KMSkunci di toko HSM kunci Cloud

Anda dapat membuat, melihat, mengelola, menggunakan, dan menjadwalkan penghapusan AWS KMS keys di toko AWS CloudHSM utama. Prosedur yang Anda gunakan sangat mirip dengan yang Anda gunakan untuk KMS kunci lain. Satu-satunya perbedaan adalah Anda menentukan penyimpanan AWS CloudHSM kunci saat Anda membuat KMS kunci. Kemudian, AWS KMS buat materi kunci yang tidak dapat diekstraksi untuk KMS kunci di AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Ketika Anda menggunakan KMS kunci di toko AWS CloudHSM kunci, operasi kriptografi dilakukan di HSMs dalam cluster.

Fitur yang didukung

Selain prosedur yang dibahas di bagian ini, Anda dapat melakukan hal berikut dengan KMS kunci di toko AWS CloudHSM utama:

Gunakan kebijakan, IAM kebijakan, dan hibah utama untuk mengotorisasi akses ke kunci. KMS
Aktifkan dan nonaktifkan KMS kunci.
Tetapkan tag dan buat alias, dan gunakan kontrol akses berbasis atribut (ABAC) untuk mengotorisasi akses ke kunci. KMS
Gunakan KMS tombol untuk melakukan operasi kriptografi berikut:
Operasi yang menghasilkan pasangan kunci data asimetris, GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintext, tidak didukung di penyimpanan kunci khusus.
Gunakan KMS kunci dengan AWS layanan yang terintegrasi dengan AWS KMS dan mendukung kunci yang dikelola pelanggan.
Lacak penggunaan KMS kunci Anda di AWS CloudTrail log dan alat CloudWatch pemantauan Amazon.

Fitur yang tidak didukung

AWS CloudHSM toko kunci hanya mendukung KMS kunci enkripsi simetris. Anda tidak dapat membuat HMAC KMS kunci, KMS kunci asimetris, atau pasangan kunci data asimetris di penyimpanan AWS CloudHSM kunci.
Anda tidak dapat mengimpor materi kunci ke KMS kunci di toko AWS CloudHSM kunci. AWS KMS menghasilkan materi kunci untuk KMS kunci di AWS CloudHSM cluster.
Anda tidak dapat mengaktifkan atau menonaktifkan rotasi otomatis bahan kunci untuk KMS kunci di toko AWS CloudHSM kunci.

Menggunakan KMS kunci di toko AWS CloudHSM kunci

Saat Anda menggunakan KMS kunci dalam permintaan, identifikasi KMS kunci dengan ID atau aliasnya; Anda tidak perlu menentukan penyimpanan AWS CloudHSM kunci atau AWS CloudHSM klaster. Respons mencakup bidang yang sama yang dikembalikan untuk KMS kunci enkripsi simetris apa pun.

Namun, ketika Anda menggunakan KMS kunci di toko AWS CloudHSM kunci, operasi kriptografi dilakukan sepenuhnya dalam AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Operasi menggunakan bahan kunci dalam cluster yang terkait dengan KMS kunci yang Anda pilih.

Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan.

Keadaan kunci dari KMS kunci harusEnabled. Untuk menemukan status kunci, gunakan bidang Status di AWS KMS konsol atau KeyState bidang dalam DescribeKeyrespons.
Toko AWS CloudHSM kunci harus terhubung ke AWS CloudHSM klasternya. Statusnya di AWS KMS konsol atau ConnectionState dalam DescribeCustomKeyStoresrespons harusCONNECTED.
AWS CloudHSM Cluster yang terkait dengan penyimpanan kunci khusus harus berisi setidaknya satu aktifHSM. Untuk menemukan jumlah aktif HSMs di cluster, gunakan AWS KMS konsol, AWS CloudHSM konsol, atau DescribeClustersoperasi.
AWS CloudHSM Cluster harus berisi bahan kunci untuk KMS kunci. Jika materi kunci dihapus dari cluster, atau HSM dibuat dari cadangan yang tidak menyertakan materi kunci, operasi kriptografi akan gagal.

Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan KMSInvalidStateException pengecualian. Biasanya, Anda hanya perlu menghubungkan kembali toko AWS CloudHSM kunci. Untuk bantuan tambahan, lihat Cara memperbaiki kunci yang gagal KMS.

Saat menggunakan KMS kunci di toko AWS CloudHSM kunci, ketahuilah bahwa KMS kunci di setiap toko AWS CloudHSM kunci berbagi kuota permintaan toko kunci khusus untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan aThrottlingException. Jika AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci memproses banyak perintah, termasuk yang tidak terkait dengan penyimpanan AWS CloudHSM kunci, Anda mungkin mendapatkan ThrottlingException tingkat yang lebih rendah. Jika Anda mendapatkan ThrottlingException untuk permintaan apa pun, turunkan tingkat permintaan Anda dan coba lagi perintahnya. Untuk detail tentang kuota permintaan toko kunci kustom, lihatKuota permintaan toko kunci kustom.

Pelajari selengkapnya

Untuk mempelajari lebih lanjut tentang toko-toko AWS CloudHSM utama, lihatAWS CloudHSM toko-toko utama.
Untuk membuat KMS kunci di toko AWS CloudHSM kunci, lihatBuat KMS kunci di toko AWS CloudHSM kunci.
Untuk mengidentifikasi dan melihat KMS kunci di toko AWS CloudHSM kunci, lihatIdentifikasi KMS AWS CloudHSM kunci di toko-toko utama.
Untuk menemukan KMS kunci dan bahan kunci di toko AWS CloudHSM kunci, lihatTemukan KMS kunci dan bahan kunci di toko AWS CloudHSM kunci.
Untuk mempelajari tentang pertimbangan khusus untuk menghapus KMS kunci di toko AWS CloudHSM kunci, lihat Menghapus KMS kunci dari penyimpanan kunci. AWS CloudHSM

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Melindungi material kunci yang diimpor

KMSkunci di toko kunci eksternal