Crea un AWS CloudHSM almacén de claves - AWS Key Management Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crea un AWS CloudHSM almacén de claves

Puede crear uno o varios AWS CloudHSM tiendas clave de tu cuenta. Cada uno AWS CloudHSM el almacén de claves está asociado a uno AWS CloudHSM agrupar en el mismo Cuenta de AWS y región. Antes de crear su AWS CloudHSM almacén de claves, debe reunir los requisitos previos. Luego, antes de que pueda usar su AWS CloudHSM almacén de claves, debe conectarlo a su AWS CloudHSM clúster.

nota

Si intenta crear un AWS CloudHSM almacén de claves con todos los mismos valores de propiedad que un desconectado existente AWS CloudHSM almacén de claves, AWS KMS no crea un nuevo AWS CloudHSM almacén de claves y no genera ninguna excepción ni muestra ningún error. En cambio, AWS KMS reconoce el duplicado como la consecuencia probable de un reintento y devuelve el identificador del existente AWS CloudHSM almacén de claves.

sugerencia

No tiene que conectar su AWS CloudHSM almacene las llaves inmediatamente. Puede dejarlo desconectado hasta que lo necesite. Sin embargo, para comprobar que se ha configurado correctamente, debería conectarlo, ver su estado de conexión y, a continuación, desconectarlo.

Cumplir los requisitos previos

Cada uno AWS CloudHSM la tienda de claves está respaldada por un AWS CloudHSM clúster. Para crear un AWS CloudHSM almacén de claves, debe especificar un activo AWS CloudHSM clúster que aún no está asociado a otro almacén de claves. También necesitas crear un usuario criptográfico (CU) dedicado en el clúster HSMs que AWS KMS se puede utilizar para crear y gestionar claves en tu nombre.

Antes de crear un AWS CloudHSM almacén de claves, haga lo siguiente:

Seleccione un AWS CloudHSM Clúster

Cada AWS CloudHSM el almacén de claves está asociado exactamente a uno AWS CloudHSM clúster. Al crear un AWS KMS keysen tu AWS CloudHSM tienda de llaves, AWS KMS crea los metadatos KMS clave, como un ID y un nombre de recurso de Amazon (ARN) en AWS KMS. A continuación, crea el material clave en HSMs el clúster asociado. Puede crear una nueva AWS CloudHSMagrupar o utilizar uno existente. AWS KMS no requiere acceso exclusivo al clúster.

La AWS CloudHSM el clúster que seleccione está asociado permanentemente al AWS CloudHSM almacén de claves. Después de crear el AWS CloudHSM el almacén de claves, puede cambiar el ID de clúster del clúster asociado, pero el clúster que especifique debe compartir un historial de respaldo con el clúster original. Para usar un clúster no relacionado, debes crear uno nuevo AWS CloudHSM almacén de claves.

La AWS CloudHSM el clúster que seleccione debe tener las siguientes características:

  • El clúster debe estar activo.

    Debe crear el clúster, inicializarlo e instalar el AWS CloudHSM el software de cliente para su plataforma y, a continuación, activar el clúster. Para obtener instrucciones detalladas, consulte Cómo empezar con AWS CloudHSM en la AWS CloudHSM Guía del usuario.

  • El clúster debe estar en la misma cuenta y región que el AWS CloudHSM almacén de claves. No puede asociar un AWS CloudHSM almacén de claves de una región con un clúster de otra región. Para crear una infraestructura clave en varias regiones, debe crear AWS CloudHSM almacenes y clústeres clave en cada región.

  • El clúster no puede estar asociado con otro almacén de claves personalizado en la misma cuenta y región. Cada uno AWS CloudHSM el almacén de claves de la cuenta y la región debe estar asociado a otro AWS CloudHSM clúster. No puede especificar un clúster que ya esté asociado a un almacén de claves personalizado o a un clúster que comparte historial de copias de seguridad con un clúster asociado. Los clústers que comparten un historial de copias de seguridad deben tener el mismo certificado del clúster. Para ver el certificado de clúster de un clúster, utilice la AWS CloudHSM la consola o la DescribeClustersoperación.

    Si haces una copia de seguridad de un AWS CloudHSM agrupar en una región diferente, se considera un clúster diferente y puede asociar la copia de seguridad a un almacén de claves personalizado en esa región. Sin embargo, KMS las claves de los dos almacenes de claves personalizados no son interoperables, incluso si tienen la misma clave de respaldo. AWS KMS vincula los metadatos al texto cifrado para que solo se puedan descifrar con la KMS clave que los cifró.

  • El clúster debe configurarse con subredes privadas en al menos dos zonas de disponibilidad de la región. Porque AWS CloudHSM no es compatible con todas las zonas de disponibilidad, le recomendamos que cree subredes privadas en todas las zonas de disponibilidad de la región. No puede volver a configurar las subredes para un clúster existente, pero puede crear un clúster a partir de una copia de seguridad con subredes distintas en la configuración del clúster.

    importante

    Después de crear su AWS CloudHSM almacén de claves, no elimine ninguna de las subredes privadas configuradas para su AWS CloudHSM clúster. Si AWS KMS no puede encontrar todas las subredes de la configuración del clúster, los intentos de conexión al almacén de claves personalizado fallan y se produce un estado de error de SUBNET_NOT_FOUND conexión. Para obtener más información, consulte Cómo arreglar un error de conexión.

  • El grupo de seguridad del clúster (cloudhsm-cluster-<cluster-id>-sg) debe incluir reglas de entrada y reglas de salida que permitan el TCP tráfico en los puertos 2223-2225. El origen de las reglas de entrada y el destino de las reglas de salida deben coincidir con el ID del grupo de seguridad. Estas reglas se establecen de forma predeterminada al crear el clúster. No las elimine ni las cambie.

  • El clúster debe contener al menos dos activos HSMs en distintas zonas de disponibilidad. Para comprobar el número deHSMs, utilice la AWS CloudHSM consola o la DescribeClustersoperación. Si es necesario, puede añadir un HSM.

Buscar el certificado de anclaje de confianza

Al crear un almacén de claves personalizado, debe cargar el certificado de anclaje de confianza del AWS CloudHSM agruparse en AWS KMS. AWS KMS necesita el certificado de anclaje de confianza para conectar el AWS CloudHSM almacén de claves a su asociado AWS CloudHSM clúster.

Cada activo AWS CloudHSM el clúster tiene un certificado de anclaje de confianza. Al inicializar el clúster, se genera el certificado. Guárdelo en el archivo customerCA.crt y cópielo en alojamientos que se conecten con el clúster.

Cree el usuario kmsuser criptográfico para AWS KMS

Para administrar su AWS CloudHSM almacén de claves, AWS KMS inicia sesión en la cuenta de usuario kmsuser criptográfico (CU) del clúster seleccionado. Antes de crear tu AWS CloudHSM almacén de claves, debe crear la kmsuser CU. Luego, cuando cree su AWS CloudHSM almacén de claves, usted proporciona la contraseña kmsuser para AWS KMS. Siempre que conectes el AWS CloudHSM almacén de claves a su asociado AWS CloudHSM clúster, AWS KMS inicia sesión como kmsuser y rota la contraseña kmsuser

importante

No especifique la opción 2FA al crear el CU kmsuser. Si lo haces, AWS KMS no puede iniciar sesión y su AWS CloudHSM el almacén de claves no se puede conectar a este AWS CloudHSM clúster. Después de especificar 2FA, ya no podrá deshacer dicha acción. En su lugar, deberá eliminar el CU y crearlo de nuevo.

Notas

Los siguientes procedimientos utilizan el AWS CloudHSM Herramienta de línea de comandos Client SDK 5, Cloud HSM CLI. La nube HSM CLI key-handle reemplaza porkey-reference.

El 1 de enero de 2025, AWS CloudHSM dejará de ser compatible con las herramientas de línea de comandos Client SDK 3, la utilidad HSM de administración de la nube (CMU) y la utilidad de administración de claves (KMU). Para obtener más información sobre las diferencias entre las herramientas de línea de comandos del Cliente SDK 3 y la herramienta de línea de comandos del Cliente SDK 5, consulte Migración del Cliente SDK 3 CMU KMU al Cliente SDK 5 HSM CLI en la AWS CloudHSM Guía del usuario.

  1. Siga los procedimientos de introducción descritos en el tema Introducción a la interfaz de línea de HSM comandos (CLI) de la AWS CloudHSM Guía del usuario.

  2. Utilice el comando user create para crear una CU con el nombrekmsuser.

    La contraseña debe contener entre 7 y 32 caracteres alfanuméricos, distingue entre mayúsculas y minúsculas, y no puede tener caracteres especiales.

    El siguiente comando de ejemplo crea una kmsuser CU.

    aws-cloudhsm > user create --username kmsuser --role crypto-user Enter password: Confirm password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }

Cree un AWS CloudHSM almacén de claves (consola)

Al crear un AWS CloudHSM almacén de claves en el AWS Management Console, puede añadir y crear los requisitos previos como parte de su flujo de trabajo. Sin embargo, el proceso es más rápido si los compila previamente.

  1. Inicie sesión en el AWS Management Console y abre el AWS Key Management Service (AWS KMS) consola en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el selector de regiones situado en la esquina superior derecha de la página.

  3. En el panel de navegación, selecciona Almacenes de claves personalizados, AWS CloudHSM almacenes de claves.

  4. Seleccione Crear un almacén de claves.

  5. Escriba un nombre fácil de recordar para el almacén de claves personalizado. El nombre debe ser único entre todos los almacenes de claves personalizados de su cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

  6. Seleccione un AWS CloudHSM clúster para el AWS CloudHSM almacén de claves. O bien, para crear una nueva AWS CloudHSM clúster, elija Crear un AWS CloudHSM enlace de clúster.

    El menú muestra el AWS CloudHSM clústeres en su cuenta y región que aún no están asociados a un AWS CloudHSM almacén de claves. El clúster debe cumplir los requisitos de asociación con un almacén de claves personalizado.

  7. Seleccione Elegir archivo y, a continuación, cargue el certificado de anclaje de confianza para el AWS CloudHSM clúster que haya elegido. Este es el archivo customerCA.crt que creó al inicializar el clúster.

  8. Escriba la contraseña del kmsuser usuario de criptografía (CU) que creó en el clúster seleccionado.

  9. Seleccione Crear.

Cuando el procedimiento se realiza correctamente, el nuevo AWS CloudHSM el almacén de claves aparece en la lista de AWS CloudHSM almacenes de claves en la cuenta y la región. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.

Si intentas crear un AWS CloudHSM almacén de claves con todos los mismos valores de propiedad que un desconectado existente AWS CloudHSM almacén de claves, AWS KMS no crea un nuevo AWS CloudHSM almacén de claves y no genera ninguna excepción ni muestra ningún error. En cambio, AWS KMS reconoce el duplicado como la consecuencia probable de un reintento y devuelve el identificador del existente AWS CloudHSM almacén de claves.

Siguiente: Nuevo AWS CloudHSM los almacenes de claves no se conectan automáticamente. Antes de poder crear AWS KMS keys en el AWS CloudHSM almacén de claves, debe conectar el almacén de claves personalizado al asociado AWS CloudHSM clúster.

Cree un AWS CloudHSM almacén de claves (API)

Puede utilizar la CreateCustomKeyStoreoperación para crear una nueva AWS CloudHSM almacén de claves asociado a un AWS CloudHSM agrupar en la cuenta y la región. En estos ejemplos se utiliza el AWS Command Line Interface (AWS CLI), pero puede utilizar cualquier lenguaje de programación compatible.

La operación CreateCustomKeyStore requiere los siguientes valores de parámetro.

  • CustomKeyStoreName — Un nombre descriptivo para el almacén de claves personalizadas que es único en la cuenta.

    importante

    No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.

  • CloudHsmClusterId — El ID de clúster de un AWS CloudHSM clúster que cumple los requisitos de un AWS CloudHSM almacén de claves.

  • KeyStorePassword — La contraseña de la cuenta kmsuser CU en el clúster especificado.

  • TrustAnchorCertificate — El contenido del customerCA.crt archivo que creó al inicializar el clúster.

En el siguiente ejemplo se usa un ID de clúster ficticio. Antes de ejecutar el comando, reemplácelo por un ID de clúster válido.

$ aws kms create-custom-key-store --custom-key-store-name ExampleCloudHSMKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate <certificate-goes-here>

Si está utilizando el AWS CLI, puede especificar el archivo del certificado de anclaje de confianza, en lugar de su contenido. En el siguiente ejemplo, el archivo customerCA.crt se encuentra en el directorio raíz.

$ aws kms create-custom-key-store --custom-key-store-name ExampleCloudHSMKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate file://customerCA.crt

Si la operación se ejecuta correctamente, CreateCustomKeyStore devolverá el ID del almacén de claves personalizado, tal y como se muestra en la siguiente respuesta de ejemplo.

{ "CustomKeyStoreId": cks-1234567890abcdef0 }

Si la operación falla, corrija el error que indica la excepción e inténtelo de nuevo. Para obtener ayuda adicional, consulte Resolver problemas de un almacén de claves personalizado.

Si intenta crear un AWS CloudHSM almacén de claves con todos los mismos valores de propiedad que un desconectado existente AWS CloudHSM almacén de claves, AWS KMS no crea un nuevo AWS CloudHSM almacén de claves y no genera ninguna excepción ni muestra ningún error. En cambio, AWS KMS reconoce el duplicado como la consecuencia probable de un reintento y devuelve el identificador del existente AWS CloudHSM almacén de claves.

Siguiente: Para usar el AWS CloudHSM almacén de claves, conéctelo a su AWS CloudHSM clúster.