Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Dépannage d'un magasin de clés personnalisé
AWS CloudHSM les magasins clés sont conçus pour être disponibles et résilients. Cependant, vous devrez peut-être corriger certaines erreurs pour que votre magasin de AWS CloudHSM clés reste opérationnel.
Rubriques
- Comment réparer les KMS clés non disponibles
- Comment réparer une KMS clé défaillante
- Comment corriger un échec de connexion
- Comment répondre à un échec d'opération de chiffrement
- Comment corriger les informations d'identification kmsuser non valides
- Comment supprimer les éléments de clé orphelins
- Comment récupérer le contenu clé supprimé d'une KMS clé
- Comment se connecter en tant que kmsuser
Comment réparer les KMS clés non disponibles
L'état clé de AWS KMS keys dans un magasin de AWS CloudHSM clés est généralementEnabled
. Comme toutes les KMS clés, l'état des clés change lorsque vous les KMS désactivez dans un magasin de AWS CloudHSM clés ou que vous planifiez leur suppression. Cependant, contrairement aux autres KMS clés, les KMS clés d'un magasin de clés personnalisé peuvent également avoir un état clé deUnavailable
.
Un état clé égal à Unavailable
indique que la KMS clé se trouve dans un magasin de clés personnalisé qui a été déconnecté intentionnellement et que les tentatives de reconnexion ont échoué, le cas échéant. Lorsqu'une KMS clé n'est pas disponible, vous pouvez la consulter et la KMS gérer, mais vous ne pouvez pas l'utiliser pour des opérations cryptographiques.
Pour connaître l'état d'une KMS clé, sur la page Clés gérées par le client, consultez le champ État de la KMS clé. Vous pouvez également utiliser l'DescribeKeyopération et afficher l'KeyState
élément dans la réponse. Pour plus de détails, consultez Identifier et afficher les clés.
Les KMS clés d'un magasin de clés personnalisé déconnecté auront l'état clé Unavailable
ouPendingDeletion
. KMSles clés dont la suppression est planifiée dans un magasin de clés personnalisé ont un état Pending Deletion
clé, même lorsque le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé.
Pour réparer une KMS clé non disponible, reconnectez le magasin de clés personnalisé. Une fois le magasin de clés personnalisé reconnecté, l'état des KMS clés du magasin de clés personnalisé est automatiquement rétabli à son état précédent, tel que Enabled
ouDisabled
. KMSles clés en attente de suppression restent dans leur PendingDeletion
état. Toutefois, tant que le problème persiste, l'activation et la désactivation d'une KMS clé non disponible ne modifient pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.
Pour obtenir de l'aide concernant les connexions ayant échoué, consultez Comment corriger un échec de connexion.
Comment réparer une KMS clé défaillante
Les problèmes liés à la création et à l'utilisation de KMS AWS CloudHSM clés dans les magasins de clés peuvent être dus à un problème lié à votre magasin de AWS CloudHSM clés, à son AWS CloudHSM cluster associé, à la KMS clé ou à son contenu clé.
Lorsqu'un magasin de AWS CloudHSM clés est déconnecté de son AWS CloudHSM cluster, l'état clé des KMS clés dans le magasin de clés personnalisé estUnavailable
. Toutes les demandes de création de KMS clés dans un magasin de AWS CloudHSM clés déconnecté renvoient une CustomKeyStoreInvalidStateException
exception. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception KMSInvalidStateException
. Pour résoudre le problème, reconnectez le magasin de AWS CloudHSM clés.
Cependant, vos tentatives d'utilisation d'une KMS clé dans un magasin de AWS CloudHSM clés pour des opérations cryptographiques peuvent échouer même si l'état de la clé est Enabled
le même que celui de la connexion du magasin de AWS CloudHSM clés. Connected
Cela peut être dû à l'une des conditions suivantes.
-
Le matériau clé de la KMS clé a peut-être été supprimé du AWS CloudHSM cluster associé. Pour étudier, trouvez l'identifiant du matériau clé d'une KMS clé et, si nécessaire, essayez de le récupérer.
-
Tous HSMs ont été supprimés du AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. Pour utiliser une KMS clé d'un magasin de AWS CloudHSM clés dans le cadre d'une opération cryptographique, son AWS CloudHSM cluster doit contenir au moins une clé activeHSM. Pour vérifier le nombre et l'état de HSMs dans un AWS CloudHSM cluster, utilisez la AWS CloudHSM console ou l'DescribeClustersopération. Pour ajouter un HSM au cluster, utilisez la AWS CloudHSM console ou l'CreateHsmopération.
-
Le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés a été supprimé. Pour corriger le problème, créez un cluster à partir d'une sauvegarde qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, modifiez l'ID de cluster dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, consultez Comment récupérer le contenu clé supprimé d'une KMS clé.
-
Le AWS CloudHSM cluster associé au magasin de clés personnalisé n'avait aucune session PKCS #11 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour répondre à un message
KMSInternalException
d'erreur concernant les sessions PKCS #11, faites une pause et réessayez la demande.
Comment corriger un échec de connexion
Si vous essayez de connecter un magasin de AWS CloudHSM clés à son AWS CloudHSM cluster, mais que l'opération échoue, l'état de connexion du magasin de AWS CloudHSM clés passe àFAILED
. Pour connaître l'état de connexion d'un magasin de AWS CloudHSM clés, utilisez la AWS KMS
console ou l'DescribeCustomKeyStoresopération.
Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours DISCONNECTED
. Ces échecs renvoient un message d'erreur ou une exception qui explique pourquoi la tentative a échoué. Consultez la description de l'exception et les exigences du cluster, résolvez le problème, mettez à jour le magasin de AWS CloudHSM clés, si nécessaire, et réessayez de vous connecter.
Lorsque l'état de connexion est FAILED
défini, exécutez l'DescribeCustomKeyStoresopération et voyez l'ConnectionErrorCode
élément dans la réponse.
Note
Lorsque l'état de connexion d'un magasin de AWS CloudHSM clés est FAILED
atteint, vous devez le AWS CloudHSM déconnecter avant de tenter de le reconnecter. Vous ne pouvez pas connecter un magasin de AWS CloudHSM clés doté d'un état de FAILED
connexion.
-
CLUSTER_NOT_FOUND
indique qu'il est AWS KMS impossible de trouver un AWS CloudHSM cluster avec l'ID de cluster spécifié. Cela peut être dû au fait qu'un identifiant de cluster incorrect a été fourni à une API opération ou que le cluster a été supprimé et n'a pas été remplacé. Pour corriger cette erreur, vérifiez l'ID du cluster, par exemple à l'aide de la AWS CloudHSM console ou de l'DescribeClustersopération. Si le cluster a été supprimé, la créez un cluster à partir d'une sauvegarde récente de l'original. Déconnectez ensuite le magasin de AWS CloudHSM clés, modifiez le AWS CloudHSM paramètre d'ID du cluster de magasins de clés et reconnectez le magasin de AWS CloudHSM clés au cluster. -
INSUFFICIENT_CLOUDHSM_HSMS
indique que le AWS CloudHSM cluster associé n'en contient aucunHSMs. Pour se connecter, le cluster doit en posséder au moins unHSM. Pour trouver le nombre de HSMs dans le cluster, utilisez l'DescribeClustersopération. Pour résoudre cette erreur, ajoutez-en au moins un HSM au cluster. Si vous en ajoutez plusieursHSMs, il est préférable de les créer dans différentes zones de disponibilité. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET
indique qu'il n' AWS KMS a pas pu connecter le magasin de AWS CloudHSM clés à son AWS CloudHSM cluster car au moins un sous-réseau privé associé au cluster ne dispose d'aucune adresse IP disponible. Une connexion au magasin de AWS CloudHSM clés nécessite une adresse IP libre dans chacun des sous-réseaux privés associés, bien que deux soient préférables.Vous ne pouvez pas ajouter d'adresses IP
(CIDRblocs) à un sous-réseau existant. Si possible, déplacez ou supprimez les autres ressources qui utilisent les adresses IP du sous-réseau, telles que les EC2 instances inutilisées ou les interfaces réseau élastiques. Sinon, vous pouvez créer un cluster à partir d'une sauvegarde récente du AWS CloudHSM cluster avec des sous-réseaux privés nouveaux ou existants qui disposent de plus d'espace d'adressage libre. Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, déconnectez le magasin de clés personnalisé, remplacez l'ID de cluster du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter. Astuce
Pour éviter de réinitialiser le kmsuser mot de passe, utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
-
INTERNAL_ERROR
indique que la demande n' AWS KMS a pas pu être traitée en raison d'une erreur interne. Réitérez la requête . Pour lesConnectCustomKeyStore
demandes, déconnectez le magasin de AWS CloudHSM clés avant de réessayer de vous connecter. -
INVALID_CREDENTIALS
indique qu'il AWS KMS ne peut pas se connecter au AWS CloudHSM cluster associé car il ne possède pas le mot de passe dekmsuser
compte correct. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment corriger les informations d'identification kmsuser non valides. -
NETWORK_ERRORS
indique généralement des problèmes réseau temporaires. Déconnectez le magasin de AWS CloudHSM clés, attendez quelques minutes, puis réessayez de vous connecter. -
SUBNET_NOT_FOUND
indique qu'au moins un sous-réseau de la configuration du AWS CloudHSM cluster a été supprimé. Si vous AWS KMS ne trouvez pas tous les sous-réseaux dans la configuration du cluster, les tentatives de connexion du magasin de AWS CloudHSM clés au AWS CloudHSM cluster échouent.Pour corriger cette erreur, créez un cluster à partir d'une sauvegarde récente du même AWS CloudHSM cluster. (Ce processus crée une nouvelle configuration de cluster avec un VPC et des sous-réseaux privés.) Vérifiez que le nouveau cluster répond aux conditions requises pour un magasin de clés personnalisé et notez l'ID du nouveau cluster. Ensuite, pour associer le nouveau cluster à votre magasin de AWS CloudHSM clés, déconnectez le magasin de clés personnalisé, remplacez l'ID de cluster du magasin de AWS CloudHSM clés par l'ID du nouveau cluster, puis réessayez de vous connecter.
Astuce
Pour éviter de réinitialiser le kmsuser mot de passe, utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
-
USER_LOCKED_OUT
indique que le compte CU (utilisateur de chiffrement) kmsuser est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment corriger les informations d'identification kmsuser non valides.Pour corriger cette erreur, déconnectez le magasin de AWS CloudHSM clés et utilisez la commande user change-password dans Cloud HSM CLI pour modifier le mot de passe du
kmsuser
compte. Ensuite, modifiez le kmsuser paramètre de mot de passe pour le magasin de clés personnalisé, et essayez de vous connecter à nouveau. Pour obtenir de l'aide, utilisez la procédure décrite dans la rubrique Comment corriger les informations d'identification kmsuser non valides. -
USER_LOGGED_IN
indique que le comptekmsuser
CU est connecté au AWS CloudHSM cluster associé. Cela AWS KMS empêche la rotation du mot de passe dukmsuser
compte et la connexion au cluster. Pour corriger cette erreur, déconnectez le compte CUkmsuser
du cluster. Si vous avez modifié lekmsuser
mot de passe pour vous connecter au cluster, vous devez également mettre à jour la valeur du mot de passe du magasin de clés pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter Comment se déconnecter et se reconnecter. -
USER_NOT_FOUND
indique qu'il est AWS KMS impossible de trouver un comptekmsuser
CU dans le AWS CloudHSM cluster associé. Pour corriger cette erreur, créez un compte kmsuser CU dans le cluster, puis mettez à jour la valeur du mot de passe du magasin de clés pour le magasin de AWS CloudHSM clés. Pour obtenir de l'aide, veuillez consulter Comment corriger les informations d'identification kmsuser non valides.
Comment répondre à un échec d'opération de chiffrement
Une opération cryptographique qui utilise une KMS clé dans un magasin de clés personnalisé peut échouer avec unKMSInvalidStateException
. Les messages d'erreur suivants peuvent accompagner le KMSInvalidStateException
.
KMSne peut pas communiquer avec votre HSM cluster Cloud. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que les règles du réseau ACLs et du groupe de sécurité VPC de votre AWS CloudHSM cluster sont correctes. |
-
Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut être due à des problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement due à la mauvaise configuration d'un composant réseau, tel qu'une règle de pare-feu ou une règle de groupe de VPC sécurité bloquant le trafic sortant.
KMSImpossible de communiquer avec votre AWS CloudHSM cluster car le kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le magasin de AWS CloudHSM clés et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande. |
-
Ce message d’erreur indique que le compte CU (utilisateur de chiffrement) kmsuser est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment se déconnecter et se connecter.
Comment corriger les informations d'identification kmsuser
non valides
Lorsque vous connectez un magasin de AWS CloudHSM clés, vous AWS KMS vous connectez au AWS CloudHSM cluster associé en tant qu'utilisateur kmsuser cryptographique (CU). Il reste connecté jusqu'à ce que le magasin de AWS CloudHSM clés soit déconnecté. La DescribeCustomKeyStoresréponse indique un ConnectionState
de FAILED
et une ConnectionErrorCode
valeur deINVALID_CREDENTIALS
, comme indiqué dans l'exemple suivant.
Si vous déconnectez le magasin de AWS CloudHSM clés et modifiez le kmsuser
mot de passe, vous AWS KMS
ne pouvez pas vous connecter au AWS CloudHSM cluster avec les informations d'identification du compte kmsuser
CU. Par conséquent, toutes les tentatives de connexion au magasin de AWS CloudHSM clés échouent. La réponse DescribeCustomKeyStores
réponse affiche pour ConnectionState
la valeur FAILED
et pour ConnectionErrorCode
la valeur INVALID_CREDENTIALS
, comme indiqué dans l'exemple suivant.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
De plus, au bout de cinq tentatives de connexion au cluster ayant échoué avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.
S'il AWS KMS obtient une réponse de verrouillage lorsqu'il essaie de se connecter au cluster en tant que kmsuser
CU, la demande de connexion au magasin de AWS CloudHSM clés échoue. La DescribeCustomKeyStoresréponse inclut un ConnectionState
de FAILED
et une ConnectionErrorCode
valeur deUSER_LOCKED_OUT
, comme indiqué dans l'exemple suivant.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante.
-
Exécutez l'DescribeCustomKeyStoresopération et visualisez la valeur de l'
ConnectionErrorCode
élément dans la réponse.-
Si la valeur de
ConnectionErrorCode
estINVALID_CREDENTIALS
, déterminez le mot de passe actuel pour le comptekmsuser
. Si nécessaire, utilisez la commande user change-password dans Cloud HSM CLI pour définir le mot de passe sur une valeur connue. -
Si la
ConnectionErrorCode
valeur est égale à cette valeurUSER_LOCKED_OUT
, vous devez utiliser la commande user change-password dans le Cloud HSM CLI pour modifier lekmsuser
mot de passe.
-
-
Modifiez le mot de passe actuel de kmsuser afin qu'il corresponde au mot de passe actuel de
kmsuser
dans le cluster. Cette action indique à AWS KMS le mot de passe à utiliser pour se connecter au cluster. Elle ne change pas le mot de passe dekmsuser
dans le cluster.
Comment supprimer les éléments de clé orphelins
Après avoir planifié la suppression d'KMSune AWS CloudHSM clé d'un magasin de clés, vous devrez peut-être supprimer manuellement le matériel clé correspondant du AWS CloudHSM cluster associé.
Lorsque vous créez une KMS clé dans un magasin de AWS CloudHSM clés, vous AWS KMS créez les métadonnées KMS clés AWS KMS et générez le matériel clé dans le AWS CloudHSM cluster associé. Lorsque vous planifiez la suppression d'une KMS clé dans un magasin de AWS CloudHSM clés, les métadonnées KMS clés sont AWS KMS supprimées après la période d'attente. AWS KMS Fait ensuite de son mieux pour supprimer le matériel clé correspondant du AWS CloudHSM cluster. La tentative peut échouer si vous AWS KMS ne pouvez pas accéder au cluster, par exemple en cas de déconnexion du magasin de AWS CloudHSM clés ou de modification du kmsuser
mot de passe. AWS KMS ne tente pas de supprimer les éléments clés des sauvegardes du cluster.
AWS KMS rapporte les résultats de sa tentative de suppression du contenu clé du cluster lors de DeleteKey
la saisie de vos AWS CloudTrail journaux. Ils apparaissent dans l'élément backingKeysDeletionStatus
de l'élément additionalEventData
, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également la KMS cléARN, l'ID du AWS CloudHSM cluster et l'ID (backing-key-id
) du matériel clé.
{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"
backing-key-id
\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id
\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Remarques
Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle
parkey-reference
.
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.
Les procédures suivantes montrent comment supprimer le matériel clé orphelin du AWS CloudHSM cluster associé.
-
Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous, comme expliqué dansComment se déconnecter et se connecter.
Note
Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
-
Utilisez la commande de suppression des touches dans le Cloud HSM CLI pour supprimer la HSMs clé du cluster.
Toutes les entrées de CloudTrail journal relatives à une opération cryptographique avec une KMS clé dans un magasin de AWS CloudHSM clés incluent un
additionalEventData
champ avec lecustomKeyStoreId
etbackingKey
. La valeur renvoyée dans lebackingKeyId
champ est l'id
attribut Cloud HSM key. Nous vous recommandons de filtrer l'opération de suppression des clésid
afin de supprimer le contenu clé orphelin que vous avez identifié dans vos CloudTrail journaux.AWS CloudHSM reconnaît la
backingKeyId
valeur sous forme de valeur hexadécimale. Pour filtrer parid
, vous devez ajouter le motbackingKeyId
avecOx
. Par exemple, sibackingKeyId
dans votre CloudTrail journal l'est1a2b3c45678abcdef
, vous devez filtrer par0x1a2b3c45678abcdef
.L'exemple suivant supprime une clé de HSMs votre cluster. Le
backing-key-id
est répertorié dans l'entrée du CloudTrail journal. Avant d'exécuter cette commande, remplacez l'exemplebacking-key-id
par un exemple valide provenant de votre compte.aws-cloudhsm
key delete --filter attr.id="
0x<backing-key-id>
"{ "error_code": 0, "data": { "message": "Key deleted successfully" } }
-
Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dansComment se déconnecter et se reconnecter.
Comment récupérer le contenu clé supprimé d'une KMS clé
Si le contenu clé d'un AWS KMS key est supprimé, la KMS clé est inutilisable et tout le texte chiffré sous la KMS clé ne peut pas être déchiffré. Cela peut se produire si le contenu clé d'une KMS clé d'un magasin de AWS CloudHSM clés est supprimé du AWS CloudHSM cluster associé. Toutefois, il peut être possible de récupérer les clés.
Lorsque vous créez une AWS KMS key (KMSclé) dans un magasin de AWS CloudHSM clés, AWS KMS vous vous connectez au AWS CloudHSM cluster associé et créez le matériau clé pour la KMS clé. Il remplace également le mot de passe par une valeur qu'il est le seul à connaître et reste connecté tant que le magasin de AWS CloudHSM clés est connecté. Étant donné que seul le propriétaire de la clé, c'est-à-dire le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimée HSMs accidentellement.
Toutefois, si le contenu clé d'une KMS clé est supprimé HSMs d'un cluster, l'état de la KMS clé finit par devenirUNAVAILABLE
. Si vous essayez d'utiliser la KMS clé pour une opération cryptographique, l'opération échoue avec une KMSInvalidStateException
exception. Plus important encore, les données chiffrées sous la KMS clé ne peuvent pas être déchiffrées.
Dans certains cas, vous pouvez récupérer les clés supprimés par en créant un cluster à partir d'une sauvegarde qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée.
Utilisez la procédure suivante pour récupérer les éléments de clé.
-
Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.
Utilisez l'DescribeBackupsopération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au magasin de AWS CloudHSM clés, utilisez le
Filters
paramètre, comme indiqué dans l'exemple suivant.$
aws cloudhsmv2 describe-backups --filters clusterIds=
<cluster ID>
{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] }
-
Créez un cluster à partir de la sauvegarde sélectionnée. Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite.
-
Déconnectez le magasin de AWS CloudHSM clés afin de pouvoir modifier ses propriétés.
-
Modifiez l'ID de cluster du magasin de AWS CloudHSM clés. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide.
Comment se connecter en tant que kmsuser
Pour créer et gérer les éléments clés du AWS CloudHSM cluster pour votre magasin de AWS CloudHSM clés, utilisez AWS KMS le compte kmsuser Crypto User (CU). Vous créez le compte kmsuser CU dans votre cluster et vous fournissez son mot de passe AWS KMS lorsque vous créez votre magasin de AWS CloudHSM clés.
En général, AWS KMS gère le kmsuser
compte. Toutefois, pour certaines tâches, vous devez déconnecter le magasin de AWS CloudHSM clés, vous connecter au cluster en tant que kmsuser
CU et utiliser l'interface de ligne de HSM commande cloud (CLI).
Note
Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
Cette rubrique explique comment déconnecter votre magasin de AWS CloudHSM clés et vous connecter en tant que telkmsuser
, exécuter l'outil de ligne de AWS CloudHSM commande, puis vous déconnecter et reconnecter votre magasin de AWS CloudHSM clés.
Comment se déconnecter et se connecter
Utilisez la procédure suivante à chaque fois pour avoir besoin de vous connecter à un cluster associé en tant qu'utilisateur du kmsuser
chiffrement.
Remarques
Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle
parkey-reference
.
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.
-
Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà. Vous pouvez utiliser la AWS KMS console ou AWS KMS API.
Lorsque votre AWS CloudHSM clé est connectée, elle AWS KMS est connectée en tant que
kmsuser
. Cela vous empêche de vous connecter commekmsuser
ou de modifier le mot de passekmsuser
.Par exemple, cette commande permet DisconnectCustomKeyStorede déconnecter un exemple de magasin de clés. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.
$
aws kms disconnect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
Utilisez la commande de connexion pour vous connecter en tant qu'administrateur. Suivez les procédures décrites dans la HSM CLI section Utilisation du cloud du guide de l'AWS CloudHSM utilisateur.
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
-
Utilisez la commande user change-password dans Cloud HSM CLI pour remplacer le mot de passe du
kmsuser
compte par un mot de passe que vous connaissez. (AWS KMS fait pivoter le mot de passe lorsque vous connectez votre magasin de AWS CloudHSM clés.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux. -
Connectez-vous en
kmsuser
utilisant le mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la HSM CLI section Utilisation du cloud du guide de AWS CloudHSM l'utilisateur.aws-cloudhsm >
login --username kmsuser --role crypto-user
Enter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Comment se déconnecter et se reconnecter
Suivez la procédure suivante chaque fois que vous devez vous déconnecter en tant qu'utilisateur kmsuser
cryptographique et reconnecter votre magasin de clés.
Remarques
Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle
parkey-reference
.
Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.
-
Effectuez la tâche, puis utilisez la commande de déconnexion dans le Cloud HSM CLI pour vous déconnecter. Si vous ne vous déconnectez pas, les tentatives de reconnexion de votre magasin de AWS CloudHSM clés échoueront.
aws-cloudhsm
logout
{ "error_code": 0, "data": "Logout successful" }
-
Modifiez le paramètre de mot de passe de kmsuser pour le magasin de clés personnalisé.
Cela indique AWS KMS le mot de passe actuel pour
kmsuser
le cluster. Si vous omettez cette étape, vous ne AWS KMS pourrez pas vous connecter au cluster et toutes les tentatives de reconnexion à votre banque de clés personnalisée échoueront.kmsuser
Vous pouvez utiliser la AWS KMS console ou leKeyStorePassword
paramètre de l'UpdateCustomKeyStoreopération.Par exemple, cette commande indique AWS KMS que le mot de passe actuel est
tempPassword
. Remplacez l'exemple de mot de passe par le mot de passe réel.$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--key-store-passwordtempPassword
-
Reconnectez le magasin de AWS KMS clés à son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide. Au cours du processus de connexion, AWS KMS remplace le
kmsuser
mot de passe par une valeur qu'il est le seul à connaître.L'ConnectCustomKeyStoreopération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.
$
aws kms connect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
Utilisez cette DescribeCustomKeyStoresopération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.
Dans cet exemple, le champ d'état de connexion indique que le magasin de AWS CloudHSM clés est désormais connecté.
$
aws kms describe-custom-key-stores --custom-key-store-id
cks-1234567890abcdef0
{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }