpa induk
<a name="fix-keystore-orphaned-key"></a>

Setelah menjadwalkan penghapusan kunci KMS dari penyimpanan AWS CloudHSM kunci, Anda mungkin perlu menghapus materi kunci yang sesuai secara manual dari cluster terkait. AWS CloudHSM 

Saat Anda membuat kunci KMS di penyimpanan AWS CloudHSM kunci, AWS KMS buat metadata kunci KMS AWS KMS dan buat materi kunci di cluster terkait. AWS CloudHSM Saat Anda menjadwalkan penghapusan kunci KMS di toko AWS CloudHSM kunci, setelah masa tunggu, AWS KMS menghapus metadata kunci KMS. Kemudian AWS KMS lakukan upaya terbaik untuk menghapus materi kunci yang sesuai dari AWS CloudHSM cluster. Upaya mungkin gagal jika AWS KMS tidak dapat mengakses klaster, seperti ketika terputus dari penyimpanan AWS CloudHSM kunci atau perubahan `kmsuser` kata sandi. AWS KMS tidak mencoba menghapus materi kunci dari cadangan cluster.

AWS KMS melaporkan hasil upayanya untuk menghapus materi kunci dari cluster dalam entri `DeleteKey` peristiwa AWS CloudTrail log Anda. Muncul dalam `backingKeysDeletionStatus` elemen `additionalEventData` elemen, seperti yang ditunjukkan pada entri contoh berikut. Entri ini juga mencakup ARN kunci KMS, AWS CloudHSM ID cluster, dan ID `backing-key-id` () dari materi kunci.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

Prosedur berikut menunjukkan cara menghapus materi kunci yatim piatu dari cluster terkait. AWS CloudHSM 

1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), seperti yang dijelaskan di. [Cara memutuskan koneksi dan login](#login-kmsuser-1)
**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

1. Gunakan perintah [hapus kunci](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) di CloudHSM CLI untuk menghapus kunci HSMs dari dalam cluster.

   Semua entri CloudTrail log untuk operasi kriptografi dengan kunci KMS di toko AWS CloudHSM kunci menyertakan `additionalEventData` bidang dengan dan. `customKeyStoreId` `backingKey` Nilai yang dikembalikan di `backingKeyId` bidang adalah atribut kunci `id` CloudHSM. Kami menyarankan `id` untuk memfilter operasi **penghapusan kunci dengan menghapus** materi kunci yatim piatu yang Anda identifikasi di log Anda. CloudTrail 

   AWS CloudHSM mengenali `backingKeyId` nilai sebagai nilai heksadesimal. Untuk memfilter`id`, Anda harus menambahkan dengan. `backingKeyId` `Ox` Misalnya, jika `backingKeyId` di CloudTrail log Anda`1a2b3c45678abcdef`, Anda akan memfilter berdasarkan`0x1a2b3c45678abcdef`.

   Contoh berikut menghapus kunci dari HSMs dalam cluster Anda. `backing-key-id`Ini tercantum dalam entri CloudTrail log. Sebelum menjalankan perintah ini, ganti contoh `backing-key-id` dengan yang valid dari akun Anda.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan di[Cara logout dan menghubungkan kembali](#login-kmsuser-2).

## Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS
<a name="fix-keystore-recover-backing-key"></a>

Jika materi kunci untuk sebuah AWS KMS key dihapus, kunci KMS tidak dapat digunakan dan semua ciphertext yang dienkripsi di bawah kunci KMS tidak dapat didekripsi. Hal ini dapat terjadi jika materi kunci untuk kunci KMS di penyimpanan AWS CloudHSM kunci dihapus dari AWS CloudHSM cluster terkait. Namun, itu mungkin untuk memulihkan material kunci.

Saat Anda membuat AWS KMS key (kunci KMS) di penyimpanan AWS CloudHSM kunci, AWS KMS log ke AWS CloudHSM cluster terkait dan membuat materi kunci untuk kunci KMS. Ini juga mengubah kata sandi ke nilai yang hanya diketahui dan tetap masuk selama penyimpanan AWS CloudHSM kunci terhubung. Karena hanya pemilik kunci, yaitu CU yang membuat kunci, dapat menghapus kunci, kecil kemungkinan kunci akan dihapus dari yang HSMs tidak sengaja. 

Namun, jika materi kunci untuk kunci KMS dihapus dari HSMs dalam cluster, status kunci dari kunci KMS akhirnya berubah menjadi. `UNAVAILABLE` Jika Anda mencoba menggunakan kunci KMS untuk operasi kriptografi, operasi gagal dengan `KMSInvalidStateException` pengecualian. Yang terpenting, data apa pun yang dienkripsi di bawah kunci KMS tidak dapat didekripsi.

Dalam keadaan tertentu, Anda dapat memulihkan material kunci yang dihapus dengan [membuat klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) yang berisi material utama. Strategi ini hanya berfungsi ketika setidaknya satu cadangan dibuat sementara kunci pernah ada dan sebelumnya dihapus. 

Gunakan proses berikut untuk memulihkan material utama.

1. Temukan cadangan klaster yang berisi material kunci. Cadangan juga harus berisi semua pengguna dan kunci yang Anda butuhkan untuk mendukung klaster dan data terenkripsinya.

   Gunakan [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operasi untuk membuat daftar cadangan untuk sebuah cluster. Kemudian gunakan stempel waktu cadangan untuk membantu Anda memilih cadangan. Untuk membatasi output ke cluster yang terkait dengan penyimpanan AWS CloudHSM kunci, gunakan `Filters` parameter, seperti yang ditunjukkan pada contoh berikut. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Buat klaster dari cadangan yang dipilih](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Verifikasi bahwa cadangan berisi kunci yang dihapus serta pengguna lain dan kunci yang diperlukan klaster. 

1. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md) sehingga Anda dapat mengedit propertinya.

1. [Edit ID cluster](update-keystore.md) dari penyimpanan AWS CloudHSM kunci. Masukkan ID klaster dari klaster yang Anda buat dari cadangan. Karena klaster berbagi riwayat cadangan dengan klaster asli, ID klaster yang baru harus valid. 

1. [Hubungkan kembali toko AWS CloudHSM kunci](connect-keystore.md).

## Cara login sebagai `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Untuk membuat dan mengelola materi utama di AWS CloudHSM cluster untuk toko AWS CloudHSM kunci Anda, AWS KMS gunakan [akun pengguna `kmsuser` kripto (CU)](keystore-cloudhsm.md#concept-kmsuser). Anda [membuat akun `kmsuser` CU](create-keystore.md#before-keystore) di cluster Anda dan memberikan kata sandinya AWS KMS saat Anda membuat toko AWS CloudHSM kunci Anda.

Secara umum, AWS KMS mengelola `kmsuser` akun. Namun, untuk beberapa tugas, Anda perlu memutuskan penyimpanan AWS CloudHSM kunci, masuk ke cluster sebagai `kmsuser` CU, dan menggunakan [CloudHSM Command Line Interface](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) (CLI).

**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Topik ini menjelaskan cara [memutuskan penyimpanan AWS CloudHSM kunci Anda dan masuk](#login-kmsuser-1) sebagai`kmsuser`, menjalankan alat baris AWS CloudHSM perintah, dan [keluar dan menghubungkan kembali toko AWS CloudHSM kunci Anda](#login-kmsuser-2).

**Topics**
+ [Cara memutuskan koneksi dan login](#login-kmsuser-1)
+ [Cara logout dan menghubungkan kembali](#login-kmsuser-2)

### Cara memutuskan koneksi dan login
<a name="login-kmsuser-1"></a>

Gunakan prosedur berikut setiap kali perlu masuk ke cluster terkait sebagai pengguna `kmsuser` kripto.

**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus. Anda dapat menggunakan AWS KMS konsol atau AWS KMS API. 

   Saat AWS CloudHSM kunci Anda AWS KMS terhubung, masuk sebagai file`kmsuser`. Hal ini mencegah Anda login sebagai `kmsuser` atau mengubah kata sandi `kmsuser`.

   Misalnya, perintah ini digunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)untuk memutuskan sambungan penyimpanan kunci contoh. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Gunakan perintah **login** untuk login sebagai admin. *Gunakan prosedur yang dijelaskan di bagian [Menggunakan CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI dari Panduan Pengguna.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengubah kata sandi akun menjadi kata sandi yang Anda ketahui. `kmsuser` (AWS KMS memutar kata sandi saat Anda menghubungkan toko AWS CloudHSM kunci Anda.) Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.

1. Login seperti `kmsuser` menggunakan kata sandi yang Anda tetapkan. *Untuk petunjuk terperinci, lihat bagian [Menggunakan CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI pada Panduan Pengguna.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Cara logout dan menghubungkan kembali
<a name="login-kmsuser-2"></a>

Gunakan prosedur berikut setiap kali Anda harus keluar sebagai pengguna `kmsuser` kripto dan sambungkan kembali toko kunci Anda.

**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

1. Lakukan tugas, lalu gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) di CloudHSM CLI untuk keluar. Jika Anda tidak keluar, upaya untuk menghubungkan kembali toko AWS CloudHSM kunci Anda akan gagal.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Edit pengaturan kata sandi `kmsuser`](update-keystore.md) untuk penyimpanan kunci kustom. 

   Ini memberi tahu AWS KMS kata sandi saat ini untuk `kmsuser` di cluster. Jika Anda menghilangkan langkah ini, tidak AWS KMS akan dapat masuk ke cluster sebagai`kmsuser`, dan semua upaya untuk menghubungkan kembali toko kunci kustom Anda akan gagal. Anda dapat menggunakan AWS KMS konsol atau `KeyStorePassword` parameter [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.

   Misalnya, perintah ini memberi tahu AWS KMS bahwa kata sandi saat ini adalah`tempPassword`. Ganti contoh kata sandi dengan kata sandi yang sebenarnya. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Hubungkan kembali toko AWS KMS kunci ke AWS CloudHSM klasternya. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid. Selama proses koneksi, AWS KMS ubah `kmsuser` kata sandi ke nilai yang hanya diketahui.

   [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Operasi kembali dengan cepat, tetapi proses koneksi dapat memakan waktu lama. Respons awal tidak menunjukkan keberhasilan proses koneksi.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.

   Dalam contoh ini, bidang status koneksi menunjukkan bahwa penyimpanan AWS CloudHSM kunci sekarang terhubung.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```