Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Dopo aver creato un archivio di AWS CloudHSM chiavi, puoi crearlo AWS KMS keys nel tuo archivio di chiavi. Devono essere chiavi KMS con crittografia simmetrica con materiale chiave generato. AWS KMS Non è possibile creare chiavi KMS asimmetriche, chiavi KMS HMAC o chiavi KMS con materiale della chiave importato in un archivio delle chiavi personalizzate. Inoltre, non è possibile utilizzare chiavi KMS di crittografia simmetrica in un archivio delle chiavi personalizzate per generare coppie di chiavi di dati asimmetriche.
Per creare una chiave KMS in un AWS CloudHSM key store, l'archivio AWS CloudHSM chiavi deve essere connesso al AWS CloudHSM cluster associato e il cluster deve contenerne almeno due attive HSMs in diverse zone di disponibilità. Per trovare lo stato e il numero di connessioni HSMs, visualizza la pagina degli archivi di AWS CloudHSM chiavi in. AWS Management Console Quando si utilizzano le operazioni API, utilizzare l'DescribeCustomKeyStoresoperazione per verificare che l'archivio delle AWS CloudHSM chiavi sia connesso. Per verificare il numero di persone attive HSMs nel cluster e le relative zone di disponibilità, utilizzate l' AWS CloudHSM DescribeClustersoperazione.
Quando crei una chiave KMS nel tuo archivio AWS CloudHSM chiavi, AWS KMS crea la chiave KMS in. AWS KMS Tuttavia, crea il materiale chiave per la chiave KMS nel cluster associato. AWS CloudHSM In particolare, AWS KMS accede al cluster come kmsuserCU che hai creato. Crea quindi una chiave simmetrica AES (Advanced Encryption Standard) a 256 bit non estraibile e persistente nel cluster. AWS KMS imposta il valore dell'attributo dell'etichetta di chiave, visibile solo nel cluster, sull'Amazon Resource Name (ARN) della chiave KMS.
Quando il comando riesce, lo stato di chiave della nuova chiave KMS è Enabled e la relativa origine è AWS_CLOUDHSM. Non puoi modificare l'origine di una chiave KMS dopo averla creata. Quando si visualizza una chiave KMS in un AWS CloudHSM key store della AWS KMS console o utilizzando l'DescribeKeyoperazione, è possibile visualizzare le proprietà tipiche, come l'ID della chiave, lo stato della chiave e la data di creazione. Ma puoi anche visualizzare l'ID store chiavi personalizzate ed eventualmente l'ID del cluster AWS CloudHSM
.
Se il tentativo di creare una chiave KMS nell'archivio delle AWS CloudHSM chiavi fallisce, utilizza il messaggio di errore per determinarne la causa. Potrebbe indicare che l'archivio AWS CloudHSM chiavi non è connesso (CustomKeyStoreInvalidStateException) o HSMs che il AWS CloudHSM cluster associato non ha le due chiavi attive necessarie per questa operazione (CloudHsmClusterInvalidConfigurationException). Per assistenza, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.
Per un esempio del AWS CloudTrail registro dell'operazione che crea una chiave KMS in un archivio di AWS CloudHSM chiavi, vediCreateKey.
Crea una nuova chiave KMS nel tuo key store CloudHSM
Puoi creare una chiave KMS di crittografia simmetrica nel tuo archivio di AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'operazione. CreateKey
Utilizzare la procedura seguente per creare una chiave KMS di crittografia simmetrica in un AWS CloudHSM archivio di chiavi.
Nota
Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
-
Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms
. -
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
-
Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.
-
Scegliere Create key (Crea chiave).
-
Scegliere Symmetric (Simmetrica).
-
In Key usage (Utilizzo della chiave), l'opzione Encrypt and decrypt (Crittografa e decrittografa) è selezionata per default. Non modificarla.
-
Scegliere Advanced options (Opzioni avanzate).
-
Per Origine del materiale della chiave, scegli Archivio di chiavi AWS CloudHSM .
Non è possibile creare una chiave multiregionale in un archivio di chiavi. AWS CloudHSM
-
Scegli Next (Successivo).
-
Seleziona un archivio di AWS CloudHSM chiavi per la tua nuova chiave KMS. Per creare un nuovo archivio AWS CloudHSM chiavi, scegli Crea archivio chiavi personalizzato.
Lo stato dell'archivio AWS CloudHSM chiavi selezionato deve avere lo stato Connesso. Il AWS CloudHSM cluster associato deve essere attivo e contenerne almeno due attivi HSMs in diverse zone di disponibilità.
Per informazioni sulla connessione di un archivio di AWS CloudHSM chiavi, consultaDisconnetti un archivio di AWS CloudHSM chiavi. Per informazioni sull'aggiunta HSMs, consulta Aggiungere un HSM nella Guida per l'AWS CloudHSM utente.
-
Scegli Next (Successivo).
-
Digita un alias ed eventualmente una descrizione per la chiave KMS.
-
(Facoltativo). Nella pagina Add Tags (Aggiungi tag), aggiungi i tag che identificano o categorizzano la chiave KMS.
Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una chiave KMS. Per informazioni sull'assegnazione di tag delle chiavi KMS, consulta Tag in AWS KMS e ABAC per AWS KMS.
-
Scegli Next (Successivo).
-
Nella sezione amministratori delle chiavi, seleziona utenti IAM e ruoli IAM che possono gestire la chiave KMS. Per ulteriori informazioni, consulta Consente agli amministratori delle chiavi di amministrare la chiave KMS.
Note
Le policy IAM possono fornire ad altri ruoli e utenti IAM l'autorizzazione per utilizzare la chiave KMS.
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.
La AWS KMS console aggiunge gli amministratori chiave alla politica chiave sotto l'identificatore dell'istruzione.
"Allow access for Key Administrators"La modifica di questo identificatore di istruzione potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione. -
(Facoltativo) Per impedire a questi amministratori delle chiavi di eliminare questa chiave KMS, nella parte inferiore della pagina deseleziona Allow key administrators to delete this key. (Consenti agli amministratori delle chiavi di eliminare questa chiave).
-
Scegli Next (Successivo).
-
Nella sezione Questo account, seleziona gli utenti e i ruoli IAM Account AWS che possono utilizzare la chiave KMS nelle operazioni crittografiche. Per ulteriori informazioni, consulta Consente agli utenti della chiave di utilizzare la chiave KMS.
Note
Le best practice di IAM disincentivano l'uso di utenti IAM con credenziali a lungo termine. Quando possibile, utilizza i ruoli IAM che forniscono credenziali temporanee. Per i dettagli, consulta la sezione Best practice di sicurezza in IAM nella Guida per l'utente IAM.
La AWS KMS console aggiunge gli utenti chiave alla politica chiave sotto gli
"Allow use of the key"identificatori di dichiarazione e."Allow attachment of persistent resources"La modifica di questi identificatori delle istruzioni potrebbe influire sul modo in cui la console visualizza gli aggiornamenti apportati all'istruzione. -
(Facoltativo) È possibile consentire ad altri Account AWS di utilizzare questa chiave KMS per operazioni crittografiche. A tale scopo, nella Account AWS sezione Altro in fondo alla pagina, scegli Aggiungi un altro account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.
Nota
Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla chiave KMS creando policy IAM per i propri utenti. Per ulteriori informazioni, consulta Autorizzazione per gli utenti in altri account di utilizzare una chiave KMS.
-
Scegli Next (Successivo).
-
Consulta le principali dichiarazioni politiche relative alla chiave. Per apportare modifiche alla politica chiave, seleziona Modifica.
-
Scegli Next (Successivo).
-
Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.
-
Al termine, scegli Crea filtro.
Quando la procedura ha esito positivo, il display mostra la nuova chiave KMS nell'archivio delle AWS CloudHSM chiavi che hai scelto. Quando scegli il nome o l'alias della nuova chiave KMS, la scheda Configurazione crittografica nella relativa pagina dei dettagli mostra l'origine della chiave KMS (AWS CloudHSM), il nome, l'ID e il tipo dell'archivio chiavi personalizzato e l'ID del cluster. AWS CloudHSM Se la procedura ha esito negativo, viene visualizzato un messaggio di errore che descrive l'errore.
Suggerimento
Per agevolare l'identificazione delle chiavi KMS in uno store delle chiavi personalizzate, nella pagina Chiavi gestite cliente, aggiungi la colonna ID dell'archivio delle chiavi personalizzate alla visualizzazione. Fai clic sull'icona che raffigura un ingranaggio in alto a destra e seleziona Custom key store ID (ID store chiavi personalizzate). Per informazioni dettagliate, consultare Personalizza la visualizzazione della console.
Per creare una nuova AWS KMS key (chiave KMS) nel tuo archivio AWS CloudHSM
chiavi, usa l'CreateKeyoperazione. Utilizza il parametro CustomKeyStoreId per identificare lo store e specifica AWS_CLOUDHSM per Origin.
Potresti anche voler utilizzare il parametro Policy per specificare una policy delle chiavi. Puoi modificare la politica chiave (PutKeyPolicy) e aggiungere elementi opzionali, come una descrizione e dei tag in qualsiasi momento.
Gli esempi in questa sezione utilizzano AWS Command Line Interface
(AWS CLI)
L'esempio seguente inizia con una chiamata all'DescribeCustomKeyStoresoperazione per verificare che l'archivio AWS CloudHSM chiavi sia connesso al AWS CloudHSM cluster associato. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Per descrivere solo un particolare archivio di AWS CloudHSM chiavi, utilizzate il relativo CustomKeyStoreName parametro CustomKeyStoreId o (ma non entrambi).
Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.
Nota
Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS CloudHSM key store",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "<certificate string appears here>",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}Il comando di esempio successivo utilizza l'DescribeClustersoperazione per verificare che il AWS CloudHSM cluster associato a ExampleKeyStore (cluster-1a23b4cdefg) ne abbia almeno due attivi. HSMs Se il cluster ne ha meno di due, l'operazione ha esito negativo. HSMs CreateKey
$ aws cloudhsmv2 describe-clusters
{
"Clusters": [
{
"SubnetMapping": {
...
},
"CreateTimestamp": 1507133412.351,
"ClusterId": "cluster-1a23b4cdefg",
"SecurityGroup": "sg-865af2fb",
"HsmType": "hsm1.medium",
"VpcId": "vpc-1a2b3c4d",
"BackupPolicy": "DEFAULT",
"Certificates": {
"ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
},
"Hsms": [
{
"AvailabilityZone": "us-west-2a",
"EniIp": "10.0.1.11",
"ClusterId": "cluster-1a23b4cdefg",
"EniId": "eni-ea8647e1",
"StateMessage": "HSM created.",
"SubnetId": "subnet-a6b10bd1",
"HsmId": "hsm-abcdefghijk",
"State": "ACTIVE"
},
{
"AvailabilityZone": "us-west-2b",
"EniIp": "10.0.0.2",
"ClusterId": "cluster-1a23b4cdefg",
"EniId": "eni-ea8647e1",
"StateMessage": "HSM created.",
"SubnetId": "subnet-b6b10bd2",
"HsmId": "hsm-zyxwvutsrqp",
"State": "ACTIVE"
},
],
"State": "ACTIVE"
}
]
}Questo comando di esempio utilizza l'CreateKeyoperazione per creare una chiave KMS in un archivio di AWS CloudHSM chiavi. Per creare una chiave KMS in un archivio AWS CloudHSM chiavi, è necessario fornire l'ID dell'archivio chiavi personalizzato dell'archivio AWS CloudHSM chiavi e specificare il Origin valore di. AWS_CLOUDHSM
La risposta include l'archivio IDs di chiavi personalizzato e il AWS CloudHSM cluster.
Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.
$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
"KeyMetadata": {
"AWSAccountId": "111122223333",
"Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
"CreationDate": 1.499288695918E9,
"Description": "Example key",
"Enabled": true,
"MultiRegion": false,
"KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
"KeyManager": "CUSTOMER",
"KeyState": "Enabled",
"KeyUsage": "ENCRYPT_DECRYPT",
"Origin": "AWS_CLOUDHSM"
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreId": "cks-1234567890abcdef0"
"KeySpec": "SYMMETRIC_DEFAULT",
"CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
"EncryptionAlgorithms": [
"SYMMETRIC_DEFAULT"
]
}
}