Dépannage d'un magasin de clés personnalisé

Les magasins de clés AWS CloudHSM sont conçus pour être disponibles et résilients. Cependant, il existe certaines conditions d'erreur que vous pouvez avoir à réparer pour maintenir votre magasin de clés AWS CloudHSM opérationnel.

Comment corriger les clés KMS non disponibles

L'état de clé des AWS KMS keys dans un magasin de clés AWS CloudHSM est généralement Enabled. Comme toutes les clés KMS, l'état de clé change lorsque vous désactivez les clés KMS dans un magasin de clés AWS CloudHSM ou que vous programmez leur suppression. Toutefois, contrairement à d'autres clés KMS, les clés KMS d'un magasin de clés personnalisé peuvent également avoir un état de clé de Unavailable.

Un état de clé Unavailable indique que la clé KMS est dans un magasin de clés personnalisé qui a été intentionnellement déconnecté et que les tentatives pour le reconnecter, le cas échéant, ont échoué. Lorsqu'une clé KMS n'est pas disponible, vous pouvez afficher et gérer la clé KMS, mais vous ne pouvez pas l'utiliser dans les opérations de chiffrement.

Pour obtenir l'état de clé d'une clé KMS, sur la page Clés gérées par le client, veuillez consulter le champ Status (État) de la clé KMS. Vous pouvez également utiliser l'DescribeKeyopération et afficher l'KeyStateélément dans la réponse. Pour plus de détails, veuillez consulter Affichage des clés.

Les clés KMS d'un magasin de clés personnalisé déconnecté possèdent l'état de clé Unavailable ou PendingDeletion. Les clés KMS dont la suppression a été planifiée à partir d'un magasin de clés personnalisé ont un état de clé Pending Deletion, même si le magasin de clés personnalisé est déconnecté. Cela vous permet d'annuler la suppression de clé planifiée sans reconnecter le magasin de clés personnalisé.

Pour corriger une clé KMS indisponible, reconnectez le magasin de clés personnalisé. Une fois le magasin de clés personnalisé reconnecté, l'état de clé des clés KMS du magasin de clés personnalisé est automatiquement restauré à son état précédent, comme Enabled ou Disabled. Les clés KMS qui sont en attente de suppression restent dans l'état PendingDeletion. Toutefois, si le problème persiste, l'activation et la désactivation d'une clé KMS indisponible ne changent pas son état. L'action d'activation ou de désactivation prend effet uniquement lorsque la clé devient disponible.

Pour obtenir de l'aide concernant les connexions ayant échoué, consultez Comment corriger un échec de connexion.

Comment corriger les clés KMS défaillantes

Les problèmes liés à la création et à l'utilisation des clés KMS dans les magasins de clés AWS CloudHSM peuvent être causés par un problème avec votre magasin de clés AWS CloudHSM, son cluster AWS CloudHSM associé, la clé KMS ou ses éléments de clé.

Lorsqu'un magasin de clés AWS CloudHSM est déconnecté de son cluster AWS CloudHSM, l'état de clé des clés KMS du magasin de clés personnalisé est Unavailable. Toutes les requêtes pour créer des clés KMS dans un magasin de clés AWS CloudHSM déconnecté renvoient une exception CustomKeyStoreInvalidStateException. Toutes les demandes pour chiffrer, déchiffrer, rechiffrer ou générer les clés de données renvoient une exception KMSInvalidStateException. Pour corriger le problème, reconnectez le magasin de clés AWS CloudHSM.

Toutefois, vos tentatives d'utiliser une clé KMS de magasin de clés AWS CloudHSM pour les opérations cryptographiques peuvent échouer même si son état de clé est Enabled et que l'état de connexion du magasin de clés AWS CloudHSM est Connected. Cela peut être dû à l'une des conditions suivantes.

• Les éléments de clé de la clé KMS peuvent avoir été supprimés du cluster AWS CloudHSM associé. Pour examiner, recherchez le handle de la clé des éléments de clé pour une clé KMS et, si nécessaire, essayez de récupérer les éléments de clés.

• Tous les modules HSM ont été supprimés du cluster AWS CloudHSM associé au magasin de clés AWS CloudHSM. Pour utiliser une clé KMS d'un magasin de clés AWS CloudHSM dans une opération cryptographique, son cluster AWS CloudHSM doit contenir au moins un module HSM actif. Pour vérifier le nombre et l'état des HSM dans un AWS CloudHSM cluster, utilisez la AWS CloudHSM console ou l'DescribeClustersopération. Pour ajouter un HSM au cluster, utilisez la AWS CloudHSM console ou l'CreateHsmopération.

• Le cluster AWS CloudHSM associé au magasin de clés AWS CloudHSM a été supprimé. Pour corriger le problème, créez un cluster à partir d'une sauvegarde qui est liée au cluster d'origine, telle qu'une sauvegarde du cluster d'origine ou une sauvegarde qui a été utilisée pour créer le cluster d'origine. Ensuite, modifiez l'ID de cluster dans les paramètres du magasin de clés personnalisé. Pour obtenir des instructions, veuillez consulter Comment récupérer les éléments de clé supprimés pour une clé KMS.

• Le cluster AWS CloudHSM associé au magasin de clés personnalisé ne disposait d'aucune session PKCS #11 disponible. Cela se produit généralement pendant les périodes de fort trafic en rafale, lorsque des sessions supplémentaires sont nécessaires pour traiter le trafic. Pour réagir à une exception KMSInternalException avec un message d'erreur concernant les sessions PKCS #11, revenez en arrière et relancez la requête.

Comment corriger un échec de connexion

Si vous essayez de connecter un magasin de clés AWS CloudHSM à son cluster AWS CloudHSM, mais que l'opération échoue, l'état de connexion du magasin de clés AWS CloudHSM passe à FAILED. Pour connaître l'état de connexion d'un magasin de AWS CloudHSM clés, utilisez la AWS KMS console ou l'DescribeCustomKeyStoresopération.

Sinon, certains tentatives de connexion échouent rapidement en raison d'erreurs de configuration de cluster facilement détectées. Dans ce cas, l'état de la connexion est toujours DISCONNECTED. Ces échecs renvoient un message d'erreur ou une exception qui explique pourquoi la tentative a échoué. Vérifiez la description de l'exception et les exigences du cluster, corrigez le problème, mettez à jour le magasin de clés AWS CloudHSM si nécessaire, et essayez de le connecter à nouveau.

Lorsque l'état de connexion est FAILED défini, exécutez l'DescribeCustomKeyStoresopération et voyez l'ConnectionErrorCodeélément dans la réponse.

Note

Si l'état de connexion du magasin de clés AWS CloudHSM est FAILED, vous devez déconnecter le magasin de clés AWS CloudHSM avant de le reconnecter. Vous ne pouvez pas connecter un magasin de clés AWS CloudHSM dont l'état de connexion est FAILED.

• CLUSTER_NOT_FOUND indique que AWS KMS ne peut pas trouver un cluster AWS CloudHSM avec l'ID de cluster spécifié. Cela peut se produire parce que le mauvais ID de cluster a été fourni à une opération d'API ou que le cluster a été supprimé et n'a pas été remplacé. Pour corriger cette erreur, vérifiez l'ID du cluster, par exemple à l'aide de la AWS CloudHSM console ou de l'DescribeClustersopération. Si le cluster a été supprimé, la créez un cluster à partir d'une sauvegarde récente de l'original. Ensuite, déconnectez le magasin de clés AWS CloudHSM, modifiez le paramètre d'ID de cluster du magasin de clés AWS CloudHSM et reconnectez le magasin de clés AWS CloudHSM au cluster.

• INSUFFICIENT_CLOUDHSM_HSMS indique que le cluster AWS CloudHSM associé ne contient aucun HSM. Pour vous connecter, le cluster doit avoir au moins un HSM. Pour trouver le nombre de HSM dans le cluster, utilisez l'DescribeClustersopération. Pour résoudre cette erreur, ajoutez au moins un module HSM au cluster. Si vous ajoutez plusieurs HSM, il est préférable de les créer dans des zones de disponibilité différentes.

• INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET indique que AWS KMS n'a pas pu connecter le magasin de clés AWS CloudHSM à son cluster AWS CloudHSM, car au moins un sous-réseau privé associé au cluster n'a pas d'adresse IP disponible. Une connexion de magasin de clés AWS CloudHSM nécessite une adresse IP libre dans chacun des sous-réseaux privés associés, bien que deux soient préférables.

  Vous ne pouvez pas ajouter des adresses IP (blocs CIDR) vers un sous-réseau existant. Si possible, déplacez ou supprimez les autres ressources qui utilisent les adresses IP du sous-réseau, telles que les instances EC2 inutilisées ou les interfaces réseau Elastic. Sinon, vous pouvez créer un cluster à partir d'une sauvegarde récente du cluster AWS CloudHSM avec des sous-réseaux privés nouveaux ou existants qui ont plus d'espace d'adressage libre. Ensuite, pour associer le nouveau cluster à votre magasin de clés AWS CloudHSM, déconnectez le magasin de clés personnalisé, modifiez l'ID de cluster du magasin de clés AWS CloudHSM en lui affectant l'ID du nouveau cluster et essayez de le connecter à nouveau.

  Astuce

  Pour éviter de réinitialiser le mot de passe kmsuser, utilisez la sauvegarde la plus récente du cluster AWS CloudHSM.

• INTERNAL_ERROR indique que AWS KMS n'a pas pu terminer la demande en raison d'une erreur interne. Réitérez la requête . Pour les requêtes ConnectCustomKeyStore, déconnectez le magasin de clés AWS CloudHSM avant de tenter de le connecter à nouveau.

• INVALID_CREDENTIALS indique que AWS KMS ne peut pas se connecter au cluster AWS CloudHSM associé, car il ne dispose pas du mot de passe correct du compte kmsuser. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment corriger les informations d'identification kmsuser non valides.

• NETWORK_ERRORS indique généralement des problèmes réseau temporaires. Déconnectez le magasin de clés AWS CloudHSM, attendez quelques minutes et essayez de le connecter à nouveau.

• SUBNET_NOT_FOUND indique qu'au moins un sous-réseau de la configuration du cluster AWS CloudHSM a été supprimé. Si AWS KMS ne détecte pas l'ensemble des sous-réseaux dans la configuration du cluster, les tentatives de connexion du magasin de clés AWS CloudHSM au cluster AWS CloudHSM échouent.

  Pour corriger cette erreur, créez un cluster à partir d'une sauvegarde récente du même cluster AWS CloudHSM. (Ce processus crée une nouvelle configuration de cluster avec un VPC et des sous-réseaux privés.) Vérifiez que le nouveau cluster répond aux conditions requises pour un magasin de clés personnalisé et notez l'ID du nouveau cluster. Ensuite, pour associer le nouveau cluster à votre magasin de clés AWS CloudHSM, déconnectez le magasin de clés personnalisé, modifiez l'ID de cluster du magasin de clés AWS CloudHSM en lui affectant l'ID du nouveau cluster et essayez de le connecter à nouveau.

  Astuce

  Pour éviter de réinitialiser le mot de passe kmsuser, utilisez la sauvegarde la plus récente du cluster AWS CloudHSM.

• USER_LOCKED_OUT indique que le compte CU (utilisateur de chiffrement) kmsuser est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment corriger les informations d'identification kmsuser non valides.

  Pour corriger cette erreur, déconnectez le magasin de clés AWS CloudHSM et utilisez la commande changePswd dans cloudhsm_mgmt_util pour modifier le mot de passe du compte kmsuser. Ensuite, modifiez le kmsuser paramètre de mot de passe pour le magasin de clés personnalisé, et essayez de vous connecter à nouveau. Pour obtenir de l'aide, utilisez la procédure décrite dans la rubrique Comment corriger les informations d'identification kmsuser non valides.

• USER_LOGGED_IN indique que le compte CU kmsuser est connecté au cluster AWS CloudHSM associé. Cela empêche AWS KMS de soumettre le mot de passe du compte kmsuser à une rotation et de se connecter au cluster. Pour corriger cette erreur, déconnectez le compte CU kmsuser du cluster. Si vous avez modifié le mot de passe kmsuser pour vous connecter au cluster, vous devez également mettre à jour la valeur du mot de passe du magasin de clés pour le magasin de clés AWS CloudHSM. Pour obtenir de l'aide, veuillez consulter Comment se déconnecter et se reconnecter.

• USER_NOT_FOUND indique que AWS KMS ne peut pas trouver de compte CU kmsuser dans le cluster AWS CloudHSM associé. Pour corriger cette erreur, créez un compte CU kmsuser dans le cluster, puis mettez à jour la valeur du mot de passe du magasin de clés AWS CloudHSM. Pour obtenir de l'aide, veuillez consulter Comment corriger les informations d'identification kmsuser non valides.

Comment répondre à un échec d'opération de chiffrement

Une opération de chiffrement qui utilise une clé KMS dans un magasin de clés personnalisé peut échouer avec un KMSInvalidStateException. Les messages d'erreur suivants peuvent accompagner le KMSInvalidStateException.

KMS ne peut pas communiquer avec votre cluster CloudHSM. Il peut s'agir d'un problème réseau transitoire. Si cette erreur s'affiche à plusieurs reprises, vérifiez que les ACL réseau et les règles de groupe de sécurité pour le VPC de votre cluster AWS CloudHSM sont correctes.

• Bien qu'il s'agisse d'une erreur HTTPS 400, elle peut résulter de problèmes réseau transitoires. Pour répondre, commencez par relancer la demande. Toutefois, si elle continue d'échouer, examinez la configuration de vos composants réseau. Cette erreur est probablement causée par une mauvaise configuration d'un composant réseau, telle qu'une règle de pare-feu ou une règle de groupe de sécurité VPC qui bloque le trafic sortant.

KMS ne peut pas communiquer avec votre cluster AWS CloudHSM car l'utilisateur kmsuser est verrouillé. Si cette erreur s'affiche à plusieurs reprises, déconnectez le magasin de clés AWS CloudHSM et réinitialisez le mot de passe du compte kmsuser. Mettez à jour le mot de passe kmsuser pour le magasin de clés personnalisé et réessayez la demande.

• Ce message d’erreur indique que le compte CU (utilisateur de chiffrement) kmsuser est verrouillé pour le cluster AWS CloudHSM associé en raison d'un trop grand nombre de tentatives de mot de passe ayant échoué. Pour obtenir de l'aide sur cette erreur, veuillez consulter Comment se déconnecter et se connecter.

Comment corriger les informations d'identification kmsuser non valides

Lorsque vous connectez un magasin de clés AWS CloudHSM, AWS KMS se connecte au cluster AWS CloudHSM associé en tant qu'utilisateur de chiffrement kmsuser (CU). Il reste identifié jusqu'à ce que le magasin de clés AWS CloudHSM soit déconnecté. La réponse DescribeCustomKeyStores réponse affiche pour ConnectionState la valeur FAILED et pour ConnectionErrorCode la valeur INVALID_CREDENTIALS, comme indiqué dans l'exemple suivant.

Si vous déconnectez le magasin de clés AWS CloudHSM et modifiez le mot de passe kmsuser, AWS KMS ne peut pas se connecter au cluster AWS CloudHSM avec les informations d'identification du compte CU kmsuser. Par conséquent, toutes les tentatives pour connecter le magasin de clés AWS CloudHSM échouent. La réponse DescribeCustomKeyStores réponse affiche pour ConnectionState la valeur FAILED et pour ConnectionErrorCode la valeur INVALID_CREDENTIALS, comme indiqué dans l'exemple suivant.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

De plus, au bout de cinq tentatives de connexion au cluster ayant échoué avec un mot de passe incorrect, AWS CloudHSM verrouille le compte utilisateur. Pour se connecter au cluster, vous devez modifier le mot de passe du compte.

Si AWS KMS obtient une réponse de verrouillage lorsqu'il tente de se connecter au cluster en tant que CU kmsuser, la requête de connexion du magasin de clés AWS CloudHSM échoue. La DescribeCustomKeyStoresréponse inclut un ConnectionState de FAILED et une ConnectionErrorCode valeur deUSER_LOCKED_OUT, comme indiqué dans l'exemple suivant.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Pour réparer l'une ou l'autre de ces conditions, utilisez la procédure suivante.

1. Déconnectez le magasin de clés AWS CloudHSM.

2. Exécutez l'DescribeCustomKeyStoresopération et visualisez la valeur de l'ConnectionErrorCodeélément dans la réponse.

   • Si la valeur de ConnectionErrorCode est INVALID_CREDENTIALS, déterminez le mot de passe actuel pour le compte kmsuser. Si nécessaire, utilisez la commande changePswd dans cloudhsm_mgmt_util afin de définir le mot de passe pour une valeur connue.

   • Si la valeur de ConnectionErrorCode est USER_LOCKED_OUT, vous devez utiliser la commande changePswd dans cloudhsm_mgmt_util pour modifier le mot de passe kmsuser.

3. Modifiez le mot de passe actuel de kmsuser afin qu'il corresponde au mot de passe actuel de kmsuser dans le cluster. Cette action indique à AWS KMS le mot de passe à utiliser pour se connecter au cluster. Elle ne change pas le mot de passe de kmsuser dans le cluster.

4. Connectez le magasin de clés personnalisé.

Comment supprimer les éléments de clé orphelins

Après avoir planifié la suppression d'une clé KMS d'un magasin de clés AWS CloudHSM, vous devrez peut-être supprimer manuellement les éléments de clé correspondants du cluster AWS CloudHSM associé.

Lorsque vous créez une clé KMS dans un magasin de clés AWS CloudHSM, AWS KMS crée les métadonnées de la clé KMS dans AWS KMS et génère les éléments de clé dans le cluster AWS CloudHSM associé. Lorsque vous planifiez la suppression d'une clé KMS dans un magasin de clés AWS CloudHSM, AWS KMS supprime les métadonnées de la clé KMS à la fin de la période d'attente. Ensuite, AWS KMS met tout en œuvre pour supprimer les éléments de clé correspondants du cluster AWS CloudHSM. La tentative peut échouer si AWS KMS ne peut pas accéder au cluster, par exemple, lorsqu'il est déconnecté du magasin de clés AWS CloudHSM ou que le mot de passe kmsuser change. AWS KMS n'essaye pas de supprimer les éléments de clé des sauvegardes de cluster.

AWS KMS consigne les résultats de sa tentative de suppression des éléments de clé du cluster dans l'entrée d'événement DeleteKey de vos journaux AWS CloudTrail. Ils apparaissent dans l'élément backingKeysDeletionStatus de l'élément additionalEventData, comme illustré dans l'exemple d'entrée suivant. L'entrée inclut également l'ARN de clé KMS, l'ID de cluster AWS CloudHSM et le descripteur de clé des éléments de clé (backing-key-id).

{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"keyHandle\":\"01\",\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"keyHandle\":\"16\",\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}

Pour supprimer les éléments de clé du cluster AWS CloudHSM associé, utilisez une procédure comme celle qui suit. Cet exemple utilise les outils de ligne de commande AWS CLI et AWS CloudHSM, mais vous pouvez utiliser AWS Management Console au lieu de la CLI.

1. Déconnectez le magasin de clés AWS CloudHSM, s'il n'est pas déjà déconnecté, puis connectez-vous à key_mgmt_util, comme expliqué dans Comment se déconnecter et se connecter.

2. Utilisez la commande deleteKey dans key_mgmt_util pour supprimer la clé à partir des modules HSM du cluster.

   Par exemple, cette commande supprime la clé 262162 à partir des modules HSM du cluster. Le descripteur de la clé est répertorié dans l'entrée du CloudTrail journal.

   Command: deleteKey -k 262162
   
           Cfm3DeleteKey returned: 0x00 : HSM Return: SUCCESS
   
           Cluster Error Status
           Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
           Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
           Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

3. Déconnectez-vous de key_mgmt_util et reconnectez le magasin de clés AWS CloudHSM comme expliqué dans Comment se déconnecter et se reconnecter.

Comment récupérer les éléments de clé supprimés pour une clé KMS

Si les éléments d'une AWS KMS key sont supprimés, la clé KMS est inutilisable et tout le texte chiffré qui l'a été sous la clé KMS ne peut pas être déchiffré. Cela peut se produire si les éléments de clé d'une clé KMS d'un magasin de clés AWS CloudHSM sont supprimés du cluster AWS CloudHSM associé. Toutefois, il peut être possible de récupérer les clés.

Lorsque vous créez une AWS KMS key (clé KMS) dans un magasin de clés AWS CloudHSM, AWS KMS se connecte au cluster AWS CloudHSM associé et crée les éléments de clé de la clé KMS. Il change également le mot de passe en une valeur que lui seul connaît et reste connecté tant que le magasin de clés AWS CloudHSM est connecté. Etant donné que seul le propriétaire des clés, à savoir, le CU qui a créé une clé, peut supprimer la clé, il est peu probable que la clé soit supprimé des modules HSM accidentellement.

Toutefois, si les éléments de clé d'une clé KMS sont supprimés des HSM dans un cluster, l'état de la clé KMS devient alors UNAVAILABLE. Si vous essayez d'utiliser la clé KMS pour une opération cryptographique, l'opération échoue avec une exception KMSInvalidStateException. Et surtout, toutes les données chiffrées à l'aide de la clé KMS ne peuvent pas être déchiffrées.

Dans certains cas, vous pouvez récupérer les clés supprimés par en créant un cluster à partir d'une sauvegarde qui contient les clés. Cette stratégie fonctionne uniquement lorsqu'au moins une sauvegarde a été créée, tandis que la clé existait et avant qu'elle n'ait été supprimée.

Utilisez la procédure suivante pour récupérer les éléments de clé.

1. Recherchez une sauvegarde de cluster qui contient les éléments de clé. La sauvegarde doit également contenir tous les utilisateurs et toutes les clés dont vous avez besoin pour prendre en charge le cluster et ses données chiffrées.

   Utilisez l'DescribeBackupsopération pour répertorier les sauvegardes d'un cluster. Utilisez ensuite l'horodatage de la sauvegarde afin de vous aider à sélectionner une sauvegarde. Pour limiter la sortie au cluster associé au magasin de clés AWS CloudHSM, utilisez le paramètre Filters, comme illustré dans l'exemple suivant.

   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }

2. Créez un cluster à partir de la sauvegarde sélectionnée. Vérifiez que la sauvegarde contient la clé supprimée et les clés que le cluster nécessite.

3. Déconnectez le magasin de clés AWS CloudHSM afin que vous puissiez modifier ses propriétés.

4. Modifiez l'ID de cluster du magasin de clés AWS CloudHSM. Entrez l'ID du cluster que vous avez créé à partir de la sauvegarde. Étant donné que le cluster partage un historique des sauvegardes avec le cluster d'origine, le nouvel ID de cluster doit être valide.

5. Reconnectez le magasin de clés AWS CloudHSM.

Comment se connecter en tant que kmsuser

Pour créer et gérer les éléments de clé dans le cluster AWS CloudHSM de votre magasin de clés AWS CloudHSM, AWS KMS utilise le compte de l'utilisateur de chiffrement kmsuser (CU). Vous créez le compte CU kmsuser dans votre cluster et fournissez son mot de passe à AWS KMS lorsque vous créez votre magasin de clés AWS CloudHSM.

En général, AWS KMS gère le compte kmsuser. Toutefois, pour certaines tâches, vous devez vous déconnecter du magasin de clés AWS CloudHSM, vous connecter au cluster en tant que CU kmsuser et utiliser les outils de ligne de commande cloudhsm_mgmt_util et key_mgmt_util.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Cette rubrique explique comment déconnecter votre magasin de clés AWS CloudHSM et vous connecter en tant que kmsuser, exécuter l'outil de ligne de commande AWS CloudHSM et déconnecter et reconnecter votre magasin de clés AWS CloudHSM.

Rubriques

• Comment se déconnecter et se connecter
• Comment se déconnecter et se reconnecter

Comment se déconnecter et se connecter

Utilisez la procédure suivante pour chaque fois que nécessaire pour vous connecter à un cluster associé en tant que CU kmsuser.

1. Déconnectez le magasin de clés AWS CloudHSM, s'il n'est pas déjà déconnecté. Vous pouvez utiliser la console AWS KMS ou l'API AWS KMS.

   Tant que votre clé AWS CloudHSM est connectée, AWS KMS est connecté en tant que kmsuser. Cela vous empêche de vous connecter comme kmsuser ou de modifier le mot de passe kmsuser.

   Par exemple, cette commande permet DisconnectCustomKeyStorede déconnecter un exemple de magasin de clés. Remplacez l'exemple d'ID de magasin de clés AWS CloudHSM par un ID valide.

   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

2. Démarrez l'outil cloudhsm_mgmt_util. Utilisez la procédure décrite dans la section Préparation pour exécuter la commande cloudhsm_mgmt_util du Guide de l'utilisateur AWS CloudHSM.

3. Connectez-vous à cloudhsm_mgmt_util sur le cluster AWS CloudHSM comme responsable de chiffrement (CO).

   Par exemple, la commande suivante se connecte en tant qu'CO nommé admin. Remplacez l'exemple de nom d'utilisateur CO et le mot de passe par des valeurs valides.

   aws-cloudhsm>loginHSM CO admin <password>
   loginHSM success on server 0(10.0.2.9)
   loginHSM success on server 1(10.0.3.11)
   loginHSM success on server 2(10.0.1.12)

4. Utilisez la commande changePswd pour modifier le mot de passe du compte kmsuser en une valeur que vous connaissez. (AWS KMS effectue une rotation du mot de passe lorsque vous connectez votre magasin de clés AWS CloudHSM.) Le mot de passe doit contenir entre 7 et 32 caractères alphanumériques. Il est sensible à la casse et ne peut contenir aucun des caractères spéciaux.

   Par exemple, cette commande modifie le mot de passe de kmsuser en tempPassword.

   aws-cloudhsm>changePswd CU kmsuser tempPassword
   
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. Cav server does NOT synchronize these changes with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?y
   Changing password for kmsuser(CU) on 3 nodes

5. Connectez-vous à l'outil key_mgmt_util ou cloudhsm_mgmt_util comme kmsuser à l'aide du mot de passe que vous avez défini. Pour obtenir des instructions détaillées, consultez la section Mise en route avec cloudhsm_mgmt_util et Mise en route avec l'outil key_mgmt_util. L'outil que vous choisissez dépend de votre tâche.

   Par exemple, cette commande se connecte à key_mgmt_util.

   Command: loginHSM -u CU -s kmsuser -p tempPassword
   Cfm3LoginHSM returned: 0x00 : HSM Return: SUCCESS
   
   Cluster Error Status
   Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
   Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
   Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Comment se déconnecter et se reconnecter

1. Exécutez la tâche, puis déconnectez-vous de l'outil de ligne de commande. Si vous ne vous déconnectez pas, les tentatives de reconnecter votre magasin de clés AWS CloudHSM échoueront.

   Command:  logoutHSM
   Cfm3LogoutHSM returned: 0x00 : HSM Return: SUCCESS
   
   Cluster Error Status
   Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
   Node id 1 and err state 0x00000000 : HSM Return: SUCCESS

2. Modifiez le paramètre de mot de passe de kmsuser pour le magasin de clés personnalisé.

   Cela indique à AWS KMS le mot de passe actuel pour kmsuser dans le cluster. Si vous omettez cette étape, ne AWS KMS sera pas en mesure de se connecter au cluster comme kmsuser et toutes les tentatives de reconnecter votre magasin de clés personnalisé échoueront. Vous pouvez utiliser la AWS KMS console ou le KeyStorePassword paramètre de l'UpdateCustomKeyStoreopération.

   Par exemple, cette commande indique à AWS KMS que le mot de passe actuel est tempPassword. Remplacez l'exemple de mot de passe par le mot de passe réel.

   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword

3. Reconnectez le magasin de clés AWS KMS à son cluster AWS CloudHSM. Remplacez l'exemple d'ID de magasin de clés AWS CloudHSM par un ID valide. Pendant le processus de connexion, AWS KMS modifie le mot de passe de kmsuser par une valeur que lui seul connaît.

   L'ConnectCustomKeyStoreopération revient rapidement, mais le processus de connexion peut prendre un certain temps. Cependant, cette réponse initiale n'indique pas que la connexion a réussi.

   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

4. Utilisez cette DescribeCustomKeyStoresopération pour vérifier que le magasin de AWS CloudHSM clés est connecté. Remplacez l'exemple d'ID de magasin de clés AWS CloudHSM par un ID valide.

   Dans cet exemple, le champ de l'état de connexion montre que le magasin de clés AWS CloudHSM est désormais connecté.

   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }