Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen
Nachdem Sie einen AWS CloudHSM Schlüsselspeicher erstellt haben, können Sie ihn AWS KMS keys in Ihrem Schlüsselspeicher erstellen. Es muss sich um symmetrische KMS Verschlüsselungsschlüssel mit AWS KMS generiertem Schlüsselmaterial handeln. Sie können keine asymmetrischen KMS Schlüssel, Schlüssel oder HMACKMSKMSSchlüssel mit importiertem Schlüsselmaterial in einem benutzerdefinierten Schlüsselspeicher erstellen. Außerdem können Sie in einem benutzerdefinierten Schlüsselspeicher keine symmetrischen KMS Verschlüsselungsschlüssel verwenden, um asymmetrische Datenschlüsselpaare zu generieren.
Um einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen, muss der AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbunden sein und der Cluster muss mindestens zwei aktive Schlüssel HSMs in unterschiedlichen Availability Zones enthalten. Den Verbindungsstatus und die Anzahl der HSMs Verbindungen finden Sie auf der Seite mit den AWS CloudHSM Schlüsselspeichern in der AWS Management Console. Wenn Sie die API Operationen verwenden, verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Verwenden Sie den AWS CloudHSM DescribeClustersVorgang, um die Anzahl der aktiven Benutzer HSMs im Cluster und deren Availability Zones zu überprüfen.
Wenn Sie einen KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS wird der KMS Schlüssel in erstellt AWS KMS. Es erstellt jedoch das Schlüsselmaterial für den KMS Schlüssel im zugehörigen AWS CloudHSM Cluster. Meldet AWS KMS sich insbesondere als die von Ihnen erstellte kmsuser CU beim Cluster an. Anschließend wird ein persistenter, nicht extrahierbarer symmetrischer 256-Bit-Advanced Encryption Standard (AES) -Schlüssel im Cluster erstellt. AWS KMS setzt den Wert des Schlüssel-Label-Attributs, das nur im Cluster sichtbar ist, auf Amazon Resource Name (ARN) des KMS Schlüssels.
Wenn der Befehl erfolgreich ist, lautet der Schlüsselstatus des neuen KMS Schlüssels Enabled
und sein Ursprung istAWS_CLOUDHSM
. Sie können den Ursprung eines KMS Schlüssels nicht mehr ändern, nachdem Sie ihn erstellt haben. Wenn Sie einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe der DescribeKeyOperation anzeigen, können Sie typische Eigenschaften wie die Schlüssel-ID, den Schlüsselstatus und das Erstellungsdatum sehen. Daneben können Sie aber auch die ID des benutzerdefinierten Schlüsselspeichers sowie (optional) die AWS CloudHSM
-Cluster-ID.
Wenn Ihr Versuch, einen KMS Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher zu erstellen, fehlschlägt, können Sie anhand der Fehlermeldung die Ursache ermitteln. Dies kann darauf hindeuten, dass der AWS CloudHSM Schlüsselspeicher nicht verbunden ist (CustomKeyStoreInvalidStateException
) oder HSMs dass der zugehörige AWS CloudHSM Cluster nicht über die beiden aktiven Schlüssel verfügt, die für diesen Vorgang erforderlich sind (CloudHsmClusterInvalidConfigurationException
). Weitere Informationen dazu finden Sie unter Fehlerbehebung für einen Custom Key Store.
Ein Beispiel für das AWS CloudTrail Protokoll des Vorgangs, bei dem ein KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellt wird, finden Sie unterCreateKey.
Erstellen Sie einen neuen KMS Schlüssel in Ihrem HSM Cloud-Schlüsselspeicher
Sie können einen symmetrischen KMS Verschlüsselungsschlüssel in Ihrem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des CreateKeyVorgangs erstellen.
Gehen Sie wie folgt vor, um einen symmetrischen KMS Verschlüsselungsschlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen.
Anmerkung
Nehmen Sie keine vertraulichen oder sensiblen Informationen in den Alias, in der Beschreibung oder in den Tags auf. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben als Klartext erscheinen.
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
-
Klicken Sie im Navigationsbereich auf Kundenverwaltete Schlüssel.
-
Klicken Sie auf Create key.
-
Wählen Sie Symmetric (Symmetrisch).
-
Unter Key usage (Schlüsselverwendung) ist die Option Encrypt and decrypt (Verschlüsseln und Entschlüsseln) für Sie ausgewählt. Ändern Sie dies nicht.
-
Wählen Sie Advanced options (Erweiterte Optionen) aus.
-
Wählen Sie unter Ursprung des Schlüsselmaterials die Option AWS CloudHSM -Schlüsselspeicher aus.
Sie können keinen Schlüssel für mehrere Regionen in einem Schlüsselspeicher erstellen. AWS CloudHSM
-
Wählen Sie Weiter.
-
Wählen Sie einen AWS CloudHSM Schlüsselspeicher für Ihren neuen KMS Schlüssel aus. Um einen neuen AWS CloudHSM Schlüsselspeicher zu erstellen, wählen Sie Benutzerdefinierten Schlüsselspeicher erstellen.
Der AWS CloudHSM Schlüsselspeicher, den Sie auswählen, muss den Status Verbunden haben. Der zugehörige AWS CloudHSM Cluster muss aktiv sein und mindestens zwei aktive Cluster HSMs in unterschiedlichen Availability Zones enthalten.
Hilfe zum Herstellen einer Verbindung mit einem AWS CloudHSM Schlüsselspeicher finden Sie unterVerbindung zu einem AWS CloudHSM Schlüsselspeicher trennen. Hilfe zum Hinzufügen HSMs finden Sie unter Hinzufügen eines HSM im AWS CloudHSM Benutzerhandbuch.
-
Wählen Sie Weiter.
-
Geben Sie einen Alias und optional eine Beschreibung für den KMS Schlüssel ein.
-
(Optional). Fügen Sie auf der Seite „Tags hinzufügen“ Tags hinzu, die Ihren KMS Schlüssel identifizieren oder kategorisieren.
Wenn Sie Ihren AWS Ressourcen Tags hinzufügen, AWS wird ein Kostenverteilungsbericht generiert, in dem die Nutzung und die Kosten nach Stichwörtern zusammengefasst sind. Tags können auch verwendet werden, um den Zugriff auf einen KMS Schlüssel zu kontrollieren. Hinweise zum Markieren von KMS Schlüsseln finden Sie unter Schlagworte in AWS KMS undABACfür AWS KMS.
-
Wählen Sie Weiter.
-
Wählen Sie im Abschnitt Schlüsseladministratoren die IAM Benutzer und Rollen aus, die den KMS Schlüssel verwalten können. Weitere Informationen finden Sie unter Ermöglicht Schlüsseladministratoren die Verwaltung des KMS Schlüssels.
Anmerkung
IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
-
(Optional) Um zu verhindern, dass diese Schlüsseladministratoren diesen KMS Schlüssel löschen, deaktivieren Sie das Kästchen unten auf der Seite für Schlüsseladministratoren das Löschen dieses Schlüssels zulassen.
-
Wählen Sie Weiter.
-
Wählen Sie im Abschnitt Dieses Konto die IAM Benutzer und Rollen aus AWS-Konto , die den KMS Schlüssel für kryptografische Operationen verwenden können. Weitere Informationen finden Sie unter Ermöglicht Schlüsselbenutzern die Verwendung des KMS Schlüssels.
Anmerkung
IAMRichtlinien können anderen IAM Benutzern und Rollen die Erlaubnis geben, den KMS Schlüssel zu verwenden.
IAMbewährte Verfahren raten von der Verwendung von IAM Benutzern mit langfristigen Anmeldeinformationen ab. Verwenden Sie nach Möglichkeit IAM Rollen, die temporäre Anmeldeinformationen bereitstellen. Einzelheiten finden Sie unter Bewährte Sicherheitsmethoden IAM im IAM Benutzerhandbuch.
-
(Optional) Sie können anderen erlauben, diesen KMS Schlüssel für kryptografische Operationen AWS-Konten zu verwenden. Wählen Sie dazu unten auf der Seite im AWS-Konten Abschnitt Andere die Option Weiteres hinzufügen aus AWS-Konto und geben Sie die AWS-Konto ID eines externen Kontos ein. Wiederholen Sie diesen Schritt, um weitere externe Konten hinzufügen.
Anmerkung
Administratoren der anderen AWS-Konten müssen ebenfalls den Zugriff auf den KMS Schlüssel ermöglichen, indem sie IAM Richtlinien für ihre Benutzer erstellen. Weitere Informationen finden Sie unter Benutzern mit anderen Konten die Verwendung eines KMS Schlüssels ermöglichen.
-
Wählen Sie Weiter.
-
Überprüfen Sie die gewählten Einstellungen. Sie können immer noch zurückgehen und alle Einstellungen ändern.
-
Wählen Sie danach Finish (Fertigstellen) aus.
Wenn das Verfahren erfolgreich ist, zeigt das Display den neuen KMS Schlüssel in dem ausgewählten AWS CloudHSM Schlüsselspeicher an. Wenn Sie den Namen oder Alias des neuen KMS Schlüssels wählen, zeigt die Registerkarte Kryptografische Konfiguration auf der zugehörigen Detailseite den Ursprung des KMS Schlüssels (AWS CloudHSM), den Namen, die ID und den Typ des benutzerdefinierten Schlüsselspeichers sowie die ID des AWS CloudHSM Clusters an. Wenn der Vorgang fehlschlägt, wird unter eine Fehlermeldung mit einer Beschreibung des Fehlers angezeigt.
Tipp
Um die Identifizierung von KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher zu erleichtern, fügen Sie auf der Seite Vom Kunden verwaltete Schlüssel die Spalte ID des benutzerdefinierten Schlüsselspeichers zur Anzeige hinzu. Klicken Sie auf das Zahnradsymbol rechts oben und wählen Sie dann Custom key store ID (ID des benutzerdefinierten Schlüsselspeichers) aus. Details hierzu finden Sie unter Passen Sie Ihre Konsolenansicht an.
Verwenden Sie die CreateKeyOperation, um einen neuen AWS KMS key (KMS AWS CloudHSM
Schlüssel) in Ihrem Schlüsselspeicher zu erstellen. Verwenden Sie den Parameter CustomKeyStoreId
, um den benutzerdefinierten Schlüsselspeicher zu identifizieren und den Origin
-Wert auf AWS_CLOUDHSM
festzulegen.
Gegebenenfalls können Sie auch mit dem Parameter Policy
eine Schlüsselrichtlinie angeben. Sie können die Schlüsselrichtlinie (PutKeyPolicy) jederzeit ändern und optionale Elemente wie eine Beschreibung und Tags hinzufügen.
Für diese Beispiele wird die AWS Command Line Interface
(AWS CLI)
Das folgende Beispiel beginnt mit einem Aufruf des DescribeCustomKeyStoresVorgangs, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbunden ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Um nur einen bestimmten AWS CloudHSM Schlüsselspeicher zu beschreiben, verwenden Sie dessen CustomKeyStoreName
Parameter CustomKeyStoreId
oder (aber nicht beide).
Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.
Anmerkung
Geben Sie keine vertraulichen oder sensiblen Informationen in die Felder Description
oder Tags
ein. Diese Felder können in CloudTrail Protokollen und anderen Ausgaben im Klartext vorkommen.
$
aws kms describe-custom-key-stores --custom-key-store-id
cks-1234567890abcdef0
{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS CloudHSM key store", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
Der nächste Beispielbefehl verwendet den DescribeClustersVorgang, um zu überprüfen, ob der AWS CloudHSM Cluster, der dem ExampleKeyStore
(cluster-1a23b4cdefg) zugeordnet ist, mindestens zwei aktive Cluster hat. HSMs Wenn der Cluster weniger als zwei hat, schlägt der Vorgang fehl. HSMs CreateKey
$
aws cloudhsmv2 describe-clusters
{ "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }
In diesem Beispielbefehl wird der CreateKeyVorgang verwendet, um einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen. Um einen KMS Schlüssel in einem AWS CloudHSM Schlüsselspeicher zu erstellen, müssen Sie die benutzerdefinierte Schlüsselspeicher-ID des AWS CloudHSM Schlüsselspeichers und den Origin
Wert angebenAWS_CLOUDHSM
.
Die Antwort umfasst die IDs des benutzerdefinierten Schlüsselspeichers und des AWS CloudHSM Clusters.
Wenn Sie diesen Befehl ausführen, denken Sie daran, die ID des benutzerdefinierten Schlüsselspeichers in dem Beispiel durch eine gültige ID zu ersetzen.
$
aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id
cks-1234567890abcdef0
{ "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "MultiRegion": false, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }