Dépannage d'un magasin de clés personnalisé - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Dépannage d'un magasin de clés personnalisé

AWS CloudHSM les magasins clés sont conçus pour être disponibles et résilients. Cependant, vous devrez peut-être corriger certaines erreurs pour que votre magasin de AWS CloudHSM clés reste opérationnel.

Comment réparer les KMS clés non disponibles

L'état clé de AWS KMS keys dans un magasin de AWS CloudHSM clés est généralementEnabled. Comme toutes les KMS clés, l'état des clés change lorsque vous les KMS désactivez dans un magasin de AWS CloudHSM clés ou que vous planifiez leur suppression. Cependant, contrairement aux autres KMS clés, les KMS clés d'un magasin de clés personnalisé peuvent également avoir un état clé deUnavailable.

Un état clé égal à Unavailable indique que la KMS clé se trouve dans un magasin de clés personnalisé qui a été déconnecté intentionnellement et que les tentatives de reconnexion ont échoué, le cas échéant. Lorsqu'une KMS clé n'est pas disponible, vous pouvez la consulter et la KMS gérer, mais vous ne pouvez pas l'utiliser pour des opérations cryptographiques.

Pour connaître l'état d'une KMS clé, sur la page Clés gérées par le client, consultez le champ État de la KMS clé. Vous pouvez également utiliser l'DescribeKeyopération et afficher l'KeyStateélément dans la réponse. Pour plus de détails, consultez Identifier et afficher les clés.

Les KMS clés d'un magasin de clés personnalisé déconnecté auront l'état clé Unavailable ouPendingDeletion. KMSles clés dont la suppression est planifiée dans un magasin de clés personnalisé ont un état Pending Deletion clé, même lorsque le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé.

Pour réparer une KMS clé non disponible, reconnectez le magasin de clés personnalisé. Une fois le magasin de clés personnalisé reconnecté, l'état des KMS clés du magasin de clés personnalisé est automatiquement rétabli à son état précédent, tel que Enabled ouDisabled. KMSles clés en attente de suppression restent dans leur PendingDeletion état. Toutefois, tant que le problème persiste, l'activation et la désactivation d'une KMS clé non disponible ne modifient pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.

Pour obtenir de l'aide concernant les connexions ayant échoué, consultez Comment corriger un échec de connexion.

Comment réparer une KMS clé défaillante

Les problèmes liés à la création et à l'utilisation de KMS AWS CloudHSM clés dans les magasins de clés peuvent être dus à un problème lié à votre magasin de AWS CloudHSM clés, à son AWS CloudHSM cluster associé, à la KMS clé ou à son contenu clé.

Lorsqu'un magasin de AWS CloudHSM clés est déconnecté de son AWS CloudHSM cluster, l'état clé des KMS clés dans le magasin de clés personnalisé estUnavailable. Toutes les demandes de création de KMS clés dans un magasin de AWS CloudHSM clés déconnecté renvoient une CustomKeyStoreInvalidStateException exception. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception KMSInvalidStateException. Pour résoudre le problème, reconnectez le magasin de AWS CloudHSM clés.

Cependant, vos tentatives d'utilisation d'une KMS clé dans un magasin de AWS CloudHSM clés pour des opérations cryptographiques peuvent échouer même si l'état de la clé est Enabled le même que celui de la connexion du magasin de AWS CloudHSM clés. Connected Cela peut être dû à l'une des conditions suivantes.

  • Le matériau clé de la KMS clé a peut-être été supprimé du AWS CloudHSM cluster associé. Pour étudier, trouvez l'identifiant du matériau clé d'une KMS clé et, si nécessaire, essayez de le récupérer.

  • Tous HSMs ont été supprimés du AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés. Pour utiliser une KMS clé d'un magasin de AWS CloudHSM clés dans le cadre d'une opération cryptographique, son AWS CloudHSM cluster doit contenir au moins une clé activeHSM. Pour vérifier le nombre et l'état de HSMs dans un AWS CloudHSM cluster, utilisez la AWS CloudHSM console ou l'DescribeClustersopération. Pour ajouter un HSM au cluster, utilisez la AWS CloudHSM console ou l'CreateHsmopération.

  • Le AWS CloudHSM cluster associé au magasin de AWS CloudHSM clés a été supprimé. Pour corriger le problème, créez un cluster à partir d'une sauvegarde qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, modifiez l'ID de cluster dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, consultez Comment récupérer le contenu clé supprimé d'une KMS clé.

  • Le AWS CloudHSM cluster associé au magasin de clés personnalisé n'avait aucune session PKCS #11 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour répondre à un message KMSInternalException d'erreur concernant les sessions PKCS #11, faites une pause et réessayez la demande.

Comment corriger un échec de connexion

Si vous essayez de connecter un magasin de AWS CloudHSM clés à son AWS CloudHSM cluster, mais que l'opération échoue, l'état de connexion du magasin de AWS CloudHSM clés passe àFAILED. Pour connaître l'état de connexion d'un magasin de AWS CloudHSM clés, utilisez la AWS KMS console ou l'DescribeCustomKeyStoresopération.

Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours DISCONNECTED. Ces échecs renvoient un message d'erreur ou une exception qui explique pourquoi la tentative a échoué. Consultez la description de l'exception et les exigences du cluster, résolvez le problème, mettez à jour le magasin de AWS CloudHSM clés, si nécessaire, et réessayez de vous connecter.

Lorsque l'état de connexion est FAILED défini, exécutez l'DescribeCustomKeyStoresopération et voyez l'ConnectionErrorCodeélément dans la réponse.

Note

Lorsque l'état de connexion d'un magasin de AWS CloudHSM clés est FAILED atteint, vous devez le AWS CloudHSM déconnecter avant de tenter de le reconnecter. Vous ne pouvez pas connecter un magasin de AWS CloudHSM clés doté d'un état de FAILED connexion.

Comment répondre à un échec d'opération de chiffrement

Une opération cryptographique qui utilise une KMS clé dans un magasin de clés personnalisé peut échouer avec unKMSInvalidStateException. Les messages d'erreur suivants peuvent accompagner le KMSInvalidStateException.

KMSne peut pas communiquer avec votre HSM cluster Cloud. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que les règles du réseau ACLs et du groupe de sécurité VPC de votre AWS CloudHSM cluster sont correctes.
  • Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut être due à des problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement due à la mauvaise configuration d'un composant réseau, tel qu'une règle de pare-feu ou une règle de groupe de VPC sécurité bloquant le trafic sortant.

KMSImpossible de communiquer avec votre AWS CloudHSM cluster car le kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le magasin de AWS CloudHSM clés et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande.

Comment corriger les informations d'identification kmsuser non valides

Lorsque vous connectez un magasin de AWS CloudHSM clés, vous AWS KMS vous connectez au AWS CloudHSM cluster associé en tant qu'utilisateur kmsuser cryptographique (CU). Il reste connecté jusqu'à ce que le magasin de AWS CloudHSM clés soit déconnecté. La DescribeCustomKeyStoresréponse indique un ConnectionState de FAILED et une ConnectionErrorCode valeur deINVALID_CREDENTIALS, comme indiqué dans l'exemple suivant.

Si vous déconnectez le magasin de AWS CloudHSM clés et modifiez le kmsuser mot de passe, vous AWS KMS ne pouvez pas vous connecter au AWS CloudHSM cluster avec les informations d'identification du compte kmsuser CU. Par conséquent, toutes les tentatives de connexion au magasin de AWS CloudHSM clés échouent. La réponse DescribeCustomKeyStores réponse affiche pour ConnectionState la valeur FAILED et pour ConnectionErrorCode la valeur INVALID_CREDENTIALS, comme indiqué dans l'exemple suivant.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }

De plus, au bout de cinq tentatives de connexion au cluster ayant échoué avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.

S'il AWS KMS obtient une réponse de verrouillage lorsqu'il essaie de se connecter au cluster en tant que kmsuser CU, la demande de connexion au magasin de AWS CloudHSM clés échoue. La DescribeCustomKeyStoresréponse inclut un ConnectionState de FAILED et une ConnectionErrorCode valeur deUSER_LOCKED_OUT, comme indiqué dans l'exemple suivant.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "USER_LOCKED_OUT" "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" ], }

Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante.

  1. Déconnectez le magasin de AWS CloudHSM clés.

  2. Exécutez l'DescribeCustomKeyStoresopération et visualisez la valeur de l'ConnectionErrorCodeélément dans la réponse.

    • Si la valeur de ConnectionErrorCode est INVALID_CREDENTIALS, déterminez le mot de passe actuel pour le compte kmsuser. Si nécessaire, utilisez la commande user change-password dans Cloud HSM CLI pour définir le mot de passe sur une valeur connue.

    • Si la ConnectionErrorCode valeur est égale à cette valeurUSER_LOCKED_OUT, vous devez utiliser la commande user change-password dans le Cloud HSM CLI pour modifier le kmsuser mot de passe.

  3. Modifiez le mot de passe actuel de kmsuser afin qu'il corresponde au mot de passe actuel de kmsuser dans le cluster. Cette action indique à AWS KMS le mot de passe à utiliser pour se connecter au cluster. Elle ne change pas le mot de passe de kmsuser dans le cluster.

  4. Connectez le magasin de clés personnalisé.

Comment supprimer les éléments de clé orphelins

Après avoir planifié la suppression d'KMSune AWS CloudHSM clé d'un magasin de clés, vous devrez peut-être supprimer manuellement le matériel clé correspondant du AWS CloudHSM cluster associé.

Lorsque vous créez une KMS clé dans un magasin de AWS CloudHSM clés, vous AWS KMS créez les métadonnées KMS clés AWS KMS et générez le matériel clé dans le AWS CloudHSM cluster associé. Lorsque vous planifiez la suppression d'une KMS clé dans un magasin de AWS CloudHSM clés, les métadonnées KMS clés sont AWS KMS supprimées après la période d'attente. AWS KMS Fait ensuite de son mieux pour supprimer le matériel clé correspondant du AWS CloudHSM cluster. La tentative peut échouer si vous AWS KMS ne pouvez pas accéder au cluster, par exemple en cas de déconnexion du magasin de AWS CloudHSM clés ou de modification du kmsuser mot de passe. AWS KMS ne tente pas de supprimer les éléments clés des sauvegardes du cluster.

AWS KMS rapporte les résultats de sa tentative de suppression du contenu clé du cluster lors de DeleteKey la saisie de vos AWS CloudTrail journaux. Ils apparaissent dans l'élément backingKeysDeletionStatus de l'élément additionalEventData, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également la KMS cléARN, l'ID du AWS CloudHSM cluster et l'ID (backing-key-id) du matériel clé.

{ "eventVersion": "1.08", "userIdentity": { "accountId": "111122223333", "invokedBy": "AWS Internal" }, "eventTime": "2021-12-10T14:23:51Z", "eventSource": "kms.amazonaws.com", "eventName": "DeleteKey", "awsRegion": "us-west-2", "sourceIPAddress": "AWS Internal", "userAgent": "AWS Internal", "requestParameters": null, "responseElements": { "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" }, "additionalEventData": { "customKeyStoreId": "cks-1234567890abcdef0", "clusterId": "cluster-1a23b4cdefg", "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]", "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]" }, "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab" } ], "eventType": "AwsServiceEvent", "recipientAccountId": "111122223333", "managementEvent": true, "eventCategory": "Management" }
Remarques

Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.

Les procédures suivantes montrent comment supprimer le matériel clé orphelin du AWS CloudHSM cluster associé.

  1. Déconnectez le magasin de AWS CloudHSM clés, s'il n'est pas déjà déconnecté, puis connectez-vous, comme expliqué dansComment se déconnecter et se connecter.

    Note

    Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

  2. Utilisez la commande de suppression des touches dans le Cloud HSM CLI pour supprimer la HSMs clé du cluster.

    Toutes les entrées de CloudTrail journal relatives à une opération cryptographique avec une KMS clé dans un magasin de AWS CloudHSM clés incluent un additionalEventData champ avec le customKeyStoreId etbackingKey. La valeur renvoyée dans le backingKeyId champ est l'idattribut Cloud HSM key. Nous vous recommandons de filtrer l'opération de suppression des clés id afin de supprimer le contenu clé orphelin que vous avez identifié dans vos CloudTrail journaux.

    AWS CloudHSM reconnaît la backingKeyId valeur sous forme de valeur hexadécimale. Pour filtrer parid, vous devez ajouter le mot backingKeyId avecOx. Par exemple, si backingKeyId dans votre CloudTrail journal l'est1a2b3c45678abcdef, vous devez filtrer par0x1a2b3c45678abcdef.

    L'exemple suivant supprime une clé de HSMs votre cluster. Le backing-key-id est répertorié dans l'entrée du CloudTrail journal. Avant d'exécuter cette commande, remplacez l'exemple backing-key-id par un exemple valide provenant de votre compte.

    aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>" { "error_code": 0, "data": { "message": "Key deleted successfully" } }
  3. Déconnectez-vous et reconnectez le magasin de AWS CloudHSM clés comme décrit dansComment se déconnecter et se reconnecter.

Comment récupérer le contenu clé supprimé d'une KMS clé

Si le contenu clé d'un AWS KMS key est supprimé, la KMS clé est inutilisable et tout le texte chiffré sous la KMS clé ne peut pas être déchiffré. Cela peut se produire si le contenu clé d'une KMS clé d'un magasin de AWS CloudHSM clés est supprimé du AWS CloudHSM cluster associé. Toutefois, il peut être possible de récupérer les clés.

Lorsque vous créez une AWS KMS key (KMSclé) dans un magasin de AWS CloudHSM clés, AWS KMS vous vous connectez au AWS CloudHSM cluster associé et créez le matériau clé pour la KMS clé. Il remplace également le mot de passe par une valeur qu'il est le seul à connaître et reste connecté tant que le magasin de AWS CloudHSM clés est connecté. Étant donné que seul le propriétaire de la clé, c'est-à-dire le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimée HSMs accidentellement.

Toutefois, si le contenu clé d'une KMS clé est supprimé HSMs d'un cluster, l'état de la KMS clé finit par devenirUNAVAILABLE. Si vous essayez d'utiliser la KMS clé pour une opération cryptographique, l'opération échoue avec une KMSInvalidStateException exception. Plus important encore, les données chiffrées sous la KMS clé ne peuvent pas être déchiffrées.

Dans certains cas, vous pouvez récupérer les clés supprimés par en créant un cluster à partir d'une sauvegarde qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée.

Utilisez la procédure suivante pour récupérer les éléments de clé.

  1. Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.

    Utilisez l'DescribeBackupsopération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au magasin de AWS CloudHSM clés, utilisez le Filters paramètre, comme indiqué dans l'exemple suivant.

    $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID> { "Backups": [ { "ClusterId": "cluster-1a23b4cdefg", "BackupId": "backup-9g87f6edcba", "CreateTimestamp": 1536667238.328, "BackupState": "READY" }, ... ] }
  2. Créez un cluster à partir de la sauvegarde sélectionnée. Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite.

  3. Déconnectez le magasin de AWS CloudHSM clés afin de pouvoir modifier ses propriétés.

  4. Modifiez l'ID de cluster du magasin de AWS CloudHSM clés. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide.

  5. Reconnectez le magasin de AWS CloudHSM clés.

Comment se connecter en tant que kmsuser

Pour créer et gérer les éléments clés du AWS CloudHSM cluster pour votre magasin de AWS CloudHSM clés, utilisez AWS KMS le compte kmsuser Crypto User (CU). Vous créez le compte kmsuser CU dans votre cluster et vous fournissez son mot de passe AWS KMS lorsque vous créez votre magasin de AWS CloudHSM clés.

En général, AWS KMS gère le kmsuser compte. Toutefois, pour certaines tâches, vous devez déconnecter le magasin de AWS CloudHSM clés, vous connecter au cluster en tant que kmsuser CU et utiliser l'interface de ligne de HSM commande cloud (CLI).

Note

Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Cette rubrique explique comment déconnecter votre magasin de AWS CloudHSM clés et vous connecter en tant que telkmsuser, exécuter l'outil de ligne de AWS CloudHSM commande, puis vous déconnecter et reconnecter votre magasin de AWS CloudHSM clés.

Comment se déconnecter et se connecter

Utilisez la procédure suivante à chaque fois pour avoir besoin de vous connecter à un cluster associé en tant qu'utilisateur du kmsuser chiffrement.

Remarques

Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.

  1. Déconnectez le magasin de AWS CloudHSM clés, s'il ne l'est pas déjà. Vous pouvez utiliser la AWS KMS console ou AWS KMS API.

    Lorsque votre AWS CloudHSM clé est connectée, elle AWS KMS est connectée en tant quekmsuser. Cela vous empêche de vous connecter comme kmsuser ou de modifier le mot de passe kmsuser.

    Par exemple, cette commande permet DisconnectCustomKeyStorede déconnecter un exemple de magasin de clés. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

    $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
  2. Utilisez la commande de connexion pour vous connecter en tant qu'administrateur. Suivez les procédures décrites dans la HSM CLI section Utilisation du cloud du guide de l'AWS CloudHSM utilisateur.

    aws-cloudhsm > login --username admin --role admin Enter password: { "error_code": 0, "data": { "username": "admin", "role": "admin" } }
  3. Utilisez la commande user change-password dans Cloud HSM CLI pour remplacer le mot de passe du kmsuser compte par un mot de passe que vous connaissez. (AWS KMS fait pivoter le mot de passe lorsque vous connectez votre magasin de AWS CloudHSM clés.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

  4. Connectez-vous en kmsuser utilisant le mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la HSM CLI section Utilisation du cloud du guide de AWS CloudHSM l'utilisateur.

    aws-cloudhsm > login --username kmsuser --role crypto-user Enter password: { "error_code": 0, "data": { "username": "kmsuser", "role": "crypto-user" } }

Comment se déconnecter et se reconnecter

Suivez la procédure suivante chaque fois que vous devez vous déconnecter en tant qu'utilisateur kmsuser cryptographique et reconnecter votre magasin de clés.

Remarques

Les procédures suivantes utilisent l'outil de ligne de commande AWS CloudHSM Client SDK 5, Cloud HSM CLI. Le Cloud HSM CLI remplace key-handle parkey-reference.

Le 1er janvier 2025, la prise en charge des outils de ligne de commande du Client SDK 3, de l'utilitaire de HSM gestion du cloud (CMU) et de l'utilitaire de gestion des clés (KMU) AWS CloudHSM prendra fin. Pour plus d'informations sur les différences entre les outils de ligne de commande Client SDK 3 et l'outil de ligne de commande Client SDK 5, voir Migrer du Client SDK 3 CMU KMU vers le Cloud Client SDK 5 HSM CLI dans le Guide de AWS CloudHSM l'utilisateur.

  1. Effectuez la tâche, puis utilisez la commande de déconnexion dans le Cloud HSM CLI pour vous déconnecter. Si vous ne vous déconnectez pas, les tentatives de reconnexion de votre magasin de AWS CloudHSM clés échoueront.

    aws-cloudhsm logout { "error_code": 0, "data": "Logout successful" }
  2. Modifiez le paramètre de mot de passe de kmsuser pour le magasin de clés personnalisé.

    Cela indique AWS KMS le mot de passe actuel pour kmsuser le cluster. Si vous omettez cette étape, vous ne AWS KMS pourrez pas vous connecter au cluster et toutes les tentatives de reconnexion à votre banque de clés personnalisée échoueront. kmsuser Vous pouvez utiliser la AWS KMS console ou le KeyStorePassword paramètre de l'UpdateCustomKeyStoreopération.

    Par exemple, cette commande indique AWS KMS que le mot de passe actuel esttempPassword. Remplacez l'exemple de mot de passe par le mot de passe réel.

    $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
  3. Reconnectez le magasin de AWS KMS clés à son AWS CloudHSM cluster. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide. Au cours du processus de connexion, AWS KMS remplace le kmsuser mot de passe par une valeur qu'il est le seul à connaître.

    L'ConnectCustomKeyStoreopération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.

    $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
  4. Utilisez cette DescribeCustomKeyStoresopération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Remplacez l'exemple d'ID de magasin de AWS CloudHSM clés par un identifiant valide.

    Dans cet exemple, le champ d'état de connexion indique que le magasin de AWS CloudHSM clés est désormais connecté.

    $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }