Menggunakan kunci KMS di toko AWS CloudHSM kunci - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan kunci KMS di toko AWS CloudHSM kunci

Setelah Anda membuat kunci KMS enkripsi simetris di toko AWS CloudHSM kunci, Anda dapat menggunakannya untuk operasi kriptografi berikut:

Operasi yang menghasilkan pasangan kunci data asimetris, GenerateDataKeyPairdan GenerateDataKeyPairWithoutPlaintext, tidak didukung di penyimpanan kunci khusus.

Saat Anda menggunakan kunci KMS dalam permintaan, identifikasi kunci KMS dengan ID atau aliasnya; Anda tidak perlu menentukan penyimpanan AWS CloudHSM kunci atau klaster. AWS CloudHSM Respons mencakup bidang yang sama yang dikembalikan untuk kunci KMS enkripsi simetris apa pun.

Namun, ketika Anda menggunakan kunci KMS di toko AWS CloudHSM kunci, operasi kriptografi dilakukan sepenuhnya dalam AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Operasi menggunakan materi kunci dalam cluster yang terkait dengan kunci KMS yang Anda pilih.

Untuk memungkinkan ini terjadi, syarat-syarat berikut diperlukan.

  • Status kunci dari kunci KMS harusEnabled. Untuk menemukan status kunci, gunakan bidang Status di AWS KMSkonsol atau KeyState bidang dalam DescribeKeyrespons.

  • Toko AWS CloudHSM kunci harus terhubung ke AWS CloudHSM klasternya. Statusnya di AWS KMSkonsol atau ConnectionState dalam DescribeCustomKeyStoresrespons harusCONNECTED.

  • Klaster AWS CloudHSM yang terkait dengan penyimpanan kunci kustom harus berisi setidaknya satu HSM aktif. Untuk menemukan jumlah HSM aktif di cluster, gunakan AWS KMSkonsol, AWS CloudHSM konsol, atau DescribeClustersoperasi.

  • AWS CloudHSMCluster harus berisi bahan kunci untuk kunci KMS. Jika material kunci dihapus dari klaster, atau HSM dibuat dari cadangan yang tidak menyertakan material kunci, operasi kriptografi akan gagal.

Jika kondisi ini tidak terpenuhi, operasi kriptografi gagal, dan AWS KMS mengembalikan pengecualian KMSInvalidStateException. Biasanya, Anda hanya perlu menghubungkan kembali toko AWS CloudHSM kunci. Untuk bantuan tambahan, lihat Cara memperbaiki kunci KMS yang gagal.

Saat menggunakan kunci KMS di toko AWS CloudHSM kunci, ketahuilah bahwa kunci KMS di setiap AWS CloudHSM toko kunci berbagi kuota permintaan toko kunci khusus untuk operasi kriptografi. Jika Anda melebihi kuota, AWS KMS mengembalikan ThrottlingException. Jika AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci memproses banyak perintah, termasuk yang tidak terkait dengan penyimpanan AWS CloudHSM kunci, Anda mungkin mendapatkan ThrottlingException tingkat yang lebih rendah. Jika Anda mendapatkan ThrottlingException untuk permintaan apa pun, turunkan tingkat permintaan Anda dan coba lagi perintahnya. Untuk detail tentang kuota permintaan toko kunci kustom, lihatKuota permintaan toko kunci kustom.