Membuat toko AWS CloudHSM kunci - AWS Key Management Service
Memasang prasyaratBuat toko AWS CloudHSM kunci (konsol)Buat toko AWS CloudHSM kunci (API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Membuat toko AWS CloudHSM kunci

Anda dapat membuat satu atau beberapa toko AWS CloudHSM utama di akun Anda. Setiap toko AWS CloudHSM kunci dikaitkan dengan satu AWS CloudHSM cluster di wilayah Akun AWS dan yang sama. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda perlu merakit prasyarat. Kemudian, sebelum Anda dapat menggunakan toko AWS CloudHSM kunci Anda, Anda harus menghubungkannya ke AWS CloudHSM klasternya.

catatan

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci terputus yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak menimbulkan pengecualian atau menampilkan kesalahan. Sebagai gantinya, AWS KMS mengenali duplikat sebagai kemungkinan konsekuensi dari percobaan ulang, dan mengembalikan ID penyimpanan kunci yang ada AWS CloudHSM .

Tip

Anda tidak harus segera menghubungkan toko AWS CloudHSM kunci Anda. Anda dapat membiarkannya dalam keadaan terputus sampai Anda siap menggunakannya. Namun, untuk memverifikasi bahwa itu dikonfigurasi dengan benar, Anda mungkin ingin menghubungkannya, melihat status koneksinya, dan kemudian memutuskannya.

Memasang prasyarat

Setiap toko AWS CloudHSM kunci didukung oleh sebuah AWS CloudHSM cluster. Untuk membuat penyimpanan AWS CloudHSM kunci, Anda harus menentukan AWS CloudHSM cluster aktif yang belum dikaitkan dengan penyimpanan kunci lain. Anda juga perlu membuat pengguna kripto khusus (CU) di cluster HSMs yang AWS KMS dapat digunakan untuk membuat dan mengelola kunci atas nama Anda.

Sebelum Anda membuat toko AWS CloudHSM kunci, lakukan hal berikut:

Pilih AWS CloudHSM klaster

Setiap toko AWS CloudHSM kunci dikaitkan dengan tepat satu AWS CloudHSM cluster. Saat Anda membuat AWS KMS keysdi penyimpanan AWS CloudHSM kunci, AWS KMS buat metadata KMS kunci, seperti ID dan Amazon Resource Name (ARN) di. AWS KMS Kemudian menciptakan materi kunci di HSMs cluster terkait. Anda dapat membuat AWS CloudHSM cluster baru atau menggunakan yang sudah ada. AWS KMS tidak memerlukan akses eksklusif ke cluster.

AWS CloudHSM Cluster yang Anda pilih secara permanen terkait dengan penyimpanan AWS CloudHSM kunci. Setelah Anda membuat penyimpanan AWS CloudHSM kunci, Anda dapat mengubah ID cluster dari cluster terkait, tetapi cluster yang Anda tentukan harus berbagi riwayat cadangan dengan cluster asli. Untuk menggunakan cluster yang tidak terkait, Anda perlu membuat toko AWS CloudHSM kunci baru.

AWS CloudHSM Cluster yang Anda pilih harus memiliki karakteristik sebagai berikut:

  • Klaster harus aktif.

    Anda harus membuat cluster, menginisialisasi, menginstal perangkat lunak AWS CloudHSM klien untuk platform Anda, dan kemudian mengaktifkan cluster. Untuk petunjuk terperinci, lihat Memulai AWS CloudHSM di Panduan AWS CloudHSM Pengguna.

  • Cluster harus berada di akun dan Wilayah yang sama dengan penyimpanan AWS CloudHSM kunci. Anda tidak dapat mengaitkan penyimpanan AWS CloudHSM kunci di satu Wilayah dengan klaster di Wilayah yang berbeda. Untuk membuat infrastruktur utama di beberapa Wilayah, Anda harus membuat penyimpanan dan klaster AWS CloudHSM utama di setiap Wilayah.

  • Cluster tidak dapat dikaitkan dengan penyimpanan kunci kustom lain di akun dan Wilayah yang sama. Setiap penyimpanan AWS CloudHSM kunci di akun dan Wilayah harus dikaitkan dengan AWS CloudHSM cluster yang berbeda. Anda tidak dapat menentukan klaster yang sudah dikaitkan dengan penyimpanan kunci kustom atau klaster yang berbagi riwayat pencadangan dengan klaster yang dikaitkan. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat cluster cluster, gunakan AWS CloudHSM konsol atau DescribeClustersoperasi.

    Jika Anda membuat cadangan AWS CloudHSM cluster ke Wilayah yang berbeda, itu dianggap sebagai klaster yang berbeda, dan Anda dapat mengaitkan cadangan dengan penyimpanan kunci khusus di Wilayahnya. Namun, KMS kunci di dua toko kunci khusus tidak dapat dioperasikan, bahkan jika mereka memiliki kunci dukungan yang sama. AWS KMS mengikat metadata ke ciphertext sehingga dapat didekripsi hanya dengan kunci yang mengenkripsi itu. KMS

  • Klaster harus dikonfigurasi dengan subnet privat dalam minimal dua Availability Zone di Wilayah tersebut. Karena tidak AWS CloudHSM didukung di semua Availability Zone, kami sarankan Anda membuat subnet pribadi di semua Availability Zone di wilayah tersebut. Anda tidak dapat mengonfigurasi ulang subnet untuk klaster yang ada, tetapi Anda dapat membuat sebuah klaster dari cadangan dengan subnet yang berbeda dalam konfigurasi klaster.

    penting

    Setelah Anda membuat toko AWS CloudHSM kunci Anda, jangan hapus salah satu subnet pribadi yang dikonfigurasi untuk AWS CloudHSM klasternya. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk terhubung ke penyimpanan kunci kustom gagal dengan status kesalahan SUBNET_NOT_FOUND koneksi. Lihat perinciannya di Cara memperbaiki kegagalan koneksi.

  • Grup keamanan untuk cluster (cloudhsm-cluster-<cluster-id>-sg) harus menyertakan aturan masuk dan aturan keluar yang memungkinkan TCP lalu lintas di port 2223-2225. Sumber dalam aturan masuk dan Tujuan dalam aturan keluar harus sesuai dengan ID grup keamanan. Aturan ini ditetapkan secara default saat Anda membuat klaster. Jangan menghapus atau mengubah aturan tersebut.

  • Cluster harus berisi setidaknya dua aktif HSMs di Availability Zone yang berbeda. Untuk memverifikasi jumlahHSMs, gunakan AWS CloudHSM konsol atau DescribeClustersoperasi. Jika perlu, Anda dapat menambahkan file HSM.

Temukan sertifikat jangkar tepercaya

Saat membuat penyimpanan kunci khusus, Anda harus mengunggah sertifikat jangkar kepercayaan untuk AWS CloudHSM AWS KMS klaster. AWS KMS membutuhkan sertifikat jangkar kepercayaan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster terkaitnya.

Setiap AWS CloudHSM cluster aktif memiliki sertifikat jangkar kepercayaan. Ketika menginisialisasi klaster, Anda menghasilkan sertifikat ini, menyimpannya dalam file customerCA.crt, dan menyalinnya ke host yang terhubung ke klaster.

Buat pengguna kmsuser crypto untuk AWS KMS

Untuk mengelola toko AWS CloudHSM kunci Anda, masuk AWS KMS ke akun pengguna kmsuser kripto (CU) di klaster yang dipilih. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda harus membuat kmsuser CU. Kemudian ketika Anda membuat toko AWS CloudHSM kunci Anda, Anda memberikan kata sandi kmsuser untuk AWS KMS. Setiap kali Anda menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster terkait AWS KMS , masuk sebagai kmsuser dan memutar kata sandi kmsuser

penting

Jangan menentukan opsi 2FA saat Anda membuat CU kmsuser. Jika Anda melakukannya, AWS KMS tidak dapat masuk dan toko AWS CloudHSM kunci Anda tidak dapat terhubung ke AWS CloudHSM cluster ini. Setelah Anda menentukan 2FA, Anda tidak dapat membatalkannya. Sebaliknya, Anda harus menghapus CU dan membuatnya ulang.

Untuk membuat CU kmsuser, gunakan prosedur berikut.

  1. Mulai cloudhsm_mgmt_util seperti yang dijelaskan dalam topik Memulai dengan Cloud HSM Management Utility () dari Panduan Pengguna. CMU AWS CloudHSM

  2. Gunakan createUserperintah di cloudhsm_mgmt_util untuk membuat CU bernama. kmsuser

    catatan

    Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.

    Misalnya, perintah contoh berikut membuat CU kmsuser dengan kata sandi kmsPswd. 

    aws-cloudhsm> createUser CU kmsuser kmsPswd

Buat toko AWS CloudHSM kunci (konsol)

Saat Anda membuat penyimpanan AWS CloudHSM kunci di AWS Management Console, Anda dapat menambahkan dan membuat prasyarat sebagai bagian dari alur kerja Anda. Namun, prosesnya lebih cepat saat Anda merakitnya terlebih dahulu.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, toko AWS CloudHSM utama.

  4. Pilih Buat toko kunci.

  5. Masukkan nama yang mudah diingat untuk penyimpanan kunci kustom. Nama harus unik di antara semua toko kunci khusus di akun Anda.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  6. Pilih AWS CloudHSM cluster untuk penyimpanan AWS CloudHSM kunci. Atau, untuk membuat AWS CloudHSM cluster baru, pilih link Create an AWS CloudHSM cluster.

    Menu menampilkan AWS CloudHSM cluster di akun dan wilayah Anda yang belum dikaitkan dengan toko AWS CloudHSM kunci. Klaster harus memenuhi persyaratan untuk asosiasi dengan penyimpanan kunci kustom.

  7. Pilih Pilih file, lalu unggah sertifikat jangkar kepercayaan untuk AWS CloudHSM klaster yang Anda pilih. Ini adalah file customerCA.crt yang Anda buat saat Anda menginisialisasi klaster.

  8. Masukkan kata sandi dari pengguna kripto (CU) kmsuser yang Anda buat dalam klaster yang dipilih.

  9. Pilih Buat.

Ketika prosedur berhasil, toko AWS CloudHSM kunci baru muncul di daftar toko AWS CloudHSM utama di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Memecahkan masalah penyimpanan kunci kustom.

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci terputus yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak menimbulkan pengecualian atau menampilkan kesalahan. Sebagai gantinya, AWS KMS mengenali duplikat sebagai kemungkinan konsekuensi dari percobaan ulang, dan mengembalikan ID penyimpanan kunci yang ada AWS CloudHSM .

Berikutnya: Toko AWS CloudHSM kunci baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko AWS CloudHSM kunci, Anda harus menghubungkan toko kunci khusus ke AWS CloudHSM cluster terkait.

Buat toko AWS CloudHSM kunci (API)

Anda dapat menggunakan CreateCustomKeyStoreoperasi untuk membuat toko AWS CloudHSM kunci baru yang terkait dengan AWS CloudHSM cluster di akun dan Wilayah. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Operasi CreateCustomKeyStore memerlukan nilai parameter berikut.

  • CustomKeyStoreName — Nama ramah untuk toko kunci khusus yang unik di akun.

    penting

    Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

  • CloudHsmClusterId — ID cluster AWS CloudHSM cluster yang memenuhi persyaratan untuk penyimpanan AWS CloudHSM kunci.

  • KeyStorePassword — Kata sandi akun kmsuser CU di cluster yang ditentukan.

  • TrustAnchorCertificate — Isi customerCA.crt file yang Anda buat saat Anda menginisialisasi cluster.

Contoh berikut menggunakan ID klaster fiktif. Sebelum menjalankan perintah, ganti dengan ID klaster yang valid.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

Jika Anda menggunakan AWS CLI, Anda dapat menentukan file sertifikat jangkar kepercayaan, bukan isinya. Dalam contoh berikut, file customerCA.crt tidak berada dalam direktori akar.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

Saat operasi berhasil, CreateCustomKeyStore mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat Memecahkan masalah penyimpanan kunci kustom.

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci terputus yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak menimbulkan pengecualian atau menampilkan kesalahan. Sebagai gantinya, AWS KMS mengenali duplikat sebagai kemungkinan konsekuensi dari percobaan ulang, dan mengembalikan ID penyimpanan kunci yang ada AWS CloudHSM .

Berikutnya: Untuk menggunakan toko AWS CloudHSM kunci, hubungkan ke AWS CloudHSM klaster nya.