Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Risoluzione di problemi relativi a store delle chiavi personalizzate
AWS CloudHSM gli archivi di chiavi sono progettati per essere disponibili e resistenti. Tuttavia, ci sono alcune condizioni di errore che potresti dover correggere per mantenere operativo l'archivio AWS CloudHSM delle chiavi.
Argomenti
Come correggere chiavi KMS non disponibili
Lo stato della chiave di AWS KMS keys un AWS CloudHSM key store è in genereEnabled. Come tutte le chiavi KMS, lo stato delle chiavi cambia quando si disabilitano le chiavi KMS in un archivio AWS CloudHSM chiavi o se ne pianifica l'eliminazione. Tuttavia, a differenza delle altre chiavi KMS, le chiavi KMS in un archivio delle chiavi personalizzate possono anche avere lo stato di chiave Unavailable.
Lo stato di chiave Unavailable indica che la chiave KMS si trova in un archivio delle chiavi personalizzate che è stato intenzionalmente disconnesso e che gli eventuali tentativi di riconnetterlo non sono riusciti. Quando una chiave KMS non è disponibile, puoi visualizzare e gestire la chiave KMS, ma non utilizzarla per operazioni di crittografia.
Per trovare lo stato di chiave di una chiave KMS, nella pagina Chiavi gestite cliente, visualizza il campo Stato della chiave KMS. Oppure, usa l'DescribeKeyoperazione e visualizza l'KeyStateelemento nella risposta. Per informazioni dettagliate, consultare Identifica e visualizza le chiavi.
Le chiavi KMS in uno store delle chiavi personalizzate disconnesso avranno lo stato di chiave Unavailable o PendingDeletion. Le chiavi KMS per le quali è stata pianificata l'eliminazione da un archivio delle chiavi personalizzate hanno lo stato della chiave Pending Deletion, anche quando tale archivio è disconnesso. Ciò ti consente di annullare l'eliminazione pianificata delle chiavi senza riconnettere lo store delle chiavi personalizzate.
Per correggere una chiave KMS non disponibile, riconnetti l'archivio delle chiavi personalizzate. Dopo la riconnessione, per le chiavi KMS nello store delle chiavi personalizzate viene ripristinato lo stato di chiave precedente, ovvero Enabled o Disabled. Lo stato delle chiavi KMS in attesa di eliminazione rimane PendingDeletion. Tuttavia, se il problema persiste, l'abilitazione e la disabilitazione di una chiave KMS non disponibile non ne modifica lo stato. L'abilitazione o la disabilitazione ha effetto solo quando la chiave diventa disponibile.
Per informazioni sulle connessioni non riuscite, consulta Come correggere un errore di connessione.
Come correggere una chiave KMS non funzionante
I problemi con la creazione e l'utilizzo delle chiavi KMS negli AWS CloudHSM archivi delle chiavi possono essere causati da un problema con l'archivio delle AWS CloudHSM chiavi, il AWS CloudHSM cluster associato, la chiave KMS o il relativo materiale chiave.
Quando un archivio AWS CloudHSM chiavi viene disconnesso dal relativo AWS CloudHSM cluster, lo stato delle chiavi KMS nell'archivio chiavi personalizzato è. Unavailable Tutte le richieste di creazione di chiavi KMS in un archivio di chiavi disconnesso restituiscono un' AWS CloudHSM eccezione. CustomKeyStoreInvalidStateException Tutte le richieste di crittografare, decrittografare, ricrittografare o generare chiavi di dati restituiscono un'eccezione KMSInvalidStateException. Per risolvere il problema, ricollega l'archivio delle AWS CloudHSM chiavi.
Tuttavia, i tentativi di utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi per operazioni crittografiche potrebbero fallire anche se lo stato della chiave è Enabled e lo stato di connessione dell'archivio AWS CloudHSM chiavi è uguale. Connected Ciò può essere dovuto a una qualsiasi delle condizioni seguenti.
-
Il materiale della chiave per la chiave KMS potrebbe essere stato eliminato dal cluster AWS CloudHSM associato. Per indagare, trova l'ID chiave del materiale chiave per una chiave KMS e, se necessario, prova a recuperare il materiale chiave.
-
Tutti HSMs sono stati eliminati dal AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi. Per utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi in un'operazione crittografica, il relativo AWS CloudHSM cluster deve contenere almeno un HSM attivo. Per verificare il numero e lo stato di HSMs un AWS CloudHSM cluster, usa la AWS CloudHSM console o l'operazione. DescribeClusters Per aggiungere un HSM al cluster, usa la AWS CloudHSM console o l'CreateHsmoperazione.
-
Il AWS CloudHSM cluster associato al AWS CloudHSM key store è stato eliminato. Per risolvere il problema, crea un cluster da un backup che è correlato al cluster originale, ad esempio un backup del cluster originale o un backup utilizzato per creare il cluster originale. Quindi, modifica l'ID cluster nelle impostazioni relative allo store delle chiavi personalizzate. Per istruzioni, consultare Come recuperare il materiale chiave eliminato per una chiave KMS.
-
Il AWS CloudHSM cluster associato all'archivio di chiavi personalizzato non aveva sessioni PKCS #11 disponibili. Ciò si verifica in genere durante i periodi di traffico di espansione elevato, ovvero quando sono necessarie sessioni aggiuntive per gestire il traffico. Per rispondere a un'eccezione
KMSInternalExceptioncon un messaggio di errore relativo alle sessioni PKCS #11, torna indietro e riprova a eseguire la richiesta.
Come correggere un errore di connessione
Se si tenta di connettere un AWS CloudHSM key store al relativo AWS CloudHSM cluster, ma l'operazione non riesce, lo stato di connessione dell'archivio AWS CloudHSM chiavi cambia inFAILED. Per trovare lo stato di connessione di un AWS CloudHSM key store, usa la AWS KMS
console o l'DescribeCustomKeyStoresoperazione.
In alternativa, alcuni tentativi di connessione si interrompono rapidamente a causa di errori di configurazione del cluster facilmente rilevati. In questo caso, lo stato della connessione è ancora DISCONNECTED. Questi errori restituiranno un messaggio di errore o un'eccezione che spiega perché il tentativo non è riuscito. Esamina la descrizione dell'eccezione e i requisiti del cluster, risolvi il problema, aggiorna l'archivio delle AWS CloudHSM chiavi, se necessario, e riprova a connetterti.
Quando lo stato della connessione è FAILED impostato, esegui l'DescribeCustomKeyStoresoperazione e visualizza l'ConnectionErrorCodeelemento nella risposta.
Nota
Quando lo stato di connessione di un AWS CloudHSM key store èFAILED, è necessario disconnetterlo AWS CloudHSM prima di tentare di ricollegarlo. Non è possibile connettere un archivio AWS CloudHSM chiavi con uno FAILED stato di connessione.
-
CLUSTER_NOT_FOUNDindica che AWS KMS non è possibile trovare un AWS CloudHSM cluster con l'ID cluster specificato. Il problema potrebbe essere dovuto a un ID cluster errato fornito a un'operazione API oppure all'eliminazione e alla mancata sostituzione del cluster. Per correggere questo errore, verifica l'ID del cluster, ad esempio utilizzando la AWS CloudHSM console o l'DescribeClustersoperazione. Se il cluster è stato eliminato, crea un cluster a partire da un backup recente dell'originale. Quindi, disconnetti l'archivio AWS CloudHSM chiavi, modifica l'impostazione dell'ID del cluster del AWS CloudHSM key store e ricollega l'archivio AWS CloudHSM chiavi al cluster. -
INSUFFICIENT_CLOUDHSM_HSMSindica che il AWS CloudHSM cluster associato non ne contiene. HSMs Per eseguire la connessione, il cluster deve avere almeno un HSM. Per trovare il numero di HSMs nel cluster, usa l'DescribeClustersoperazione. Per correggere questo errore, aggiungi almeno un HSM al cluster. Se ne aggiungi più HSMs, è meglio crearli in zone di disponibilità diverse. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNETindica che non è AWS KMS stato possibile connettere l'archivio di AWS CloudHSM chiavi al relativo AWS CloudHSM cluster perché almeno una sottorete privata associata al cluster non dispone di indirizzi IP disponibili. Una connessione al AWS CloudHSM key store richiede un indirizzo IP libero in ciascuna delle sottoreti private associate, sebbene ne siano preferibili due.Non puoi aggiungere indirizzi IP
(blocchi CIDR) a una sottorete esistente. Se possibile, sposta o elimina altre risorse che utilizzano gli indirizzi IP nella sottorete, ad esempio EC2 istanze non utilizzate o interfacce di rete elastiche. Altrimenti, è possibile creare un cluster da un backup recente del AWS CloudHSM cluster con sottoreti private nuove o esistenti che dispongono di più spazio libero per gli indirizzi. Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, disconnetti l'archivio chiavi personalizzato, modifica l'ID del cluster dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo. Suggerimento
Per evitare di reimpostare la kmsuser password, utilizza il backup più recente del cluster. AWS CloudHSM
-
INTERNAL_ERRORindica che non è AWS KMS stato possibile completare la richiesta a causa di un errore interno. Riprova la richiesta . PerConnectCustomKeyStorele richieste, disconnetti l'archivio delle AWS CloudHSM chiavi prima di riprovare a connetterti. -
INVALID_CREDENTIALSindica che AWS KMS non può accedere al AWS CloudHSM cluster associato perché non dispone della password dell'kmsuseraccount corretta. Per informazioni su questo errore, consulta Come correggere credenziali kmsuser non valide. -
NETWORK_ERRORSindica in genere problemi di rete temporanei. Disconnetti il AWS CloudHSM key store, attendi qualche minuto e riprova a connetterti. -
SUBNET_NOT_FOUNDindica che almeno una sottorete nella configurazione del AWS CloudHSM cluster è stata eliminata. Se AWS KMS non è possibile trovare tutte le sottoreti nella configurazione del cluster, i tentativi di connettere l'archivio delle AWS CloudHSM chiavi al cluster hanno esito negativo. AWS CloudHSMPer correggere questo errore, crea un cluster da un backup recente dello stesso AWS CloudHSM cluster. Questo processo crea una nuova configurazione del cluster con un VPC e sottoreti private. Verificare che il nuovo cluster soddisfi i requisiti per uno store delle chiavi personalizzate e prendere nota del nuovo ID cluster. Quindi, per associare il nuovo cluster al tuo archivio AWS CloudHSM chiavi, disconnetti l'archivio chiavi personalizzato, modifica l'ID del cluster dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
Suggerimento
Per evitare di reimpostare la kmsuser password, utilizza il backup più recente del cluster. AWS CloudHSM
-
USER_LOCKED_OUTindica che l'account crypto user (CU) kmsuser è bloccato per il cluster AWS CloudHSM a causa di troppi tentativi con password errate. Per informazioni su questo errore, consulta Come correggere credenziali kmsuser non valide.Per correggere questo errore, scollegate l'archivio delle AWS CloudHSM chiavi e utilizzate il comando user change-password nella CLI di CloudHSM per modificare la password dell'account.
kmsuserQuindi, modifica l'impostazione della password kmsuser per lo store delle chiavi personalizzate ed esegui un nuovo tentativo di connessione. Per assistenza, utilizza la procedura descritta nell'argomento Come correggere credenziali kmsuser non valide. -
USER_LOGGED_INindica che l'accountkmsuserCU è connesso al cluster associato. AWS CloudHSM Ciò AWS KMS impedisce di ruotare la password dell'kmsuseraccount e di accedere al cluster. Per correggere questo errore, registra l'utente di crittografiakmsuserfuori dal cluster. Se hai cambiato lakmsuserpassword per accedere al cluster, devi anche aggiornare il valore della password dell'archivio chiavi per l'archivio delle AWS CloudHSM chiavi. Per assistenza, consulta Come scollegarsi e riconnettersi. -
USER_NOT_FOUNDindica che AWS KMS non è possibile trovare un accountkmsuserCU nel AWS CloudHSM cluster associato. Per correggere questo errore, crea un account kmsuser CU nel cluster, quindi aggiorna il valore della password del key store per l'archivio AWS CloudHSM chiavi. Per assistenza, consulta Come correggere credenziali kmsuser non valide.
Come rispondere a un errore di un'operazione di crittografia
L'esito di un'operazione di crittografia che utilizza una chiave KMS in un archivio di chiavi personalizzate potrebbe essere negativo con un'KMSInvalidStateException. L'eccezione KMSInvalidStateException può essere accompagnata dai seguenti messaggi di errore.
| KMS non può comunicare con il tuo cluster CloudHSM. Potrebbe trattarsi di un problema di rete temporaneo. Se visualizzi ripetutamente questo errore, verifica che la rete ACLs e le regole del gruppo di sicurezza per il VPC del AWS CloudHSM cluster siano corrette. |
-
Sebbene si tratti di un errore HTTPS 400, potrebbe derivare da problemi di rete transitori. Per rispondere, prova a riformulare la richiesta. Tuttavia, se il problema persiste, esamina la configurazione dei componenti di rete. Questo errore è probabilmente causato dall'errata configurazione di un componente di rete, ad esempio una regola firewall o una regola di gruppo di protezione VPC che blocca il traffico in uscita. Ad esempio, KMS non può comunicare con i AWS CloudHSM cluster tramite. IPv6 Per i dettagli sui prerequisiti, vedere. Crea un archivio di AWS CloudHSM chiavi
| KMS non può comunicare con il AWS CloudHSM cluster perché l'utente kmsuser è bloccato. Se vedi questo errore ripetutamente, disconnetti l'archivio delle AWS CloudHSM chiavi e reimposta la password dell'account kmsuser. Aggiorna la password kmsuser per l'archivio di chiavi personalizzate e ritenta la richiesta. |
-
Questo messaggio di errore indica che l'account crypto user (CU) kmsuser è bloccato per il cluster AWS CloudHSM associato a causa del numero eccessivo di tentativi con password errate. Per informazioni su questo errore, consulta Come disconnettersi ed eseguire l'accesso.
Come correggere credenziali kmsuser non valide
Quando connetti un archivio di AWS CloudHSM chiavi, AWS KMS accede al AWS CloudHSM cluster associato come utente kmsuser crittografico (CU). Rimane connesso finché il AWS CloudHSM key store non viene disconnesso. La risposta DescribeCustomKeyStores mostra un ConnectionState di FAILED e il valore ConnectionErrorCode di INVALID_CREDENTIALS, come mostrato nell'esempio seguente.
Se si disconnette il AWS CloudHSM key store e si modifica la kmsuser password, AWS KMS
non è possibile accedere al AWS CloudHSM cluster con le credenziali dell'account CU. kmsuser Di conseguenza, tutti i tentativi di connessione al AWS CloudHSM key store falliscono. La risposta DescribeCustomKeyStores mostra un ConnectionState di FAILED e il valore ConnectionErrorCode di INVALID_CREDENTIALS, come mostrato nell'esempio seguente.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleKeyStore{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Inoltre, dopo cinque tentativi di accesso al cluster non riusciti a causa di una password errata, AWS CloudHSM blocca l'account utente. Per accedere al cluster, devi modificare la password dell'account.
Se AWS KMS riceve una risposta di blocco quando tenta di accedere al cluster come kmsuser CU, la richiesta di connessione al AWS CloudHSM key store ha esito negativo. La DescribeCustomKeyStoresrisposta include un ConnectionState of FAILED e un ConnectionErrorCode valore diUSER_LOCKED_OUT, come illustrato nell'esempio seguente.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleKeyStore{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Per correggere queste condizioni, utilizza la procedura seguente.
-
Esegui l'DescribeCustomKeyStoresoperazione e visualizza il valore dell'
ConnectionErrorCodeelemento nella risposta.-
Se
ConnectionErrorCodeèINVALID_CREDENTIALS, determinare la password corrente per l'accountkmsuser. Se necessario, utilizzate il comando user change-password nella CLI di CloudHSM per impostare la password su un valore noto. -
Se il
ConnectionErrorCodevalore èUSER_LOCKED_OUT, è necessario utilizzare il comando user change-password nella CLI di CloudHSM per modificare la password.kmsuser
-
-
Modificare l'impostazione della password kmsuser di modo che corrisponda alla password
kmsusercorrente nel cluster. Questa operazione indica a AWS KMS quale password utilizzare per accedere al cluster. Non modifica la passwordkmsusernel cluster.
Come eliminare materiale della chiave orfano
Dopo aver pianificato l'eliminazione di una chiave KMS da un archivio di AWS CloudHSM chiavi, potrebbe essere necessario eliminare manualmente il materiale chiave corrispondente dal cluster associato. AWS CloudHSM
Quando crei una chiave KMS in un archivio AWS CloudHSM chiavi, AWS KMS crea i metadati della chiave KMS AWS KMS e genera il materiale chiave nel cluster associato. AWS CloudHSM Quando pianifichi l'eliminazione di una chiave KMS in un archivio AWS CloudHSM chiavi, dopo il periodo di attesa, AWS KMS elimina i metadati della chiave KMS. Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave corrispondente dal cluster. AWS CloudHSM Il tentativo potrebbe fallire se AWS KMS non è possibile accedere al cluster, ad esempio quando viene disconnesso dall'archivio delle AWS CloudHSM chiavi o la kmsuser password viene modificata. AWS KMS non tenta di eliminare il materiale chiave dai backup del cluster.
AWS KMS riporta i risultati del tentativo di eliminare il materiale chiave dal cluster nell'immissione degli DeleteKey eventi nei AWS CloudTrail log dell'utente. Appare nell'elemento backingKeysDeletionStatus dell'elemento additionalEventData, come mostrato nella seguente voce di esempio. La voce include anche l'ARN della chiave KMS, AWS CloudHSM l'ID del cluster e l'ID backing-key-id () del materiale chiave.
{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Note
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, CloudHSM CLI. La CLI di CloudhSM sostituisce con. key-handle key-reference
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per l'utente.AWS CloudHSM
Le seguenti procedure mostrano come eliminare il materiale chiave orfano dal cluster associato. AWS CloudHSM
-
Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi accedi, come spiegato in. Come disconnettersi ed eseguire l'accesso
Nota
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
-
Utilizza il comando key delete nella CLI di CloudhSM per eliminare la chiave HSMs dal cluster.
Tutte le voci di CloudTrail registro per le operazioni crittografiche con una chiave KMS in un archivio di AWS CloudHSM chiavi includono un
additionalEventDatacampo con e.customKeyStoreIdbackingKeyIl valore restituito nelbackingKeyIdcampo è l'attributo chiaveidCloudHSM. Ti consigliamo di filtrare l'operazione di eliminazione delle chiaviidper eliminare il materiale chiave orfano che hai identificato nei tuoi log. CloudTrailAWS CloudHSM riconosce il
backingKeyIdvalore come valore esadecimale. Per filtrare in baseid, è necessario anteporre il suffisso con.backingKeyIdOxAd esempio, sebackingKeyIdnel CloudTrail registro è presente1a2b3c45678abcdef, è necessario filtrare per.0x1a2b3c45678abcdefL'esempio seguente elimina una chiave dal HSMs cluster.
backing-key-idÈ elencato nella voce di CloudTrail registro. Prima di eseguire questo comando, sostituisci l'esempiobacking-key-idcon uno valido del tuo account.aws-cloudhsmkey delete --filter attr.id="0x<backing-key-id>"{ "error_code": 0, "data": { "message": "Key deleted successfully" } } -
Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto inCome scollegarsi e riconnettersi.
Come recuperare il materiale chiave eliminato per una chiave KMS
Se il materiale chiave di un AWS KMS key viene eliminato, la chiave KMS è inutilizzabile e tutto il testo cifrato che è stato crittografato con la chiave KMS non può essere decrittografato. Ciò può accadere se il materiale chiave per una chiave KMS in un AWS CloudHSM archivio di chiavi viene eliminato dal cluster associato. AWS CloudHSM Potrebbe tuttavia essere possibile recuperare questo materiale.
Quando crei una AWS KMS key (chiave KMS) in un archivio AWS CloudHSM chiavi, AWS KMS accede al AWS CloudHSM cluster associato e crea il materiale chiave per la chiave KMS. Inoltre, modifica la password con un valore che solo lui conosce e rimane connesso finché l'archivio delle AWS CloudHSM chiavi è connesso. Poiché solo il proprietario della chiave, ovvero la CU che ha creato una chiave, può eliminare la chiave, è improbabile che la chiave venga eliminata accidentalmente. HSMs
Tuttavia, se il materiale chiave di una chiave KMS viene eliminato da un cluster, lo stato della chiave della chiave KMS alla fine cambia HSMs in. UNAVAILABLE Se tenti di utilizzare la chiave KMS per un'operazione di crittografia, questa ha esito negativo con un'eccezione KMSInvalidStateException. Cosa più importante, tutti i dati crittografati con la chiave KMS non possono essere decrittati.
In alcuni casi, è possibile recuperare il materiale della chiave creando un cluster a partire da un backup contenente tale materiale. Questa strategia funziona solo se almeno un backup è stato creato quando la chiave esisteva e prima di essere eliminata.
Utilizza la procedura seguente per recuperare il materiale della chiave.
-
Trovare un backup del cluster che contiene il materiale della chiave. Il backup deve contenere almeno tutti gli utenti e le chiavi necessari per supportare il cluster e i relativi dati crittografati.
Usa l'DescribeBackupsoperazione per elencare i backup per un cluster. Utilizzare quindi il timestamp del backup per la selezione di un backup. Per limitare l'output al cluster associato al AWS CloudHSM key store, utilizzate il
Filtersparametro, come illustrato nell'esempio seguente.$aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] } -
Creare un cluster a partire dal backup selezionato. Verificare che il backup contenga la chiave eliminata e altri utenti e chiavi che il cluster richiede.
-
Disconnetti l'archivio delle AWS CloudHSM chiavi in modo da poterne modificare le proprietà.
-
Modifica l'ID del cluster del AWS CloudHSM key store. Immettere l'ID cluster del cluster creato a partire dal backup. Poiché il cluster condivide una cronologia dei backup con il cluster originale, il nuovo ID cluster deve essere valido.
Come accedere come kmsuser
Per creare e gestire il materiale chiave nel AWS CloudHSM cluster per il tuo AWS CloudHSM key store, AWS KMS utilizza l'account kmsuserCrypto User (CU). Crei l'account kmsuser CU nel tuo cluster e fornisci la sua password AWS KMS quando crei il tuo archivio di AWS CloudHSM chiavi.
In generale, AWS KMS gestisce l'kmsuseraccount. Tuttavia, per alcune attività, è necessario disconnettere l'archivio delle AWS CloudHSM chiavi, accedere al cluster come kmsuser CU e utilizzare l'interfaccia a riga di comando (CLI) di CloudhSM.
Nota
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
Questo argomento spiega come disconnettere l'archivio AWS CloudHSM chiavi e accedere comekmsuser, eseguire lo strumento da riga di AWS CloudHSM comando, disconnettersi e ricollegare l'archivio chiavi. AWS CloudHSM
Come disconnettersi ed eseguire l'accesso
Utilizza la seguente procedura ogni volta che devi accedere a un cluster associato come utente kmsuser crittografico.
Note
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, CloudHSM CLI. La CLI di CloudhSM sostituisce con. key-handle key-reference
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per l'utente.AWS CloudHSM
-
Disconnetti l'archivio delle chiavi, se non è già disconnesso. AWS CloudHSM Puoi usare la AWS KMS console o AWS KMS l'API.
Mentre la AWS CloudHSM chiave è connessa, AWS KMS viene effettuato l'accesso come.
kmsuserCiò impedisce l'accesso comekmsusero la modifica della passwordkmsuser.Ad esempio, questo comando utilizza DisconnectCustomKeyStoreper disconnettere un archivio di chiavi di esempio. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Usa il comando login per accedere come amministratore. Utilizza le procedure descritte nella sezione Using CloudhSM CLI della Guida per l'utente.AWS CloudHSM
aws-cloudhsm >login --username admin --role adminEnter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } } -
Utilizza il comando user change-password nella CLI di CloudhSM per cambiare la password dell'
kmsuseraccount con una che conosci. (AWS KMS ruota la password quando colleghi il tuo key store.) AWS CloudHSM La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali. -
Effettua il login
kmsuserutilizzando la password che hai impostato. Per istruzioni dettagliate, consulta la sezione Using CloudhSM CLI della Guida per l'utente.AWS CloudHSMaws-cloudhsm >login --username kmsuser --role crypto-userEnter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Come scollegarsi e riconnettersi
Usa la seguente procedura ogni volta che devi disconnetterti come utente kmsuser crittografico e ricollegare il tuo key store.
Note
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, CloudHSM CLI. La CLI di CloudhSM sostituisce con. key-handle key-reference
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per l'utente.AWS CloudHSM
-
Esegui l'operazione, quindi utilizza il comando logout nella CLI di CloudHSM per disconnetterti. Se non ti disconnetti, i tentativi di ricollegare il tuo AWS CloudHSM key store falliranno.
aws-cloudhsmlogout{ "error_code": 0, "data": "Logout successful" } -
Modificare la password kmsuser per lo store delle chiavi personalizzate.
Indica AWS KMS la password corrente per
kmsuseril cluster. Se si omette questo passaggio, non AWS KMS sarà possibile accedere al cluster e tutti i tentativi di riconnessione dell'archivio chiavi personalizzato falliranno.kmsuserÈ possibile utilizzare la AWS KMS console o ilKeyStorePasswordparametro dell'UpdateCustomKeyStoreoperazione.Ad esempio, questo comando indica AWS KMS che la password corrente è
tempPassword. Sostituire la password di esempio con una effettiva.$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--key-store-passwordtempPassword -
Ricollegare l'archivio AWS KMS chiavi al relativo AWS CloudHSM cluster. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido. Durante il processo di connessione, AWS KMS modifica la
kmsuserpassword con un valore che solo lei conosce.L'ConnectCustomKeyStoreoperazione viene ripristinata rapidamente, ma il processo di connessione può richiedere un periodo di tempo prolungato. La risposta iniziale non indica se il processo di connessione è riuscito.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0 -
Utilizzare l'DescribeCustomKeyStoresoperazione per verificare che l'archivio delle AWS CloudHSM chiavi sia connesso. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.
In questo esempio, il campo dello stato della connessione mostra che il AWS CloudHSM key store è ora connesso.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
