Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Dépannage d'un magasin de clés personnalisé
AWS CloudHSM les magasins clés sont conçus pour être disponibles et résilients. Cependant, il existe certaines conditions d'erreur que vous devrez peut-être réparer pour conserver votre AWS CloudHSM magasin de clés opérationnel.
Rubriques
- Comment réparer les KMS clés non disponibles
- Comment réparer une KMS clé défaillante
- Comment corriger un échec de connexion
- Comment répondre à un échec d'opération de chiffrement
- Comment corriger les informations d'identification kmsuser non valides
- Comment supprimer les éléments de clé orphelins
- Comment récupérer le contenu clé supprimé d'une KMS clé
- Comment se connecter en tant que kmsuser
Comment réparer les KMS clés non disponibles
L'état clé de AWS KMS keys dans un AWS CloudHSM le magasin de clés est généralementEnabled
. Comme toutes les KMS touches, l'état des touches change lorsque vous les KMS désactivez dans un AWS CloudHSM stockez les clés ou planifiez leur suppression. Cependant, contrairement aux autres KMS clés, les KMS clés d'un magasin de clés personnalisé peuvent également avoir un état clé deUnavailable
.
Un état clé égal à Unavailable
indique que la KMS clé se trouve dans un magasin de clés personnalisé qui a été déconnecté intentionnellement et que les tentatives de reconnexion ont échoué, le cas échéant. Lorsqu'une KMS clé n'est pas disponible, vous pouvez la consulter et la KMS gérer, mais vous ne pouvez pas l'utiliser pour des opérations cryptographiques.
Pour connaître l'état d'une KMS clé, sur la page Clés gérées par le client, consultez le champ État de la KMS clé. Vous pouvez également utiliser l'DescribeKeyopération et afficher l'KeyState
élément dans la réponse. Pour plus de détails, consultez Affichage des clés.
Les KMS clés d'un magasin de clés personnalisé déconnecté auront l'état clé Unavailable
ouPendingDeletion
. KMSles clés dont la suppression est planifiée dans un magasin de clés personnalisé ont un état Pending Deletion
clé, même lorsque le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé.
Pour réparer une KMS clé non disponible, reconnectez le magasin de clés personnalisé. Une fois le magasin de clés personnalisé reconnecté, l'état des KMS clés du magasin de clés personnalisé est automatiquement rétabli à son état précédent, tel que Enabled
ouDisabled
. KMSles clés en attente de suppression restent dans leur PendingDeletion
état. Toutefois, tant que le problème persiste, l'activation et la désactivation d'une KMS clé non disponible ne modifient pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.
Pour obtenir de l'aide concernant les connexions ayant échoué, consultez Comment corriger un échec de connexion.
Comment réparer une KMS clé défaillante
Problèmes liés à la création et à l'utilisation de KMS clés dans AWS CloudHSM les magasins à clés peuvent être causés par un problème avec votre AWS CloudHSM magasin de clés, son associé AWS CloudHSM le cluster, la KMS clé ou son matériau clé.
Quand un AWS CloudHSM le magasin de clés est déconnecté de son AWS CloudHSM cluster, l'état clé des KMS clés dans le magasin de clés personnalisé estUnavailable
. Toutes les demandes de création de KMS clés dans un environnement déconnecté AWS CloudHSM key store renvoie une CustomKeyStoreInvalidStateException
exception. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception KMSInvalidStateException
. Pour résoudre le problème, reconnectez le AWS CloudHSM magasin de clés.
Cependant, vos tentatives d'utilisation d'une KMS clé dans un AWS CloudHSM Un magasin de clés pour les opérations cryptographiques peut échouer même si son état de clé est Enabled
et l'état de connexion du AWS CloudHSM Le magasin de clés estConnected
. Cela peut être dû à l'une des conditions suivantes.
-
Le matériau clé de la KMS clé a peut-être été supprimé de la liste associée AWS CloudHSM cluster. Pour étudier, trouvez l'identifiant du matériau clé d'une KMS clé et, si nécessaire, essayez de le récupérer.
-
Tous HSMs ont été supprimés du AWS CloudHSM cluster associé au AWS CloudHSM magasin de clés. Pour utiliser une KMS clé dans un AWS CloudHSM stockage de clés dans une opération cryptographique, son AWS CloudHSM le cluster doit contenir au moins un actifHSM. Pour vérifier le numéro et l'état HSMs d'un AWS CloudHSM cluster, utilisez le AWS CloudHSM console ou DescribeClustersopération. Pour ajouter un HSM au cluster, utilisez AWS CloudHSM console ou CreateHsmopération.
-
Le AWS CloudHSM cluster associé au AWS CloudHSM le magasin de clés a été supprimé. Pour corriger le problème, créez un cluster à partir d'une sauvegarde qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, modifiez l'ID de cluster dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, consultez Comment récupérer le contenu clé supprimé d'une KMS clé.
-
Le AWS CloudHSM le cluster associé au magasin de clés personnalisé n'avait aucune session PKCS #11 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour répondre à un message
KMSInternalException
d'erreur concernant les sessions PKCS #11, faites une pause et réessayez la demande.
Comment corriger un échec de connexion
Si vous essayez de connecter un AWS CloudHSM magasin de clés pour ses AWS CloudHSM cluster, mais l'opération échoue, l'état de connexion du AWS CloudHSM modifications apportées au magasin de clés versFAILED
. Pour connaître l'état de connexion d'un AWS CloudHSM magasin de clés, utilisez le AWS KMS
console ou DescribeCustomKeyStoresopération.
Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours DISCONNECTED
. Ces échecs renvoient un message d'erreur ou une exception qui explique pourquoi la tentative a échoué. Passez en revue la description de l'exception et les exigences du cluster, corrigez le problème, mettez à jour le AWS CloudHSM stockez les clés, si nécessaire, et réessayez de vous connecter.
Lorsque l'état de connexion est FAILED
défini, exécutez l'DescribeCustomKeyStoresopération et voyez l'ConnectionErrorCode
élément dans la réponse.
Note
Lorsque l'état de connexion d'un AWS CloudHSM le magasin de clés est FAILED
que vous devez déconnecter le AWS CloudHSM magasin de clés avant de tenter de le reconnecter. Vous ne pouvez pas connecter un AWS CloudHSM magasin de clés avec état de FAILED
connexion.
-
CLUSTER_NOT_FOUND
indique que AWS KMS Impossible de trouver un AWS CloudHSM cluster avec l'ID de cluster spécifié. Cela peut être dû au fait qu'un identifiant de cluster incorrect a été fourni à une API opération ou que le cluster a été supprimé et n'a pas été remplacé. Pour corriger cette erreur, vérifiez l'ID du cluster, par exemple en utilisant le AWS CloudHSM console ou DescribeClustersopération. Si le cluster a été supprimé, la créez un cluster à partir d'une sauvegarde récente de l'original. Ensuite, déconnectez le AWS CloudHSM magasin de clés, modifiez le AWS CloudHSM paramètre d'ID du cluster Key Store, et reconnectez le AWS CloudHSM magasin de clés du cluster. -
INSUFFICIENT_CLOUDHSM_HSMS
indique que le AWS CloudHSM le cluster n'en contient aucunHSMs. Pour se connecter, le cluster doit en posséder au moins unHSM. Pour trouver le nombre de HSMs dans le cluster, utilisez l'DescribeClustersopération. Pour résoudre cette erreur, ajoutez-en au moins un HSM au cluster. Si vous en ajoutez plusieursHSMs, il est préférable de les créer dans différentes zones de disponibilité. -
INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET
indique que AWS KMS Impossible de connecter le AWS CloudHSM magasin de clés pour ses AWS CloudHSM cluster car au moins un sous-réseau privé associé au cluster ne possède aucune adresse IP disponible. Un AWS CloudHSM une connexion au magasin de clés nécessite une adresse IP libre dans chacun des sous-réseaux privés associés, bien que deux soient préférables.Vous ne pouvez pas ajouter d'adresses IP
(CIDRblocs) à un sous-réseau existant. Si possible, déplacez ou supprimez les autres ressources qui utilisent les adresses IP du sous-réseau, telles que les EC2 instances inutilisées ou les interfaces réseau élastiques. Sinon, vous pouvez créer un cluster à partir d'une sauvegarde récente du AWS CloudHSM cluster avec des sous-réseaux privés nouveaux ou existants qui disposent de plus d'espace d'adressage libre. Ensuite, pour associer le nouveau cluster à votre AWS CloudHSM magasin de clés, déconnectez le magasin de clés personnalisé, modifiez l'ID de cluster du AWS CloudHSM saisissez l'ID du nouveau cluster et réessayez de vous connecter. Astuce
Pour éviter de réinitialiser le kmsuser mot de passe, utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
-
INTERNAL_ERROR
indique que AWS KMS Impossible de terminer la demande en raison d'une erreur interne. Réitérez la requête . Pour lesConnectCustomKeyStore
demandes, déconnectez le AWS CloudHSM stockez les clés avant de réessayer de vous connecter. -
INVALID_CREDENTIALS
indique que AWS KMS Impossible de se connecter au AWS CloudHSM cluster car il ne possède pas le mot de passe dekmsuser
compte correct. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment corriger les informations d'identification kmsuser non valides. -
NETWORK_ERRORS
indique généralement des problèmes réseau temporaires. Déconnectez le AWS CloudHSM magasin de clés, attendez quelques minutes et réessayez de vous connecter. -
SUBNET_NOT_FOUND
indique qu'au moins un sous-réseau du AWS CloudHSM la configuration du cluster a été supprimée. If AWS KMS Impossible de trouver tous les sous-réseaux dans la configuration du cluster, tente de connecter le AWS CloudHSM magasin de clés du AWS CloudHSM échec du cluster.Pour corriger cette erreur, créez un cluster à partir d'une sauvegarde récente de celui-ci AWS CloudHSM cluster. (Ce processus crée une nouvelle configuration de cluster avec un VPC et des sous-réseaux privés.) Vérifiez que le nouveau cluster répond aux conditions requises pour un magasin de clés personnalisé et notez l'ID du nouveau cluster. Ensuite, pour associer le nouveau cluster à votre AWS CloudHSM magasin de clés, déconnectez le magasin de clés personnalisé, modifiez l'ID de cluster du AWS CloudHSM saisissez l'ID du nouveau cluster et réessayez de vous connecter.
Astuce
Pour éviter de réinitialiser le kmsuser mot de passe, utilisez la sauvegarde la plus récente du AWS CloudHSM cluster.
-
USER_LOCKED_OUT
indique que le compte utilisateur kmsuser cryptographique (CU) est bloqué sur le compte associé AWS CloudHSM cluster en raison d'un trop grand nombre de tentatives de mot de passe infructueuses. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment corriger les informations d'identification kmsuser non valides.Pour corriger cette erreur, déconnectez le AWS CloudHSM stockez les clés et utilisez la commande user change-password dans le Cloud HSM CLI pour modifier le mot de passe du
kmsuser
compte. Ensuite, modifiez le kmsuser paramètre de mot de passe pour le magasin de clés personnalisé, et essayez de vous connecter à nouveau. Pour obtenir de l'aide, utilisez la procédure décrite dans la rubrique Comment corriger les informations d'identification kmsuser non valides. -
USER_LOGGED_IN
indique que le comptekmsuser
CU est connecté au AWS CloudHSM cluster. Cela empêche AWS KMS en changeant le mot de passe dukmsuser
compte et en se connectant au cluster. Pour corriger cette erreur, déconnectez le compte CUkmsuser
du cluster. Si vous avez modifié lekmsuser
mot de passe pour vous connecter au cluster, vous devez également mettre à jour la valeur du mot de passe du magasin de clés pour le AWS CloudHSM magasin de clés. Pour obtenir de l'aide, veuillez consulter Comment se déconnecter et se reconnecter. -
USER_NOT_FOUND
indique que AWS KMS Impossible de trouver un comptekmsuser
CU dans le AWS CloudHSM cluster. Pour corriger cette erreur, créez un compte kmsuser CU dans le cluster, puis mettez à jour la valeur du mot de passe du magasin de clés pour le AWS CloudHSM magasin de clés. Pour obtenir de l'aide, veuillez consulter Comment corriger les informations d'identification kmsuser non valides.
Comment répondre à un échec d'opération de chiffrement
Une opération cryptographique utilisant une KMS clé dans un magasin de clés personnalisé peut échouer avec unKMSInvalidStateException
. Les messages d'erreur suivants peuvent accompagner le KMSInvalidStateException
.
KMSne peut pas communiquer avec votre HSM cluster Cloud. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que le réseau ACLs et le groupe de sécurité appliquent les règles VPC de votre AWS CloudHSM les clusters sont corrects. |
-
Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut être due à des problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement due à la mauvaise configuration d'un composant réseau, tel qu'une règle de pare-feu ou une règle de groupe de VPC sécurité bloquant le trafic sortant.
KMSne peut pas communiquer avec votre AWS CloudHSM cluster car le kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le AWS CloudHSM stockez les clés et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande. |
-
Ce message d'erreur indique que le compte utilisateur kmsuser crypté (CU) est bloqué sur le compte associé AWS CloudHSM cluster en raison d'un trop grand nombre de tentatives de mot de passe infructueuses. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment se déconnecter et se connecter.
Comment corriger les informations d'identification kmsuser
non valides
Lorsque vous connectez un AWS CloudHSM magasin de clés, AWS KMS se connecte au AWS CloudHSM cluster en tant qu'utilisateur kmsuser cryptographique (CU). Il reste connecté jusqu'à ce que AWS CloudHSM le magasin de clés est déconnecté. La DescribeCustomKeyStoresréponse indique un ConnectionState
de FAILED
et une ConnectionErrorCode
valeur deINVALID_CREDENTIALS
, comme indiqué dans l'exemple suivant.
Si vous déconnectez le AWS CloudHSM stockez les clés et modifiez le kmsuser
mot de passe, AWS KMS
Impossible de se connecter au AWS CloudHSM cluster avec les informations d'identification du compte kmsuser
CU. Par conséquent, toutes les tentatives de connexion AWS CloudHSM échec du magasin de clés. La réponse DescribeCustomKeyStores
réponse affiche pour ConnectionState
la valeur FAILED
et pour ConnectionErrorCode
la valeur INVALID_CREDENTIALS
, comme indiqué dans l'exemple suivant.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
En outre, après cinq tentatives infructueuses de connexion au cluster avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.
If AWS KMS obtient une réponse de verrouillage lorsqu'il essaie de se connecter au cluster en tant que kmsuser
CU, la demande de connexion au AWS CloudHSM le magasin de clés échoue. La DescribeCustomKeyStoresréponse inclut un ConnectionState
de FAILED
et une ConnectionErrorCode
valeur deUSER_LOCKED_OUT
, comme indiqué dans l'exemple suivant.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleKeyStore
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }
Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante.
-
Exécutez l'DescribeCustomKeyStoresopération et visualisez la valeur de l'
ConnectionErrorCode
élément dans la réponse.-
Si la valeur de
ConnectionErrorCode
estINVALID_CREDENTIALS
, déterminez le mot de passe actuel pour le comptekmsuser
. Si nécessaire, utilisez la commande user change-password dans Cloud HSM CLI pour définir le mot de passe sur une valeur connue. -
Si la
ConnectionErrorCode
valeur estUSER_LOCKED_OUT
, vous devez utiliser la commande user change-password dans Cloud HSM CLI pour modifier lekmsuser
mot de passe.
-
-
Modifiez le mot de passe actuel de kmsuser afin qu'il corresponde au mot de passe actuel de
kmsuser
dans le cluster. Cette action indique AWS KMS quel mot de passe utiliser pour se connecter au cluster. Elle ne change pas le mot de passe dekmsuser
dans le cluster.
Comment supprimer les éléments de clé orphelins
Après avoir planifié la suppression d'une KMS clé d'un AWS CloudHSM magasin de clés, vous devrez peut-être supprimer manuellement le matériel clé correspondant dans le magasin associé AWS CloudHSM cluster.
Lorsque vous créez une KMS clé dans un AWS CloudHSM magasin de clés, AWS KMS crée les métadonnées KMS clés dans AWS KMS et génère le matériel clé dans le AWS CloudHSM cluster. Lorsque vous planifiez la suppression d'une KMS clé dans un AWS CloudHSM magasin de clés, après la période d'attente, AWS KMS supprime les métadonnées KMS clés. Puis AWS KMS fait de son mieux pour supprimer le matériel clé correspondant du AWS CloudHSM cluster. La tentative peut échouer si AWS KMS ne peut pas accéder au cluster, par exemple lorsqu'il est déconnecté du AWS CloudHSM magasin de clés ou modification du kmsuser
mot de passe. AWS KMS ne tente pas de supprimer les éléments clés des sauvegardes du cluster.
AWS KMS indique les résultats de sa tentative de suppression du contenu clé du cluster dans l'entrée d'DeleteKey
événement de votre AWS CloudTrail journaux. Ils apparaissent dans l'élément backingKeysDeletionStatus
de l'élément additionalEventData
, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également la KMS cléARN, le AWS CloudHSM ID du cluster et ID (backing-key-id
) du matériau clé.
{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"
backing-key-id
\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id
\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Remarques
Les procédures suivantes utilisent le AWS CloudHSM Outil de ligne de commande Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle
parkey-reference
.
Le 1er janvier 2025, AWS CloudHSM mettra fin à la prise en charge des outils de ligne de commande Client SDK 3, de l'utilitaire HSM de gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU). Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du client SDK 3 CMU KMU vers le cloud Client SDK 5 HSM CLI dans le AWS CloudHSM Guide de l'utilisateur.
Les procédures suivantes montrent comment supprimer le matériel clé orphelin du dossier associé. AWS CloudHSM cluster.
-
Déconnectez le AWS CloudHSM magasin de clés, s'il n'est pas déjà déconnecté, connectez-vous, comme expliqué dansComment se déconnecter et se connecter.
Note
Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
-
Utilisez la commande de suppression des touches dans le Cloud HSM CLI pour supprimer la HSMs clé du cluster.
Toutes les entrées du CloudTrail journal pour les opérations cryptographiques avec une KMS clé dans un AWS CloudHSM le magasin de clés inclut un
additionalEventData
champ avec lecustomKeyStoreId
etbackingKey
. La valeur renvoyée dans lebackingKeyId
champ est l'id
attribut Cloud HSM key. Nous vous recommandons de filtrer l'opération de suppression des clésid
afin de supprimer le contenu clé orphelin que vous avez identifié dans vos CloudTrail journaux.AWS CloudHSM reconnaît la
backingKeyId
valeur sous forme de valeur hexadécimale. Pour filtrer parid
, vous devez ajouter le motbackingKeyId
avecOx
. Par exemple, sibackingKeyId
dans votre CloudTrail journal l'est1a2b3c45678abcdef
, vous devez filtrer par0x1a2b3c45678abcdef
.L'exemple suivant supprime une clé de HSMs votre cluster. Le
backing-key-id
est répertorié dans l'entrée du CloudTrail journal. Avant d'exécuter cette commande, remplacez l'exemplebacking-key-id
par un exemple valide provenant de votre compte.aws-cloudhsm
key delete --filter attr.id="
0x<backing-key-id>
"{ "error_code": 0, "data": { "message": "Key deleted successfully" } }
-
Déconnectez-vous et reconnectez le AWS CloudHSM magasin de clés tel que décrit dansComment se déconnecter et se reconnecter.
Comment récupérer le contenu clé supprimé d'une KMS clé
Si le matériau clé d'un AWS KMS key est supprimée, la KMS clé est inutilisable et tout le texte chiffré sous la KMS clé ne peut pas être déchiffré. Cela peut se produire si le matériau clé d'une KMS clé se trouve dans un AWS CloudHSM le magasin de clés est supprimé du répertoire associé AWS CloudHSM cluster. Toutefois, il peut être possible de récupérer les clés.
Lorsque vous créez un AWS KMS key (KMSclé) dans un AWS CloudHSM magasin de clés, AWS KMS se connecte au AWS CloudHSM regroupe et crée le matériau clé pour la KMS clé. Il remplace également le mot de passe par une valeur qu'il est le seul à connaître et reste connecté tant que le AWS CloudHSM le magasin de clés est connecté. Étant donné que seul le propriétaire de la clé, c'est-à-dire le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimée HSMs accidentellement.
Toutefois, si le contenu clé d'une KMS clé est supprimé HSMs d'un cluster, l'état de la KMS clé finit par devenirUNAVAILABLE
. Si vous essayez d'utiliser la KMS clé pour une opération cryptographique, l'opération échoue avec une KMSInvalidStateException
exception. Plus important encore, les données chiffrées sous la KMS clé ne peuvent pas être déchiffrées.
Dans certains cas, vous pouvez récupérer les clés supprimés par en créant un cluster à partir d'une sauvegarde qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée.
Utilisez la procédure suivante pour récupérer les éléments de clé.
-
Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.
Utilisez l'DescribeBackupsopération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au AWS CloudHSM key store, utilisez le
Filters
paramètre, comme indiqué dans l'exemple suivant.$
aws cloudhsmv2 describe-backups --filters clusterIds=
<cluster ID>
{ "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] }
-
Créez un cluster à partir de la sauvegarde sélectionnée. Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite.
-
Déconnectez le AWS CloudHSM magasin de clés afin que vous puissiez modifier ses propriétés.
-
Modifiez l'ID de cluster du AWS CloudHSM magasin de clés. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide.
Comment se connecter en tant que kmsuser
Pour créer et gérer le contenu clé du AWS CloudHSM cluster pour votre AWS CloudHSM magasin de clés, AWS KMS utilise le compte utilisateur kmsuser cryptographique (CU). Vous créez le compte kmsuser CU dans votre cluster et vous fournissez son mot de passe à AWS KMS lorsque vous créez votre AWS CloudHSM magasin de clés.
En général, AWS KMS gère le kmsuser
compte. Toutefois, pour certaines tâches, vous devez déconnecter le AWS CloudHSM magasin de clés, connectez-vous au cluster en tant que kmsuser
CU et utilisez l'interface de ligne de HSM commande cloud (CLI).
Note
Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
Cette rubrique explique comment déconnecter votre AWS CloudHSM stockez les clés et connectez-vous en tant quekmsuser
, exécutez le AWS CloudHSM outil de ligne de commande, et déconnectez-vous et reconnectez votre AWS CloudHSM magasin de clés.
Comment se déconnecter et se connecter
Utilisez la procédure suivante à chaque fois pour vous connecter à un cluster associé en tant qu'utilisateur du kmsuser
chiffrement.
Remarques
Les procédures suivantes utilisent le AWS CloudHSM Outil de ligne de commande Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle
parkey-reference
.
Le 1er janvier 2025, AWS CloudHSM mettra fin à la prise en charge des outils de ligne de commande Client SDK 3, de l'utilitaire HSM de gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU). Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du client SDK 3 CMU KMU vers le cloud Client SDK 5 HSM CLI dans le AWS CloudHSM Guide de l'utilisateur.
-
Déconnectez le AWS CloudHSM magasin de clés, s'il n'est pas déjà déconnecté. Vous pouvez utiliser le plugin AWS KMS console ou AWS KMS API.
Alors que votre AWS CloudHSM la clé est connectée, AWS KMS est connecté en tant que
kmsuser
. Cela vous empêche de vous connecter commekmsuser
ou de modifier le mot de passekmsuser
.Par exemple, cette commande permet DisconnectCustomKeyStorede déconnecter un exemple de magasin de clés. Remplacez l'exemple AWS CloudHSM identifiant de magasin de clés valide.
$
aws kms disconnect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
Utilisez la commande de connexion pour vous connecter en tant qu'administrateur. Suivez les procédures décrites dans la HSM CLI section Utilisation du cloud du AWS CloudHSM Guide de l'utilisateur.
aws-cloudhsm >
login --username admin --role admin
Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
-
Utilisez la commande user change-password dans Cloud HSM CLI pour remplacer le mot de passe du
kmsuser
compte par un mot de passe que vous connaissez. (AWS KMS fait pivoter le mot de passe lorsque vous connectez votre AWS CloudHSM magasin de clés.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux. -
Connectez-vous en
kmsuser
utilisant le mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la HSM CLI section Utilisation du cloud du AWS CloudHSM Guide de l'utilisateur.aws-cloudhsm >
login --username kmsuser --role crypto-user
Enter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }
Comment se déconnecter et se reconnecter
Suivez la procédure suivante chaque fois que vous devez vous déconnecter en tant qu'utilisateur kmsuser
cryptographique et reconnecter votre magasin de clés.
Remarques
Les procédures suivantes utilisent le AWS CloudHSM Outil de ligne de commande Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle
parkey-reference
.
Le 1er janvier 2025, AWS CloudHSM mettra fin à la prise en charge des outils de ligne de commande Client SDK 3, de l'utilitaire HSM de gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU). Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du client SDK 3 CMU KMU vers le cloud Client SDK 5 HSM CLI dans le AWS CloudHSM Guide de l'utilisateur.
-
Effectuez la tâche, puis utilisez la commande de déconnexion dans le Cloud HSM CLI pour vous déconnecter. Si vous ne vous déconnectez pas, tente de reconnecter votre AWS CloudHSM le magasin de clés échouera.
aws-cloudhsm
logout
{ "error_code": 0, "data": "Logout successful" }
-
Modifiez le paramètre de mot de passe de kmsuser pour le magasin de clés personnalisé.
Cela indique AWS KMS le mot de passe actuel pour
kmsuser
le cluster. Si vous omettez cette étape, AWS KMS ne pourra pas se connecter au cluster carkmsuser
, et toutes les tentatives de reconnexion à votre magasin de clés personnalisé échoueront. Vous pouvez utiliser le plugin AWS KMS console ouKeyStorePassword
paramètre de l'UpdateCustomKeyStoreopération.Par exemple, cette commande indique AWS KMS que le mot de passe actuel est
tempPassword
. Remplacez l'exemple de mot de passe par le mot de passe réel.$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--key-store-passwordtempPassword
-
Reconnectez le AWS KMS magasin de clés pour ses AWS CloudHSM cluster. Remplacez l'exemple AWS CloudHSM identifiant de magasin de clés valide. Au cours du processus de connexion, AWS KMS remplace le
kmsuser
mot de passe par une valeur qu'il est le seul à connaître.L'ConnectCustomKeyStoreopération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.
$
aws kms connect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
-
Utilisez l'DescribeCustomKeyStoresopération pour vérifier que le AWS CloudHSM le magasin de clés est connecté. Remplacez l'exemple AWS CloudHSM identifiant de magasin de clés valide.
Dans cet exemple, le champ d'état de connexion indique que AWS CloudHSM le magasin de clés est désormais connecté.
$
aws kms describe-custom-key-stores --custom-key-store-id
cks-1234567890abcdef0
{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "
<certificate string appears here>
", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }