Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS CloudHSM negozi chiave
<a name="keystore-cloudhsm"></a>

Un AWS CloudHSM key store è un [archivio di chiavi personalizzato](key-store-overview.md#custom-key-store-overview) supportato da un [AWS CloudHSM cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Quando ne crei uno AWS KMS key in un archivio di chiavi personalizzato, AWS KMS genera e archivia materiale chiave non estraibile per la chiave KMS in un AWS CloudHSM cluster di tua proprietà e gestione. Quando utilizzi una chiave KMS in un archivio di chiavi personalizzato, le [operazioni crittografiche](manage-cmk-keystore.md#use-cmk-keystore) vengono eseguite nel cluster. HSMs Questa funzionalità combina la praticità e l'ampia integrazione di AWS KMS con il controllo aggiuntivo di un AWS CloudHSM cluster nel tuo. Account AWS

AWS KMS fornisce supporto completo per console e API per la creazione, l'utilizzo e la gestione degli archivi di chiavi personalizzati. È possibile utilizzare le chiavi KMS nell'archivio delle chiavi personalizzate nello stesso modo in cui si utilizza qualsiasi chiave KMS. Ad esempio, puoi utilizzare le chiavi KMS per generare chiavi di dati ed effettuare la crittografia dei dati. Puoi anche utilizzare le chiavi KMS nel tuo archivio chiavi personalizzato con AWS servizi che supportano le chiavi gestite dai clienti.

**È necessario uno store di chiavi personalizzato?**

Per la maggior parte degli utenti, l'archivio di AWS KMS chiavi predefinito, protetto da [moduli crittografici convalidati FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), soddisfa i requisiti di sicurezza. Non è richiesto un livello supplementare di responsabilità per la manutenzione o la dipendenza da un ulteriore servizio. 

Tuttavia, è possibile prendere in considerazione la creazione di uno store di chiavi personalizzato qualora l'organizzazione possieda i seguenti requisiti:
+ Hai chiavi che devono essere protette esplicitamente in un modulo HSM a tenant singolo o in un modulo HSM su cui hai il controllo diretto.
+ È necessaria la possibilità di rimuovere immediatamente il materiale chiave da. AWS KMS
+ Devi essere in grado di controllare tutti gli usi delle tue chiavi indipendentemente da AWS KMS o AWS CloudTrail.

**Come funzionano gli store di chiavi personalizzati?**

Ogni archivio di chiavi personalizzato è associato a un AWS CloudHSM cluster del tuo Account AWS. Quando connetti l'archivio di chiavi personalizzato al relativo cluster, AWS KMS crea l'infrastruttura di rete per supportare la connessione. Quindi accede al AWS CloudHSM client chiave del cluster utilizzando le credenziali di un [utente crittografico dedicato](#concept-kmsuser) nel cluster.

Crei e gestisci i tuoi archivi di chiavi personalizzati AWS KMS e crei e gestisci i tuoi cluster HSM in. AWS CloudHSM Quando crei AWS KMS keys in un archivio di chiavi AWS KMS personalizzato, visualizzi e gestisci le chiavi KMS in. AWS KMS Tuttavia, in AWS CloudHSMè anche possibile visualizzare e gestire il proprio materiale chiave, esattamente come avviene per le altre chiavi nel cluster.

![\[Gestione di chiavi KMS in un archivio delle chiavi personalizzate\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/kms-hsm-view.png)


Puoi [creare chiavi KMS con crittografia simmetrica con materiale chiave generato dal tuo archivio di chiavi](create-cmk-keystore.md) AWS KMS personalizzato. Utilizza quindi le stesse tecniche per visualizzare e gestire le chiavi KMS nell'archivio chiavi personalizzato utilizzate per le chiavi KMS nell'archivio chiavi. AWS KMS Puoi controllare l'accesso con e le policy IAM e delle chiavi, creare tag e alias, abilitare e disabilitare chiavi KMS e pianificare l'eliminazione della chiave. Puoi utilizzare le chiavi KMS per [operazioni crittografiche](manage-cmk-keystore.md#use-cmk-keystore) e utilizzarle con AWS servizi che si integrano con. AWS KMS

Inoltre, hai il pieno controllo del AWS CloudHSM cluster, inclusa la creazione, l'eliminazione HSMs e la gestione dei backup. Puoi utilizzare il AWS CloudHSM client e le librerie software supportate per visualizzare, controllare e gestire il materiale chiave per le tue chiavi KMS. Sebbene l'archivio chiavi personalizzato sia disconnesso, AWS KMS non possono accedervi e gli utenti non possono utilizzare le chiavi KMS nell'archivio chiavi personalizzato per operazioni crittografiche. Questo ulteriore livello di controllo rende gli store di chiavi personalizzati una soluzione potente per le aziende che lo richiedono.

**Da dove iniziare?**

Per creare e gestire un archivio di AWS CloudHSM chiavi, si utilizzano le funzionalità di e. AWS KMS AWS CloudHSM

1. Inizia in AWS CloudHSM. [Creare un cluster AWS CloudHSM attivo](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) oppure selezionare un cluster esistente. Il cluster deve avere almeno due zone di disponibilità attive HSMs in zone di disponibilità diverse. Creare poi un [account utente di crittografia dedicato (CU, crypto user)](#concept-kmsuser) in quel cluster per AWS KMS. 

1. In AWS KMS, [crea un archivio di chiavi personalizzato](create-keystore.md) associato al AWS CloudHSM cluster selezionato. AWS KMS fornisce un'interfaccia di gestione completa che consente di creare, visualizzare, modificare ed eliminare gli archivi di chiavi personalizzati.

1. Quando sei pronto per utilizzare il tuo archivio di chiavi personalizzato, [collegalo al AWS CloudHSM cluster associato](connect-keystore.md). AWS KMS crea l'infrastruttura di rete necessaria per supportare la connessione. Effettua poi l'accesso al cluster tramite le credenziali dell'account crypto user (CU) dedicato, in modo da poter generare e gestire il materiale chiave nel cluster.

1. Ora puoi [creare chiavi KMS di crittografia simmetrica nel tuo archivio delle chiavi personalizzate](create-cmk-keystore.md). Basta specificare l'archivio delle chiavi personalizzate in fase di creazione della chiave KMS.

Qualora durante questa procedura non si riesca a procedere, cercare assistenza nell'argomento [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md). Se non si trova risposta, utilizzare il collegamento di feedback nella parte inferiore di ogni pagina della guida o pubblicare una domanda nel [Forum di discussione AWS Key Management Service](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Quote**

AWS KMS consente fino a [10 archivi di chiavi personalizzati](resource-limits.md) in ciascuna Account AWS regione, inclusi archivi [AWS CloudHSM chiavi e archivi](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) [chiavi esterni](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), indipendentemente dallo stato della connessione. Inoltre, sono previste quote di AWS KMS richiesta per l'[uso delle chiavi KMS in un AWS CloudHSM archivio di chiavi](requests-per-second.md#rps-key-stores).

**Prezzi**

[Per informazioni sul costo degli archivi di chiavi AWS KMS personalizzati e delle chiavi gestite dai clienti in un archivio di chiavi personalizzato, consulta AWS Key Management Service i prezzi.](https://aws.amazon.com/kms/pricing/) Per informazioni sul costo dei AWS CloudHSM cluster e HSMs, consulta la sezione [AWS CloudHSM Prezzi](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Regioni**

AWS KMS supporta i AWS CloudHSM key store in tutti i paesi in Regioni AWS cui AWS KMS è supportato, ad eccezione di Asia Pacifico (Melbourne), Cina (Pechino), Cina (Ningxia) ed Europa (Spagna).

**Caratteristiche non supportate**

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.
+ [Chiavi KMS asimmetriche](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ [Chiavi KMS con materiale della chiave importato](importing-keys.md)
+ [Rotazione automatica delle chiavi](rotate-keys.md)
+ [Chiavi multi-regione](multi-region-keys-overview.md)

## AWS CloudHSM concetti di archivio chiave
<a name="hsm-key-store-concepts"></a>

In questo argomento vengono descritti alcuni termini e concetti utilizzati negli archivi AWS CloudHSM chiave.

### AWS CloudHSM archivio di chiavi
<a name="concept-hsm-key-store"></a>

Un *AWS CloudHSM key store* è un archivio di [chiavi personalizzato](key-store-overview.md#custom-key-store-overview) associato a un AWS CloudHSM cluster di cui sei proprietario e che gestisci. AWS CloudHSM i cluster sono supportati da moduli di sicurezza hardware (HSMs) certificati [FIPS 140-2 o FIPS 140-3 Livello 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html).

Quando crei una chiave KMS nel tuo archivio chiavi, AWS KMS genera una AWS CloudHSM chiave simmetrica Advanced Encryption Standard (AES) a 256 bit, persistente e non esportabile nel cluster associato. AWS CloudHSM Questo materiale chiave non esce mai non crittografato. HSMs Quando si utilizza una chiave KMS in un archivio di AWS CloudHSM chiavi, le operazioni crittografiche vengono eseguite HSMs nel cluster. 

AWS CloudHSM gli archivi di chiavi combinano la comoda e completa interfaccia di gestione delle chiavi AWS KMS con i controlli aggiuntivi forniti da un AWS CloudHSM cluster del tuo. Account AWS Questa funzionalità integrata consente di creare, gestire e utilizzare le chiavi KMS AWS KMS mantenendo il pieno controllo del materiale in HSMs cui sono archiviate le chiavi, inclusa la gestione dei cluster e dei HSMs backup. Puoi utilizzare la AWS KMS console e APIs gestire l'archivio delle chiavi e le AWS CloudHSM relative chiavi KMS. È inoltre possibile utilizzare la AWS CloudHSM console APIs, il software client e le librerie software associate per gestire il cluster associato.

È possibile [visualizzare e gestire](view-keystore.md) l'archivio delle AWS CloudHSM chiavi, [modificarne le proprietà](update-keystore.md) e [connetterlo](connect-keystore.md) e [disconnetterlo](disconnect-keystore.md) dal AWS CloudHSM cluster associato. Se devi [eliminare un archivio AWS CloudHSM chiavi](delete-keystore.md#delete-keystore-console), devi prima eliminare le chiavi KMS nell'archivio AWS CloudHSM chiavi pianificandone l'eliminazione e aspettando la scadenza del periodo di prova. L'eliminazione del AWS CloudHSM key store rimuove la risorsa dal cluster AWS KMS, ma non ha alcun effetto. AWS CloudHSM 

### AWS CloudHSM ammasso
<a name="concept-cluster"></a>

Ogni archivio di AWS CloudHSM chiavi è associato a un *AWS CloudHSM cluster*. Quando ne crei uno AWS KMS key nel tuo AWS CloudHSM key store, AWS KMS crea il relativo materiale chiave nel cluster associato. Quando utilizzi una chiave KMS nell'archivio delle chiavi di AWS CloudHSM , l'operazione di crittografia viene eseguita nel cluster associato.

Ogni AWS CloudHSM cluster può essere associato a un solo archivio di AWS CloudHSM chiavi. Il cluster scelto non può essere associato a un altro archivio AWS CloudHSM chiavi o condividere una cronologia di backup con un cluster associato a un altro archivio AWS CloudHSM chiavi. Il cluster deve essere inizializzato e attivo e deve trovarsi nella stessa Account AWS regione dell'archivio delle AWS CloudHSM chiavi. È possibile creare un nuovo cluster o utilizzarne uno esistente. AWS KMS non necessita dell'uso esclusivo del cluster. Per creare chiavi KMS nell'archivio delle AWS CloudHSM chiavi, il cluster associato deve contenerne almeno due attive HSMs. Per tutte le altre operazioni è richiesto un solo HSM.

Il AWS CloudHSM cluster viene specificato quando si crea l'archivio delle AWS CloudHSM chiavi e non è possibile modificarlo. Puoi tuttavia sostituire qualsiasi cluster che condivide una cronologia dei backup con il cluster originale. Ciò ti consente di eliminare il cluster, se necessario, e sostituirlo con un cluster creato a partire da uno dei relativi backup. L'utente mantiene il pieno controllo del AWS CloudHSM cluster associato in modo da poter gestire utenti e chiavi, creare ed eliminare HSMs, utilizzare e gestire i backup. 

Quando sei pronto per utilizzare l'archivio AWS CloudHSM delle chiavi, lo connetti al AWS CloudHSM cluster associato. Puoi connettere e disconnettere lo store delle chiavi personalizzate in qualsiasi momento. Quando un archivio delle chiavi personalizzate è connesso, puoi creare chiavi KMS e utilizzare quelle che contiene. Quando è disconnesso, puoi visualizzare e gestire l'archivio delle AWS CloudHSM chiavi e le relative chiavi KMS. Tuttavia, non è possibile creare nuove chiavi KMS o utilizzare le chiavi KMS nell'archivio AWS CloudHSM chiavi per operazioni crittografiche.

### Crypto user (CU) `kmsuser`
<a name="concept-kmsuser"></a>

Per creare e gestire il materiale chiave nel AWS CloudHSM cluster associato per tuo conto, AWS KMS utilizza un *[utente AWS CloudHSM crittografico](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) dedicato (CU)* nel cluster denominato. `kmsuser` Il `kmsuser` CU è un account CU standard che viene automaticamente sincronizzato con tutti gli utenti del cluster e salvato HSMs nei backup del cluster. 

Prima di creare il tuo AWS CloudHSM key store, [crei un account `kmsuser` CU](create-keystore.md#before-keystore) nel AWS CloudHSM cluster utilizzando il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) nella CLI di CloudhSM. Quindi, quando [crei il AWS CloudHSM key store](create-keystore.md), fornisci la password dell'`kmsuser`account a. AWS KMS Quando si [connette l'archivio di chiavi personalizzato](connect-keystore.md), AWS KMS accede al cluster come `kmsuser` CU e ne modifica la password. AWS KMS crittografa la `kmsuser` password prima di archiviarla in modo sicuro. Quando la password viene ruotata, la nuova password viene crittografata e archiviata in modo analogo.

AWS KMS rimane connesso `kmsuser` finché l'archivio delle AWS CloudHSM chiavi è connesso. Non devi utilizzare questo account utente di crittografia per altri scopi. Mantieni tuttavia il controllo finale dell'account utente di crittografia `kmsuser`. In qualsiasi momento, puoi [trovare le chiavi](find-key-material.md) che `kmsuser` possiede. Se necessario, è possibile [disconnettere l'archivio delle chiavi personalizzate](disconnect-keystore.md), modificare la password di `kmsuser`, [accedere al cluster come `kmsuser`](fix-keystore.md#fix-login-as-kmsuser) e visualizzare e gestire le chiavi di cui l'`kmsuser` è proprietario.

Per istruzioni sulla creazione dell'account utente di crittografia `kmsuser`, consulta [Creazione del crypto user (CU)`kmsuser`](create-keystore.md#before-keystore).

### Chiavi KMS in un archivio di AWS CloudHSM chiavi
<a name="concept-cmk-key-store"></a>

Puoi utilizzare l' AWS KMS API AWS KMS or per crearne una AWS KMS keys in un archivio di AWS CloudHSM chiavi. A questo proposito, utilizzi la stessa tecnica che utilizzeresti per qualsiasi chiave KMS. L'unica differenza è che è necessario identificare l'archivio delle AWS CloudHSM chiavi e specificare che l'origine del materiale chiave è il AWS CloudHSM cluster. 

Quando si [crea una chiave KMS in un key store, AWS KMS crea la AWS CloudHSM chiave](create-cmk-keystore.md) KMS in AWS KMS e genera un materiale chiave simmetrico Advanced Encryption Standard (AES) a 256 bit, persistente e non esportabile nel cluster associato. Quando si utilizza la AWS KMS chiave in un'operazione di crittografia, l'operazione viene eseguita nel cluster utilizzando la chiave AES basata sul cluster. AWS CloudHSM Sebbene AWS CloudHSM supportino chiavi simmetriche e asimmetriche di diversi tipi, gli archivi di chiavi supportano solo chiavi di crittografia simmetriche AES AWS CloudHSM .

È possibile visualizzare le chiavi KMS in un archivio AWS CloudHSM chiavi della console e utilizzare le opzioni della AWS KMS console per visualizzare l'ID dell'archivio chiavi personalizzato. È inoltre possibile utilizzare l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione per trovare l'ID dell'archivio AWS CloudHSM chiavi e l'ID AWS CloudHSM del cluster.

Le chiavi KMS in un AWS CloudHSM key store funzionano esattamente come tutte le chiavi KMS in esso contenute. AWS KMS Gli utenti autorizzati devono disporre delle stesse autorizzazioni per utilizzare e gestire le chiavi KMS. Utilizzi le stesse procedure della console e le stesse operazioni API per visualizzare e gestire le chiavi KMS in un AWS CloudHSM archivio di chiavi. Queste includono l'abilitazione e la disabilitazione di chiavi KMS, la creazione e l'utilizzo di tag e alias e l'impostazione e la modifica di policy IAM e di policy chiave. È possibile utilizzare le chiavi KMS in un AWS CloudHSM archivio di chiavi per operazioni crittografiche e utilizzarle con [AWS servizi integrati](service-integration.md) che supportano l'uso di chiavi gestite dal cliente. Tuttavia, non è possibile abilitare la [rotazione automatica](rotate-keys.md) delle chiavi o [importare materiale chiave in una chiave](importing-keys.md) KMS in un archivio di chiavi. AWS CloudHSM 

Lo stesso processo viene utilizzato anche per [pianificare l'eliminazione](deleting-keys.md#delete-cmk-keystore) di una chiave KMS in un archivio di chiavi. AWS CloudHSM Dopo la scadenza del periodo di attesa, AWS KMS elimina la chiave KMS da KMS. Quindi fa del suo meglio per eliminare il materiale chiave per la chiave KMS dal cluster associato. AWS CloudHSM È tuttavia possibile che sia necessario [eliminare manualmente il materiale della chiave orfano](fix-keystore.md#fix-keystore-orphaned-key) dal cluster e dai relativi backup.

# Controlla l'accesso al tuo AWS CloudHSM key store
<a name="authorize-key-store"></a>

Utilizzi le policy IAM per controllare l'accesso al tuo AWS CloudHSM key store e al tuo AWS CloudHSM cluster. Puoi utilizzare le policy chiave, le policy IAM e le concessioni per controllare l'accesso a esse AWS KMS keys nel tuo AWS CloudHSM key store. Ti consigliamo di concedere a utenti, gruppi e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio nel tuo. Account AWS Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md).

Durante la progettazione del tuo archivio di AWS CloudHSM chiavi, assicurati che i responsabili che lo utilizzano e lo gestiscono dispongano solo delle autorizzazioni necessarie. L'elenco seguente descrive le autorizzazioni minime richieste per i gestori e gli AWS CloudHSM utenti dell'archivio chiavi.
+ I responsabili che creano e gestiscono l'archivio delle AWS CloudHSM chiavi richiedono la seguente autorizzazione per utilizzare le operazioni dell'API dell'archivio AWS CloudHSM chiavi.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ I responsabili che creano e gestiscono il AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi necessitano dell'autorizzazione per creare e inizializzare un cluster. AWS CloudHSM Ciò include l'autorizzazione a creare o utilizzare un Amazon Virtual Private Cloud (VPC), creare sottoreti e creare un'istanza Amazon. EC2 Potrebbero inoltre aver bisogno di creare HSMs, eliminare e gestire i backup. Per un elenco delle autorizzazioni necessarie, consulta [Identity and access management per AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) nella *Guida per l'utente di AWS CloudHSM *.
+ I responsabili che creano e gestiscono AWS KMS keys nel tuo archivio delle AWS CloudHSM chiavi richiedono [le stesse autorizzazioni](create-keys.md#create-key-permissions) di coloro che creano e gestiscono qualsiasi chiave KMS. AWS KMS La [politica delle chiavi predefinita](key-policy-default.md) per una chiave KMS in un archivio AWS CloudHSM chiavi è identica alla politica delle chiavi predefinita per le chiavi KMS in. AWS KMS Il [controllo degli accessi basato sugli attributi](abac.md) (ABAC), che utilizza tag e alias per controllare l'accesso alle chiavi KMS, è efficace anche sulle chiavi KMS negli archivi di chiavi. AWS CloudHSM 
+ [I responsabili che utilizzano le chiavi KMS nell'archivio delle chiavi per le [operazioni crittografiche necessitano dell'autorizzazione per eseguire l'operazione di crittografia](manage-cmk-keystore.md#use-cmk-keystore) con la AWS CloudHSM chiave KMS, ad esempio KMS:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Puoi fornire queste autorizzazioni in una policy delle chiavi, una policy IAM. Tuttavia, non hanno bisogno di autorizzazioni aggiuntive per utilizzare una chiave KMS in un archivio di chiavi. AWS CloudHSM 

# Crea un archivio di AWS CloudHSM chiavi
<a name="create-keystore"></a>

Puoi creare uno o più archivi di AWS CloudHSM chiavi nel tuo account. Ogni archivio di AWS CloudHSM chiavi è associato a un AWS CloudHSM cluster nella stessa Account AWS regione. Prima di creare l'archivio delle chiavi di AWS CloudHSM , devi [assemblare i prerequisiti](#before-keystore). Quindi, prima di poter utilizzare l'archivio AWS CloudHSM delle chiavi, è necessario [collegarlo](connect-keystore.md) al relativo AWS CloudHSM cluster.

**Note**  
KMS non può comunicare IPv6 con gli archivi di AWS CloudHSM chiavi.  
Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi *disconnesso* esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM   
Non è necessario collegare immediatamente l'archivio delle AWS CloudHSM chiavi. Puoi lasciarlo disconnesso fino a che non sei pronto a utilizzarlo. Tuttavia, per verificare che sia configurato correttamente, puoi [connetterlo](connect-keystore.md), [ visualizzarne lo stato di connessione](view-keystore.md) e quindi [disconnetterlo](disconnect-keystore.md).

**Topics**
+ [Assemblare i prerequisiti](#before-keystore)
+ [Crea un nuovo archivio di AWS CloudHSM chiavi](#create-hsm-keystore)

## Assemblare i prerequisiti
<a name="before-keystore"></a>

Ogni archivio di AWS CloudHSM chiavi è supportato da un AWS CloudHSM cluster. Per creare un AWS CloudHSM key store, è necessario specificare un AWS CloudHSM cluster attivo che non sia già associato a un altro key store. È inoltre necessario creare un utente crittografico (CU) dedicato nei cluster HSMs che AWS KMS possa utilizzare per creare e gestire le chiavi per conto dell'utente.

Prima di creare un archivio di AWS CloudHSM chiavi, procedi come segue:

**Seleziona un AWS CloudHSM cluster**  
Ogni archivio di AWS CloudHSM chiavi è [associato esattamente a un AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Quando crei AWS KMS keys nel tuo AWS CloudHSM key store, AWS KMS crea i metadati della chiave KMS, come un ID e un Amazon Resource Name (ARN) in. AWS KMS Quindi crea il materiale chiave nel cluster HSMs associato. È possibile [creare un nuovo AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) cluster o utilizzarne uno esistente. AWS KMS non richiede l'accesso esclusivo al cluster.  
Il AWS CloudHSM cluster selezionato è associato in modo permanente all'archivio delle AWS CloudHSM chiavi. Dopo aver creato l'archivio delle AWS CloudHSM chiavi, è possibile [modificare l'ID](update-keystore.md) del cluster associato, ma il cluster specificato deve condividere una cronologia di backup con il cluster originale. Per utilizzare un cluster non correlato, è necessario creare un nuovo archivio di AWS CloudHSM chiavi.  
Il AWS CloudHSM cluster selezionato deve avere le seguenti caratteristiche:  
+ **Il cluster deve essere attivo**. 

  È necessario creare il cluster, inizializzarlo, installare il software AWS CloudHSM client per la piattaforma e quindi attivare il cluster. Per istruzioni dettagliate, consulta la sezione [Nozioni di base su AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) della *Guida per l'utente di AWS CloudHSM *.
+ **Il TLS reciproco (mTLS) non è abilitato.** 

  KMS non supporta MTL per i cluster. Questa impostazione non deve essere abilitata.
+ **Il cluster deve trovarsi nello stesso account e nella stessa regione** dell'archivio delle AWS CloudHSM chiavi. Non è possibile associare un archivio di AWS CloudHSM chiavi in una regione a un cluster in un'altra regione. Per creare un'infrastruttura chiave in più regioni, è necessario creare archivi e cluster di AWS CloudHSM chiavi in ciascuna regione.
+ **Il cluster non può essere associato a un altro archivio chiavi personalizzate** nello stesso account e nella stessa regione. Ogni archivio di AWS CloudHSM chiavi nell'account e nella regione deve essere associato a un AWS CloudHSM cluster diverso. Non puoi specificare un cluster che è già associato a uno store delle chiavi personalizzate o un cluster che condivide una cronologia dei backup con un cluster associato. I cluster che condividono una cronologia dei backup hanno lo stesso certificato di cluster. Per visualizzare il certificato del cluster di un cluster, utilizza la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione.

  Se [effettui il backup in un cluster AWS CloudHSM in una regione differente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), tale cluster viene considerato diverso e puoi associare il backup a un archivio chiavi personalizzate nella relativa regione. Tuttavia, le chiavi KMS nei due archivi di chiavi personalizzati non sono interoperabili, anche se hanno la stessa chiave di supporto. AWS KMS associa i metadati al testo cifrato in modo che possa essere decrittografato solo dalla chiave KMS che lo ha crittografato.
+ Il cluster deve essere configurato con [sottoreti private](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) in **almeno due zone di disponibilità** nella regione. Poiché non AWS CloudHSM è supportato in tutte le zone di disponibilità, si consiglia di creare sottoreti private in tutte le zone di disponibilità della regione. Non puoi riconfigurare le sottoreti di un cluster esistente, ma puoi [creare un cluster a partire da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) con varie sottoreti nella configurazione del cluster.
**Importante**  
Dopo aver creato l'archivio AWS CloudHSM delle chiavi, non eliminare nessuna delle sottoreti private configurate per il relativo cluster. AWS CloudHSM Se AWS KMS non riesci a trovare tutte le sottoreti nella configurazione del cluster, i tentativi di [connessione all'archivio chiavi personalizzato hanno esito negativo e viene](connect-keystore.md) generato un `SUBNET_NOT_FOUND` errore di connessione. Per informazioni dettagliate, vedi [Come correggere un errore di connessione](fix-keystore.md#fix-keystore-failed).
+ Il [gruppo di sicurezza per il cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) deve includere regole in entrata e regole in uscita che consentano il traffico TCP sulle IPv4 porte 2223-2225. La **Source (Origine)** nelle regole in entrata e la **Destination (Destinazione)** nelle regole in uscita devono corrispondere all'ID del gruppo di sicurezza. Tali regole sono configurate per impostazione predefinita quando si crea il cluster. Non eliminarle o modificarle.
+ **Il cluster deve contenere almeno due zone di disponibilità attive in zone di disponibilità diverse**. HSMs Per verificare il numero di HSMs, utilizzare la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Se necessario, puoi [aggiungere un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Ricerca del certificato trust anchor**  
Quando crei un archivio di chiavi personalizzato, devi caricare il certificato trust anchor per il AWS CloudHSM cluster su AWS KMS. AWS KMS necessita del certificato trust anchor per connettere l'archivio di AWS CloudHSM chiavi al cluster associato AWS CloudHSM .  
Ogni AWS CloudHSM cluster attivo ha un certificato *trust anchor*. Quando [inizializzi il cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), genera questo certificato, salvalo nel file `customerCA.crt` e copialo negli host che si connettono al cluster.

**Crea l'utente `kmsuser` crittografico per AWS KMS**  <a name="kmsuser-concept"></a>
Per amministrare il tuo archivio di AWS CloudHSM chiavi, AWS KMS accedi all'account [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) (CU) nel cluster selezionato. Prima di creare il tuo AWS CloudHSM key store, devi creare il CU. `kmsuser` Quindi, quando crei il tuo archivio di AWS CloudHSM chiavi, fornisci la password `kmsuser` per AWS KMS. Ogni volta che colleghi l'archivio di AWS CloudHSM chiavi al AWS CloudHSM cluster associato, AWS KMS accede come password `kmsuser` e ruota la password `kmsuser`   
Non specificare l'opzione `2FA` quando crei l'utente di crittografia `kmsuser`. In caso affermativo, AWS KMS non è possibile effettuare il login e l'archivio AWS CloudHSM delle chiavi non può essere connesso a questo AWS CloudHSM cluster. Una volta specificata, l'opzione 2FA non può essere annullata. Dovrai invece eliminare l'utente di crittografia e ricrearlo.
**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

1. *Segui le procedure introduttive descritte nell'argomento [Guida introduttiva all'interfaccia a riga di comando (CLI) di CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) della Guida per l'utente.AWS CloudHSM *

1. Utilizzate il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) una CU denominata. `kmsuser`

   La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.

   Il comando di esempio seguente crea una `kmsuser` CU. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Crea un nuovo archivio di AWS CloudHSM chiavi
<a name="create-hsm-keystore"></a>

Dopo [aver assemblato i prerequisiti](#before-keystore), è possibile creare un nuovo archivio di AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="create-keystore-console"></a>

Quando si crea un archivio di AWS CloudHSM chiavi in Console di gestione AWS, è possibile aggiungere e creare i [prerequisiti](#before-keystore) come parte del flusso di lavoro. Tuttavia, il processo risulta più rapido se li hai assemblati in precedenza.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegli **Crea un archivio di chiavi**.

1. Immettere un nome descrittivo per lo store delle chiavi personalizzate. Il nome deve essere univoco per tutti gli archivi delle chiavi personalizzate presenti nell'account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei log e in altri output. CloudTrail 

1. Seleziona [un AWS CloudHSM cluster per l'archivio](keystore-cloudhsm.md#concept-cluster) delle chiavi. AWS CloudHSM Oppure, per creare un nuovo AWS CloudHSM cluster, scegli il link **Crea un AWS CloudHSM cluster**.

   Il menu mostra AWS CloudHSM i cluster del tuo account e della tua regione che non sono già associati a un AWS CloudHSM key store. Il cluster deve [soddisfare i requisiti](#before-keystore) per l'associazione con uno store delle chiavi personalizzate. 

1. **Scegli il file**, quindi carica il certificato trust anchor per il AWS CloudHSM cluster che hai scelto. Si tratta del file `customerCA.crt` creato all'[inizializzazione del cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Immettere la password del [crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) creato nel cluster selezionato. 

1. Scegli **Create** (Crea).

Quando la procedura ha esito positivo, il nuovo archivio AWS CloudHSM chiavi viene visualizzato nell'elenco degli archivi AWS CloudHSM chiave dell'account e della regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi *disconnesso* esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM 

**Avanti**: I nuovi archivi di AWS CloudHSM chiavi non vengono collegati automaticamente. Prima di poter creare AWS KMS keys nel AWS CloudHSM key store, è necessario [connettere l'archivio chiavi personalizzato](connect-keystore.md) al AWS CloudHSM cluster associato.

### Utilizzo dell' AWS KMS API
<a name="create-keystore-api"></a>

È possibile utilizzare l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione per creare un nuovo archivio di AWS CloudHSM chiavi associato a un AWS CloudHSM cluster nell'account e nella regione. Questi esempi utilizzano l' AWS Command Line Interface (AWS CLI), ma puoi anche utilizzare qualsiasi linguaggio di programmazione supportato.

L'operazione `CreateCustomKeyStore` richiede i valori di parametro seguenti.
+ CustomKeyStoreName — Un nome descrittivo per l'archivio di chiavi personalizzato che è unico nell'account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail registri e in altri output.
+ CloudHsmClusterId — L'ID del cluster di un AWS CloudHSM cluster che [soddisfa i requisiti per un archivio di chiavi](#before-keystore). AWS CloudHSM 
+ KeyStorePassword — La password dell'account `kmsuser` CU nel cluster specificato. 
+ TrustAnchorCertificate — Il contenuto del `customerCA.crt` file creato durante l'[inizializzazione del cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

L'esempio seguente utilizza un ID cluster fittizio. Prima di eseguire il comando, sostituiscilo con un ID cluster valido

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Se si utilizza il AWS CLI, è possibile specificare il file del certificato trust anchor, anziché il relativo contenuto. Nell'esempio seguente, il file `customerCA.crt` si trova nella directory principale:

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Se l'operazione riesce, `CreateCustomKeyStore` restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi *disconnesso* esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM 

**Avanti**: per utilizzare l'archivio delle AWS CloudHSM chiavi, [collegalo al relativo cluster](connect-keystore.md). AWS CloudHSM 

# Visualizza un archivio di AWS CloudHSM chiavi
<a name="view-keystore"></a>

È possibile visualizzare gli archivi delle AWS CloudHSM chiavi in ogni account e regione utilizzando la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. 

## Utilizzo della AWS KMS console
<a name="view-keystore-console"></a>

Quando si visualizzano gli archivi delle AWS CloudHSM chiavi in Console di gestione AWS, è possibile visualizzare quanto segue:
+ Il nome e l'ID dell'archivio delle chiavi personalizzate
+ L'ID del AWS CloudHSM cluster associato
+ Il numero di HSMs nel cluster
+ Lo stato di connessione corrente

Il valore dello stato della connessione (**Status**) impostato su **Disconnected** indica che l'archivio chiavi personalizzato è nuovo e non è mai stato connesso oppure è stato [disconnesso intenzionalmente dal](disconnect-keystore.md) relativo cluster. AWS CloudHSM Tuttavia, se i tentativi di utilizzare una chiave KMS in un archivio di chiavi personalizzate connesso falliscono, ciò potrebbe indicare un problema con l'archivio chiavi personalizzato o il relativo cluster. AWS CloudHSM Per assistenza, consulta [Come correggere una chiave KMS non funzionante](fix-keystore.md#fix-cmk-failed).

Per visualizzare gli archivi di AWS CloudHSM chiavi in un determinato account e in una determinata regione, utilizzare la procedura seguente.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

Per personalizzare la visualizzazione, fai clic sull'icona che raffigura un ingranaggio visualizzata sotto il pulsante **Create key store (Crea store delle chiavi)**.

## Utilizzando l'API AWS KMS
<a name="view-keystore-api"></a>

Per visualizzare i tuoi archivi di AWS CloudHSM chiavi, usa l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare l'output a un determinato store delle chiavi personalizzate. Per gli archivi di AWS CloudHSM chiavi, l'output è costituito dall'ID e dal nome dell'archivio chiavi personalizzati, dal tipo di archivio chiavi personalizzato, dall'ID del AWS CloudHSM cluster associato e dallo stato della connessione. Se lo stato della connessione indica un errore, l'output include un codice di errore che descrive il motivo del problema.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Ad esempio, il comando seguente restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Per scorrere gli store delle chiavi personalizzate nell'output puoi utilizzare i parametri `Limit` e `Marker`.

```
$ aws kms describe-custom-key-stores
```

Il comando di esempio seguente utilizza il parametro `CustomKeyStoreName` per ottenere solo lo store delle chiavi personalizzate con il nome descrittivo `ExampleCloudHSMKeyStore`. Puoi utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) in ogni comando.

L'output di esempio seguente rappresenta un archivio di AWS CloudHSM chiavi connesso al relativo AWS CloudHSM cluster.

**Nota**  
Il `CustomKeyStoreType` campo è stato aggiunto alla `DescribeCustomKeyStores` risposta per distinguere gli archivi di AWS CloudHSM chiavi dagli archivi di chiavi esterni.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

Un `ConnectionState` of `Disconnected` indica che un archivio chiavi personalizzato non è mai stato connesso o che è stato intenzionalmente [disconnesso dal relativo AWS CloudHSM cluster](disconnect-keystore.md). Tuttavia, se i tentativi di utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi connesso falliscono, ciò potrebbe indicare un problema con l'archivio AWS CloudHSM chiavi o il relativo cluster. AWS CloudHSM Per assistenza, consulta [Come correggere una chiave KMS non funzionante](fix-keystore.md#fix-cmk-failed).

Se il campo `ConnectionState` dello store delle chiavi personalizzate è `FAILED`, la risposta `DescribeCustomKeyStores` include un elemento `ConnectionErrorCode` che descrive il motivo dell'errore.

Ad esempio, nell'output seguente, il valore `INVALID_CREDENTIALS` indica che la connessione dello store delle chiavi di connessione non è riuscita in quanto la [password `kmsuser` non è valida](fix-keystore.md#fix-keystore-password). Per informazioni su questo e altri errori di connessione, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**Ulteriori informazioni:**
+ [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md)
+ [Identifica le chiavi KMS negli AWS CloudHSM archivi delle chiavi](identify-key-types.md#identify-key-hsm-keystore)
+ [Registrazione delle chiamate AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md)

# Modifica le impostazioni del AWS CloudHSM key store
<a name="update-keystore"></a>

È possibile modificare le impostazioni di un AWS CloudHSM key store esistente. L'archivio chiavi personalizzato deve essere disconnesso dal relativo AWS CloudHSM cluster.

Per modificare le impostazioni AWS CloudHSM del key store:

1. [Disconnettere lo store delle chiavi personalizzate](disconnect-keystore.md) dal relativo cluster AWS CloudHSM .

   [Mentre l'archivio chiavi personalizzato è disconnesso, non è possibile creare AWS KMS keys (chiavi KMS) nell'archivio chiavi personalizzato e non è possibile utilizzare le chiavi KMS in esso contenute per operazioni crittografiche.](manage-cmk-keystore.md#use-cmk-keystore) 

1. Modifica una o più impostazioni dell'archivio chiavi. AWS CloudHSM 

   Puoi modificare le impostazioni seguenti in uno store delle chiavi personalizzate:  
Il nome descrittivo dello store delle chiavi personalizzate  
Immetti un nuovo nome descrittivo. Il nuovo nome deve essere univoco tra tutti gli archivi di chiavi personalizzati presenti nel tuo Account AWS.  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.  
L'ID del cluster associato. AWS CloudHSM   
Modifica questo valore per sostituire un AWS CloudHSM cluster correlato con quello originale. È possibile utilizzare questa funzionalità per riparare un archivio di chiavi personalizzato se il relativo AWS CloudHSM cluster viene danneggiato o eliminato.   
Specificate un AWS CloudHSM cluster che condivida una cronologia di backup con il cluster originale e [soddisfi i requisiti per l'](create-keystore.md#before-keystore)associazione a un archivio di chiavi personalizzato, di cui due attivi HSMs in diverse zone di disponibilità. I cluster che condividono una cronologia dei backup hanno lo stesso certificato di cluster. Per visualizzare il certificato del cluster di un cluster, utilizzare l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Non puoi utilizzare la funzionalità di modifica per associare lo store delle chiavi personalizzate a un cluster AWS CloudHSM non correlato.   
La password corrente del [crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser)  
Indica AWS KMS la password corrente della `kmsuser` CU nel AWS CloudHSM cluster. Questa azione non modifica la password della `kmsuser` CU nel AWS CloudHSM cluster.  
Se modificate la password della `kmsuser` CU nel AWS CloudHSM cluster, utilizzate questa funzione per indicare AWS KMS la nuova `kmsuser` password. In caso contrario, AWS KMS non può accedere al cluster e tutti i tentativi di connessione dello store delle chiavi personalizzate al cluster hanno esito negativo. 

1. [Riconnettere lo store delle chiavi personalizzate](connect-keystore.md) al relativo cluster AWS CloudHSM .

## Modifica le impostazioni del tuo key store
<a name="edit-keystore-settings"></a>

È possibile modificare le impostazioni del AWS CloudHSM key store nella AWS KMS console o utilizzando l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione.

### Utilizzo della AWS KMS console
<a name="update-keystore-console"></a>

Quando si modifica un archivio di AWS CloudHSM chiavi, è possibile modificare uno qualsiasi dei valori configurabili.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegliete la riga del AWS CloudHSM key store che desiderate modificare. 

   Se il valore nella colonna **Stato connessione** non è **Disconnesso**, devi scollegare l'archivio di chiavi personalizzate per poterlo modificare. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

   Quando un archivio AWS CloudHSM chiavi è disconnesso, puoi gestire l'archivio AWS CloudHSM chiavi e le relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell' AWS CloudHSM archivio chiavi. 

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Edit** (Modifica).

1. Effettuare una o più delle operazioni seguenti.
   + Digitare un nuovo nome descrittivo per lo store delle chiavi personalizzate.
   + Digita l'ID del cluster correlato. AWS CloudHSM 
   + Digita la password corrente dell'utente `kmsuser` crittografico nel AWS CloudHSM cluster associato.

1. Scegli **Save** (Salva).

   Se la procedura ha esito positivo, un messaggio descrive le impostazioni modificate. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

1. [Riconnettere lo store delle chiavi personalizzate](connect-keystore.md).

   Per utilizzare l'archivio AWS CloudHSM chiavi, è necessario ricollegarlo dopo la modifica. Puoi lasciare disconnesso l'archivio delle chiavi di AWS CloudHSM , [Tuttavia, mentre è disconnesso, non è possibile creare chiavi KMS nell'archivio AWS CloudHSM chiavi o utilizzare le chiavi KMS nell'archivio AWS CloudHSM chiavi nelle operazioni crittografiche.](manage-cmk-keystore.md#use-cmk-keystore)

### Utilizzando l'API AWS KMS
<a name="update-keystore-api"></a>

Per modificare le proprietà di un archivio di AWS CloudHSM chiavi, utilizzare l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione. Puoi modificare più proprietà di un store delle chiavi personalizzate nello stesso comando. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Per verificare che le modifiche siano effettive, utilizzate l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Inizia utilizzando [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)per [disconnettere l'archivio di chiavi personalizzato](disconnect-keystore.md) dal relativo AWS CloudHSM cluster. Sostituisci l'ID archivio chiavi personalizzate di esempio, cks-1234567890abcdef0, con un ID effettivo.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Il primo esempio utilizza [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)per modificare il nome descrittivo del AWS CloudHSM key store in`DevelopmentKeys`. Il comando utilizza il `CustomKeyStoreId` parametro per identificare l'archivio AWS CloudHSM chiavi e `CustomKeyStoreName` specificare il nuovo nome per l'archivio chiavi personalizzato.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

L'esempio seguente modifica il cluster associato a un archivio AWS CloudHSM chiavi in un altro backup dello stesso cluster. Il comando utilizza il `CustomKeyStoreId` parametro per identificare l'archivio delle AWS CloudHSM chiavi e il `CloudHsmClusterId` parametro per specificare il nuovo ID del cluster. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

L'esempio seguente indica AWS KMS che la `kmsuser` password corrente è`ExamplePassword`. Il comando utilizza il `CustomKeyStoreId` parametro per identificare l'archivio delle AWS CloudHSM chiavi e il `KeyStorePassword` parametro per specificare la password corrente.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

Il comando finale riconnette l'archivio AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Puoi lasciare l'archivio delle chiavi personalizzate disconnesso, ma devi connetterlo per poter creare nuove chiavi KMS o utilizzare le chiavi KMS esistenti per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore). Sostituisci l'ID store chiavi personalizzate di esempio con un ID effettivo.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Connect a AWS CloudHSM key store
<a name="connect-keystore"></a>

I nuovi archivi di AWS CloudHSM chiavi non sono collegati. Prima di poterlo creare e utilizzare AWS KMS keys nell'archivio delle AWS CloudHSM chiavi, è necessario collegarlo al AWS CloudHSM cluster associato. È possibile connettere e disconnettere l'archivio AWS CloudHSM delle chiavi in qualsiasi momento e [visualizzarne lo stato della connessione](view-keystore.md#view-keystore-console). 

Non è necessario collegare il proprio AWS CloudHSM key store. È possibile lasciare un archivio AWS CloudHSM chiavi in uno stato disconnesso a tempo indeterminato e collegarlo solo quando è necessario utilizzarlo. Puoi tuttavia testare la connessione periodicamente per verificare che le impostazioni sono corrette e che non vi sono problemi di connessione dello store.

**Nota**  
AWS CloudHSM gli archivi chiavi hanno uno stato di `DISCONNECTED` connessione solo quando l'archivio chiavi non è mai stato connesso o lo si disconnette esplicitamente. Se lo stato di connessione del AWS CloudHSM keystore è lo stesso `CONNECTED` ma hai problemi a utilizzarlo, assicurati che il AWS CloudHSM cluster associato sia attivo e ne contenga almeno uno attivo. HSMs Per informazioni sugli errori di connessione, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Quando ti connetti a un AWS CloudHSM key store, AWS KMS trova il AWS CloudHSM cluster associato, si connette ad esso, accede al AWS CloudHSM client come [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) (CU), quindi ruota la password. `kmsuser` AWS KMS rimane connesso al AWS CloudHSM client finché l'archivio delle AWS CloudHSM chiavi è connesso.

Per stabilire la connessione, AWS KMS crea un [gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) denominato `kms-<custom key store ID>` nel cloud privato virtuale (VPC) del cluster. Il gruppo di sicurezza ha un'unica regola che consente il traffico in entrata dal gruppo di sicurezza del cluster. AWS KMS crea anche un'[interfaccia di rete elastica](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) in ogni zona di disponibilità della sottorete privata per il cluster. AWS KMS aggiunge ENIs al gruppo di `kms-<cluster ID>` sicurezza e al gruppo di sicurezza per il cluster. La descrizione di ogni ENI è `KMS managed ENI for cluster <cluster-ID>`.

Il completamento del processo di connessione può richiedere fino a 20 minuti. 

Prima di connettere il AWS CloudHSM key store, verificate che soddisfi i requisiti.
+ Il AWS CloudHSM cluster associato deve contenere almeno un HSM attivo. Per trovare il numero di HSMs nel cluster, visualizza il cluster nella AWS CloudHSM console o usa l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Se necessario, puoi [aggiungere un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Il cluster deve disporre di un account [utente `kmsuser` crittografico](create-keystore.md#kmsuser-concept) (CU), ma tale CU non può essere registrato nel cluster quando si connette l'archivio delle AWS CloudHSM chiavi. Per informazioni su come effettuare la disconnessione, consulta [Come scollegarsi e riconnettersi](fix-keystore.md#login-kmsuser-2).
+ Lo stato di connessione del AWS CloudHSM key store non può essere o. `DISCONNECTING` `FAILED` Per visualizzare lo stato della connessione, utilizzare la AWS KMS console o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta. Se lo stato della connessione è `FAILED`, disconnetti l'archivio delle chiavi personalizzate, correggi il problema e riconnettilo.

Per informazioni sugli errori di connessione, consulta [Come correggere un errore di connessione](fix-keystore.md#fix-keystore-failed).

Quando il tuo archivio AWS CloudHSM chiavi è connesso, puoi [creare chiavi KMS al suo interno e utilizzare le chiavi](create-cmk-keystore.md) KMS esistenti nelle operazioni [crittografiche](manage-cmk-keystore.md#use-cmk-keystore).

## Connect e riconnettiti al tuo AWS CloudHSM key store
<a name="connect-hsm-keystore"></a>

È possibile connettere o ricollegare l'archivio AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="connect-keystore-console"></a>

Per connettere un AWS CloudHSM key store in Console di gestione AWS, iniziate selezionando il AWS CloudHSM key store dalla pagina **Custom key store**. Il completamento del processo di connessione può richiedere fino a 20 minuti.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegli la riga dell'archivio di AWS CloudHSM chiavi che desideri connettere. 

   Se lo stato di connessione dell'archivio AWS CloudHSM chiavi è **Fallito**, è necessario [disconnettere l'archivio chiavi personalizzato](disconnect-keystore.md#disconnect-keystore-console) prima di connetterlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti).

AWS KMS avvia il processo di connessione dell'archivio chiavi personalizzato. Trova il cluster AWS CloudHSM associato, crea l'infrastruttura di rete necessaria, si connette alla stessa, accede al cluster AWS CloudHSM come utente di crittografia `kmsuser` ed esegue la rotazione della password `kmsuser`. Al termine dell'operazione, lo stato della connessione diventa **Connesso**. 

Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il motivo del problema. Prima di riprovare a connetterti, [visualizza lo stato della connessione](view-keystore.md) del tuo AWS CloudHSM key store. Se è **Non riuscito**, devi [scollegare l'archivio di chiavi personalizzate](disconnect-keystore.md#disconnect-keystore-console) prima di ricollegarlo. Per assistenza, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

**Successivo:** [Crea una chiave KMS in un archivio di AWS CloudHSM chiavi](create-cmk-keystore.md).

### Utilizzo dell' AWS KMS API
<a name="connect-keystore-api"></a>

Per connettere un archivio di AWS CloudHSM chiavi disconnesso, utilizzare l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione. Il AWS CloudHSM cluster associato deve contenere almeno un HSM attivo e lo stato della connessione non può esserlo. `FAILED`

Il completamento del processo di connessione può richiedere fino a 20 minuti. Se l'operazione non genera rapidamente un errore, l'operazione restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare lo stato di connessione dell'archivio chiavi personalizzato, consulta la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Per identificare l'archivio AWS CloudHSM chiavi, utilizza il relativo ID dell'archivio chiavi personalizzato. È possibile trovare l'ID nella pagina **Custom key stores** della console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione senza parametri. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per verificare che l'archivio AWS CloudHSM chiavi sia connesso, usa l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Se il valore di `ConnectionState` è `CONNECTED`, indica che lo store delle chiavi personalizzate è connesso al relativo cluster AWS CloudHSM .

**Nota**  
Il `CustomKeyStoreType` campo è stato aggiunto alla `DescribeCustomKeyStores` risposta per distinguere gli archivi di AWS CloudHSM chiavi dagli archivi di chiavi esterni.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Se il valore di `ConnectionState` è Failed (Non riuscito), l'elemento `ConnectionErrorCode` indica il motivo dell'errore. In questo caso, non è AWS KMS stato possibile trovare un AWS CloudHSM cluster nel tuo account con l'ID del cluster`cluster-1a23b4cdefg`. Se hai eliminato il cluster, puoi [ripristinarlo a partire da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del cluster originale e quindi [modificare l'ID cluster](update-keystore.md) per lo store delle chiavi personalizzate. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Come correggere un errore di connessione](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Disconnetti un archivio AWS CloudHSM chiavi
<a name="disconnect-keystore"></a>

Quando si disconnette un archivio di AWS CloudHSM chiavi, si AWS KMS disconnette dal AWS CloudHSM client, si disconnette dal AWS CloudHSM cluster associato e rimuove l'infrastruttura di rete creata per supportare la connessione.

Mentre un archivio AWS CloudHSM chiavi è disconnesso, puoi gestire l'archivio chiavi e le AWS CloudHSM relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell'archivio chiavi. AWS CloudHSM Lo stato di connessione dell'archivio delle chiavi è `DISCONNECTED` e lo [stato della chiave](key-state.md) delle chiavi KMS nell'archivio delle chiavi personalizzate è `Unavailable`, a meno che non siano `PendingDeletion`. Puoi ricollegare l'archivio delle AWS CloudHSM chiavi in qualsiasi momento.

**Nota**  
AWS CloudHSM gli archivi chiavi hanno uno stato di `DISCONNECTED` connessione solo quando l'archivio chiavi non è mai stato connesso o lo si disconnette esplicitamente. Se lo stato di connessione del AWS CloudHSM keystore è lo stesso `CONNECTED` ma hai problemi a utilizzarlo, assicurati che il AWS CloudHSM cluster associato sia attivo e ne contenga almeno uno attivo. HSMs Per informazioni sugli errori di connessione, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Quando disconnetti un archivio delle chiavi personalizzate, le chiavi KMS nell'archivio diventano immediatamente inutilizzabili (in base alla coerenza finale). Tuttavia, le risorse crittografate con [chiavi di dati](data-keys.md) protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda i Servizi AWS, molti dei quali proteggono le risorse tramite le chiavi dati. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Per valutare meglio l'effetto della disconnessione dell'archivio delle chiavi personalizzate, [identifica le chiavi KMS](find-cmk-in-keystore.md) nell'archivio delle chiavi personalizzate e [determinane l'utilizzo precedente](deleting-keys-determining-usage.md).

È possibile disconnettere un archivio di AWS CloudHSM chiavi per motivi come i seguenti:
+ **Per effettuare una rotazione della password `kmsuser`.** AWS KMS modifica la password `kmsuser` ogni volta che si connette al cluster AWS CloudHSM . Per forzare una rotazione della password, esegui la disconnessione e quindi una nuova connessione.
+ **Per controllare il materiale chiave** per le chiavi KMS nel AWS CloudHSM cluster. Quando si disconnette l'archivio di chiavi personalizzato, si AWS KMS disconnette dall'account [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) nel client. AWS CloudHSM Ciò ti consente di accedere al cluster come utente di crittografia `kmsuser` e di verificare e gestire il materiale chiave per la chiave KMS.
+ **Per disabilitare immediatamente tutte le chiavi KMS** nell'archivio delle chiavi di AWS CloudHSM . È possibile [disabilitare e riattivare le chiavi KMS](enabling-keys.md) in un AWS CloudHSM key store utilizzando l' Console di gestione AWS operazione o. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Queste operazioni vengono completate rapidamente, ma agiscono su una sola chiave KMS alla volta. La disconnessione dell'archivio AWS CloudHSM chiavi modifica immediatamente lo stato della chiave di tutte le chiavi KMS nell'archivio AWS CloudHSM chiavi in`Unavailable`, il che impedisce che vengano utilizzate in qualsiasi operazione crittografica.
+ **Per riparare un tentativo di connessione non riuscito**. Se un tentativo di connessione a un AWS CloudHSM key store fallisce (lo stato di connessione dell'archivio chiavi personalizzato è`FAILED`), è necessario disconnettere l'archivio AWS CloudHSM chiavi prima di riprovare a connetterlo.

## Disconnetti il tuo key store AWS CloudHSM
<a name="disconnect-hsm-keystore"></a>

È possibile disconnettere l'archivio delle AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione.

### Disconnettiti utilizzando la console AWS KMS
<a name="disconnect-keystore-console"></a>

Per disconnettere un archivio di AWS CloudHSM chiavi connesso nella AWS KMS console, inizia selezionando l'archivio AWS CloudHSM chiavi dalla pagina **Custom Key Stores**.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi disconnettere. 

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

Al termine dell'operazione, lo stato della connessione da **Disconnessione in corso** diventa **Disconnesso**. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

### Disconnettiti utilizzando l'API AWS KMS
<a name="disconnect-keystore-api"></a>

Per disconnettere un archivio di AWS CloudHSM chiavi connesso, utilizzare l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Questo esempio disconnette un archivio di AWS CloudHSM chiavi. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per verificare che l'archivio AWS CloudHSM chiavi sia disconnesso, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il `ConnectionState` valore di `DISCONNECTED` indica che questo AWS CloudHSM key store di esempio non è connesso al relativo AWS CloudHSM cluster.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Eliminare un archivio AWS CloudHSM chiavi
<a name="delete-keystore"></a>

Quando elimini un archivio di AWS CloudHSM chiavi, AWS KMS elimina tutti i metadati relativi all'archivio AWS CloudHSM chiavi da KMS, incluse le informazioni sulla sua associazione a un cluster. AWS CloudHSM Questa operazione non influisce sul AWS CloudHSM cluster, sui suoi o sui suoi HSMs utenti. È possibile creare un nuovo archivio di AWS CloudHSM chiavi associato allo stesso AWS CloudHSM cluster, ma non è possibile annullare l'operazione di eliminazione.

È possibile eliminare solo un archivio di AWS CloudHSM chiavi disconnesso dal relativo AWS CloudHSM cluster e che non ne contiene. AWS KMS keys Prima di eliminare uno store delle chiavi personalizzate, esegui le operazioni descritte di seguito.
+ Verifica che non avrai la necessità di utilizzare alcuna chiave KMS presente nell'archivio delle chiavi per qualsiasi [operazione di crittografia](manage-cmk-keystore.md#use-cmk-keystore). Quindi [pianifica l'eliminazione](deleting-keys.md#delete-cmk-keystore) di tutte le chiavi KMS dall'archivio delle chiavi. Per informazioni su come trovare le chiavi KMS in un AWS CloudHSM archivio di chiavi, consulta. [Trova le chiavi KMS in un AWS CloudHSM archivio di chiavi](find-cmk-in-keystore.md)
+ Verifica che tutte le chiavi KMS siano state eliminate. Per visualizzare le chiavi KMS in un AWS CloudHSM archivio di chiavi, consulta. [Identifica le chiavi KMS negli AWS CloudHSM archivi delle chiavi](identify-key-types.md#identify-key-hsm-keystore)
+ [Disconnetti l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md) dal relativo AWS CloudHSM cluster.

Invece di eliminare l'archivio delle AWS CloudHSM chiavi, valuta la possibilità di [disconnetterlo](disconnect-keystore.md) dal cluster associato. AWS CloudHSM Quando un AWS CloudHSM key store è disconnesso, puoi gestirlo e il AWS CloudHSM relativo. AWS KMS keys Tuttavia, non è possibile creare o utilizzare le chiavi KMS nell'archivio delle AWS CloudHSM chiavi. Puoi ricollegare l'archivio delle AWS CloudHSM chiavi in qualsiasi momento.

## Elimina il tuo archivio di AWS CloudHSM chiavi
<a name="delete-hsm-keystore"></a>

È possibile eliminare l'archivio delle AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione.

### Utilizzo della AWS KMS console
<a name="delete-keystore-console"></a>

Per eliminare un AWS CloudHSM key store in Console di gestione AWS, iniziate selezionando il AWS CloudHSM key store dalla pagina **Custom key store**.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Trova la riga che rappresenta l'archivio di AWS CloudHSM chiavi che desideri eliminare. Se lo **stato di connessione** dell'archivio AWS CloudHSM chiavi non è **Disconnesso**, è necessario [disconnettere l'archivio AWS CloudHSM chiavi](disconnect-keystore.md) prima di eliminarlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Delete** (Elimina).

Al termine dell'operazione, viene visualizzato un messaggio di operazione riuscita e l'archivio AWS CloudHSM chiavi non viene più visualizzato nell'elenco degli archivi di chiavi. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

### Utilizzo dell'API AWS KMS
<a name="delete-keystore-api"></a>

Per eliminare un archivio di AWS CloudHSM chiavi, utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà.

Per iniziare, verifica che l'archivio delle AWS CloudHSM chiavi non ne contenga AWS KMS keys. Non puoi eliminare un archivio delle chiavi personalizzate che contiene chiavi KMS. Il primo comando di esempio utilizza [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)e [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)cerca AWS KMS keys nell'archivio AWS CloudHSM chiavi con l'ID dell'archivio chiavi *cks-1234567890abcdef0* personalizzato di esempio. In questo caso, il comando non restituisce alcuna chiave KMS. In caso affermativo, utilizza l'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operazione per pianificare l'eliminazione di ciascuna chiave KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Quindi, disconnetti l'archivio delle AWS CloudHSM chiavi. Questo comando di esempio utilizza l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione per disconnettere un archivio di AWS CloudHSM chiavi dal relativo AWS CloudHSM cluster. Prima di eseguire questo comando, sostituisci l’ID store chiavi personalizzate di esempio con uno valido.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Dopo la disconnessione dell'archivio chiavi personalizzato, è possibile utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione per eliminarlo. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Risoluzione di problemi relativi a store delle chiavi personalizzate
<a name="fix-keystore"></a>

AWS CloudHSM gli archivi di chiavi sono progettati per essere disponibili e resistenti. Tuttavia, ci sono alcune condizioni di errore che potresti dover correggere per mantenere operativo l'archivio AWS CloudHSM delle chiavi.

**Topics**
+ [Come correggere chiavi KMS non disponibili](#fix-unavailable-cmks)
+ [Come correggere una chiave KMS non funzionante](#fix-cmk-failed)
+ [Come correggere un errore di connessione](#fix-keystore-failed)
+ [Come rispondere a un errore di un'operazione di crittografia](#fix-keystore-communication)
+ [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password)
+ [Come eliminare materiale della chiave orfano](#fix-keystore-orphaned-key)
+ [Come recuperare il materiale chiave eliminato per una chiave KMS](#fix-keystore-recover-backing-key)
+ [Come accedere come `kmsuser`](#fix-login-as-kmsuser)

## Come correggere chiavi KMS non disponibili
<a name="fix-unavailable-cmks"></a>

[Lo stato della chiave](key-state.md) di AWS KMS keys un AWS CloudHSM key store è in genere`Enabled`. Come tutte le chiavi KMS, lo stato delle chiavi cambia quando si disabilitano le chiavi KMS in un archivio AWS CloudHSM chiavi o se ne pianifica l'eliminazione. Tuttavia, a differenza delle altre chiavi KMS, le chiavi KMS in un archivio delle chiavi personalizzate possono anche avere lo [stato di chiave](key-state.md) `Unavailable`. 

Lo stato di chiave `Unavailable` indica che la chiave KMS si trova in un archivio delle chiavi personalizzate che è stato intenzionalmente [disconnesso](disconnect-keystore.md) e che gli eventuali tentativi di riconnetterlo non sono riusciti. Quando una chiave KMS non è disponibile, puoi visualizzare e gestire la chiave KMS, ma non utilizzarla per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore).

Per trovare lo stato di chiave di una chiave KMS, nella pagina **Chiavi gestite cliente**, visualizza il campo **Stato** della chiave KMS. Oppure, usa l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione e visualizza l'`KeyState`elemento nella risposta. Per informazioni dettagliate, vedi [Identifica e visualizza le chiavi](viewing-keys.md).

Le chiavi KMS in uno store delle chiavi personalizzate disconnesso avranno lo stato di chiave `Unavailable` o `PendingDeletion`. Le chiavi KMS per le quali è stata pianificata l'eliminazione da un archivio delle chiavi personalizzate hanno lo stato della chiave `Pending Deletion`, anche quando tale archivio è disconnesso. Ciò ti consente di annullare l'eliminazione pianificata delle chiavi senza riconnettere lo store delle chiavi personalizzate. 

Per correggere una chiave KMS non disponibile, [riconnetti l'archivio delle chiavi personalizzate](disconnect-keystore.md). Dopo la riconnessione, per le chiavi KMS nello store delle chiavi personalizzate viene ripristinato lo stato di chiave precedente, ovvero `Enabled` o `Disabled`. Lo stato delle chiavi KMS in attesa di eliminazione rimane `PendingDeletion`. Tuttavia, se il problema persiste, l'[abilitazione e la disabilitazione di una chiave KMS](enabling-keys.md) non disponibile non ne modifica lo stato. L'abilitazione o la disabilitazione ha effetto solo quando la chiave diventa disponibile.

Per informazioni sulle connessioni non riuscite, consulta [Come correggere un errore di connessione](#fix-keystore-failed). 

## Come correggere una chiave KMS non funzionante
<a name="fix-cmk-failed"></a>

I problemi con la creazione e l'utilizzo delle chiavi KMS negli AWS CloudHSM archivi delle chiavi possono essere causati da un problema con l'archivio delle AWS CloudHSM chiavi, il AWS CloudHSM cluster associato, la chiave KMS o il relativo materiale chiave. 

Quando un archivio AWS CloudHSM chiavi viene disconnesso dal relativo AWS CloudHSM cluster, lo stato delle chiavi KMS nell'archivio chiavi personalizzato è. `Unavailable` Tutte le richieste di creazione di chiavi KMS in un archivio di chiavi disconnesso restituiscono un' AWS CloudHSM eccezione. `CustomKeyStoreInvalidStateException` Tutte le richieste di crittografare, decrittografare, ricrittografare o generare chiavi di dati restituiscono un'eccezione `KMSInvalidStateException`. Per risolvere il problema, [ricollega l'archivio delle AWS CloudHSM chiavi](connect-keystore.md).

Tuttavia, i tentativi di utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi per [operazioni crittografiche](manage-cmk-keystore.md#use-cmk-keystore) potrebbero fallire anche se lo stato della chiave è `Enabled` e lo stato di connessione dell'archivio AWS CloudHSM chiavi è uguale. `Connected` Ciò può essere dovuto a una qualsiasi delle condizioni seguenti.
+ Il materiale della chiave per la chiave KMS potrebbe essere stato eliminato dal cluster AWS CloudHSM associato. Per indagare, [trova l'ID chiave](find-handle-for-cmk-id.md) del materiale chiave per una chiave KMS e, se necessario, prova a [recuperare il](#fix-keystore-recover-backing-key) materiale chiave.
+ Tutti HSMs sono stati eliminati dal AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi. Per utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi in un'operazione crittografica, il relativo AWS CloudHSM cluster deve contenere almeno un HSM attivo. Per verificare il numero e lo stato di HSMs un AWS CloudHSM cluster, [usa la AWS CloudHSM console o l'operazione](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html). [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) Per aggiungere un HSM al cluster, usa la AWS CloudHSM console o l'[CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operazione.
+ Il AWS CloudHSM cluster associato al AWS CloudHSM key store è stato eliminato. Per risolvere il problema, [crea un cluster da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) che è correlato al cluster originale, ad esempio un backup del cluster originale o un backup utilizzato per creare il cluster originale. Quindi, [modifica l'ID cluster](update-keystore.md) nelle impostazioni relative allo store delle chiavi personalizzate. Per istruzioni, consulta [Come recuperare il materiale chiave eliminato per una chiave KMS](#fix-keystore-recover-backing-key).
+ Il AWS CloudHSM cluster associato all'archivio di chiavi personalizzato non aveva sessioni PKCS \$111 disponibili. Ciò si verifica in genere durante i periodi di traffico di espansione elevato, ovvero quando sono necessarie sessioni aggiuntive per gestire il traffico. Per rispondere a un'eccezione `KMSInternalException` con un messaggio di errore relativo alle sessioni PKCS \$111, torna indietro e riprova a eseguire la richiesta. 

## Come correggere un errore di connessione
<a name="fix-keystore-failed"></a>

Se si tenta di [connettere un AWS CloudHSM key store](connect-keystore.md) al relativo AWS CloudHSM cluster, ma l'operazione non riesce, lo stato di connessione dell'archivio AWS CloudHSM chiavi cambia in`FAILED`. Per trovare lo stato di connessione di un AWS CloudHSM key store, usa la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. 

In alternativa, alcuni tentativi di connessione si interrompono rapidamente a causa di errori di configurazione del cluster facilmente rilevati. In questo caso, lo stato della connessione è ancora `DISCONNECTED`. Questi errori restituiranno un messaggio di errore o un'[eccezione](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) che spiega perché il tentativo non è riuscito. Esamina la descrizione dell'eccezione e [i requisiti del cluster](create-keystore.md#before-keystore), risolvi il problema, [aggiorna l'archivio delle AWS CloudHSM chiavi](update-keystore.md), se necessario, e riprova a connetterti.

Quando lo stato della connessione è `FAILED` impostato, esegui l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione e visualizza l'`ConnectionErrorCode`elemento nella risposta.

**Nota**  
Quando lo stato di connessione di un AWS CloudHSM key store è`FAILED`, è necessario [disconnetterlo AWS CloudHSM prima di tentare](disconnect-keystore.md) di ricollegarlo. Non è possibile connettere un archivio AWS CloudHSM chiavi con uno `FAILED` stato di connessione.
+ `CLUSTER_NOT_FOUND`indica che AWS KMS non è possibile trovare un AWS CloudHSM cluster con l'ID cluster specificato. Il problema potrebbe essere dovuto a un ID cluster errato fornito a un'operazione API oppure all'eliminazione e alla mancata sostituzione del cluster. Per correggere questo errore, verifica l'ID del cluster, ad esempio utilizzando la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Se il cluster è stato eliminato, [crea un cluster a partire da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dell'originale. Quindi, [disconnetti l'archivio AWS CloudHSM chiavi](disconnect-keystore.md), [modifica l'impostazione dell'ID del cluster del AWS CloudHSM key store](update-keystore.md) e [ricollega l'archivio AWS CloudHSM chiavi](connect-keystore.md) al cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indica che il AWS CloudHSM cluster associato non ne contiene. HSMs Per eseguire la connessione, il cluster deve avere almeno un HSM. Per trovare il numero di HSMs nel cluster, usa l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Per correggere questo errore, [aggiungi almeno un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) al cluster. Se ne aggiungi più HSMs, è meglio crearli in zone di disponibilità diverse.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indica che non è AWS KMS stato possibile connettere l'archivio di AWS CloudHSM chiavi al relativo AWS CloudHSM cluster perché almeno una [sottorete privata associata al cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) non dispone di indirizzi IP disponibili. Una connessione al AWS CloudHSM key store richiede un indirizzo IP libero in ciascuna delle sottoreti private associate, sebbene ne siano preferibili due.

  [Non puoi aggiungere indirizzi IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blocchi CIDR) a una sottorete esistente. Se possibile, sposta o elimina altre risorse che utilizzano gli indirizzi IP nella sottorete, ad esempio istanze EC2 inutilizzate o interfacce di rete elastiche. [Altrimenti, è possibile [creare un cluster da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del AWS CloudHSM cluster con sottoreti private nuove o esistenti che dispongono di più spazio libero per gli indirizzi.](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, [disconnetti l'archivio chiavi personalizzato](disconnect-keystore.md), [modifica l'ID del cluster](update-keystore.md) dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
**Suggerimento**  
Per evitare di [reimpostare la `kmsuser` password](#fix-keystore-password), utilizza il backup più recente del cluster. AWS CloudHSM 
+ `INTERNAL_ERROR`indica che non è AWS KMS stato possibile completare la richiesta a causa di un errore interno. Riprova la richiesta . Per `ConnectCustomKeyStore` le richieste, disconnetti l'archivio delle AWS CloudHSM chiavi prima di riprovare a connetterti.
+ `INVALID_CREDENTIALS`indica che AWS KMS non può accedere al AWS CloudHSM cluster associato perché non dispone della password dell'`kmsuser`account corretta. Per informazioni su questo errore, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
+ `NETWORK_ERRORS` indica in genere problemi di rete temporanei. [Disconnetti il AWS CloudHSM key store](disconnect-keystore.md), attendi qualche minuto e riprova a connetterti.
+ `SUBNET_NOT_FOUND`indica che almeno una sottorete nella configurazione del AWS CloudHSM cluster è stata eliminata. Se AWS KMS non è possibile trovare tutte le sottoreti nella configurazione del cluster, i tentativi di connettere l'archivio delle AWS CloudHSM chiavi al cluster hanno esito negativo. AWS CloudHSM 

  Per correggere questo errore, [crea un cluster da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dello stesso AWS CloudHSM cluster. Questo processo crea una nuova configurazione del cluster con un VPC e sottoreti private. Verificare che il nuovo cluster soddisfi i [requisiti per uno store delle chiavi personalizzate](create-keystore.md#before-keystore) e prendere nota del nuovo ID cluster. Quindi, per associare il nuovo cluster al tuo archivio AWS CloudHSM chiavi, [disconnetti l'archivio chiavi personalizzato](disconnect-keystore.md), [modifica l'ID del cluster](update-keystore.md) dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
**Suggerimento**  
Per evitare di [reimpostare la `kmsuser` password](#fix-keystore-password), utilizza il backup più recente del cluster. AWS CloudHSM 
+ `USER_LOCKED_OUT` indica che l'[account crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) è bloccato per il cluster AWS CloudHSM a causa di troppi tentativi con password errate. Per informazioni su questo errore, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).

  Per correggere questo errore, [scollegate l'archivio delle AWS CloudHSM chiavi e utilizzate il](disconnect-keystore.md) comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per modificare la password dell'account. `kmsuser` Quindi, [modifica l'impostazione della password `kmsuser`](update-keystore.md) per lo store delle chiavi personalizzate ed esegui un nuovo tentativo di connessione. Per assistenza, utilizza la procedura descritta nell'argomento [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
+ `USER_LOGGED_IN`indica che l'account `kmsuser` CU è connesso al cluster associato. AWS CloudHSM Ciò AWS KMS impedisce di ruotare la password dell'`kmsuser`account e di accedere al cluster. Per correggere questo errore, registra l'utente di crittografia `kmsuser` fuori dal cluster. Se hai cambiato la `kmsuser` password per accedere al cluster, devi anche aggiornare il valore della password dell'archivio chiavi per l'archivio delle AWS CloudHSM chiavi. Per assistenza, consulta [Come scollegarsi e riconnettersi](#login-kmsuser-2).
+ `USER_NOT_FOUND`indica che AWS KMS non è possibile trovare un account `kmsuser` CU nel AWS CloudHSM cluster associato. Per correggere questo errore, [crea un account `kmsuser` CU](create-keystore.md#kmsuser-concept) nel cluster, quindi [aggiorna il valore della password del key store](update-keystore.md) per l'archivio AWS CloudHSM chiavi. Per assistenza, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).

## Come rispondere a un errore di un'operazione di crittografia
<a name="fix-keystore-communication"></a>

L'esito di un'operazione di crittografia che utilizza una chiave KMS in un archivio di chiavi personalizzate potrebbe essere negativo con un'`KMSInvalidStateException`. L'eccezione `KMSInvalidStateException` può essere accompagnata dai seguenti messaggi di errore.


|  | 
| --- |
| KMS non può comunicare con il tuo cluster CloudHSM. Potrebbe trattarsi di un problema di rete temporaneo. Se visualizzi ripetutamente questo errore, verifica che la rete ACLs e le regole del gruppo di sicurezza per il VPC del AWS CloudHSM cluster siano corrette. | 
+ Sebbene si tratti di un errore HTTPS 400, potrebbe derivare da problemi di rete transitori. Per rispondere, prova a riformulare la richiesta. Tuttavia, se il problema persiste, esamina la configurazione dei componenti di rete. Questo errore è probabilmente causato dall'errata configurazione di un componente di rete, ad esempio una regola firewall o una regola di gruppo di protezione VPC che blocca il traffico in uscita. Ad esempio, KMS non può comunicare con i AWS CloudHSM cluster tramite. IPv6 Per i dettagli sui prerequisiti, vedere. [Crea un archivio di AWS CloudHSM chiavi](create-keystore.md)


|  | 
| --- |
| KMS non può comunicare con il AWS CloudHSM cluster perché l'utente kmsuser è bloccato. Se vedi questo errore ripetutamente, disconnetti l'archivio delle AWS CloudHSM chiavi e reimposta la password dell'account kmsuser. Aggiorna la password kmsuser per l'archivio di chiavi personalizzate e ritenta la richiesta. | 
+ Questo messaggio di errore indica che l'[account crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) è bloccato per il cluster AWS CloudHSM associato a causa del numero eccessivo di tentativi con password errate. Per informazioni su questo errore, consulta [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1).

## Come correggere credenziali `kmsuser` non valide
<a name="fix-keystore-password"></a>

Quando [connetti un archivio di AWS CloudHSM chiavi](connect-keystore.md), AWS KMS accede al AWS CloudHSM cluster associato come [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) (CU). Rimane connesso finché il AWS CloudHSM key store non viene disconnesso. La risposta [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) mostra un `ConnectionState` di `FAILED` e il valore `ConnectionErrorCode` di `INVALID_CREDENTIALS`, come mostrato nell'esempio seguente.

Se si disconnette il AWS CloudHSM key store e si modifica la `kmsuser` password, AWS KMS non è possibile accedere al AWS CloudHSM cluster con le credenziali dell'account CU. `kmsuser` Di conseguenza, tutti i tentativi di connessione al AWS CloudHSM key store falliscono. La risposta `DescribeCustomKeyStores` mostra un `ConnectionState` di `FAILED` e il valore `ConnectionErrorCode` di `INVALID_CREDENTIALS`, come mostrato nell'esempio seguente.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Inoltre, dopo cinque tentativi di accesso al cluster non riusciti a causa di una password errata, AWS CloudHSM blocca l'account utente. Per accedere al cluster, devi modificare la password dell'account.

Se AWS KMS riceve una risposta di blocco quando tenta di accedere al cluster come `kmsuser` CU, la richiesta di connessione al AWS CloudHSM key store ha esito negativo. La [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta include un `ConnectionState` of `FAILED` e un `ConnectionErrorCode` valore di`USER_LOCKED_OUT`, come illustrato nell'esempio seguente.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Per correggere queste condizioni, utilizza la procedura seguente. 

1. [Disconnettere l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md). 

1. Esegui l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione e visualizza il valore dell'`ConnectionErrorCode`elemento nella risposta. 
   + Se `ConnectionErrorCode` è `INVALID_CREDENTIALS`, determinare la password corrente per l'account `kmsuser`. Se necessario, utilizzate il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per impostare la password su un valore noto.
   + Se il `ConnectionErrorCode` valore è`USER_LOCKED_OUT`, è necessario utilizzare il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per modificare la password. `kmsuser`

1. [Modificare l'impostazione della password `kmsuser`](update-keystore.md) di modo che corrisponda alla password `kmsuser` corrente nel cluster. Questa operazione indica a AWS KMS quale password utilizzare per accedere al cluster. Non modifica la password `kmsuser` nel cluster.

1. [Connettere lo store delle chiavi personalizzate](connect-keystore.md).

## Come eliminare materiale della chiave orfano
<a name="fix-keystore-orphaned-key"></a>

Dopo aver pianificato l'eliminazione di una chiave KMS da un archivio di AWS CloudHSM chiavi, potrebbe essere necessario eliminare manualmente il materiale chiave corrispondente dal cluster associato. AWS CloudHSM 

Quando crei una chiave KMS in un archivio AWS CloudHSM chiavi, AWS KMS crea i metadati della chiave KMS AWS KMS e genera il materiale chiave nel cluster associato. AWS CloudHSM Quando pianifichi l'eliminazione di una chiave KMS in un archivio AWS CloudHSM chiavi, dopo il periodo di attesa, AWS KMS elimina i metadati della chiave KMS. Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave corrispondente dal cluster. AWS CloudHSM Il tentativo potrebbe fallire se AWS KMS non è possibile accedere al cluster, ad esempio quando viene disconnesso dall'archivio delle AWS CloudHSM chiavi o la `kmsuser` password viene modificata. AWS KMS non tenta di eliminare il materiale chiave dai backup del cluster.

AWS KMS riporta i risultati del tentativo di eliminare il materiale chiave dal cluster nell'immissione degli `DeleteKey` eventi nei AWS CloudTrail log dell'utente. Appare nell'elemento `backingKeysDeletionStatus` dell'elemento `additionalEventData`, come mostrato nella seguente voce di esempio. La voce include anche l'ARN della chiave KMS, AWS CloudHSM l'ID del cluster e l'ID `backing-key-id` () del materiale chiave.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

Le seguenti procedure mostrano come eliminare il materiale chiave orfano dal cluster associato. AWS CloudHSM 

1. Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), come spiegato in. [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1)
**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

1. Utilizza il comando [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) nella CLI di CloudhSM per eliminare la chiave HSMs dal cluster.

   Tutte le voci di CloudTrail registro per le operazioni crittografiche con una chiave KMS in un archivio di AWS CloudHSM chiavi includono un `additionalEventData` campo con e. `customKeyStoreId` `backingKey` Il valore restituito nel `backingKeyId` campo è l'attributo chiave `id` CloudHSM. Ti consigliamo di filtrare l'operazione di **eliminazione delle chiavi** `id` per eliminare il materiale chiave orfano che hai identificato nei tuoi log. CloudTrail 

   AWS CloudHSM riconosce il `backingKeyId` valore come valore esadecimale. Per filtrare in base`id`, è necessario anteporre il suffisso con. `backingKeyId` `Ox` Ad esempio, se `backingKeyId` nel CloudTrail registro è presente`1a2b3c45678abcdef`, è necessario filtrare per. `0x1a2b3c45678abcdef`

   L'esempio seguente elimina una chiave dal HSMs cluster. `backing-key-id`È elencato nella voce di CloudTrail registro. Prima di eseguire questo comando, sostituisci l'esempio `backing-key-id` con uno valido del tuo account.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto in[Come scollegarsi e riconnettersi](#login-kmsuser-2).

## Come recuperare il materiale chiave eliminato per una chiave KMS
<a name="fix-keystore-recover-backing-key"></a>

Se il materiale chiave di un AWS KMS key viene eliminato, la chiave KMS è inutilizzabile e tutto il testo cifrato che è stato crittografato con la chiave KMS non può essere decrittografato. Ciò può accadere se il materiale chiave per una chiave KMS in un AWS CloudHSM archivio di chiavi viene eliminato dal cluster associato. AWS CloudHSM Potrebbe tuttavia essere possibile recuperare questo materiale.

Quando crei una AWS KMS key (chiave KMS) in un archivio AWS CloudHSM chiavi, AWS KMS accede al AWS CloudHSM cluster associato e crea il materiale chiave per la chiave KMS. Inoltre, modifica la password con un valore che solo lui conosce e rimane connesso finché l'archivio delle AWS CloudHSM chiavi è connesso. Poiché solo il proprietario della chiave, ovvero la CU che ha creato una chiave, può eliminare la chiave, è improbabile che la chiave venga eliminata accidentalmente. HSMs 

Tuttavia, se il materiale chiave di una chiave KMS viene eliminato da un cluster, lo stato della chiave della chiave KMS alla fine cambia HSMs in. `UNAVAILABLE` Se tenti di utilizzare la chiave KMS per un'operazione di crittografia, questa ha esito negativo con un'eccezione `KMSInvalidStateException`. Cosa più importante, tutti i dati crittografati con la chiave KMS non possono essere decrittati.

In alcuni casi, è possibile recuperare il materiale della chiave [creando un cluster a partire da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) contenente tale materiale. Questa strategia funziona solo se almeno un backup è stato creato quando la chiave esisteva e prima di essere eliminata. 

Utilizza la procedura seguente per recuperare il materiale della chiave.

1. Trovare un backup del cluster che contiene il materiale della chiave. Il backup deve contenere almeno tutti gli utenti e le chiavi necessari per supportare il cluster e i relativi dati crittografati.

   Usa l'[DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operazione per elencare i backup per un cluster. Utilizzare quindi il timestamp del backup per la selezione di un backup. Per limitare l'output al cluster associato al AWS CloudHSM key store, utilizzate il `Filters` parametro, come illustrato nell'esempio seguente. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Creare un cluster a partire dal backup selezionato](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Verificare che il backup contenga la chiave eliminata e altri utenti e chiavi che il cluster richiede. 

1. [Disconnetti l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md) in modo da poterne modificare le proprietà.

1. [Modifica l'ID del cluster](update-keystore.md) del AWS CloudHSM key store. Immettere l'ID cluster del cluster creato a partire dal backup. Poiché il cluster condivide una cronologia dei backup con il cluster originale, il nuovo ID cluster deve essere valido. 

1. [Ricollegare l'archivio delle AWS CloudHSM chiavi](connect-keystore.md).

## Come accedere come `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Per creare e gestire il materiale chiave nel AWS CloudHSM cluster per il tuo AWS CloudHSM key store, AWS KMS utilizza l'account [`kmsuser`Crypto User (CU)](keystore-cloudhsm.md#concept-kmsuser). [Crei l'account `kmsuser` CU](create-keystore.md#before-keystore) nel tuo cluster e fornisci la sua password AWS KMS quando crei il tuo archivio di AWS CloudHSM chiavi.

In generale, AWS KMS gestisce l'`kmsuser`account. Tuttavia, per alcune attività, è necessario disconnettere l'archivio delle AWS CloudHSM chiavi, accedere al cluster come `kmsuser` CU e utilizzare l'interfaccia a [riga di comando (CLI) di CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).

**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Questo argomento spiega come [disconnettere l'archivio AWS CloudHSM chiavi e accedere](#login-kmsuser-1) come`kmsuser`, eseguire lo strumento da riga di AWS CloudHSM comando, [disconnettersi e ricollegare](#login-kmsuser-2) l'archivio chiavi. AWS CloudHSM 

**Topics**
+ [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1)
+ [Come scollegarsi e riconnettersi](#login-kmsuser-2)

### Come disconnettersi ed eseguire l'accesso
<a name="login-kmsuser-1"></a>

Utilizza la seguente procedura ogni volta che devi accedere a un cluster associato come utente `kmsuser` crittografico.

**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

1. Disconnetti l'archivio delle chiavi, se non è già disconnesso. AWS CloudHSM Puoi usare la AWS KMS console o AWS KMS l'API. 

   Mentre la AWS CloudHSM chiave è connessa, AWS KMS viene effettuato l'accesso come. `kmsuser` Ciò impedisce l'accesso come `kmsuser` o la modifica della password `kmsuser`.

   Ad esempio, questo comando utilizza [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)per disconnettere un archivio di chiavi di esempio. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Usa il comando **login** per accedere come amministratore. *Utilizza le procedure descritte nella sezione [Using CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI della Guida per l'utente.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudhSM per cambiare la password dell'`kmsuser`account con una che conosci. (AWS KMS ruota la password quando colleghi il tuo key store.) AWS CloudHSM La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.

1. Effettua il login `kmsuser` utilizzando la password che hai impostato. *Per istruzioni dettagliate, consulta la sezione [Using CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI della Guida per l'utente.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Come scollegarsi e riconnettersi
<a name="login-kmsuser-2"></a>

Usa la seguente procedura ogni volta che devi disconnetterti come utente `kmsuser` crittografico e ricollegare il tuo key store.

**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

1. Esegui l'operazione, quindi utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) nella CLI di CloudHSM per disconnetterti. Se non ti disconnetti, i tentativi di ricollegare il tuo AWS CloudHSM key store falliranno.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Modificare la password `kmsuser`](update-keystore.md) per lo store delle chiavi personalizzate. 

   Indica AWS KMS la password corrente per `kmsuser` il cluster. Se si omette questo passaggio, non AWS KMS sarà possibile accedere al cluster e tutti i tentativi di riconnessione dell'archivio chiavi personalizzato falliranno. `kmsuser` È possibile utilizzare la AWS KMS console o il `KeyStorePassword` parametro dell'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione.

   Ad esempio, questo comando indica AWS KMS che la password corrente è`tempPassword`. Sostituire la password di esempio con una effettiva. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Ricollegare l'archivio AWS KMS chiavi al relativo AWS CloudHSM cluster. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido. Durante il processo di connessione, AWS KMS modifica la `kmsuser` password con un valore che solo lei conosce.

   L'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione viene ripristinata rapidamente, ma il processo di connessione può richiedere un periodo di tempo prolungato. La risposta iniziale non indica se il processo di connessione è riuscito.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione per verificare che l'archivio delle AWS CloudHSM chiavi sia connesso. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.

   In questo esempio, il campo dello stato della connessione mostra che il AWS CloudHSM key store è ora connesso.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```