Dépannage d'un magasin de clés personnalisé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Dépannage d'un magasin de clés personnalisé

AWS CloudHSM les magasins clés sont conçus pour être disponibles et résilients. Cependant, il existe certaines conditions d'erreur que vous devrez peut-être réparer pour conserver votre AWS CloudHSM magasin de clés opérationnel.

Comment réparer les KMS clés non disponibles

L'état clé de AWS KMS keys dans un AWS CloudHSM le magasin de clés est généralementEnabled. Comme toutes les KMS touches, l'état des touches change lorsque vous les KMS désactivez dans un AWS CloudHSM stockez les clés ou planifiez leur suppression. Cependant, contrairement aux autres KMS clés, les KMS clés d'un magasin de clés personnalisé peuvent également avoir un état clé deUnavailable.

Un état clé égal à Unavailable indique que la KMS clé se trouve dans un magasin de clés personnalisé qui a été déconnecté intentionnellement et que les tentatives de reconnexion ont échoué, le cas échéant. Lorsqu'une KMS clé n'est pas disponible, vous pouvez la consulter et la KMS gérer, mais vous ne pouvez pas l'utiliser pour des opérations cryptographiques.

Pour connaître l'état d'une KMS clé, sur la page Clés gérées par le client, consultez le champ État de la KMS clé. Vous pouvez également utiliser l'DescribeKeyopération et afficher l'KeyStateélément dans la réponse. Pour plus de détails, consultez Affichage des clés.

Les KMS clés d'un magasin de clés personnalisé déconnecté auront l'état clé Unavailable ouPendingDeletion. KMSles clés dont la suppression est planifiée dans un magasin de clés personnalisé ont un état Pending Deletion clé, même lorsque le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé.

Pour réparer une KMS clé non disponible, reconnectez le magasin de clés personnalisé. Une fois le magasin de clés personnalisé reconnecté, l'état des KMS clés du magasin de clés personnalisé est automatiquement rétabli à son état précédent, tel que Enabled ouDisabled. KMSles clés en attente de suppression restent dans leur PendingDeletion état. Toutefois, tant que le problème persiste, l'activation et la désactivation d'une KMS clé non disponible ne modifient pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.

Pour obtenir de l'aide concernant les connexions ayant échoué, consultez Comment corriger un échec de connexion.

Comment réparer une KMS clé défaillante

Problèmes liés à la création et à l'utilisation de KMS clés dans AWS CloudHSM les magasins à clés peuvent être causés par un problème avec votre AWS CloudHSM magasin de clés, son associé AWS CloudHSM le cluster, la KMS clé ou son matériau clé.

Quand un AWS CloudHSM le magasin de clés est déconnecté de son AWS CloudHSM cluster, l'état clé des KMS clés dans le magasin de clés personnalisé estUnavailable. Toutes les demandes de création de KMS clés dans un environnement déconnecté AWS CloudHSM key store renvoie une CustomKeyStoreInvalidStateException exception. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception KMSInvalidStateException. Pour résoudre le problème, reconnectez le AWS CloudHSM magasin de clés.

Cependant, vos tentatives d'utilisation d'une KMS clé dans un AWS CloudHSM Un magasin de clés pour les opérations cryptographiques peut échouer même si son état de clé est Enabled et l'état de connexion du AWS CloudHSM Le magasin de clés estConnected. Cela peut être dû à l'une des conditions suivantes.

  • Le matériau clé de la KMS clé a peut-être été supprimé de la liste associée AWS CloudHSM cluster. Pour étudier, trouvez l'identifiant du matériau clé d'une KMS clé et, si nécessaire, essayez de le récupérer.

  • Tous HSMs ont été supprimés du AWS CloudHSM cluster associé au AWS CloudHSM magasin de clés. Pour utiliser une KMS clé dans un AWS CloudHSM stockage de clés dans une opération cryptographique, son AWS CloudHSM le cluster doit contenir au moins un actifHSM. Pour vérifier le numéro et l'état HSMs d'un AWS CloudHSM cluster, utilisez le AWS CloudHSM console ou DescribeClustersopération. Pour ajouter un HSM au cluster, utilisez AWS CloudHSM console ou CreateHsmopération.

  • Le AWS CloudHSM cluster associé au AWS CloudHSM le magasin de clés a été supprimé. Pour corriger le problème, créez un cluster à partir d'une sauvegarde qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, modifiez l'ID de cluster dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, consultez Comment récupérer le contenu clé supprimé d'une KMS clé.

  • Le AWS CloudHSM le cluster associé au magasin de clés personnalisé n'avait aucune session PKCS #11 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour répondre à un message KMSInternalException d'erreur concernant les sessions PKCS #11, faites une pause et réessayez la demande.

Comment corriger un échec de connexion

Si vous essayez de connecter un AWS CloudHSM magasin de clés pour ses AWS CloudHSM cluster, mais l'opération échoue, l'état de connexion du AWS CloudHSM modifications apportées au magasin de clés versFAILED. Pour connaître l'état de connexion d'un AWS CloudHSM magasin de clés, utilisez le AWS KMS console ou DescribeCustomKeyStoresopération.

Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours DISCONNECTED. Ces échecs renvoient un message d'erreur ou une exception qui explique pourquoi la tentative a échoué. Passez en revue la description de l'exception et les exigences du cluster, corrigez le problème, mettez à jour le AWS CloudHSM stockez les clés, si nécessaire, et réessayez de vous connecter.

Lorsque l'état de connexion est FAILED défini, exécutez l'DescribeCustomKeyStoresopération et voyez l'ConnectionErrorCodeélément dans la réponse.

Note

Lorsque l'état de connexion d'un AWS CloudHSM le magasin de clés est FAILED que vous devez déconnecter le AWS CloudHSM magasin de clés avant de tenter de le reconnecter. Vous ne pouvez pas connecter un AWS CloudHSM magasin de clés avec état de FAILED connexion.

Comment répondre à un échec d'opération de chiffrement

Une opération cryptographique utilisant une KMS clé dans un magasin de clés personnalisé peut échouer avec unKMSInvalidStateException. Les messages d'erreur suivants peuvent accompagner le KMSInvalidStateException.

KMSne peut pas communiquer avec votre HSM cluster Cloud. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que le réseau ACLs et le groupe de sécurité appliquent les règles VPC de votre AWS CloudHSM les clusters sont corrects.
  • Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut être due à des problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement due à la mauvaise configuration d'un composant réseau, tel qu'une règle de pare-feu ou une règle de groupe de VPC sécurité bloquant le trafic sortant.

KMSne peut pas communiquer avec votre AWS CloudHSM cluster car le kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le AWS CloudHSM stockez les clés et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande.

Comment corriger les informations d'identification kmsuser non valides

Lorsque vous connectez un AWS CloudHSM magasin de clés, AWS KMS se connecte au AWS CloudHSM cluster en tant qu'utilisateur kmsuser cryptographique (CU). Il reste connecté jusqu'à ce que AWS CloudHSM le magasin de clés est déconnecté. La DescribeCustomKeyStoresréponse indique un ConnectionState de FAILED et une ConnectionErrorCode valeur deINVALID_CREDENTIALS, comme indiqué dans l'exemple suivant.

Si vous déconnectez le AWS CloudHSM stockez les clés et modifiez le kmsuser mot de passe, AWS KMS Impossible de se connecter au AWS CloudHSM cluster avec les informations d'identification du compte kmsuser CU. Par conséquent, toutes les tentatives de connexion AWS CloudHSM échec du magasin de clés. La réponse DescribeCustomKeyStores réponse affiche pour ConnectionState la valeur FAILED et pour ConnectionErrorCode la valeur INVALID_CREDENTIALS, comme indiqué dans l'exemple suivant.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }

En outre, après cinq tentatives infructueuses de connexion au cluster avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.

If AWS KMS obtient une réponse de verrouillage lorsqu'il essaie de se connecter au cluster en tant que kmsuser CU, la demande de connexion au AWS CloudHSM le magasin de clés échoue. La DescribeCustomKeyStoresréponse inclut un ConnectionState de FAILED et une ConnectionErrorCode valeur deUSER_LOCKED_OUT, comme indiqué dans l'exemple suivant.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }

Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante.

  1. Déconnectez le AWS CloudHSM magasin de clés.

  2. Exécutez l'DescribeCustomKeyStoresopération et visualisez la valeur de l'ConnectionErrorCodeélément dans la réponse.

    • Si la valeur de ConnectionErrorCode est INVALID_CREDENTIALS, déterminez le mot de passe actuel pour le compte kmsuser. Si nécessaire, utilisez la commande user change-password dans Cloud HSM CLI pour définir le mot de passe sur une valeur connue.

    • Si la ConnectionErrorCode valeur estUSER_LOCKED_OUT, vous devez utiliser la commande user change-password dans Cloud HSM CLI pour modifier le kmsuser mot de passe.

  3. Modifiez le mot de passe actuel de kmsuser afin qu'il corresponde au mot de passe actuel de kmsuser dans le cluster. Cette action indique AWS KMS quel mot de passe utiliser pour se connecter au cluster. Elle ne change pas le mot de passe de kmsuser dans le cluster.

  4. Connectez le magasin de clés personnalisé.

Comment supprimer les éléments de clé orphelins

Après avoir planifié la suppression d'une KMS clé d'un AWS CloudHSM magasin de clés, vous devrez peut-être supprimer manuellement le matériel clé correspondant dans le magasin associé AWS CloudHSM cluster.

Lorsque vous créez une KMS clé dans un AWS CloudHSM magasin de clés, AWS KMS crée les métadonnées KMS clés dans AWS KMS et génère le matériel clé dans le AWS CloudHSM cluster. Lorsque vous planifiez la suppression d'une KMS clé dans un AWS CloudHSM magasin de clés, après la période d'attente, AWS KMS supprime les métadonnées KMS clés. Puis AWS KMS fait de son mieux pour supprimer le matériel clé correspondant du AWS CloudHSM cluster. La tentative peut échouer si AWS KMS ne peut pas accéder au cluster, par exemple lorsqu'il est déconnecté du AWS CloudHSM magasin de clés ou modification du kmsuser mot de passe. AWS KMS ne tente pas de supprimer les éléments clés des sauvegardes du cluster.

AWS KMS indique les résultats de sa tentative de suppression du contenu clé du cluster dans l'entrée d'DeleteKeyévénement de votre AWS CloudTrail journaux. Ils apparaissent dans l'élément backingKeysDeletionStatus de l'élément additionalEventData, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également la KMS cléARN, le AWS CloudHSM ID du cluster et ID (backing-key-id) du matériau clé.

{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Remarques

Les procédures suivantes utilisent le AWS CloudHSM Outil de ligne de commande Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, AWS CloudHSM mettra fin à la prise en charge des outils de ligne de commande Client SDK 3, de l'utilitaire HSM de gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU). Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du client SDK 3 CMU KMU vers le cloud Client SDK 5 HSM CLI dans le AWS CloudHSM Guide de l'utilisateur.

Les procédures suivantes montrent comment supprimer le matériel clé orphelin du dossier associé. AWS CloudHSM cluster.

  1. Déconnectez le AWS CloudHSM magasin de clés, s'il n'est pas déjà déconnecté, connectez-vous, comme expliqué dansComment se déconnecter et se connecter.

    Note

    Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

  2. Utilisez la commande de suppression des touches dans le Cloud HSM CLI pour supprimer la HSMs clé du cluster.

    Toutes les entrées du CloudTrail journal pour les opérations cryptographiques avec une KMS clé dans un AWS CloudHSM le magasin de clés inclut un additionalEventData champ avec le customKeyStoreId etbackingKey. La valeur renvoyée dans le backingKeyId champ est l'idattribut Cloud HSM key. Nous vous recommandons de filtrer l'opération de suppression des clés id afin de supprimer le contenu clé orphelin que vous avez identifié dans vos CloudTrail journaux.

    AWS CloudHSM reconnaît la backingKeyId valeur sous forme de valeur hexadécimale. Pour filtrer parid, vous devez ajouter le mot backingKeyId avecOx. Par exemple, si backingKeyId dans votre CloudTrail journal l'est1a2b3c45678abcdef, vous devez filtrer par0x1a2b3c45678abcdef.

    L'exemple suivant supprime une clé de HSMs votre cluster. Le backing-key-id est répertorié dans l'entrée du CloudTrail journal. Avant d'exécuter cette commande, remplacez l'exemple backing-key-id par un exemple valide provenant de votre compte.

    aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>" { "error_code": 0, "data": { "message": "Key deleted successfully" } }
  3. Déconnectez-vous et reconnectez le AWS CloudHSM magasin de clés tel que décrit dansComment se déconnecter et se reconnecter.

Comment récupérer le contenu clé supprimé d'une KMS clé

Si le matériau clé d'un AWS KMS key est supprimée, la KMS clé est inutilisable et tout le texte chiffré sous la KMS clé ne peut pas être déchiffré. Cela peut se produire si le matériau clé d'une KMS clé se trouve dans un AWS CloudHSM le magasin de clés est supprimé du répertoire associé AWS CloudHSM cluster. Toutefois, il peut être possible de récupérer les clés.

Lorsque vous créez un AWS KMS key (KMSclé) dans un AWS CloudHSM magasin de clés, AWS KMS se connecte au AWS CloudHSM regroupe et crée le matériau clé pour la KMS clé. Il remplace également le mot de passe par une valeur qu'il est le seul à connaître et reste connecté tant que le AWS CloudHSM le magasin de clés est connecté. Étant donné que seul le propriétaire de la clé, c'est-à-dire le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimée HSMs accidentellement.

Toutefois, si le contenu clé d'une KMS clé est supprimé HSMs d'un cluster, l'état de la KMS clé finit par devenirUNAVAILABLE. Si vous essayez d'utiliser la KMS clé pour une opération cryptographique, l'opération échoue avec une KMSInvalidStateException exception. Plus important encore, les données chiffrées sous la KMS clé ne peuvent pas être déchiffrées.

Dans certains cas, vous pouvez récupérer les clés supprimés par en créant un cluster à partir d'une sauvegarde qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée.

Utilisez la procédure suivante pour récupérer les éléments de clé.

  1. Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.

    Utilisez l'DescribeBackupsopération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au AWS CloudHSM key store, utilisez le Filters paramètre, comme indiqué dans l'exemple suivant.

    $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID> { "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] }
  2. Créez un cluster à partir de la sauvegarde sélectionnée. Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite.

  3. Déconnectez le AWS CloudHSM magasin de clés afin que vous puissiez modifier ses propriétés.

  4. Modifiez l'ID de cluster du AWS CloudHSM magasin de clés. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide.

  5. Reconnectez le AWS CloudHSM magasin de clés.

Comment se connecter en tant que kmsuser

Pour créer et gérer le contenu clé du AWS CloudHSM cluster pour votre AWS CloudHSM magasin de clés, AWS KMS utilise le compte utilisateur kmsuser cryptographique (CU). Vous créez le compte kmsuser CU dans votre cluster et vous fournissez son mot de passe à AWS KMS lorsque vous créez votre AWS CloudHSM magasin de clés.

En général, AWS KMS gère le kmsuser compte. Toutefois, pour certaines tâches, vous devez déconnecter le AWS CloudHSM magasin de clés, connectez-vous au cluster en tant que kmsuser CU et utilisez l'interface de ligne de HSM commande cloud (CLI).

Note

Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Cette rubrique explique comment déconnecter votre AWS CloudHSM stockez les clés et connectez-vous en tant quekmsuser, exécutez le AWS CloudHSM outil de ligne de commande, et déconnectez-vous et reconnectez votre AWS CloudHSM magasin de clés.

Comment se déconnecter et se connecter

Utilisez la procédure suivante à chaque fois pour vous connecter à un cluster associé en tant qu'utilisateur du kmsuser chiffrement.

Remarques

Les procédures suivantes utilisent le AWS CloudHSM Outil de ligne de commande Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, AWS CloudHSM mettra fin à la prise en charge des outils de ligne de commande Client SDK 3, de l'utilitaire HSM de gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU). Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du client SDK 3 CMU KMU vers le cloud Client SDK 5 HSM CLI dans le AWS CloudHSM Guide de l'utilisateur.

  1. Déconnectez le AWS CloudHSM magasin de clés, s'il n'est pas déjà déconnecté. Vous pouvez utiliser le plugin AWS KMS console ou AWS KMS API.

    Alors que votre AWS CloudHSM la clé est connectée, AWS KMS est connecté en tant quekmsuser. Cela vous empêche de vous connecter comme kmsuser ou de modifier le mot de passe kmsuser.

    Par exemple, cette commande permet DisconnectCustomKeyStorede déconnecter un exemple de magasin de clés. Remplacez l'exemple AWS CloudHSM identifiant de magasin de clés valide.

    $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
  2. Utilisez la commande de connexion pour vous connecter en tant qu'administrateur. Suivez les procédures décrites dans la HSM CLI section Utilisation du cloud du AWS CloudHSM Guide de l'utilisateur.

    aws-cloudhsm > login --username admin --role admin Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
  3. Utilisez la commande user change-password dans Cloud HSM CLI pour remplacer le mot de passe du kmsuser compte par un mot de passe que vous connaissez. (AWS KMS fait pivoter le mot de passe lorsque vous connectez votre AWS CloudHSM magasin de clés.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

  4. Connectez-vous en kmsuser utilisant le mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la HSM CLI section Utilisation du cloud du AWS CloudHSM Guide de l'utilisateur.

    aws-cloudhsm > login --username kmsuser --role crypto-user Enter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }

Comment se déconnecter et se reconnecter

Suivez la procédure suivante chaque fois que vous devez vous déconnecter en tant qu'utilisateur kmsuser cryptographique et reconnecter votre magasin de clés.

Remarques

Les procédures suivantes utilisent le AWS CloudHSM Outil de ligne de commande Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, AWS CloudHSM mettra fin à la prise en charge des outils de ligne de commande Client SDK 3, de l'utilitaire HSM de gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU). Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du client SDK 3 CMU KMU vers le cloud Client SDK 5 HSM CLI dans le AWS CloudHSM Guide de l'utilisateur.

  1. Effectuez la tâche, puis utilisez la commande de déconnexion dans le Cloud HSM CLI pour vous déconnecter. Si vous ne vous déconnectez pas, tente de reconnecter votre AWS CloudHSM le magasin de clés échouera.

    aws-cloudhsm logout { "error_code": 0, "data": "Logout successful" }
  2. Modifiez le paramètre de mot de passe de kmsuser pour le magasin de clés personnalisé.

    Cela indique AWS KMS le mot de passe actuel pour kmsuser le cluster. Si vous omettez cette étape, AWS KMS ne pourra pas se connecter au cluster carkmsuser, et toutes les tentatives de reconnexion à votre magasin de clés personnalisé échoueront. Vous pouvez utiliser le plugin AWS KMS console ou KeyStorePassword paramètre de l'UpdateCustomKeyStoreopération.

    Par exemple, cette commande indique AWS KMS que le mot de passe actuel esttempPassword. Remplacez l'exemple de mot de passe par le mot de passe réel.

    $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
  3. Reconnectez le AWS KMS magasin de clés pour ses AWS CloudHSM cluster. Remplacez l'exemple AWS CloudHSM identifiant de magasin de clés valide. Au cours du processus de connexion, AWS KMS remplace le kmsuser mot de passe par une valeur qu'il est le seul à connaître.

    L'ConnectCustomKeyStoreopération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.

    $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
  4. Utilisez l'DescribeCustomKeyStoresopération pour vérifier que le AWS CloudHSM le magasin de clés est connecté. Remplacez l'exemple AWS CloudHSM identifiant de magasin de clés valide.

    Dans cet exemple, le champ d'état de connexion indique que AWS CloudHSM le magasin de clés est désormais connecté.

    $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }