Menghubungkan dan memutuskan sambungan toko AWS CloudHSM kunci - AWS Key Management Service
Menghubungkan toko AWS CloudHSM kunciMemutuskan sambungan toko AWS CloudHSM kunciHubungkan toko AWS CloudHSM kunci (konsol)Menghubungkan penyimpanan kunci kustom (API)Putuskan sambungan toko AWS CloudHSM kunci (konsol)Putuskan sambungan toko AWS CloudHSM kunci (API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan dan memutuskan sambungan toko AWS CloudHSM kunci

Toko AWS CloudHSM kunci baru tidak terhubung. Sebelum Anda dapat membuat dan menggunakan AWS KMS keys di toko AWS CloudHSM kunci Anda, Anda harus menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutuskan penyimpanan AWS CloudHSM kunci Anda kapan saja, dan melihat status koneksinya.

Anda tidak diharuskan untuk menghubungkan toko AWS CloudHSM kunci Anda. Anda dapat meninggalkan toko AWS CloudHSM kunci dalam keadaan terputus tanpa batas waktu dan menghubungkannya hanya ketika Anda perlu menggunakannya. Namun, Anda mungkin ingin menguji koneksi secara berkala untuk memverifikasi bahwa pengaturan sudah benar dan dapat tersambung.

catatan

AWS CloudHSMtoko kunci memiliki status DISCONNECTED koneksi hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. Jika status koneksi penyimpanan AWS CloudHSM kunci Anda CONNECTED tetapi Anda mengalami masalah dalam menggunakannya, pastikan AWS CloudHSM klaster terkaitnya aktif dan berisi setidaknya satu HSM aktif. Untuk bantuan dengan kegagalan koneksi, lihat Memecahkan masalah penyimpanan kunci kustom.

Menghubungkan toko AWS CloudHSM kunci

Saat Anda menghubungkan penyimpanan AWS CloudHSM kunci, AWS KMS temukan AWS CloudHSM klaster terkait, sambungkan ke sana, masuk ke AWS CloudHSM klien sebagai pengguna kmsuser kripto (CU), dan kemudian memutar kmsuser kata sandi. AWS KMStetap masuk ke AWS CloudHSM klien selama toko AWS CloudHSM kunci terhubung.

Untuk membuat koneksi, AWS KMS membuat grup keamanan bernama kms-<custom key store ID> di virtual private cloud (VPC) klaster. Grup keamanan memiliki aturan tunggal yang memungkinkan lalu lintas masuk dari grup keamanan cluster. AWS KMS juga membuat antarmuka jaringan elastis (ENI) di setiap Availability Zone dari subnet privat untuk klaster. AWS KMS menambahkan ENI ke grup keamanan kms-<cluster ID> dan grup keamanan untuk klaster. Deskripsi dari masing-masing ENI adalah KMS managed ENI for cluster <cluster-ID>.

Proses koneksi dapat memakan waktu yang lama untuk selesai; hingga 20 menit.

Sebelum Anda menghubungkan toko AWS CloudHSM kunci, verifikasi bahwa itu memenuhi persyaratan.

  • Klaster AWS CloudHSM yang terkait harus memuat minimal satu HSM aktif. Untuk menemukan jumlah HSM di cluster, lihat cluster di AWS CloudHSM konsol atau gunakan DescribeClustersoperasi. Jika perlu, Anda dapat menambahkan HSM.

  • Cluster harus memiliki akun pengguna kmsuser kripto (CU), tetapi CU tersebut tidak dapat masuk ke cluster saat Anda menghubungkan penyimpanan AWS CloudHSM kunci. Untuk bantuan dengan logout, lihat Cara logout dan menghubungkan kembali.

  • Status koneksi dari toko AWS CloudHSM kunci tidak dapat DISCONNECTING atauFAILED. Untuk melihat status koneksi, gunakan AWS KMS konsol atau DescribeCustomKeyStoresrespons. Jika status koneksiFAILED, lepaskan penyimpanan kunci khusus, perbaiki masalahnya, lalu sambungkan.

Untuk bantuan dengan kegagalan koneksi, lihat Cara memperbaiki kegagalan koneksi.

Ketika toko AWS CloudHSM kunci Anda terhubung, Anda dapat membuat kunci KMS di dalamnya dan menggunakan kunci KMS yang ada dalam operasi kriptografi.

Memutuskan sambungan toko AWS CloudHSM kunci

Saat Anda memutuskan sambungan penyimpanan AWS CloudHSM kunci, AWS KMS keluar dari AWS CloudHSM klien, terputus dari AWS CloudHSM cluster terkait, dan menghapus infrastruktur jaringan yang dibuatnya untuk mendukung koneksi.

Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci. AWS CloudHSM Status koneksi dari toko kunci adalah DISCONNECTED dan status kunci kunci KMS di toko kunci kustom adalahUnavailable, kecuali merekaPendingDeletion. Anda dapat menghubungkan kembali toko AWS CloudHSM kunci kapan saja.

Saat Anda memutuskan penyimpanan kunci khusus, kunci KMS di toko kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan kunci data yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhiLayanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Untuk detailnya, lihat Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data.

catatan

Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Untuk memperkirakan efek pemutusan toko kunci kustom Anda dengan lebih baik, identifikasi kunci KMS di toko kunci khusus dan tentukan penggunaannya di masa lalu.

Anda dapat memutuskan sambungan penyimpanan AWS CloudHSM kunci karena alasan seperti berikut:

  • Untuk memutar kata sandi kmsuser. AWS KMS mengubah kata sandi kmsuser setiap kali terhubung ke klaster AWS CloudHSM. Untuk memberlakukan rotasi kata sandi, cukup putuskan koneksi dan hubungkan kembali.

  • Untuk mengaudit materi kunci untuk kunci KMS di AWS CloudHSM cluster. Ketika Anda memutuskan koneksi penyimpanan kunci kustom, AWS KMS logout dari pengguna kripto kmsuserdalam klien AWS CloudHSM. Ini memungkinkan Anda untuk masuk ke cluster sebagai kmsuser CU dan mengaudit dan mengelola materi utama untuk kunci KMS.

  • Untuk segera menonaktifkan semua kunci KMS di toko AWS CloudHSM kunci. Anda dapat menonaktifkan dan mengaktifkan kembali kunci KMS di toko AWS CloudHSM kunci dengan menggunakan AWS Management Console atau operasi. DisableKey Operasi ini selesai dengan cepat, tetapi mereka bertindak pada satu kunci KMS pada satu waktu. Memutuskan sambungan penyimpanan AWS CloudHSM kunci segera mengubah status kunci dari semua kunci KMS di toko AWS CloudHSM kunciUnavailable, yang mencegahnya digunakan dalam operasi kriptografi apa pun.

  • Untuk memperbaiki upaya koneksi yang gagal. Jika upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal (status koneksi penyimpanan kunci kustomFAILED), Anda harus memutuskan sambungan penyimpanan AWS CloudHSM kunci sebelum Anda mencoba menghubungkannya lagi.

Hubungkan toko AWS CloudHSM kunci (konsol)

Untuk menghubungkan toko AWS CloudHSM kunci diAWS Management Console, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman Toko kunci kustom. Proses koneksi bisa memakan waktu hingga 20 menit untuk menyelesaikannya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, toko AWS CloudHSM utama.

  4. Pilih baris toko AWS CloudHSM kunci yang ingin Anda sambungkan.

    Jika status koneksi penyimpanan AWS CloudHSM kunci Gagal, Anda harus memutuskan penyimpanan kunci khusus sebelum Anda menghubungkannya.

  5. Dari menu Key Store Actions, pilih Connect.

AWS KMS memulai proses menghubungkan penyimpanan kunci kustom Anda. Itu menemukan klaster AWS CloudHSM terkait, membangun infrastruktur jaringan yang diperlukan, menghubungkan ke sana, login ke klaster AWS CloudHSM sebagai CU kmsuser, dan memutar kata sandi kmsuser. Ketika operasi selesai, status koneksi berubah menjadi Terhubung.

Jika operasi gagal, muncul pesan kesalahan yang menjelaskan alasan kegagalan. Sebelum Anda mencoba menghubungkan lagi, lihat status koneksi toko AWS CloudHSM kunci Anda. Jika Gagal, Anda harus memutuskan penyimpanan kunci khusus sebelum Anda menghubungkannya lagi. Jika Anda memerlukan bantuan, lihat Memecahkan masalah penyimpanan kunci kustom.

Berikutnya:Membuat kunci KMS di toko AWS CloudHSM kunci.

Menghubungkan penyimpanan kunci kustom (API)

Untuk menghubungkan toko AWS CloudHSM kunci yang terputus, gunakan ConnectCustomKeyStoreoperasi. AWS CloudHSMCluster terkait harus berisi setidaknya satu HSM aktif dan status koneksi tidak dapatFAILED.

Proses koneksi memerlukan waktu yang lama untuk selesai; hingga 20 menit. Kecuali mengalami kegagalan dengan cepat, operasi tersebut mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan status koneksi penyimpanan kunci kustom, lihat DescribeCustomKeyStoresresponsnya.

Contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk mengidentifikasi toko AWS CloudHSM kunci, gunakan ID toko kunci kustom. Anda dapat menemukan ID di halaman toko kunci kustom di konsol atau dengan menggunakan DescribeCustomKeyStoresoperasi tanpa parameter. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Untuk memverifikasi bahwa toko AWS CloudHSM kunci terhubung, gunakan DescribeCustomKeyStoresoperasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter CustomKeyStoreId atau CustomKeyStoreName (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. Nilai ConnectionState dari CONNECTED menunjukkan bahwa penyimpanan kunci kustom terhubung ke klaster AWS CloudHSM.

catatan

CustomKeyStoreTypeBidang ditambahkan ke DescribeCustomKeyStores respons untuk membedakan toko AWS CloudHSM kunci dari toko kunci eksternal.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Jika nilai ConnectionState gagal, elemen ConnectionErrorCode menunjukkan alasan kegagalan. Dalam kasus ini, AWS KMS tidak dapat menemukan klaster AWS CloudHSM di akun Anda dengan ID klaster cluster-1a23b4cdefg. Jika Anda menghapus klaster, Anda dapat memulihkannya dari cadangan dari klaster asli dan mengedit ID klaster untuk penyimpanan kunci kustom. Untuk bantuan menanggapi kode kesalahan koneksi, lihatCara memperbaiki kegagalan koneksi.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

Berikutnya:Membuat kunci KMS di toko AWS CloudHSM kunci.

Putuskan sambungan toko AWS CloudHSM kunci (konsol)

Untuk memutuskan penyimpanan AWS CloudHSM kunci yang terhubung diAWS Management Console, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman Toko Kunci Kustom.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, toko AWS CloudHSM utama.

  4. Pilih baris toko kunci eksternal yang ingin Anda putuskan.

  5. Dari menu Key Store Actions, pilih Disconnect.

Ketika operasi selesai, status koneksi berubah dari Memutuskan sambungan ke Terputus. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Memecahkan masalah penyimpanan kunci kustom.

Putuskan sambungan toko AWS CloudHSM kunci (API)

Untuk memutuskan sambungan AWS CloudHSM kunci yang terhubung, gunakan DisconnectCustomKeyStoreoperasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.

Contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Contoh ini memutus penyimpanan AWS CloudHSM kunci. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terputus, gunakan DescribeCustomKeyStoresoperasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter CustomKeyStoreId dan CustomKeyStoreName (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. ConnectionStateNilai DISCONNECTED menunjukkan bahwa penyimpanan AWS CloudHSM kunci contoh ini tidak terhubung ke AWS CloudHSM klasternya.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}