Conectar y desconectar un almacén de claves de AWS CloudHSM - AWS Key Management Service
Conectar un almacén de claves de AWS CloudHSMDesconectar un almacén de claves de AWS CloudHSMConectar un almacén de claves de AWS CloudHSM (consola)Conectar un almacén de claves personalizado (API)Desconectar un almacén de claves de AWS CloudHSM (consola)Desconectar un almacén de claves de AWS CloudHSM (API)

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conectar y desconectar un almacén de claves de AWS CloudHSM

Los nuevos almacenes de claves de AWS CloudHSM no están conectados. Antes de crear y utilizar AWS KMS keys en el almacén de claves de AWS CloudHSM, debe conectarlo a su clúster de AWS CloudHSM asociado. Puede conectar y desconectar su almacén de claves de AWS CloudHSM en cualquier momento y ver su estado de conexión.

No es obligatorio conectar el almacén de claves de AWS CloudHSM. Puede dejar un almacén de claves de AWS CloudHSM desconectado de forma indefinida y conectarlo únicamente cuando tenga que usarlo. Sin embargo, le recomendamos que compruebe la conexión de forma periódica para verificar que la configuración es correcta y que se puede conectar.

nota

Los almacenes de claves de AWS CloudHSM tienen un estado de conexión DISCONNECTED solo cuando el almacén de claves nunca se ha conectado o lo desconecta explícitamente. Si el estado de conexión del almacén de claves de AWS CloudHSM es CONNECTED, pero tiene problemas para usarlo, asegúrese de que su clúster de AWS CloudHSM asociado está activo y contiene al menos un HSM activo. Si desea ayuda con las conexiones que dan error, consulte Resolver problemas de un almacén de claves personalizado.

Conectar un almacén de claves de AWS CloudHSM

Al conectar un almacén de claves de AWS CloudHSM, AWS KMS busca el clúster de AWS CloudHSM asociado, lo conecta al clúster, inicia sesión en el cliente de AWS CloudHSM como usuario de criptografía kmsuser (CU) y rota la contraseña kmsuser. AWS KMS mantiene iniciada la sesión en el cliente de AWS CloudHSM siempre y cuando el almacén de claves de AWS CloudHSM esté conectado.

Para establecer la conexión, AWS KMS crea un grupo de seguridad llamado kms-<custom key store ID> en la nube virtual privada (VPC) del clúster. El grupo de seguridad tiene una única regla que permite el tráfico de entrada desde el grupo de seguridad del clúster. AWS KMS también crea una interfaz de red elástica (ENI) en cada zona de disponibilidad de la subred privada para el clúster. AWS KMS agrega las ENI al grupo de seguridad kms-<cluster ID> y al grupo de seguridad del clúster. La descripción de cada ENI es KMS managed ENI for cluster <cluster-ID>.

El proceso de conexión puede tardar bastante en completarse, unos 20 minutos.

Antes de conectar el almacén de claves de AWS CloudHSM, compruebe que cumple los requisitos.

  • Su clúster de AWS CloudHSM asociado debe incluir al menos un HSM activo. Para encontrar el número de HSM en el clúster, visualice el clúster en la AWS CloudHSM consola o utilice la DescribeClustersoperación. Si es necesario, puede agregar un HSM.

  • El clúster debe tener una cuenta de usuario de criptografía kmsuser (CU), pero ese CU no se puede registrar en el clúster cuando conecta el almacén de claves de AWS CloudHSM. Para obtener ayuda con el cierre de sesión, consulte Cómo cerrar sesión y volver a conectar.

  • El estado de conexión del almacén de claves de AWS CloudHSM no puede ser DISCONNECTING ni FAILED. Para ver el estado de la conexión, utilice la AWS KMS consola o la DescribeCustomKeyStoresrespuesta. Si el estado de conexión es FAILED, desconecte el almacén de claves personalizado, resuelva el problema y conéctelo de nuevo.

Si desea ayuda con las conexiones que dan error, consulte Cómo arreglar un error de conexión.

Cuando el almacén de claves de AWS CloudHSM esté conectado, puede crear las claves de KMS en él y usar las claves de KMS existentes en operaciones criptográficas.

Desconectar un almacén de claves de AWS CloudHSM

Al desconectar un almacén de claves de AWS CloudHSM, AWS KMS cierra sesión en el cliente de AWS CloudHSM, se desconecta del clúster de AWS CloudHSM asociado y elimina la infraestructura de red creada para respaldar la conexión.

Mientras un almacén de claves de AWS CloudHSM esté desconectado, podrá administrar el almacén de claves de AWS CloudHSM y sus claves de KMS, pero no podrá crear ni usar las claves de KMS en el almacén de claves de AWS CloudHSM. El estado de conexión del almacén de claves es DISCONNECTED y el estado de clave de las claves de KMS en el almacén de claves personalizado es Unavailable, a menos que sean PendingDeletion. Puede volver a conectar el almacén de claves de AWS CloudHSM en cualquier momento.

Al desconectar un almacén de claves personalizado, las claves de KMS del almacén de claves quedan inutilizables de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más detalles, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

nota

Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.

Para realizar una mejor estimación del efecto de desconectar el almacén de claves personalizado, identifique las claves de KMS en el almacén de claves personalizado y determine su uso en el pasado.

Puede desconectar el almacén de claves de AWS CloudHSM por los siguientes motivos:

  • Para rotar la contraseña kmsuser. AWS KMS cambia la contraseña de kmsuser cada vez que se conecta al clúster de AWS CloudHSM. Para forzar la rotación de contraseñas, desconecte y vuelva a conectar.

  • Para auditar el material de claves para las claves KMS en el clúster de AWS CloudHSM. Al desconectar el almacén de claves personalizado, AWS KMS cierra la sesión de la cuenta del kmsuser usuario de criptografía en el cliente de AWS CloudHSM. Esto le permite iniciar sesión en el clúster con el CU kmsuser y auditar y administrar el material de claves para la clave KMS.

  • Para desactivar de inmediato todas las claves de KMS en un almacén de claves de AWS CloudHSM Puede deshabilitar y volver a habilitar las claves KMS en un almacén de AWS CloudHSM claves mediante la DisableKeyoperación AWS Management Console o. Estas operaciones se completan rápidamente, pero actúan en una clave KMS cada vez. La desconexión inmediata del almacén de claves de AWS CloudHSM cambia el estado de clave de todas las claves de KMS del almacén de claves de AWS CloudHSM a Unavailable, lo que evita que se utilicen en operaciones criptográficas.

  • Para reparar un error en la conexión. Si el intento de conexión al almacén de claves de AWS CloudHSM falla (el estado de la conexión del almacén de claves personalizado es FAILED), deberá desconectar el almacén de claves de AWS CloudHSM antes de intentar conectarlo de nuevo.

Conectar un almacén de claves de AWS CloudHSM (consola)

Para conectar un almacén de claves de AWS CloudHSM en la AWS Management Console, primero deberá seleccionar el almacén de datos de AWS CloudHSM en la página Custom key stores (Almacenes de claves personalizados). El proceso de conexión puede tardar hasta 20 minutos en completarse.

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Almacenes de claves personalizados, Almacenes de claves de AWS CloudHSM.

  4. Elija la fila del almacén de claves de AWS CloudHSM que quiere conectar.

    Si el estado de conexión del almacén de AWS CloudHSM claves es Fallido, debe desconectar el almacén de claves personalizado antes de conectarlo.

  5. En el menú Key store actions (Acciones del almacén de claves), seleccione Connect (Conectar).

AWS KMS empieza el proceso de conexión del almacén de claves personalizado. Encuentra el clúster del AWS CloudHSM asociado, genera la infraestructura de red necesaria, se conecta a él, inicia sesión en el clúster de AWS CloudHSM con el CU kmsuser y rota la contraseña kmsuser. Cuando se complete la operación, el estado de la conexión cambiará a Conectado.

Si la operación falla, aparecerá un mensaje de error que describe el motivo del error. Antes de intentar conectarse de nuevo, vea el estado de conexión del almacén de claves de AWS CloudHSM. Si se produce un error, debe desconectar el almacén de claves personalizado antes de volver a conectarlo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.

Siguiente: Crear claves de KMS en un almacén de claves de AWS CloudHSM.

Conectar un almacén de claves personalizado (API)

Para conectar un almacén de AWS CloudHSM claves desconectado, utilice la ConnectCustomKeyStoreoperación. El clúster de AWS CloudHSM asociado debe incluir al menos un HSM activo y su estado de conexión no puede ser FAILED.

El proceso de conexión puede tardar bastante en completarse, unos 20 minutos. A menos que el error sea rápido, la operación devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar el estado de conexión del almacén de claves personalizado, consulte la DescribeCustomKeyStoresrespuesta.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Para identificar el almacén de claves de AWS CloudHSM, use el ID del almacén de claves personalizado. Puede encontrar el ID en la página de almacenes de claves personalizados de la consola o mediante la DescribeCustomKeyStoresoperación sin parámetros. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para comprobar que el almacén de AWS CloudHSM claves está conectado, utilice la DescribeCustomKeyStoresoperación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor ConnectionState de CONNECTED indica que el almacén de claves personalizado está conectado a su clúster de AWS CloudHSM.

nota

El campo CustomKeyStoreType se agregó a la respuesta DescribeCustomKeyStores para distinguir los almacenes de claves de AWS CloudHSM de los almacenes de claves externos.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Si el valor ConnectionState da error, el elemento ConnectionErrorCode indicará el motivo del error. En este caso, AWS KMS no ha encontrado ningún clúster de AWS CloudHSM en la cuenta con el ID de clúster cluster-1a23b4cdefg. Si ha eliminado el clúster, puede restaurarlo a partir de una copia de seguridad del clúster original y, a continuación, editar el ID del clúster para el almacén de claves personalizado. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte Cómo arreglar un error de conexión.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

Siguiente: Crear claves de KMS en un almacén de claves de AWS CloudHSM.

Desconectar un almacén de claves de AWS CloudHSM (consola)

Para desconectar un almacén de claves de AWS CloudHSM conectado en la AWS Management Console, primero deberá seleccionar el almacén de claves de AWS CloudHSM en la página Custom Key Stores (Almacenes de claves personalizados).

  1. Inicie sesión en la AWS Management Console y abra la consola de AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms.

  2. Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Almacenes de claves personalizados, Almacenes de claves de AWS CloudHSM.

  4. Elija la fila del almacén de claves externo que desee desconectar.

  5. En el menú Key store actions (Acciones del almacén de claves), seleccione Disconnect (Desconectar).

Cuando se complete la operación, el estado de la conexión cambiará de Desconectada a Desconectada. Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.

Desconectar un almacén de claves de AWS CloudHSM (API)

Para desconectar un almacén de AWS CloudHSM claves conectado, utilice la DisconnectCustomKeyStoreoperación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

Este ejemplo desconecta un almacén de claves de AWS CloudHSM. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para comprobar que el almacén de AWS CloudHSM claves está desconectado, utilice la DescribeCustomKeyStoresoperación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor ConnectionState de DISCONNECTED indica que el almacén de claves de AWS CloudHSM no está conectado a su clúster de AWS CloudHSM.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}