As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS CloudHSM lojas principais
<a name="keystore-cloudhsm"></a>

Um armazenamento de AWS CloudHSM chaves é um [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview) apoiado por um [AWS CloudHSM cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Quando você cria um AWS KMS key em um armazenamento de chaves personalizado, AWS KMS gera e armazena material de chave não extraível para a chave KMS em um AWS CloudHSM cluster que você possui e gerencia. Quando você usa uma chave KMS em um armazenamento de chaves personalizado, as [operações criptográficas](manage-cmk-keystore.md#use-cmk-keystore) são executadas HSMs no cluster. Esse recurso combina a conveniência e a ampla integração do AWS KMS com o controle adicional de um AWS CloudHSM cluster em seu Conta da AWS. 

AWS KMS fornece suporte completo de console e API para criar, usar e gerenciar seus armazenamentos de chaves personalizadas. Use as chaves do KMS no seu armazenamento de chaves personalizado da mesma maneira que você usa qualquer chave do KMS. Por exemplo, você pode usar as chaves do KMS para gerar chaves de dados e criptografar dados. Você também pode usar as chaves KMS em seu armazenamento de chaves personalizadas com AWS serviços que oferecem suporte a chaves gerenciadas pelo cliente.

**Eu preciso de um armazenamento de chaves personalizado?**

Para a maioria dos usuários, o armazenamento de AWS KMS chaves padrão, protegido por [módulos criptográficos validados pelo FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), atende aos requisitos de segurança. Não é necessário adicionar uma camada extra de responsabilidade de manutenção nem uma dependência em um serviço adicional. 

No entanto, você pode considerar a criação de um armazenamento de chaves personalizado se a sua organização tiver um dos seguintes requisitos:
+ Algumas chaves precisam ser explicitamente protegidas em um único HSM locatário ou em um HSM sobre o qual você tem controle direto.
+ Você precisa da capacidade de remover imediatamente o material chave do AWS KMS.
+ Você precisa ser capaz de auditar todo o uso de suas chaves, independentemente de AWS KMS ou AWS CloudTrail.

**Como funcionam os armazenamentos de chaves personalizados?**

Cada armazenamento de chaves personalizadas está associado a um AWS CloudHSM cluster no seu Conta da AWS. Quando você conecta o armazenamento de chaves personalizadas ao cluster, AWS KMS cria a infraestrutura de rede para suportar a conexão. Em seguida, ele faz login no AWS CloudHSM cliente-chave no cluster usando as credenciais de um [usuário criptográfico dedicado](#concept-kmsuser) no cluster.

Você cria e gerencia seus armazenamentos de chaves personalizadas AWS KMS e cria e gerencia seus clusters de HSM em AWS CloudHSM. Ao criar AWS KMS keys em um armazenamento de chaves AWS KMS personalizado, você visualiza e gerencia as chaves KMS em AWS KMS. No entanto, você também pode visualizar e gerenciar seu material de chaves no AWS CloudHSM, do mesmo modo que para outras chaves no cluster.

![\[Gerenciar chaves do KMS em um armazenamento de chaves personalizado\]](http://docs.aws.amazon.com/pt_br/kms/latest/developerguide/images/kms-hsm-view.png)


Você pode [criar chaves KMS de criptografia simétrica com o material de chaves](create-cmk-keystore.md) gerado AWS KMS em seu armazenamento de chaves personalizadas. Em seguida, use as mesmas técnicas para visualizar e gerenciar as chaves KMS em seu armazenamento de chaves personalizadas que você usa para as chaves KMS no AWS KMS armazenamento de chaves. É possível controlar o acesso com políticas de chaves e do IAM, criar etiquetas e aliases, habilitar e desabilitar as chaves do KMS e programar a exclusão de chaves. Você pode usar as chaves KMS para [operações criptográficas](manage-cmk-keystore.md#use-cmk-keystore) e usá-las com AWS serviços que se integram com o. AWS KMS

Além disso, você tem controle total sobre o AWS CloudHSM cluster, incluindo a criação, a exclusão HSMs e o gerenciamento de backups. Você pode usar o AWS CloudHSM cliente e as bibliotecas de software compatíveis para visualizar, auditar e gerenciar o material de chaves de suas chaves KMS. Embora o armazenamento de chaves personalizadas esteja desconectado, AWS KMS não é possível acessá-lo e os usuários não podem usar as chaves KMS no armazenamento de chaves personalizadas para operações criptográficas. Essa camada adicional de controle torna os armazenamentos de chaves personalizados uma excelente solução para as organizações que necessitam dela.

**Por onde começar?**

Para criar e gerenciar um armazenamento de AWS CloudHSM chaves, você usa recursos de AWS KMS AWS CloudHSM e.

1. Comece em AWS CloudHSM. [Crie um cluster do AWS CloudHSM ativo](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) ou selecione um cluster existente. O cluster deve ter pelo menos dois ativos HSMs em diferentes zonas de disponibilidade. Crie uma [conta de usuário de criptografia (CU) dedicado](#concept-kmsuser) nesse cluster para o AWS KMS. 

1. Em AWS KMS, [crie um armazenamento de chaves personalizado](create-keystore.md) associado ao AWS CloudHSM cluster selecionado. AWS KMS fornece uma interface de gerenciamento completa que permite criar, visualizar, editar e excluir seus repositórios de chaves personalizados.

1. Quando você estiver pronto para usar seu armazenamento de chaves personalizadas, [conecte-o ao AWS CloudHSM cluster associado](connect-keystore.md). AWS KMS cria a infraestrutura de rede necessária para suportar a conexão. Ele faz login no cluster usando as credenciais da conta de usuário de criptografia dedicado para que possa gerar e gerenciar o material de chaves no cluster.

1. Agora, você pode [criar chaves do KMS de criptografia simétrica em seu armazenamento personalizado de chaves](create-cmk-keystore.md). Basta especificar esse armazenamento de chaves personalizado ao criar a chave do KMS.

Se você ficar preso em alguma etapa, é possível encontrar ajuda no tópico [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md). Se a sua pergunta não for respondida, use o link de comentários na parte inferior de cada página deste guia ou publique uma pergunta no [fórum de discussão do AWS Key Management Service](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Cotas**

AWS KMS permite até [10 armazenamentos de chaves personalizadas](resource-limits.md) em cada Conta da AWS região, incluindo armazenamentos de [AWS CloudHSM chaves e armazenamentos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) de [chaves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), independentemente do estado da conexão. Além disso, há cotas de AWS KMS solicitação sobre o [uso de chaves KMS em um AWS CloudHSM armazenamento de chaves](requests-per-second.md#rps-key-stores).

**Preços**

Para obter informações sobre o custo dos armazenamentos de chaves AWS KMS personalizadas e das chaves gerenciadas pelo cliente em um repositório de chaves personalizadas, consulte [AWS Key Management Service preços](https://aws.amazon.com/kms/pricing/). Para obter informações sobre o custo dos AWS CloudHSM clusters e HSMs, consulte [AWS CloudHSM Preços](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Regiões**

AWS KMS oferece suporte às AWS CloudHSM principais lojas em todos os Regiões da AWS lugares onde AWS KMS há suporte, exceto na Ásia-Pacífico (Melbourne), China (Pequim), China (Ningxia) e Europa (Espanha).

**Recursos sem suporte**

AWS KMS não oferece suporte aos seguintes recursos em armazenamentos de chaves personalizadas.
+ [Chaves do KMS assimétricas](symmetric-asymmetric.md)
+ [Chaves do KMS de HMAC](hmac.md)
+ [Chaves do KMS com material de chave importado](importing-keys.md)
+ [Alternância automática de chaves](rotate-keys.md)
+ [Chaves de várias regiões](multi-region-keys-overview.md)

## AWS CloudHSM conceitos-chave da loja
<a name="hsm-key-store-concepts"></a>

Este tópico explica alguns dos termos e conceitos usados nas AWS CloudHSM principais lojas.

### AWS CloudHSM armazenamento de chaves
<a name="concept-hsm-key-store"></a>

Um *armazenamento de AWS CloudHSM chaves* é um [armazenamento de chaves personalizado](key-store-overview.md#custom-key-store-overview) associado a um AWS CloudHSM cluster que você possui e gerencia. AWS CloudHSM os clusters são apoiados por módulos de segurança de hardware (HSMs) certificados em [FIPS 140-2 ou FIPS 140-3 Nível 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html).

Quando você cria uma chave KMS em seu armazenamento de chaves, AWS KMS gera uma AWS CloudHSM chave simétrica Advanced Encryption Standard (AES) persistente e não exportável de 256 bits no cluster associado. AWS CloudHSM Esse material chave nunca deixa você HSMs sem criptografia. Quando você usa uma chave KMS em um armazenamento de AWS CloudHSM chaves, as operações criptográficas são executadas HSMs no cluster. 

AWS CloudHSM os armazenamentos de chaves combinam a interface conveniente e abrangente de gerenciamento de chaves AWS KMS com os controles adicionais fornecidos por um AWS CloudHSM cluster em seu Conta da AWS. Esse recurso integrado permite que você crie, gerencie e use chaves KMS AWS KMS enquanto mantém controle total sobre quem armazena seu material de chaves, incluindo o gerenciamento de clusters e backups. HSMs HSMs Você pode usar o AWS KMS console e APIs gerenciar o armazenamento de AWS CloudHSM chaves e suas chaves KMS. Você também pode usar o AWS CloudHSM console APIs, o software cliente e as bibliotecas de software associadas para gerenciar o cluster associado.

Você pode [visualizar e gerenciar](view-keystore.md) seu armazenamento de AWS CloudHSM chaves, [editar suas propriedades](update-keystore.md) e [conectá-lo](connect-keystore.md) e [desconectá-lo](disconnect-keystore.md) do AWS CloudHSM cluster associado. Se precisar [excluir um armazenamento de AWS CloudHSM chaves](delete-keystore.md#delete-keystore-console), primeiro exclua as chaves KMS no armazenamento de chaves agendando sua exclusão e aguardando até que o período de carência expire. AWS CloudHSM A exclusão do armazenamento de AWS CloudHSM chaves remove o recurso AWS KMS, mas isso não afeta seu AWS CloudHSM cluster.

### AWS CloudHSM agrupamento
<a name="concept-cluster"></a>

Cada armazenamento de AWS CloudHSM chaves está associado a um *AWS CloudHSM cluster*. Quando você cria um AWS KMS key em seu armazenamento de AWS CloudHSM chaves, AWS KMS cria seu material de chaves no cluster associado. Quando você usa uma chave do KMS no armazenamento de chaves do AWS CloudHSM , a operação de criptografia é realizada no cluster associado.

Cada AWS CloudHSM cluster pode ser associado a apenas um armazenamento de AWS CloudHSM chaves. O cluster que você escolher não pode ser associado a outro armazenamento de AWS CloudHSM chaves nem compartilhar um histórico de backup com um cluster associado a outro armazenamento de AWS CloudHSM chaves. O cluster deve estar inicializado e ativo, e deve estar na mesma Conta da AWS região do armazenamento de AWS CloudHSM chaves. Você pode criar um novo cluster ou usar um existente. AWS KMS não precisa do uso exclusivo do cluster. Para criar chaves KMS no armazenamento de AWS CloudHSM chaves, seu cluster associado deve conter pelo menos duas ativas HSMs. Todas as outras operações exigem apenas um HSM.

Você especifica o AWS CloudHSM cluster ao criar o armazenamento de AWS CloudHSM chaves e não pode alterá-lo. No entanto, você pode substituir qualquer cluster que compartilha um histórico de backup pelo cluster original. Isso permite a você excluir o cluster, se necessário, e substituí-lo por um cluster criado a partir de um de seus backups. Você mantém o controle total do AWS CloudHSM cluster associado para poder gerenciar usuários e chaves, criar e excluir HSMs, usar e gerenciar backups. 

Quando estiver pronto para usar seu armazenamento de AWS CloudHSM chaves, conecte-o ao AWS CloudHSM cluster associado. Você pode conectar e desconectar o armazenamento de chaves personalizado a qualquer momento. Se o armazenamento de chaves personalizado estiver conectado, você poderá criar e usar suas chaves do KMS. Quando ele é desconectado, você pode visualizar e gerenciar o armazenamento de AWS CloudHSM chaves e suas chaves KMS. Mas você não pode criar novas chaves KMS nem usar as chaves KMS no armazenamento de chaves para AWS CloudHSM operações criptográficas.

### Usuário de criptografia `kmsuser`
<a name="concept-kmsuser"></a>

Para criar e gerenciar o material de chaves no AWS CloudHSM cluster associado em seu nome, AWS KMS use um *[usuário AWS CloudHSM criptográfico](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) (UC)* dedicado no cluster chamado`kmsuser`. A `kmsuser` UC é uma conta de UC padrão que é automaticamente sincronizada com tudo HSMs no cluster e salva nos backups do cluster. 

Antes de criar seu armazenamento de AWS CloudHSM chaves, você [cria uma conta de `kmsuser` UC](create-keystore.md#before-keystore) em seu AWS CloudHSM cluster usando o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) na CLI do CloudHSM. Em seguida, ao [criar o armazenamento de AWS CloudHSM chaves](create-keystore.md), você fornece a senha da `kmsuser` conta para AWS KMS. Quando você [conecta o armazenamento de chaves personalizadas](connect-keystore.md), AWS KMS efetua login no cluster como a `kmsuser` UC e alterna sua senha. AWS KMS criptografa sua `kmsuser` senha antes de armazená-la com segurança. Quando a senha é alternada, a nova senha é criptografada e armazenada da mesma maneira.

AWS KMS permanece conectado `kmsuser` enquanto o armazenamento de AWS CloudHSM chaves estiver conectado. Você não deve usar essa conta CU para outros fins. No entanto, você mantém o controle final do CU da conta `kmsuser`. A qualquer momento, você pode [encontrar as chaves](find-key-material.md) que pertencem ao `kmsuser`. Se necessário, você pode [desconectar o repositório de chaves personalizado](disconnect-keystore.md), alterar a senha do `kmsuser`, [fazer login no cluster como `kmsuser`](fix-keystore.md#fix-login-as-kmsuser) e exibir e gerenciar as chaves pertencentes ao `kmsuser`.

Para obter instruções sobre como criar sua conta CU `kmsuser`, consulte [Criar o Usuário de criptografia `kmsuser`](create-keystore.md#before-keystore).

### Chaves KMS em um armazenamento de AWS CloudHSM chaves
<a name="concept-cmk-key-store"></a>

Você pode usar a AWS KMS API AWS KMS ou para criar um AWS KMS keys em um armazenamento de AWS CloudHSM chaves. Use a mesma técnica que você usaria em qualquer chave do KMS. A única diferença é que você deve identificar o armazenamento de AWS CloudHSM chaves e especificar que a origem do material da chave é o AWS CloudHSM cluster. 

Quando você [cria uma chave KMS em um armazenamento de chaves, AWS KMS cria a AWS CloudHSM chave](create-cmk-keystore.md) KMS AWS KMS e gera um material de chave simétrica Advanced Encryption Standard (AES) persistente e não exportável de 256 bits em seu cluster associado. Quando você usa a AWS KMS chave em uma operação criptográfica, a operação é executada no AWS CloudHSM cluster usando a chave AES baseada em cluster. Embora AWS CloudHSM ofereça suporte a chaves simétricas e assimétricas de diferentes tipos, os armazenamentos de chaves oferecem suporte somente a AWS CloudHSM chaves de criptografia simétricas AES.

Você pode visualizar as chaves KMS em um armazenamento de AWS CloudHSM chaves no AWS KMS console e usar as opções do console para exibir a ID personalizada do armazenamento de chaves. Você também pode usar a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação para encontrar o ID do armazenamento de AWS CloudHSM chaves e o ID AWS CloudHSM do cluster.

As chaves KMS em um armazenamento de chaves funcionam exatamente como qualquer AWS CloudHSM chave KMS em. AWS KMS Os usuários autorizados precisam das mesmas permissões para usar e gerenciar as chaves do KMS. Você usa os mesmos procedimentos de console e operações de API para visualizar e gerenciar as chaves KMS em um armazenamento de AWS CloudHSM chaves. Isso inclui a habilitar e desabilitar chaves do KMS, criar e usar etiquetas e aliases e definir e alterar políticas de chaves e do IAM. Você pode usar as chaves KMS em um AWS CloudHSM armazenamento de chaves para operações criptográficas e usá-las com [AWS serviços integrados](service-integration.md) que oferecem suporte ao uso de chaves gerenciadas pelo cliente. No entanto, você não pode ativar a [rotação automática](rotate-keys.md) de chaves ou [importar material de chaves para uma chave](importing-keys.md) KMS em um armazenamento de chaves. AWS CloudHSM 

Você também usa o mesmo processo para [agendar a exclusão](deleting-keys.md#delete-cmk-keystore) de uma chave KMS em um armazenamento de AWS CloudHSM chaves. Depois que o período de espera expirar, AWS KMS exclui a chave KMS do KMS. Em seguida, ele se esforça ao máximo para excluir o material da chave KMS do AWS CloudHSM cluster associado. No entanto, pode ser necessário [excluir manualmente o material de chaves órfãs](fix-keystore.md#fix-keystore-orphaned-key) do cluster e de seus backups.

# Controle o acesso à sua loja de AWS CloudHSM chaves
<a name="authorize-key-store"></a>

Você usa políticas do IAM para controlar o acesso ao seu armazenamento de AWS CloudHSM chaves e ao seu AWS CloudHSM cluster. Você pode usar políticas de chaves, políticas de IAM e concessões para controlar o acesso ao AWS KMS keys em seu armazenamento de AWS CloudHSM chaves. Recomendamos que você forneça aos usuários, grupos e funções apenas as permissões que precisam para as tarefas que possivelmente executarão.

Para oferecer suporte aos seus AWS CloudHSM principais armazenamentos, AWS KMS precisa de permissão para obter informações sobre seus AWS CloudHSM clusters. Ele também precisa de permissão para criar a infraestrutura de rede que conecta seu armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster. Para obter essas permissões, AWS KMS crie a função **AWSServiceRoleForKeyManagementServiceCustomKeyStores**vinculada ao serviço em seu. Conta da AWS Para obter mais informações, consulte [Autorização AWS KMS para gerenciar recursos AWS CloudHSM do Amazon EC2](authorize-kms.md).

Ao projetar seu armazenamento de AWS CloudHSM chaves, certifique-se de que os diretores que o usam e gerenciam tenham apenas as permissões necessárias. A lista a seguir descreve as permissões mínimas necessárias para os AWS CloudHSM principais gerentes e usuários da loja.
+ Os diretores que criam e gerenciam seu armazenamento de AWS CloudHSM chaves precisam da seguinte permissão para usar as operações da API do armazenamento de AWS CloudHSM chaves.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ Os diretores que criam e gerenciam o AWS CloudHSM cluster associado ao seu armazenamento de AWS CloudHSM chaves precisam de permissão para criar e inicializar um AWS CloudHSM cluster. Isso inclui permissão para criar ou usar uma Amazon Virtual Private Cloud (VPC), criar sub-redes e criar uma instância da Amazon. EC2 Talvez eles também precisem criar HSMs, excluir e gerenciar backups. Para obter as listas das permissões necessárias, consulte [Identity and access management for AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) (Gerenciamento de identidade e acesso para o ) no *Guia do usuário do AWS CloudHSM *.
+ Os diretores que criam e gerenciam AWS KMS keys em seu armazenamento de AWS CloudHSM chaves exigem [as mesmas permissões](create-keys.md#create-key-permissions) que aqueles que criam e gerenciam qualquer chave KMS em. AWS KMS A [política de chaves padrão](key-policy-default.md) para uma chave KMS em um armazenamento de AWS CloudHSM chaves é idêntica à política de chaves padrão para chaves KMS em. AWS KMS O [controle de acesso baseado em atributos](abac.md) (ABAC), que usa tags e aliases para controlar o acesso às chaves KMS, também é eficaz nas chaves KMS nos armazenamentos de chaves. AWS CloudHSM 
+ [Os diretores que usam as chaves KMS em seu AWS CloudHSM armazenamento de chaves para [operações criptográficas](manage-cmk-keystore.md#use-cmk-keystore) precisam de permissão para realizar a operação criptográfica com a chave KMS, como kms:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Você pode fornecer essas permissões em uma política de chaves, política do IAM. Porém, eles não precisam de nenhuma permissão adicional para usar uma chave KMS em um armazenamento de AWS CloudHSM chaves.

# Crie um armazenamento de AWS CloudHSM chaves
<a name="create-keystore"></a>

Você pode criar um ou vários armazenamentos de AWS CloudHSM chaves em sua conta. Cada armazenamento de AWS CloudHSM chaves está associado a um AWS CloudHSM cluster na mesma Conta da AWS região. Antes de criar o armazenamento de chaves do AWS CloudHSM , você precisa [organizar os pré-requisitos](#before-keystore). Então, antes de poder usar seu armazenamento de AWS CloudHSM chaves, você deve [conectá-lo](connect-keystore.md) ao AWS CloudHSM cluster.

**Observações**  
O KMS não pode se comunicar IPv6 com as AWS CloudHSM principais lojas.  
Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves *desconectado* existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM .   
Você não precisa conectar seu armazenamento de AWS CloudHSM chaves imediatamente. Você pode deixá-lo em um estado desconectado até estar pronto para usá-lo. No entanto, para verificar se ele está configurado corretamente, convém [conectá-lo](connect-keystore.md),[ visualizar o estado da conexão](view-keystore.md) e [desconectá-lo](disconnect-keystore.md).

**Topics**
+ [Organizar os pré-requisitos](#before-keystore)
+ [Criar um novo repositório de AWS CloudHSM chaves](#create-hsm-keystore)

## Organizar os pré-requisitos
<a name="before-keystore"></a>

Cada armazenamento de AWS CloudHSM chaves é apoiado por um AWS CloudHSM cluster. Para criar um armazenamento de AWS CloudHSM chaves, você deve especificar um AWS CloudHSM cluster ativo que ainda não esteja associado a outro armazenamento de chaves. Você também precisa criar um usuário criptográfico (UC) dedicado no cluster HSMs que AWS KMS possa ser usado para criar e gerenciar chaves em seu nome.

Antes de criar um armazenamento de AWS CloudHSM chaves, faça o seguinte:

**Selecione um AWS CloudHSM cluster**  
Cada armazenamento de AWS CloudHSM chaves está [associado a exatamente um AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Quando você cria AWS KMS keys em seu armazenamento de AWS CloudHSM chaves, AWS KMS cria os metadados da chave KMS, como um ID e um nome de recurso da Amazon (ARN) em. AWS KMS Em seguida, ele cria o HSMs material chave no cluster associado. Você pode [criar um novo AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) cluster ou usar um existente. AWS KMS não exige acesso exclusivo ao cluster.  
O AWS CloudHSM cluster que você seleciona está permanentemente associado ao armazenamento de AWS CloudHSM chaves. Depois de criar o armazenamento de AWS CloudHSM chaves, você pode [alterar a ID](update-keystore.md) do cluster associado, mas o cluster especificado deve compartilhar um histórico de backup com o cluster original. Para usar um cluster não relacionado, você precisa criar um novo armazenamento de AWS CloudHSM chaves.  
O AWS CloudHSM cluster selecionado deve ter as seguintes características:  
+ **O cluster deve estar ativo**. 

  Você deve criar o cluster, inicializá-lo, instalar o software AWS CloudHSM cliente para sua plataforma e, em seguida, ativar o cluster. Para obter instruções detalhadas, consulte [Conceitos básicos do AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) no *Guia do usuário do AWS CloudHSM *.
+ **O TLS mútuo (mTLS) não está habilitado.** 

  O KMS não é compatível com mTLS para clusters. Essa configuração não deve ser habilitada.
+ **O cluster deve estar na mesma conta e região** do armazenamento de AWS CloudHSM chaves. Você não pode associar um armazenamento de AWS CloudHSM chaves em uma região a um cluster em uma região diferente. Para criar uma infraestrutura chave em várias regiões, você deve criar armazenamentos e clusters de AWS CloudHSM chaves em cada região.
+ **Não é possível associar o cluster a outro armazenamento personalizado de chaves** na mesma conta e região. Cada armazenamento de AWS CloudHSM chaves na conta e na região deve estar associado a um AWS CloudHSM cluster diferente. Você não pode especificar um cluster que já esteja associado a um armazenamento de chaves personalizado, tampouco um cluster que compartilhe um histórico de backup com um cluster associado. Os clusters que compartilham um histórico de backup têm o mesmo certificado do cluster. Para visualizar o certificado de cluster de um cluster, use o AWS CloudHSM console ou a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação.

  Se você [fizer backup de um cluster do AWS CloudHSM em uma região diferente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), ele será considerado um cluster diferente e você poderá associar o backup a um armazenamento personalizado de chaves na região dele. No entanto, as chaves KMS nos dois armazenamentos de chaves personalizadas não são interoperáveis, mesmo que tenham a mesma chave de apoio. AWS KMS vincula os metadados ao texto cifrado para que eles possam ser descriptografados somente pela chave KMS que os criptografou.
+ O cluster deve ser configurado com [sub-redes privadas](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) em **pelo menos duas zonas de disponibilidade** na região. Como não AWS CloudHSM é compatível com todas as zonas de disponibilidade, recomendamos que você crie sub-redes privadas em todas as zonas de disponibilidade da região. Você não pode reconfigurar as sub-redes para um cluster existente, mas pode [criar um cluster a partir de um backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) com diferentes sub-redes na configuração do cluster.
**Importante**  
Depois de criar seu armazenamento de AWS CloudHSM chaves, não exclua nenhuma das sub-redes privadas configuradas para seu AWS CloudHSM cluster. Se AWS KMS não conseguir encontrar todas as sub-redes na configuração do cluster, as tentativas de [conexão com o armazenamento de chaves personalizadas](connect-keystore.md) falharão com um estado de erro de `SUBNET_NOT_FOUND` conexão. Para obter detalhes, consulte [Como corrigir uma falha de conexão](fix-keystore.md#fix-keystore-failed).
+ O [grupo de segurança do cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) deve incluir regras de entrada e regras de saída que permitam a passagem do tráfego TCP nas portas IPv4 2223-2225. O **Source (Origem)** nas regras de entrada e o **Destination (Destino)** nas regras de saída deve corresponder ao ID do grupo de segurança. Essas regras são definidas por padrão quando você cria o cluster. Não as exclua nem as altere.
+ **O cluster deve conter pelo menos dois ativos HSMs** em diferentes zonas de disponibilidade. Para verificar o número de HSMs, use o AWS CloudHSM console ou a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Se necessário, você pode [adicionar um HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Localizar o certificado da âncora de confiança**  
Ao criar um armazenamento de chaves personalizado, você deve carregar o certificado de âncora confiável para o AWS CloudHSM cluster. AWS KMS AWS KMS precisa do certificado de âncora confiável para conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado.  
Cada AWS CloudHSM cluster ativo tem um *certificado de âncora confiável*. Ao [inicializar o cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), você gera esse certificado, salve-o no `customerCA.crt` arquivo e copie-o em hosts que se conectam ao cluster.

**Crie o usuário `kmsuser` criptográfico para AWS KMS**  <a name="kmsuser-concept"></a>
Para administrar seu armazenamento de AWS CloudHSM chaves, faça AWS KMS login na conta de [usuário `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (CU) no cluster selecionado. Antes de criar seu armazenamento de AWS CloudHSM chaves, você deve criar a `kmsuser` UC. Então, ao criar seu armazenamento de AWS CloudHSM chaves, você fornece a senha `kmsuser` para AWS KMS. Sempre que você conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster associado, AWS KMS efetua login como `kmsuser` e alterna a senha `kmsuser`   
Não especifique a opção `2FA` ao criar o CU do `kmsuser`. Se você fizer isso, AWS KMS não poderá fazer login e seu armazenamento de AWS CloudHSM chaves não poderá ser conectado a esse AWS CloudHSM cluster. Ao especificar o código de autenticação de dois fatores, você não pode desfazê-lo. Em vez disso, você deve excluir o CU e recriá-lo.
**Observações**  
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.  
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.

1. Siga os procedimentos de conceitos básicos conforme descritos no tópico [Getting started with CloudHSM Command Line Interface (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) do *Guia do usuário do AWS CloudHSM *.

1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) para criar um usuário de criptografia chamado `kmsuser`.

   A senha deve conter de 7 a 32 caracteres alfanuméricos. Ela diferencia maiúsculas de minúsculas e não pode conter caracteres especiais.

   O exemplo de comando a seguir cria um usuário de criptografia `kmsuser`. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Criar um novo repositório de AWS CloudHSM chaves
<a name="create-hsm-keystore"></a>

Depois de [montar os pré-requisitos](#before-keystore), você pode criar um novo armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a operação. [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)

### Usando o AWS KMS console
<a name="create-keystore-console"></a>

Ao criar um armazenamento de AWS CloudHSM chaves no Console de gerenciamento da AWS, você pode adicionar e criar os [pré-requisitos](#before-keystore) como parte do seu fluxo de trabalho. No entanto, o processo é mais rápido quando eles são organizados com antecedência.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).

1. Selecione **Create key store** (Criar armazenamento de chaves).

1. Digite um nome amigável para o armazenamento de chaves personalizado. O nome deve ser exclusivo entre todos os outros armazenamentos de chaves personalizados de sua conta.
**Importante**  
Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples em CloudTrail registros e outras saídas.

1. Selecione [um AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster) para o armazenamento de AWS CloudHSM chaves. Ou, para criar um novo AWS CloudHSM cluster, escolha o link **Criar um AWS CloudHSM cluster**.

   O menu exibe os AWS CloudHSM clusters em sua conta e região que ainda não estão associados a um armazenamento de AWS CloudHSM chaves. O cluster deve [cumprir os requisitos](#before-keystore) para associação com um armazenamento de chaves personalizado. 

1. **Escolha Escolher arquivo** e, em seguida, carregue o certificado de âncora confiável para o AWS CloudHSM cluster que você escolheu. Esse é o arquivo `customerCA.crt` que você criou ao [inicializar o cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Insira a senha [do usuário de criptografia `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) (CU) que você criou no cluster selecionado. 

1. Escolha **Criar**.

Quando o procedimento for bem-sucedido, o novo armazenamento de AWS CloudHSM chaves aparecerá na lista de armazenamentos de AWS CloudHSM chaves na conta e na região. Se ele for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves *desconectado* existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM . 

**Próximo**: Os novos armazenamentos de AWS CloudHSM chaves não são conectados automaticamente. Antes de criar AWS KMS keys no armazenamento de AWS CloudHSM chaves, você deve [conectar o armazenamento de chaves personalizadas](connect-keystore.md) ao AWS CloudHSM cluster associado.

### Usando a AWS KMS API
<a name="create-keystore-api"></a>

Você pode usar a [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operação para criar um novo armazenamento de AWS CloudHSM chaves associado a um AWS CloudHSM cluster na conta e na região. Estes exemplos usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

A operação `CreateCustomKeyStore` exige os seguintes valores de parâmetros.
+ CustomKeyStoreName — Um nome amigável para o armazenamento de chaves personalizadas que é exclusivo na conta.
**Importante**  
Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples em CloudTrail registros e outras saídas.
+ CloudHsmClusterId — O ID do cluster de um AWS CloudHSM cluster que [atende aos requisitos](#before-keystore) de um armazenamento de AWS CloudHSM chaves.
+ KeyStorePassword — A senha da conta `kmsuser` UC no cluster especificado. 
+ TrustAnchorCertificate — O conteúdo do `customerCA.crt` arquivo que você criou quando [inicializou o cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

O exemplo a seguir usa um ID de cluster fictício. Antes de executar o comando, substitua-o por um ID de cluster válido.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Se você estiver usando o AWS CLI, poderá especificar o arquivo de certificado âncora confiável, em vez de seu conteúdo. No exemplo a seguir, o arquivo `customerCA.crt` no diretório raiz.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Quando a operação é bem-sucedida, `CreateCustomKeyStore` retorna o ID do armazenamento de chaves personalizado, conforme exibido na resposta de exemplo a seguir.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Se a operação falhar, corrija o erro indicado pela exceção e tente novamente. Para obter ajuda adicional, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

Se você tentar criar um armazenamento de AWS CloudHSM chaves com todos os mesmos valores de propriedade de um armazenamento de AWS CloudHSM chaves *desconectado* existente, AWS KMS não criará um novo armazenamento de AWS CloudHSM chaves e não gerará uma exceção nem exibirá um erro. Em vez disso, AWS KMS reconhece a duplicata como a provável consequência de uma nova tentativa e retorna a ID do armazenamento de chaves existente AWS CloudHSM . 

**Próximo**: Para usar o armazenamento de AWS CloudHSM chaves, [conecte-o ao AWS CloudHSM cluster](connect-keystore.md).

# Exibir uma loja de AWS CloudHSM chaves
<a name="view-keystore"></a>

Você pode ver os AWS CloudHSM principais armazenamentos em cada conta e região usando o AWS KMS console ou a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação. 

## Usando o AWS KMS console
<a name="view-keystore-console"></a>

Ao visualizar os armazenamentos de AWS CloudHSM chaves no Console de gerenciamento da AWS, você pode ver o seguinte:
+ O nome e ID do armazenamento de chaves personalizado
+ O ID do AWS CloudHSM cluster associado
+ O número de HSMs no cluster
+ O estado da conexão atual

Um valor de estado de conexão (**Status**) de **Desconectado** indica que o armazenamento de chaves personalizadas é novo e nunca foi conectado, ou foi intencionalmente [desconectado de](disconnect-keystore.md) seu cluster. AWS CloudHSM No entanto, se suas tentativas de usar uma chave KMS em um armazenamento de chaves personalizadas conectado falharem, isso pode indicar um problema com o armazenamento de chaves personalizadas ou seu AWS CloudHSM cluster. Para obter ajuda, consulte [Como corrigir uma chave do KMS com falha](fix-keystore.md#fix-cmk-failed).

Para visualizar os armazenamentos de AWS CloudHSM chaves em uma determinada conta e região, use o procedimento a seguir.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).

Para personalizar a exibição, clique no ícone de engrenagem que aparece abaixo do botão **Create key store (Criar armazenamento de chaves)**.

## Usando a AWS KMS API
<a name="view-keystore-api"></a>

Para visualizar suas lojas de AWS CloudHSM chaves, use a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados na conta e região. No entanto, você pode usar o parâmetro `CustomKeyStoreId` ou `CustomKeyStoreName` (mas não ambos) para limitar o resultado para um determinado armazenamento de chaves personalizado. Para armazenamentos de AWS CloudHSM chaves, a saída consiste no ID e nome do armazenamento de chaves personalizadas, no tipo de armazenamento de chaves personalizadas, na ID do AWS CloudHSM cluster associado e no estado da conexão. Se o estado da conexão indica um erro, o resultado também inclui um código de erro que descreve o motivo do erro.

Os exemplos nesta seção usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Por exemplo, o comando a seguir retorna todos os armazenamentos de chaves personalizados na conta e região. Você pode usar os parâmetros `Marker` e `Limit` para percorrer os armazenamentos de chaves personalizados do resultado.

```
$ aws kms describe-custom-key-stores
```

O comando de exemplo a seguir usa o parâmetro `CustomKeyStoreName` para obter apenas o armazenamento de chaves personalizado com o nome amigável `ExampleCloudHSMKeyStore`. É possível usar o parâmetro `CustomKeyStoreName` ou `CustomKeyStoreId` (mas não ambos) em cada comando.

O exemplo de saída a seguir representa um armazenamento de AWS CloudHSM chaves conectado ao seu AWS CloudHSM cluster.

**nota**  
O `CustomKeyStoreType` campo foi adicionado à `DescribeCustomKeyStores` resposta para distinguir os armazenamentos de AWS CloudHSM chaves dos armazenamentos de chaves externos.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

Um `ConnectionState` de `Disconnected` indica que um armazenamento de chaves personalizadas nunca foi conectado ou foi intencionalmente [desconectado de seu AWS CloudHSM cluster](disconnect-keystore.md). No entanto, se as tentativas de usar uma chave KMS em um armazenamento de AWS CloudHSM chaves conectado falharem, isso pode indicar um problema com o armazenamento de AWS CloudHSM chaves ou seu AWS CloudHSM cluster. Para obter ajuda, consulte [Como corrigir uma chave do KMS com falha](fix-keystore.md#fix-cmk-failed).

Quando o `ConnectionState` do armazenamento de chaves personalizado `FAILED`, a resposta `DescribeCustomKeyStores` inclui um elemento `ConnectionErrorCode` que explica o motivo desse erro.

Por exemplo, no resultado a seguir, o valor `INVALID_CREDENTIALS` indica que a conexão do armazenamento de chaves personalizado falhou porque a senha [`kmsuser` é inválido](fix-keystore.md#fix-keystore-password). Para obter ajuda com relação a esta e outras falhas de erro de conexão, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**Saiba mais:**
+ [Visualizar repositórios de chaves externos](view-xks-keystore.md)
+ [Identificar chaves KMS em lojas de AWS CloudHSM chaves](identify-key-types.md#identify-key-hsm-keystore)
+ [Registrando chamadas de AWS KMS API com AWS CloudTrail](logging-using-cloudtrail.md)

# Editar configurações de armazenamento de AWS CloudHSM chaves
<a name="update-keystore"></a>

Você pode alterar as configurações de um armazenamento de AWS CloudHSM chaves existente. O armazenamento de chaves personalizadas deve estar desconectado de seu AWS CloudHSM cluster.

Para editar as configurações do armazenamento de AWS CloudHSM chaves:

1. [Desconectar o armazenamento de chaves personalizado](disconnect-keystore.md) do cluster do AWS CloudHSM .

   [Enquanto o armazenamento de chaves personalizadas estiver desconectado, você não pode criar AWS KMS keys (chaves KMS) no armazenamento de chaves personalizadas e não pode usar as chaves KMS que ele contém para operações criptográficas.](manage-cmk-keystore.md#use-cmk-keystore) 

1. Edite uma ou mais das configurações do armazenamento de AWS CloudHSM chaves.

   Você pode editar as seguintes configurações em um armazenamento de chaves personalizado:  
O nome amigável do armazenamento de chaves personalizado.  
Inserir um novo nome amigável. O novo nome deve ser exclusivo entre todos os armazenamentos de chaves personalizadas em seu Conta da AWS.  
Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples em CloudTrail registros e outras saídas.  
O ID do AWS CloudHSM cluster associado.  
Edite esse valor para substituir um AWS CloudHSM cluster relacionado pelo original. Você pode usar esse recurso para reparar um armazenamento de chaves personalizado se o AWS CloudHSM cluster for corrompido ou excluído.   
Especifique um AWS CloudHSM cluster que compartilhe um histórico de backup com o cluster original e [atenda aos requisitos](create-keystore.md#before-keystore) de associação com um armazenamento de chaves personalizado, incluindo dois ativos HSMs em diferentes zonas de disponibilidade. Os clusters que compartilham um histórico de backup têm o mesmo certificado do cluster. Para visualizar o certificado de cluster de um cluster, use a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Você não pode usar o recurso de edição para associar o armazenamento de chaves personalizado a um cluster do AWS CloudHSM não relacionado.   
A senha atual do [`kmsuser` usuário de criptografia](keystore-cloudhsm.md#concept-kmsuser) (CU).  
Informa AWS KMS a senha atual da `kmsuser` UC no AWS CloudHSM cluster. Essa ação não altera a senha da `kmsuser` UC no AWS CloudHSM cluster.  
Se você alterar a senha da `kmsuser` UC no AWS CloudHSM cluster, use esse recurso para informar AWS KMS a nova `kmsuser` senha. Caso contrário, o AWS KMS não poderá fazer login no cluster, e todas as tentativas de conectar o armazenamento de chaves personalizado ao cluster falham. 

1. [Reconectar o armazenamento de chaves personalizado](connect-keystore.md) ao cluster do AWS CloudHSM .

## Editar as configurações de repositório de chaves
<a name="edit-keystore-settings"></a>

Você pode editar suas configurações de armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operação.

### Usando o AWS KMS console
<a name="update-keystore-console"></a>

Ao editar um armazenamento de AWS CloudHSM chaves, você pode alterar qualquer um dos valores configuráveis.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).

1. Escolha a linha do armazenamento de AWS CloudHSM chaves que você deseja editar. 

   Se o valor na coluna **Connection state** (Estado da conexão) não for **Disconnected** (Desconectado), você deverá desconectar o armazenamento de chaves personalizado para editá-lo. (No menu **Key store actions** (Ações do armazenamento de chaves), escolha **Disconnect** [Desconectar].)

   Enquanto um armazenamento de AWS CloudHSM chaves está desconectado, você pode gerenciar o armazenamento de AWS CloudHSM chaves e suas chaves KMS, mas não pode criar ou usar chaves KMS no AWS CloudHSM armazenamento de chaves. 

1. No menu **Key store actions** (Ações do armazenamento de chaves), escolha **Edit** (Editar).

1. Faça uma ou mais das ações a seguir.
   + Digite um novo nome amigável para o armazenamento de chaves personalizado.
   + Digite o ID do cluster de um AWS CloudHSM cluster relacionado.
   + Digite a senha atual do usuário `kmsuser` criptográfico no AWS CloudHSM cluster associado.

1. Escolha **Salvar**.

   Se o procedimento for bem-sucedido, uma mensagem descreverá as configurações que você editou. Se for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

1. [Reconecte o armazenamento de chaves personalizado](connect-keystore.md).

   Para usar o armazenamento de AWS CloudHSM chaves, você deve reconectá-lo após a edição. Você pode deixar o armazenamento de chaves do AWS CloudHSM desconectado. [Mas enquanto estiver desconectado, você não poderá criar chaves KMS no armazenamento de chaves nem usar as AWS CloudHSM chaves KMS no armazenamento de chaves em operações AWS CloudHSM criptográficas.](manage-cmk-keystore.md#use-cmk-keystore)

### Usando a AWS KMS API
<a name="update-keystore-api"></a>

Para alterar as propriedades de um armazenamento de AWS CloudHSM chaves, use a [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operação. Você pode alterar várias propriedades de um armazenamento de chaves personalizado no mesmo comando. Se a operação for bem-sucedida, AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. Para verificar se as alterações são efetivas, use a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação.

Os exemplos nesta seção usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Comece usando [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)para [desconectar o armazenamento de chaves personalizadas](disconnect-keystore.md) de seu AWS CloudHSM cluster. Substitua o exemplo de ID de armazenamento de chaves personalizado, cks-1234567890abcdef0, por um ID real.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

O primeiro exemplo usa [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)para alterar o nome amigável do armazenamento de AWS CloudHSM chaves para`DevelopmentKeys`. O comando usa o `CustomKeyStoreId` parâmetro para identificar o armazenamento de AWS CloudHSM chaves e `CustomKeyStoreName` para especificar o novo nome para o armazenamento de chaves personalizado.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

O exemplo a seguir altera o cluster associado a um armazenamento de AWS CloudHSM chaves para outro backup do mesmo cluster. O comando usa o `CustomKeyStoreId` parâmetro para identificar o armazenamento de AWS CloudHSM chaves e o `CloudHsmClusterId` parâmetro para especificar o novo ID do cluster. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

O exemplo a seguir indica AWS KMS que a `kmsuser` senha atual é`ExamplePassword`. O comando usa o `CustomKeyStoreId` parâmetro para identificar o armazenamento de AWS CloudHSM chaves e o `KeyStorePassword` parâmetro para especificar a senha atual.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

O comando final reconecta o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster. É possível deixar o armazenamento de chaves personalizado no estado desconectado, mas ele precisa estar conectado para que seja possível criar chaves do KMS ou usar as chaves do KMS existentes para [operações de criptografia](manage-cmk-keystore.md#use-cmk-keystore). Substitua o ID de exemplo do armazenamento de chaves personalizado por um ID real.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Connect a um armazenamento de AWS CloudHSM chaves
<a name="connect-keystore"></a>

Os novos armazenamentos de AWS CloudHSM chaves não estão conectados. Antes de criar e usar AWS KMS keys em seu armazenamento de AWS CloudHSM chaves, você precisa conectá-lo ao AWS CloudHSM cluster associado. Você pode conectar e desconectar seu armazenamento de AWS CloudHSM chaves a qualquer momento e [visualizar seu estado de conexão](view-keystore.md#view-keystore-console). 

Você não precisa conectar seu armazenamento de AWS CloudHSM chaves. Você pode deixar um armazenamento de AWS CloudHSM chaves em um estado desconectado indefinidamente e conectá-lo somente quando precisar usá-lo. No entanto, você pode desejar testar a conexão periodicamente para verificar se as configurações estão corretas e se ele pode ser conectado.

**nota**  
AWS CloudHSM os armazenamentos de chaves têm um estado de `DISCONNECTED` conexão somente quando o armazenamento de chaves nunca foi conectado ou quando você o desconecta explicitamente. Se o estado da conexão do seu armazenamento de AWS CloudHSM chaves for, `CONNECTED` mas você estiver tendo problemas para usá-lo, verifique se o AWS CloudHSM cluster associado está ativo e contém pelo menos um ativo HSMs. Para obter ajuda com falhas de conexão, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

Quando você conecta um armazenamento de AWS CloudHSM chaves, AWS KMS encontra o AWS CloudHSM cluster associado, se conecta a ele, faz login no AWS CloudHSM cliente como [usuário `kmsuser` criptográfico (UC](keystore-cloudhsm.md#concept-kmsuser)) e, em seguida, alterna a `kmsuser` senha. AWS KMS permanece conectado ao AWS CloudHSM cliente enquanto o armazenamento de AWS CloudHSM chaves estiver conectado.

Para estabelecer a conexão, AWS KMS cria um [grupo de segurança](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) nomeado `kms-<custom key store ID>` na nuvem privada virtual (VPC) do cluster. O grupo de segurança tem uma única regra que permite o tráfego de entrada do grupo de segurança do cluster. AWS KMS também cria uma [interface de rede elástica](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) em cada zona de disponibilidade da sub-rede privada do cluster. AWS KMS adiciona o ENIs ao grupo `kms-<cluster ID>` de segurança e ao grupo de segurança do cluster. A descrição de cada ENI é `KMS managed ENI for cluster <cluster-ID>`.

O processo de conexão pode demorar um período prolongado para ser concluído; até 20 minutos. 

Antes de conectar o armazenamento de AWS CloudHSM chaves, verifique se ele atende aos requisitos.
+ Seu AWS CloudHSM cluster associado deve conter pelo menos um HSM ativo. Para encontrar o número de HSMs no cluster, visualize o cluster no AWS CloudHSM console ou use a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Se necessário, você pode [adicionar um HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ O cluster deve ter uma conta de [usuário `kmsuser` criptográfico](create-keystore.md#kmsuser-concept) (UC), mas essa UC não pode ser conectada ao cluster quando você conecta o AWS CloudHSM armazenamento de chaves. Para obter ajuda com o logout, consulte [Como fazer logout e se conectar novamente](fix-keystore.md#login-kmsuser-2).
+ O estado da conexão do armazenamento de AWS CloudHSM chaves não pode ser `DISCONNECTING` ou`FAILED`. Para ver o estado da conexão, use o AWS KMS console ou a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta. Se o estado da conexão for `FAILED`, desconecte o armazenamento de chaves personalizado, corrija o problema e conecte-o.

Para obter ajuda com falhas de conexão, consulte [Como corrigir uma falha de conexão](fix-keystore.md#fix-keystore-failed).

Quando seu armazenamento de AWS CloudHSM chaves está conectado, você pode [criar chaves KMS nele](create-cmk-keystore.md) e usar chaves KMS existentes em operações [criptográficas](manage-cmk-keystore.md#use-cmk-keystore).

## Conecte-se e reconecte-se ao seu armazenamento de AWS CloudHSM chaves
<a name="connect-hsm-keystore"></a>

Você pode conectar ou reconectar seu armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operação.

### Usando o AWS KMS console
<a name="connect-keystore-console"></a>

Para conectar um armazenamento de AWS CloudHSM chaves no Console de gerenciamento da AWS, comece selecionando o armazenamento de AWS CloudHSM chaves na página **Armazenamentos de chaves personalizadas**. O processo de conexão pode levar até 20 minutos.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).

1. Escolha a linha do armazenamento de AWS CloudHSM chaves que você deseja conectar. 

   Se o estado de conexão do armazenamento de AWS CloudHSM chaves for **Falha**, você deverá [desconectar o armazenamento de chaves personalizado](disconnect-keystore.md#disconnect-keystore-console) antes de conectá-lo.

1. No menu **Key store actions** (Ações do armazenamento de chaves), escolha **Connect** (Conectar).

AWS KMS inicia o processo de conexão do seu armazenamento de chaves personalizadas. Ele localiza o cluster do AWS CloudHSM associado, cria a infraestrutura de rede necessária, se conecta, faz login no cluster do AWS CloudHSM como CU do `kmsuser` e muda a senha do `kmsuser`. Quando a operação é concluída, o estado de conexão é alterado para **Connected** (Conectado). 

Se houver falha na operação, uma mensagem descrevendo o motivo da falha será exibida. Antes de tentar se conectar novamente, [veja o estado da conexão](view-keystore.md) do seu armazenamento de AWS CloudHSM chaves. Se for **Failed** (Falha), você deve [desconectar o armazenamento de chaves personalizado](disconnect-keystore.md#disconnect-keystore-console) antes de conectá-lo novamente. Se precisar de ajuda, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

**Próximo:** [Criar uma chave KMS em um armazenamento de AWS CloudHSM chaves](create-cmk-keystore.md).

### Usando a AWS KMS API
<a name="connect-keystore-api"></a>

Para conectar um armazenamento de AWS CloudHSM chaves desconectado, use a [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operação. O AWS CloudHSM cluster associado deve conter pelo menos um HSM ativo e o estado da conexão não pode ser`FAILED`.

O processo de conexão demora um período prolongado para ser concluído; até 20 minutos. A menos que se antecipe à falha, a operação retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. No entanto, essa resposta inicial não indica que a conexão foi bem-sucedida. Para determinar o estado da conexão do armazenamento de chaves personalizadas, veja a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta.

Os exemplos nesta seção usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Para identificar o armazenamento de AWS CloudHSM chaves, use seu ID de armazenamento de chaves personalizado. Você pode encontrar o ID na página **Armazenamentos de chaves personalizadas** no console ou usando a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação sem parâmetros. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Para verificar se o armazenamento de AWS CloudHSM chaves está conectado, use a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro `CustomKeyStoreId` ou `CustomKeyStoreName` (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor `ConnectionState` `CONNECTED` indica que o armazenamento de chaves personalizado está conectado ao cluster do AWS CloudHSM .

**nota**  
O `CustomKeyStoreType` campo foi adicionado à `DescribeCustomKeyStores` resposta para distinguir os armazenamentos de AWS CloudHSM chaves dos armazenamentos de chaves externos.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Se ocorrer falha no valor `ConnectionState`, o elemento `ConnectionErrorCode` indica o motivo da falha. Nesse caso, não AWS KMS foi possível encontrar um AWS CloudHSM cluster na sua conta com o ID do cluster`cluster-1a23b4cdefg`. Se você excluiu o cluster, você pode [restaurá-lo a partir de um backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) do cluster original e [editar o ID do cluster](update-keystore.md) para o armazenamento de chaves personalizado. Para obter ajuda para responder a um código de erro de conexão, consulte [Como corrigir uma falha de conexão](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Desconectar um armazenamento de AWS CloudHSM chaves
<a name="disconnect-keystore"></a>

Quando você desconecta um armazenamento de AWS CloudHSM chaves, AWS KMS sai do AWS CloudHSM cliente, se desconecta do AWS CloudHSM cluster associado e remove a infraestrutura de rede criada para suportar a conexão.

Enquanto um armazenamento de AWS CloudHSM chaves está desconectado, você pode gerenciar o armazenamento de AWS CloudHSM chaves e suas chaves KMS, mas não pode criar ou usar chaves KMS no AWS CloudHSM armazenamento de chaves. O estado da conexão do armazenamento de chaves é `DISCONNECTED`, e o [estado da chave](key-state.md) das chaves do KMS no armazenamento de chaves personalizado é `Unavailable`, a menos que elas estejam com `PendingDeletion`. Você pode reconectar o armazenamento de AWS CloudHSM chaves a qualquer momento.

**nota**  
AWS CloudHSM os armazenamentos de chaves têm um estado de `DISCONNECTED` conexão somente quando o armazenamento de chaves nunca foi conectado ou quando você o desconecta explicitamente. Se o estado da conexão do seu armazenamento de AWS CloudHSM chaves for, `CONNECTED` mas você estiver tendo problemas para usá-lo, verifique se o AWS CloudHSM cluster associado está ativo e contém pelo menos um ativo HSMs. Para obter ajuda com falhas de conexão, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

Quando você desconecta um armazenamento de chaves personalizado, as chaves do KMS do armazenamento de chaves tornam-se inutilizáveis imediatamente (sujeitas a consistência posterior). Porém, os recursos criptografados com [chaves de dados](data-keys.md) protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte [Como as chaves do KMS inutilizáveis afetam as chaves de dados](unusable-kms-keys.md).

**nota**  
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Para avaliar melhor o efeito de desconectar o armazenamento de chaves personalizado, [identifique as chaves do KMS](find-cmk-in-keystore.md) no armazenamento de chaves personalizado e [determine seu uso anterior](deleting-keys-determining-usage.md).

Você pode desconectar um armazenamento de AWS CloudHSM chaves por motivos como os seguintes:
+ **Para mudar a senha do `kmsuser`.** O AWS KMS altera a senha `kmsuser` toda vez que se conecta ao cluster do AWS CloudHSM . Para forçar uma mudança de senha, basta desconectar e reconectar.
+ **Para auditar o material chave** das chaves KMS no AWS CloudHSM cluster. Quando você desconecta o armazenamento de chaves personalizadas, AWS KMS sai da conta de [usuário `kmsuser` criptográfica](keystore-cloudhsm.md#concept-kmsuser) no AWS CloudHSM cliente. Isso permite fazer login no cluster como o CU `kmsuser` e auditar e gerenciar o material de chave para a chave do KMS.
+ **Para desabilitar imediatamente todas as chaves do KMS** no armazenamento de chaves do AWS CloudHSM . Você pode [desativar e reativar as chaves KMS](enabling-keys.md) em um armazenamento de AWS CloudHSM chaves usando a operação Console de gerenciamento da AWS ou. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Essas operações são concluídas rapidamente, mas atuam em uma chave do KMS de cada vez. Desconectar o armazenamento de AWS CloudHSM chaves altera imediatamente o estado da chave de todas as chaves KMS no armazenamento de AWS CloudHSM chaves para`Unavailable`, o que impede que elas sejam usadas em qualquer operação criptográfica.
+ **Para reparar uma falha na tentativa de conexão**. Se uma tentativa de conectar um armazenamento de AWS CloudHSM chaves falhar (o estado de conexão do armazenamento de chaves personalizado é`FAILED`), você deve desconectar o armazenamento de AWS CloudHSM chaves antes de tentar conectá-lo novamente.

## Desconecte seu armazenamento de AWS CloudHSM chaves
<a name="disconnect-hsm-keystore"></a>

Você pode desconectar seu armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operação.

### Desconecte usando o console AWS KMS
<a name="disconnect-keystore-console"></a>

Para desconectar um armazenamento de AWS CloudHSM chaves conectado no AWS KMS console, comece escolhendo o armazenamento de AWS CloudHSM chaves na página **Armazenamentos de chaves personalizadas**.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).

1. Escolha a linha do armazenamento de chaves externas que deseja desconectar. 

1. No menu **Key store actions** (Ações do armazenamento de chaves), escolha **Disconnect** (Desconectar).

**Quando a operação é concluída, o estado de conexão é alterado de Disconnecting** (Desconectando) para **Disconnected** (Desconectado). Se ocorrer falha na operação, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

### Desconecte-se usando a API AWS KMS
<a name="disconnect-keystore-api"></a>

Para desconectar um armazenamento de AWS CloudHSM chaves conectado, use a [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operação. Se a operação for bem-sucedida, AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades.

Os exemplos nesta seção usam a [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), mas você pode usar qualquer linguagem de programação compatível. 

Este exemplo desconecta um armazenamento de AWS CloudHSM chaves. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Para verificar se o armazenamento de AWS CloudHSM chaves está desconectado, use a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro `CustomKeyStoreId` e `CustomKeyStoreName` (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O `ConnectionState` valor de `DISCONNECTED` indica que esse exemplo de armazenamento de AWS CloudHSM chaves não está conectado ao AWS CloudHSM cluster.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Excluir um armazenamento de AWS CloudHSM chaves
<a name="delete-keystore"></a>

Quando você exclui um armazenamento de AWS CloudHSM chaves, AWS KMS exclui todos os metadados sobre o armazenamento de AWS CloudHSM chaves do KMS, incluindo informações sobre sua associação com um cluster. AWS CloudHSM Essa operação não afeta o AWS CloudHSM cluster HSMs, nem seus usuários. Você pode criar um novo armazenamento de AWS CloudHSM chaves associado ao mesmo AWS CloudHSM cluster, mas não pode desfazer a operação de exclusão.

Você só pode excluir um armazenamento de AWS CloudHSM chaves que esteja desconectado de seu AWS CloudHSM cluster e não contenha nenhum AWS KMS keys. Antes de excluir um armazenamento de chaves personalizado, faça o seguinte.
+ Verifique se você ainda precisará usar qualquer uma das chaves do KMS no armazenamento de chaves para [operações de criptografia](manage-cmk-keystore.md#use-cmk-keystore). Em seguida, [programe a exclusão](deleting-keys.md#delete-cmk-keystore) de todas as chaves do KMS do armazenamento de chaves. Para obter ajuda para encontrar as chaves KMS em um armazenamento de AWS CloudHSM chaves, consulte[Encontre as chaves KMS em um armazenamento de AWS CloudHSM chaves](find-cmk-in-keystore.md).
+ Confirme se todas as chaves do KMS foram excluídas. Para visualizar as chaves KMS em um armazenamento de AWS CloudHSM chaves, consulte[Identificar chaves KMS em lojas de AWS CloudHSM chaves](identify-key-types.md#identify-key-hsm-keystore).
+ [Desconecte o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) de seu AWS CloudHSM cluster.

Em vez de excluir o armazenamento de AWS CloudHSM chaves, considere [desconectá-lo](disconnect-keystore.md) do cluster associado AWS CloudHSM . Enquanto um armazenamento de AWS CloudHSM chaves está desconectado, você pode gerenciar o armazenamento de AWS CloudHSM chaves e seu AWS KMS keys. Mas você não pode criar ou usar chaves KMS no armazenamento de AWS CloudHSM chaves. Você pode reconectar o armazenamento de AWS CloudHSM chaves a qualquer momento.

## Exclua seu armazenamento de AWS CloudHSM chaves
<a name="delete-hsm-keystore"></a>

Você pode excluir seu armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operação.

### Usando o AWS KMS console
<a name="delete-keystore-console"></a>

Para excluir um armazenamento de AWS CloudHSM chaves no Console de gerenciamento da AWS, comece selecionando o armazenamento de AWS CloudHSM chaves na página **Armazenamentos de chaves personalizadas**.

1. Faça login no console Console de gerenciamento da AWS e abra o AWS Key Management Service (AWS KMS) em [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

1. No painel de navegação, selecione **Custom key stores** (Repositórios de chaves personalizados), **AWS CloudHSM key stores** (Repositórios de chaves do ).

1. Encontre a linha que representa o armazenamento de AWS CloudHSM chaves que você deseja excluir. Se o **estado de conexão** do armazenamento de AWS CloudHSM chaves não for **Desconectado**, você deverá [desconectar o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) antes de excluí-lo.

1. No menu **Key store actions** (Ações de armazenamento de chaves), escolha **Delete** (Excluir).

Quando a operação for concluída, uma mensagem de sucesso será exibida e o armazenamento de AWS CloudHSM chaves não aparecerá mais na lista de armazenamentos de chaves. Se a operação não for bem-sucedida, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte [Solucionar problemas de um armazenamento de chaves personalizado](fix-keystore.md).

### Usando a AWS KMS API
<a name="delete-keystore-api"></a>

Para excluir um armazenamento de AWS CloudHSM chaves, use a [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operação. Se a operação for bem-sucedida, AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades.

Para começar, verifique se o armazenamento de AWS CloudHSM chaves não contém nenhuma AWS KMS keys. Não é possível excluir um armazenamento de chaves personalizado que contém chaves do KMS. O primeiro exemplo de comando usa [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)e [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)para pesquisar AWS KMS keys no armazenamento de AWS CloudHSM chaves com o exemplo de ID de armazenamento de chaves *cks-1234567890abcdef0* personalizado. Nesse caso, o comando não retorna chaves do KMS. Se isso acontecer, use a [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operação para programar a exclusão de cada uma das chaves do KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Em seguida, desconecte o armazenamento de AWS CloudHSM chaves. Este exemplo de comando usa a [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operação para desconectar um armazenamento de AWS CloudHSM chaves de seu AWS CloudHSM cluster. Antes de executar um comando como esse, substitua o ID de exemplo do armazenamento de chaves personalizado por um válido.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Depois que o armazenamento de chaves personalizadas for desconectado, você poderá usar a [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operação para excluí-lo. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Solucionar problemas de um armazenamento de chaves personalizado
<a name="fix-keystore"></a>

AWS CloudHSM as principais lojas são projetadas para estarem disponíveis e serem resilientes. No entanto, existem algumas condições de erro que talvez você precise reparar para manter seu armazenamento de AWS CloudHSM chaves operacional.

**Topics**
+ [Como corrigir chaves do KMS indisponíveis](#fix-unavailable-cmks)
+ [Como corrigir uma chave do KMS com falha](#fix-cmk-failed)
+ [Como corrigir uma falha de conexão](#fix-keystore-failed)
+ [Como responder a uma falha de operação criptográfica](#fix-keystore-communication)
+ [Como corrigir credenciais `kmsuser` inválidas](#fix-keystore-password)
+ [Como excluir material de chave órfã](#fix-keystore-orphaned-key)
+ [Como recuperar materiais de chave excluídos de uma chave do KMS](#fix-keystore-recover-backing-key)
+ [Como fazer login como `kmsuser`](#fix-login-as-kmsuser)

## Como corrigir chaves do KMS indisponíveis
<a name="fix-unavailable-cmks"></a>

Normalmente, o [estado AWS CloudHSM chave](key-state.md) AWS KMS keys de um armazenamento de chaves é`Enabled`. Como todas as chaves KMS, o estado da chave muda quando você desativa as chaves KMS em um armazenamento de AWS CloudHSM chaves ou as agenda para exclusão. No entanto, ao contrário de outras chaves do KMS, as chaves do KMS em um armazenamento de chaves personalizado também podem ter um [estado de chave](key-state.md) `Unavailable`. 

Um estado de chave `Unavailable` indica que a chave do KMS está em um armazenamento de chaves personalizado que foi [intencionalmente desconectado](disconnect-keystore.md) e que as tentativas de reconectá-lo, se houver, não foram bem-sucedidas. Enquanto uma chave do KMS está indisponível, é possível visualizá-la e gerenciá-la, mas não é possível usá-la para [operações de criptografia](manage-cmk-keystore.md#use-cmk-keystore).

Para encontrar o estado de chave de uma chave do KMS, na página **Customer managed keys** (Chaves gerenciadas pelo cliente), visualize o campo **Status** da chave do KMS. Ou use a [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operação e visualize o `KeyState` elemento na resposta. Para obter detalhes, consulte [Identificar e visualizar chaves](viewing-keys.md).

As chaves do KMS em um armazenamento de chaves personalizado desconectado terão o estado de chave `Unavailable` ou `PendingDeletion`. As chaves do KMS agendadas para exclusão de um armazenamento de chaves personalizado têm um estado de chave `Pending Deletion`, mesmo quando o armazenamento de chaves personalizado está desconectado. Isso permite que você cancele a programação da exclusão de chaves sem reconectar o armazenamento de chaves personalizado. 

Para corrigir uma chave do KMS indisponível, [reconecte o armazenamento de chaves personalizado](disconnect-keystore.md). Após a reconexão do armazenamento de chaves personalizado, o estado de chave das chaves do KMS nesse armazenamento é automaticamente restaurado ao estado anterior, como `Enabled` ou `Disabled`. Chaves do KMS com exclusão pendente permanecem no estado `PendingDeletion`. No entanto, enquanto o problema persistir, [habilitar ou desabilitar uma chave do KMS](enabling-keys.md) indisponível não altera seu estado de chave. A ação habilitar ou desabilitar entra em vigor somente quando a chave é disponibilizada.

Para obter ajuda com conexões com falha, consulte [Como corrigir uma falha de conexão](#fix-keystore-failed). 

## Como corrigir uma chave do KMS com falha
<a name="fix-cmk-failed"></a>

Problemas com a criação e o uso de chaves KMS em AWS CloudHSM armazenamentos de chaves podem ser causados por um problema com seu armazenamento de AWS CloudHSM chaves, seu AWS CloudHSM cluster associado, a chave KMS ou seu material de chaves. 

Quando um armazenamento de AWS CloudHSM chaves é desconectado de seu AWS CloudHSM cluster, o estado da chave das chaves KMS no armazenamento de chaves personalizadas é. `Unavailable` Todas as solicitações para criar chaves KMS em um armazenamento de AWS CloudHSM chaves desconectado retornam uma `CustomKeyStoreInvalidStateException` exceção. Todas as solicitações para criptografar, descriptografar e criptografar novamente ou gerar chaves de dados retornam uma exceção `KMSInvalidStateException`. Para corrigir o problema, [reconecte o armazenamento de AWS CloudHSM chaves](connect-keystore.md).

No entanto, suas tentativas de usar uma chave KMS em um armazenamento de AWS CloudHSM chaves para [operações criptográficas](manage-cmk-keystore.md#use-cmk-keystore) podem falhar mesmo quando o estado da chave é `Enabled` e o estado da conexão do armazenamento de AWS CloudHSM chaves é. `Connected` Isso pode ser causado por uma das seguintes condições.
+ O material de chave para a chave do KMS pode ter sido excluído do cluster do AWS CloudHSM associado. Para investigar, [localize o id de chave](find-handle-for-cmk-id.md) do material de chave para uma chave do KMS e, se necessário, tente [recuperar o material de chave](#fix-keystore-recover-backing-key).
+ Todos HSMs foram excluídos do AWS CloudHSM cluster associado ao armazenamento de AWS CloudHSM chaves. Para usar uma chave KMS em um armazenamento de AWS CloudHSM chaves em uma operação criptográfica, seu AWS CloudHSM cluster deve conter pelo menos um HSM ativo. Para verificar o número e o estado de HSMs em um AWS CloudHSM cluster, [use o AWS CloudHSM console](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) ou a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Para adicionar um HSM ao cluster, use o AWS CloudHSM console ou a [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operação.
+ O AWS CloudHSM cluster associado ao armazenamento de AWS CloudHSM chaves foi excluído. Para corrigir o problema, [crie um cluster a partir de um backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) relacionado ao cluster original, como um backup do cluster original, ou um backup que foi usado para criar o cluster original. [Edite o ID do cluster](update-keystore.md) nas configurações do armazenamento de chaves personalizado. Para instruções, consulte [Como recuperar materiais de chave excluídos de uma chave do KMS](#fix-keystore-recover-backing-key).
+ O AWS CloudHSM cluster associado ao armazenamento de chaves personalizadas não tinha nenhuma sessão PKCS \$111 disponível. Isso geralmente ocorre durante períodos de alto tráfego de intermitência quando sessões adicionais são necessárias para atender ao tráfego. Para responder a um `KMSInternalException` com uma mensagem de erro sobre as sessões do PKCS \$111, volte e repita a solicitação. 

## Como corrigir uma falha de conexão
<a name="fix-keystore-failed"></a>

Se você tentar [conectar um armazenamento de AWS CloudHSM chaves](connect-keystore.md) ao AWS CloudHSM cluster, mas a operação falhar, o estado da conexão do armazenamento de AWS CloudHSM chaves mudará para`FAILED`. Para encontrar o estado da conexão de um armazenamento de AWS CloudHSM chaves, use o AWS KMS console ou a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação. 

Como alternativa, algumas tentativas de conexão falham rapidamente devido a erros de configuração de cluster facilmente detectados. Nesse caso, o estado da conexão ainda é `DISCONNECTED`. Essas falhas retornar uma mensagem de erro ou [exceção](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) que explica por que a tentativa falhou. Analise a descrição da exceção e [os requisitos do cluster](create-keystore.md#before-keystore), corrija o problema, [atualize o armazenamento de AWS CloudHSM chaves](update-keystore.md), se necessário, e tente se conectar novamente.

Quando o estado da conexão estiver`FAILED`, execute a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação e veja o `ConnectionErrorCode` elemento na resposta.

**nota**  
Quando o estado de conexão de um armazenamento de AWS CloudHSM chaves é`FAILED`, você deve [desconectar o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) antes de tentar reconectá-lo. Você não pode conectar um armazenamento de AWS CloudHSM chaves com um estado de `FAILED` conexão.
+ `CLUSTER_NOT_FOUND`indica que AWS KMS não é possível encontrar um AWS CloudHSM cluster com o ID de cluster especificado. Isso pode ocorrer quando o ID de cluster errado é fornecido para uma operação de API ou o cluster é excluído e não substituído. Para corrigir esse erro, verifique o ID do cluster, por exemplo, usando o AWS CloudHSM console ou a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Se o cluster foi excluído, [crie um cluster a partir de um backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) do original. Em seguida, [desconecte o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md), [edite a AWS CloudHSM configuração de ID do cluster de armazenamento](update-keystore.md) de chaves e [reconecte o armazenamento de AWS CloudHSM chaves](connect-keystore.md) ao cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indica que o AWS CloudHSM cluster associado não contém nenhum HSMs. Para se conectar, o cluster deve ter pelo menos um HSM. Para encontrar o número de HSMs no cluster, use a [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operação. Para corrigir esse erro, [adicione pelo menos um HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) ao cluster. Se você adicionar várias HSMs, é melhor criá-las em diferentes zonas de disponibilidade.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indica que não AWS KMS foi possível conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster porque pelo menos uma [sub-rede privada associada ao cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) não tem nenhum endereço IP disponível. Uma conexão de armazenamento de AWS CloudHSM chaves requer um endereço IP gratuito em cada uma das sub-redes privadas associadas, embora duas sejam preferíveis.

  [Não é possível adicionar endereços IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blocos CIDR) a uma sub-rede existente. Se possível, mova ou exclua outros recursos que estejam usando os endereços IP na sub-rede, como instâncias do EC2 não utilizadas ou interfaces elásticas de rede. Caso contrário, você pode [criar um cluster a partir de um backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) do AWS CloudHSM cluster com sub-redes privadas novas ou existentes que tenham [mais espaço de endereço livre](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing). Em seguida, para associar o novo cluster ao seu armazenamento de AWS CloudHSM chaves, [desconecte o armazenamento de chaves personalizado](disconnect-keystore.md), [altere o ID do cluster](update-keystore.md) do armazenamento de AWS CloudHSM chaves para o ID do novo cluster e tente se conectar novamente.
**dica**  
Para evitar a [redefinição da `kmsuser` senha](#fix-keystore-password), use o backup mais recente do AWS CloudHSM cluster.
+ `INTERNAL_ERROR`indica que não AWS KMS foi possível concluir a solicitação devido a um erro interno. Repetir a solicitação . Para `ConnectCustomKeyStore` solicitações, desconecte o armazenamento de AWS CloudHSM chaves antes de tentar se conectar novamente.
+ `INVALID_CREDENTIALS`indica que AWS KMS não é possível fazer login no AWS CloudHSM cluster associado porque ele não tem a senha correta da `kmsuser` conta. Para obter ajuda com relação a esse erro, consulte [Como corrigir credenciais `kmsuser` inválidas](#fix-keystore-password).
+ `NETWORK_ERRORS` geralmente indica problemas de rede temporários. [Desconecte o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md), aguarde alguns minutos e tente se conectar novamente.
+ `SUBNET_NOT_FOUND`indica que pelo menos uma sub-rede na configuração do AWS CloudHSM cluster foi excluída. Se AWS KMS não conseguir encontrar todas as sub-redes na configuração do cluster, as tentativas de conectar o armazenamento de AWS CloudHSM chaves ao AWS CloudHSM cluster falharão. 

  Para corrigir esse erro, [crie um cluster a partir de um backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) do mesmo AWS CloudHSM cluster. (Esse processo cria uma configuração de cluster com uma VPC e sub-redes privadas.) Verifique se o novo cluster atende aos [requisitos para um armazenamento de chaves personalizado](create-keystore.md#before-keystore) e anote o novo ID do cluster. Em seguida, para associar o novo cluster ao seu armazenamento de AWS CloudHSM chaves, [desconecte o armazenamento de chaves personalizado](disconnect-keystore.md), [altere o ID do cluster](update-keystore.md) do armazenamento de AWS CloudHSM chaves para o ID do novo cluster e tente se conectar novamente.
**dica**  
Para evitar a [redefinição da `kmsuser` senha](#fix-keystore-password), use o backup mais recente do AWS CloudHSM cluster.
+ `USER_LOCKED_OUT` indica que a [conta do usuário de criptografia (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) está bloqueada do cluster do AWS CloudHSM associado devido ao excesso de tentativas de senha com falha. Para obter ajuda com relação a esse erro, consulte [Como corrigir credenciais `kmsuser` inválidas](#fix-keystore-password).

  Para corrigir esse erro, [desconecte o armazenamento de AWS CloudHSM chaves e use o](disconnect-keystore.md) comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) na CLI do CloudHSM para alterar a senha da conta. `kmsuser` [Edite as configurações de senha `kmsuser`](update-keystore.md) do armazenamento de chaves personalizado e tente se conectar novamente. Para obter ajuda, use o procedimento descrito no tópico [Como corrigir credenciais `kmsuser` inválidas](#fix-keystore-password).
+ `USER_LOGGED_IN`indica que a conta da `kmsuser` UC está conectada ao cluster associado AWS CloudHSM . Isso AWS KMS impede a rotação da senha da `kmsuser` conta e o login no cluster. Para corrigir esse erro, registre o CU `kmsuser` fora do cluster. Se você alterou a `kmsuser` senha para fazer login no cluster, também deverá atualizar o valor da senha do armazenamento de chaves para o armazenamento de AWS CloudHSM chaves. Para obter ajuda, consulte [Como fazer logout e se conectar novamente](#login-kmsuser-2).
+ `USER_NOT_FOUND`indica que AWS KMS não é possível encontrar uma conta de `kmsuser` UC no AWS CloudHSM cluster associado. Para corrigir esse erro, [crie uma conta de `kmsuser` UC](create-keystore.md#kmsuser-concept) no cluster e, em seguida, [atualize o valor da senha do armazenamento de chaves](update-keystore.md) para o armazenamento de AWS CloudHSM chaves. Para obter ajuda, consulte [Como corrigir credenciais `kmsuser` inválidas](#fix-keystore-password).

## Como responder a uma falha de operação criptográfica
<a name="fix-keystore-communication"></a>

Uma operação criptográfica que usa uma chave do KMS em um armazenamento de chaves personalizado pode falhar com um `KMSInvalidStateException`. As mensagens de erro a seguir podem acompanhar o `KMSInvalidStateException`.


|  | 
| --- |
| O KMS não pode se comunicar com seu cluster CloudHSM. Pode ser um problema de rede transitório. Se você ver esse erro repetidamente, verifique se as regras de rede ACLs e de grupo de segurança para a VPC do seu AWS CloudHSM cluster estão corretas. | 
+ Embora este seja um erro HTTPS 400, ele pode ser resultante de problemas de rede transitórios. Para responder, comece tentando novamente a solicitação. No entanto, se o erro persistir, examine a configuração dos seus componentes de rede. O erro é causado provavelmente pela configuração incorreta de um componente de rede, como uma regra de firewall ou uma regra de grupo de segurança de VPC que está bloqueando o tráfego de saída. Por exemplo, o KMS não pode se comunicar com AWS CloudHSM clusters over IPv6. Para obter detalhes sobre pré-requisitos, consulte [Crie um armazenamento de AWS CloudHSM chaves](create-keystore.md).


|  | 
| --- |
| O KMS não pode se comunicar com seu AWS CloudHSM cluster porque o kmsuser está bloqueado. Se você ver esse erro repetidamente, desconecte o armazenamento de AWS CloudHSM chaves e redefina a senha da conta kmsuser. Atualize a senha do kmsuser para o armazenamento de chaves personalizado e tente fazer a solicitação novamente. | 
+ Essa mensagem de erro indica que a [conta do usuário de criptografia (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) está bloqueada do cluster do AWS CloudHSM correspondente devido ao excesso de tentativas de senha com falha. Para obter ajuda com relação a esse erro, consulte [Como desconectar e fazer login](#login-kmsuser-1).

## Como corrigir credenciais `kmsuser` inválidas
<a name="fix-keystore-password"></a>

Quando você [conecta um armazenamento de AWS CloudHSM chaves](connect-keystore.md), AWS KMS efetua login no AWS CloudHSM cluster associado como [usuário `kmsuser` criptográfico](keystore-cloudhsm.md#concept-kmsuser) (UC). Ele permanece conectado até que o armazenamento de AWS CloudHSM chaves seja desconectado. A resposta [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) mostra um `ConnectionState` com valor `FAILED` e `ConnectionErrorCode` de `INVALID_CREDENTIALS`, conforme mostrado no exemplo a seguir.

Se você desconectar o armazenamento de AWS CloudHSM chaves e alterar a `kmsuser` senha, AWS KMS não poderá fazer login no AWS CloudHSM cluster com as credenciais da conta da `kmsuser` UC. Como resultado, todas as tentativas de conectar o armazenamento de AWS CloudHSM chaves falham. A resposta `DescribeCustomKeyStores` mostra um `ConnectionState` com valor `FAILED` e `ConnectionErrorCode` de `INVALID_CREDENTIALS`, conforme mostrado no exemplo a seguir.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Além disso, após cinco tentativas malsucedidas de efetuar login no cluster com uma senha incorreta, o AWS CloudHSM bloqueia a conta do usuário. Para efetuar login no cluster, você deve alterar a senha da conta.

Se AWS KMS receber uma resposta de bloqueio ao tentar fazer login no cluster como a `kmsuser` UC, a solicitação para conectar o armazenamento de AWS CloudHSM chaves falhará. A [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta inclui um `ConnectionState` de `FAILED` e um `ConnectionErrorCode` valor de`USER_LOCKED_OUT`, conforme mostrado no exemplo a seguir.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Para corrigir qualquer uma dessas condições, use o procedimento a seguir. 

1. [Desconecte o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md). 

1. Execute a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação e visualize o valor do `ConnectionErrorCode` elemento na resposta. 
   + Se o valor `ConnectionErrorCode` for `INVALID_CREDENTIALS`, determine a senha atual para a conta `kmsuser`. Se necessário, use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) na CLI do CloudHSM para definir a senha com um valor conhecido.
   + Se o valor de `ConnectionErrorCode` for `USER_LOCKED_OUT`, você deverá usar o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) na CLI do CloudHSM para alterar a senha de `kmsuser`.

1. [Edite a configuração de senha `kmsuser`](update-keystore.md) para corresponder à senha `kmsuser` atual no cluster. Essa ação informa ao AWS KMS a senha a ser usada para fazer login no cluster. Ela não altera a senha `kmsuser` no cluster.

1. [Conectar o armazenamento de chaves personalizado](connect-keystore.md)

## Como excluir material de chave órfã
<a name="fix-keystore-orphaned-key"></a>

Depois de programar a exclusão de uma chave KMS de um armazenamento de AWS CloudHSM chaves, talvez seja necessário excluir manualmente o material de chave correspondente do cluster associado. AWS CloudHSM 

Quando você cria uma chave KMS em um armazenamento de AWS CloudHSM chaves, AWS KMS cria os metadados da chave KMS AWS KMS e gera o material da chave no cluster associado. AWS CloudHSM Quando você agenda a exclusão de uma chave KMS em um armazenamento de chaves, após o período de espera, AWS KMS exclui os metadados da AWS CloudHSM chave KMS. Em seguida, AWS KMS faça o possível para excluir o material de chave correspondente do AWS CloudHSM cluster. A tentativa pode falhar se AWS KMS não conseguir acessar o cluster, como quando ele é desconectado do armazenamento de AWS CloudHSM chaves ou quando a `kmsuser` senha é alterada. AWS KMS não tenta excluir o material chave dos backups do cluster.

AWS KMS relata os resultados de sua tentativa de excluir o material chave do cluster na entrada de `DeleteKey` eventos de seus AWS CloudTrail registros. Ela aparece no elemento `backingKeysDeletionStatus` do elemento `additionalEventData`, conforme mostrado na entrada de exemplo a seguir. A entrada também inclui o ARN da chave KMS, AWS CloudHSM o ID do cluster e o ID `backing-key-id` () do material da chave.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Observações**  
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.  
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.

Os procedimentos a seguir demonstram como excluir o material de chave órfã do cluster associado AWS CloudHSM .

1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado, faça [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), conforme explicado em. [Como desconectar e fazer login](#login-kmsuser-1)
**nota**  
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

1. Use o comando [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) na CLI do CloudHSM para excluir a chave HSMs do no cluster.

   Todas as entradas de CloudTrail registro para operação criptográfica com uma chave KMS em um armazenamento de AWS CloudHSM chaves incluem um `additionalEventData` campo com e. `customKeyStoreId` `backingKey` O valor retornado no campo `backingKeyId` é o atributo `id` da chave do CloudHSM. Recomendamos filtrar a operação de **exclusão de chaves** `id` para excluir o material de chave órfã que você identificou em seus registros. CloudTrail 

   AWS CloudHSM reconhece o `backingKeyId` valor como um valor hexadecimal. Para filtrar por `id`, você deve prefixar `backingKeyId` com `Ox`. Por exemplo, se o `backingKeyId` em seu CloudTrail registro for`1a2b3c45678abcdef`, você filtraria por`0x1a2b3c45678abcdef`.

   O exemplo a seguir exclui uma chave do HSMs em seu cluster. O `backing-key-id` está listado na entrada do CloudTrail registro. Antes de executar esse comando, substitua o exemplo de `backing-key-id` por um elemento válido da sua conta.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Saia e reconecte o armazenamento de AWS CloudHSM chaves conforme descrito em[Como fazer logout e se conectar novamente](#login-kmsuser-2).

## Como recuperar materiais de chave excluídos de uma chave do KMS
<a name="fix-keystore-recover-backing-key"></a>

Se o material da chave de um AWS KMS key for excluído, a chave KMS ficará inutilizável e todo o texto cifrado que foi criptografado sob a chave KMS não poderá ser descriptografado. Isso pode acontecer se o material de chave de uma chave KMS em um armazenamento de AWS CloudHSM chaves for excluído do AWS CloudHSM cluster associado. No entanto, há a possibilidade de recuperação do material de chaves.

Quando você cria uma AWS KMS key (chave KMS) em um armazenamento de AWS CloudHSM chaves, AWS KMS efetua login no AWS CloudHSM cluster associado e cria o material de chave para a chave KMS. Ele também altera a senha para um valor que somente ele conhece e permanece conectado enquanto o armazenamento de AWS CloudHSM chaves estiver conectado. Como somente o proprietário da chave, ou seja, a UC que criou a chave, pode excluir a chave, é improvável que a chave seja excluída HSMs acidentalmente. 

No entanto, se o material de chave de uma chave KMS for excluído do HSMs em um cluster, o estado da chave KMS eventualmente mudará para. `UNAVAILABLE` Se você tentar usar a chave do KMS para uma operação de criptografia, ocorrerá falha na operação com uma exceção `KMSInvalidStateException`. E, o que é mais importante, os dados que tiverem sido criptografados com a chave do KMS não poderão ser descriptografados.

Em determinadas circunstâncias, é possível recuperar o material de chaves excluído, [criando um cluster a partir de um backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) que contenha o material de chaves. Essa estratégia funciona somente quando pelo menos um backup foi criado enquanto a chave existia e antes de ter sido excluída. 

Use o processo a seguir para recuperar o material de chaves.

1. Encontre um backup de cluster que contém o material de chaves. O backup também deve conter todos os usuários e chaves de que você precisa para oferecer suporte ao cluster e seus dados criptografados.

   Use a [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operação para listar os backups de um cluster. Use o timestamp do backup para ajudá-lo a selecionar um backup. Para limitar a saída ao cluster associado ao armazenamento de AWS CloudHSM chaves, use o `Filters` parâmetro, conforme mostrado no exemplo a seguir. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Crie um cluster a partir de um backup selecionado](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Verifique se o backup contém a chave excluída e outros usuários e chaves que o cluster requer. 

1. [Desconecte o armazenamento de AWS CloudHSM chaves](disconnect-keystore.md) para poder editar suas propriedades.

1. [Edite o ID do cluster](update-keystore.md) do armazenamento de AWS CloudHSM chaves. Insira o ID do cluster que você criou a partir do backup. Como o cluster compartilha um histórico de backup com o cluster original, o novo ID do cluster deve ser válido. 

1. [Reconecte o armazenamento de AWS CloudHSM chaves](connect-keystore.md).

## Como fazer login como `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Para criar e gerenciar o material de chaves no AWS CloudHSM cluster para seu armazenamento de AWS CloudHSM chaves, AWS KMS use a [conta de usuário `kmsuser` criptográfico (CU)](keystore-cloudhsm.md#concept-kmsuser). Você [cria a conta da `kmsuser` UC](create-keystore.md#before-keystore) em seu cluster e fornece sua senha AWS KMS ao criar seu armazenamento de AWS CloudHSM chaves.

Em geral, AWS KMS gerencia a `kmsuser` conta. No entanto, para algumas tarefas, você precisa desconectar o armazenamento de AWS CloudHSM chaves, fazer login no cluster como `kmsuser` CU e usar a interface de [linha de comando (CLI) do CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).

**nota**  
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Este tópico explica como [desconectar seu armazenamento de AWS CloudHSM chaves e fazer login](#login-kmsuser-1) como`kmsuser`, executar a ferramenta de linha de AWS CloudHSM comando, [sair e reconectar seu armazenamento de AWS CloudHSM chaves](#login-kmsuser-2).

**Topics**
+ [Como desconectar e fazer login](#login-kmsuser-1)
+ [Como fazer logout e se conectar novamente](#login-kmsuser-2)

### Como desconectar e fazer login
<a name="login-kmsuser-1"></a>

Use o procedimento a seguir sempre que precisar fazer login em um cluster associado como o usuário de criptografia `kmsuser`.

**Observações**  
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.  
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.

1. Desconecte o armazenamento de AWS CloudHSM chaves, se ele ainda não estiver desconectado. Você pode usar o AWS KMS console ou a AWS KMS API. 

   Enquanto sua AWS CloudHSM chave está conectada, AWS KMS está logado como o. `kmsuser` Isso evita que você faça login como `kmsuser` ou altere a senha `kmsuser`.

   Por exemplo, esse comando é usado [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)para desconectar um exemplo de armazenamento de chaves. Substitua o exemplo de ID de armazenamento de AWS CloudHSM chaves por um válido.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Use o comando **login** e faça login como administrador. Siga os procedimentos descritos na seção [Using CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) do *Guia do usuário do AWS CloudHSM *.

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) na CLI do CloudHSM para alterar a senha da `kmsuser` conta para uma que você conheça. (AWS KMS gira a senha quando você conecta seu armazenamento de AWS CloudHSM chaves.) A senha deve conter de 7 a 32 caracteres alfanuméricos. Ela diferencia maiúsculas de minúsculas e não pode conter caracteres especiais.

1. Faça login como `kmsuser` usando a senha que você definiu. Para obter instruções detalhadas, consulte a seção [Using CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) do *Guia do usuário do AWS CloudHSM *.

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Como fazer logout e se conectar novamente
<a name="login-kmsuser-2"></a>

Siga o procedimento abaixo sempre que precisar fazer login como o usuário criptográfico `kmsuser` e reconectar seu repositório de chaves.

**Observações**  
Os procedimentos a seguir usam a ferramenta de linha de comando do AWS CloudHSM Client SDK 5, a CLI do [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html). A CLI do CloudHSM substitui `key-handle` por `key-reference`.  
Em 1º de janeiro de 2025, AWS CloudHSM encerrará o suporte às ferramentas de linha de comando do Client SDK 3, ao CloudHSM Management Utility (CMU) e ao Key Management Utility (KMU). Para obter mais informações sobre as diferenças entre as ferramentas de linha de comando do Client SDK 3 e a ferramenta de linha de comando do Client SDK 5, consulte [Migrate from Client SDK 3 CMU and KMU to Client SDK 5 CloudHSM CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) no *Guia do usuário do AWS CloudHSM *.

1. Execute a tarefa e, em seguida, use o comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) na CLI do CloudHSM para sair. Se você não se desconectar, as tentativas de reconectar seu armazenamento de AWS CloudHSM chaves falharão.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Edite a configuração de senha `kmsuser`](update-keystore.md) para o armazenamento de chaves personalizado. 

   Isso informa AWS KMS a senha atual do cluster. `kmsuser` Se você omitir essa etapa, não AWS KMS conseguirá fazer login no cluster como`kmsuser`, e todas as tentativas de reconectar seu armazenamento de chaves personalizadas falharão. Você pode usar o AWS KMS console ou o `KeyStorePassword` parâmetro da [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operação.

   Por exemplo, esse comando informa AWS KMS que a senha atual é`tempPassword`. Substitua a senha de exemplo pela real. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Reconecte o armazenamento de AWS KMS chaves ao AWS CloudHSM cluster. Substitua o exemplo de ID de armazenamento de AWS CloudHSM chaves por um válido. Durante o processo de conexão, AWS KMS altera a `kmsuser` senha para um valor que somente ela conhece.

   A [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operação retorna rapidamente, mas o processo de conexão pode levar um longo período de tempo. A resposta inicial não indica o sucesso do processo de conexão.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Use a [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operação para verificar se o armazenamento de AWS CloudHSM chaves está conectado. Substitua o exemplo de ID de armazenamento de AWS CloudHSM chaves por um válido.

   Neste exemplo, o campo de estado da conexão mostra que o armazenamento de AWS CloudHSM chaves agora está conectado.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```