Créez un AWS CloudHSM magasin de clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez un AWS CloudHSM magasin de clés

Vous pouvez en créer un ou plusieurs AWS CloudHSM les principaux points de vente de votre compte. Chaque AWS CloudHSM le magasin de clés est associé à un AWS CloudHSM cluster dans le même Compte AWS et région. Avant de créer votre AWS CloudHSM magasin de clés, vous devez réunir les prérequis. Ensuite, avant de pouvoir utiliser votre AWS CloudHSM magasin de clés, vous devez le connecter à son AWS CloudHSM cluster.

Note

Si vous essayez de créer un AWS CloudHSM magasin de clés avec toutes les mêmes valeurs de propriétés qu'un magasin déconnecté existant AWS CloudHSM magasin de clés, AWS KMS ne crée pas de nouveau AWS CloudHSM key store, et il ne lance pas d'exception ni n'affiche d'erreur. Au lieu de cela, AWS KMS reconnaît le doublon comme la conséquence probable d'une nouvelle tentative, et renvoie l'ID de l'existant AWS CloudHSM magasin de clés.

Astuce

Vous n'êtes pas obligé de connecter votre AWS CloudHSM magasin de clés immédiatement. Vous pouvez le conserver dans un état déconnecté jusqu'à ce que vous soyez prêt à l'utiliser. Cependant, afin de vérifier qu'il est correctement configuré, vous pouvez le connecter, afficher son état de connexion, puis le déconnecter.

Rassembler les conditions requises

Chaque AWS CloudHSM le magasin de clés est soutenu par un AWS CloudHSM cluster. Pour créer un AWS CloudHSM magasin de clés, vous devez spécifier un élément actif AWS CloudHSM cluster qui n'est pas déjà associé à un autre magasin de clés. Vous devez également créer un utilisateur cryptographique (CU) dédié dans le cluster HSMs qui AWS KMS peut être utilisé pour créer et gérer des clés en votre nom.

Avant de créer un AWS CloudHSM key store, procédez comme suit :

Sélectionnez un AWS CloudHSM cluster

Chaque AWS CloudHSM le magasin de clés est associé à exactement un AWS CloudHSM cluster. Lorsque vous créez un AWS KMS keysdans votre AWS CloudHSM magasin de clés, AWS KMS crée les métadonnées KMS clés, telles qu'un identifiant et un nom de ressource Amazon (ARN) dans AWS KMS. Il crée ensuite le matériau clé dans HSMs le cluster associé. Vous pouvez créer un nouveau AWS CloudHSMregroupez ou utilisez un cluster existant. AWS KMS ne nécessite pas d'accès exclusif au cluster.

Le AWS CloudHSM le cluster que vous sélectionnez est associé en permanence au AWS CloudHSM magasin de clés. Après avoir créé le AWS CloudHSM magasin de clés, vous pouvez modifier l'ID du cluster associé, mais le cluster que vous spécifiez doit partager un historique de sauvegarde avec le cluster d'origine. Pour utiliser un cluster non apparenté, vous devez créer un nouveau AWS CloudHSM magasin de clés.

Le AWS CloudHSM le cluster que vous sélectionnez doit présenter les caractéristiques suivantes :

  • Le cluster doit être actif.

    Vous devez créer le cluster, l'initialiser, installer le AWS CloudHSM logiciel client pour votre plate-forme, puis activez le cluster. Pour des instructions détaillées, voir Commencer avec AWS CloudHSM dans le .AWS CloudHSM Guide de l'utilisateur.

  • Le cluster doit se trouver dans le même compte et dans la même région que le AWS CloudHSM magasin de clés. Vous ne pouvez pas associer un AWS CloudHSM magasin de clés dans une région avec un cluster dans une autre région. Pour créer une infrastructure clé dans plusieurs régions, vous devez créer AWS CloudHSM principaux magasins et clusters dans chaque région.

  • Le cluster ne peut pas être associé à un autre magasin de clés personnalisé à partir du même compte et de la même région. Chaque AWS CloudHSM le magasin de clés du compte et de la région doit être associé à un autre AWS CloudHSM cluster. Vous ne pouvez pas spécifier un cluster qui est déjà associé à un magasin de clés personnalisé ou un cluster qui partage un historique des sauvegardes avec un cluster associé. Les clusters qui partagent un historique des sauvegardes historique ont le même certificat de cluster. Pour afficher le certificat de cluster d'un cluster, utilisez le AWS CloudHSM console ou DescribeClustersopération.

    Si vous sauvegardez un AWS CloudHSM cluster vers une autre région, il est considéré comme un cluster différent, et vous pouvez associer la sauvegarde à un magasin de clés personnalisé dans sa région. Cependant, KMS les clés des deux magasins de clés personnalisés ne sont pas interopérables, même si elles possèdent la même clé de sauvegarde. AWS KMS lie les métadonnées au texte chiffré afin qu'il ne puisse être déchiffré que par la clé qui l'KMSa chiffré.

  • Le cluster doit être configuré avec des sous-réseaux privés dans au moins deux zones de disponibilité de la région. Parce que AWS CloudHSM n'est pas pris en charge dans toutes les zones de disponibilité, nous vous recommandons de créer des sous-réseaux privés dans toutes les zones de disponibilité de la région. Vous ne pouvez pas reconfigurer les sous-réseaux d'un cluster existant, mais vous pouvez créer un cluster à partir d'une sauvegarde avec différents sous-réseaux dans la configuration du cluster.

    Important

    Après avoir créé votre AWS CloudHSM magasin de clés, ne supprimez aucun des sous-réseaux privés configurés pour son AWS CloudHSM cluster. If AWS KMS Impossible de trouver tous les sous-réseaux dans la configuration du cluster, les tentatives de connexion au magasin de clés personnalisé échouent avec un état d'erreur de SUBNET_NOT_FOUND connexion. Pour plus de détails, consultez Comment corriger un échec de connexion.

  • Le groupe de sécurité du cluster (cloudhsm-cluster-<cluster-id>-sg) doit inclure des règles entrantes et sortantes qui autorisent le TCP trafic sur les ports 2223-2225. La source des règles entrantes et la destination des règles sortantes doit correspondre à l'ID du groupe de sécurité. Ces règles sont définies par défaut lorsque vous créez le cluster. Ne pas les supprimer ou les modifier.

  • Le cluster doit contenir au moins deux actifs HSMs dans des zones de disponibilité différentes. Pour vérifier le nombre deHSMs, utilisez AWS CloudHSM console ou DescribeClustersopération. Si nécessaire, vous pouvez ajouter un HSM.

Recherche le certificat approuvé (ou « trust anchor »)

Lorsque vous créez un magasin de clés personnalisé, vous devez télécharger le certificat d'ancrage de confiance pour le AWS CloudHSM cluster vers AWS KMS. AWS KMS a besoin du certificat Trust Anchor pour connecter le AWS CloudHSM magasin de clés associé AWS CloudHSM cluster.

Tous les actifs AWS CloudHSM le cluster possède un certificat d'ancrage de confiance. Lorsque vous initialisez le cluster, vous devez générer ce certificat, l'enregistrer dans le fichier customerCA.crt et le copier sur les hôtes qui se connectent au cluster.

Créez l'utilisateur kmsuser cryptographique pour AWS KMS

Pour administrer votre AWS CloudHSM magasin de clés, AWS KMS se connecte au compte utilisateur kmsuser cryptographique (CU) du cluster sélectionné. Avant de créer votre AWS CloudHSM magasin de clés, vous devez créer le kmsuser CU. Ensuite, lorsque vous créez votre AWS CloudHSM magasin de clés, vous fournissez le mot de passe kmsuser pour AWS KMS. Chaque fois que vous connectez le AWS CloudHSM magasin de clés associé AWS CloudHSM grappe, AWS KMS se connecte en tant que kmsuser et fait pivoter le mot de passe kmsuser

Important

Ne spécifiez pas l'option 2FA lorsque vous créez l'kmsuserutilisateur de chiffrement. Si c'est le cas, AWS KMS Impossible de se connecter et votre AWS CloudHSM le magasin de clés ne peut pas être connecté à cela AWS CloudHSM cluster. Une fois que vous spécifiez 2FA, vous ne pouvez pas l'annuler. Vous devez à la place supprimer l'utilisateur de chiffrement et le recréer.

Remarques

Les procédures suivantes utilisent AWS CloudHSM Outil de ligne de commande Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, AWS CloudHSM mettra fin à la prise en charge des outils de ligne de commande Client SDK 3, de l'utilitaire HSM de gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU). Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du client SDK 3 CMU KMU vers le cloud Client SDK 5 HSM CLI dans le AWS CloudHSM Guide de l'utilisateur.

  1. Suivez les procédures de démarrage décrites dans la rubrique Getting started with Cloud HSM Command Line Interface (CLI) du AWS CloudHSM Guide de l'utilisateur.

  2. Utilisez la commande user create pour créer une CU nomméekmsuser.

    Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

    L'exemple de commande suivant crée une kmsuser CU.

    aws-cloudhsm > user create --username kmsuser --role crypto-user Enter password: Confirm password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }

Créez un AWS CloudHSM porte-clés (console)

Lorsque vous créez un AWS CloudHSM magasin de clés dans le AWS Management Console, vous pouvez ajouter et créer les prérequis dans le cadre de votre flux de travail. Toutefois, le processus est plus rapide que vous les avez assemblées au préalable.

  1. Connectez-vous au AWS Management Console et ouvrez le AWS Key Management Service (AWS KMS) console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Custom key stores, AWS CloudHSM magasins clés.

  4. Choisissez Créer un magasin de clés.

  5. Entrez un nom convivial pour le magasin de clés personnalisé. Le nom doit être unique parmi tous les magasins de clés personnalisés de votre compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  6. Sélectionnez un AWS CloudHSM cluster pour le AWS CloudHSM magasin de clés. Ou, pour créer un nouveau AWS CloudHSM cluster, choisissez Create an AWS CloudHSM lien vers le cluster.

    Le menu affiche le AWS CloudHSM des clusters de votre compte et de votre région qui ne sont pas déjà associés à un AWS CloudHSM magasin de clés. Le cluster doit respecter les exigences d'association à un magasin de clés personnalisé.

  7. Choisissez Choisir un fichier, puis téléchargez le certificat d'ancrage de confiance pour le AWS CloudHSM cluster que vous avez choisi. Il s'agit du fichier customerCA.crt que vous avez créé lorsque vous avez initialisé le cluster.

  8. Entrez le mot de passe de l'utilisateur de chiffrement kmsuser (CU) que vous avez créé dans le cluster sélectionné.

  9. Sélectionnez Create (Créer).

Lorsque la procédure aboutit, le nouveau AWS CloudHSM le magasin de clés apparaît dans la liste des AWS CloudHSM principaux magasins du compte et de la région. S'il ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

Si vous essayez de créer un AWS CloudHSM magasin de clés avec toutes les mêmes valeurs de propriétés qu'un magasin déconnecté existant AWS CloudHSM magasin de clés, AWS KMS ne crée pas de nouveau AWS CloudHSM key store, et il ne lance pas d'exception ni n'affiche d'erreur. Au lieu de cela, AWS KMS reconnaît le doublon comme la conséquence probable d'une nouvelle tentative, et renvoie l'ID de l'existant AWS CloudHSM magasin de clés.

Prochaine : Nouveau AWS CloudHSM les magasins de clés ne sont pas automatiquement connectés. Avant de pouvoir créer AWS KMS keys dans le AWS CloudHSM magasin de clés, vous devez connecter le magasin de clés personnalisé à son magasin de clés associé AWS CloudHSM cluster.

Créez un AWS CloudHSM magasin de clés (API)

Vous pouvez utiliser cette CreateCustomKeyStoreopération pour créer un nouveau AWS CloudHSM magasin de clés associé à un AWS CloudHSM cluster dans le compte et dans la région. Ces exemples utilisent le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation compatible.

L'opération CreateCustomKeyStore nécessite les valeurs de paramètre suivantes.

  • CustomKeyStoreName — Un nom convivial pour le magasin de clés personnalisé, unique dans le compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  • CloudHsmClusterId — L'ID de cluster d'un AWS CloudHSM cluster qui répond aux exigences d'un AWS CloudHSM magasin de clés.

  • KeyStorePassword — Le mot de passe du compte kmsuser CU dans le cluster spécifié.

  • TrustAnchorCertificate — Le contenu du customerCA.crt fichier que vous avez créé lors de l'initialisation du cluster.

L'exemple suivant utilise un ID de cluster fictif. Avant d'exécuter la commande, remplacez-le par un ID de cluster valide.

$ aws kms create-custom-key-store --custom-key-store-name ExampleCloudHSMKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate <certificate-goes-here>

Si vous utilisez le AWS CLI, vous pouvez spécifier le fichier de certificat d'ancrage de confiance au lieu de son contenu. Dans l'exemple suivant, le fichier customerCA.crt se trouve dans le répertoire racine.

$ aws kms create-custom-key-store --custom-key-store-name ExampleCloudHSMKeyStore \ --cloud-hsm-cluster-id cluster-1a23b4cdefg \ --key-store-password kmsPswd \ --trust-anchor-certificate file://customerCA.crt

Lorsque l'opération est réussie, CreateCustomKeyStore renvoie l'ID du magasin de clés personnalisé, comme illustré dans l'exemple de réponse suivant.

{ "CustomKeyStoreId": cks-1234567890abcdef0 }

Si l'opération échoue, corrigez l'erreur indiquée par l'exception, puis réessayez. Pour obtenir de l'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

Si vous essayez de créer un AWS CloudHSM magasin de clés avec toutes les mêmes valeurs de propriétés qu'un magasin déconnecté existant AWS CloudHSM magasin de clés, AWS KMS ne crée pas de nouveau AWS CloudHSM key store, et il ne lance pas d'exception ni n'affiche d'erreur. Au lieu de cela, AWS KMS reconnaît le doublon comme la conséquence probable d'une nouvelle tentative, et renvoie l'ID de l'existant AWS CloudHSM magasin de clés.

Suivant : Pour utiliser le AWS CloudHSM magasin de clés, connectez-le à son AWS CloudHSM cluster.