Creare una KMS chiave in un archivio di AWS CloudHSM chiavi - AWS Key Management Service
Crea una nuova KMS chiave nel tuo archivio di HSM chiavi Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare una KMS chiave in un archivio di AWS CloudHSM chiavi

Dopo aver creato un archivio AWS CloudHSM chiavi, puoi crearlo AWS KMS keys nel tuo archivio chiavi. Devono essere KMSchiavi di crittografia simmetriche con materiale chiave generato AWS KMS . Non è possibile creare chiavi asimmetriche, KMS chiavi o HMACKMSKMSchiavi con materiale chiave importato in un archivio di chiavi personalizzato. Inoltre, non è possibile utilizzare chiavi di crittografia simmetriche in un archivio di KMS chiavi personalizzato per generare coppie di chiavi di dati asimmetriche.

Per creare una KMS chiave in un archivio di AWS CloudHSM chiavi, l'archivio AWS CloudHSM chiavi deve essere connesso al AWS CloudHSM cluster associato e il cluster deve contenere almeno due chiavi attive HSMs in diverse zone di disponibilità. Per trovare lo stato e il numero di connessioniHSMs, visualizza la pagina degli archivi di AWS CloudHSM chiavi nel AWS Management Console. Quando si utilizzano le API operazioni, utilizzare l'DescribeCustomKeyStoresoperazione per verificare che l'archivio AWS CloudHSM chiavi sia connesso. Per verificare il numero di persone attive HSMs nel cluster e le relative zone di disponibilità, utilizzate l' AWS CloudHSM DescribeClustersoperazione.

Quando crei una KMS chiave nel tuo archivio AWS CloudHSM chiavi, AWS KMS crea la KMS chiave in AWS KMS. Tuttavia, crea il materiale chiave per la KMS chiave nel AWS CloudHSM cluster associato. In particolare AWS KMS , accede al cluster come kmsuserCU che hai creato. Quindi crea una chiave simmetrica Advanced Encryption Standard (AES) persistente, non estraibile, a 256 bit nel cluster. AWS KMS imposta il valore dell'attributo key label, visibile solo nel cluster, su Amazon Resource Name (ARN) della KMS chiave.

Quando il comando ha esito positivo, lo stato chiave della nuova KMS chiave è Enabled e la sua origine èAWS_CLOUDHSM. Non è possibile modificare l'origine di alcuna KMS chiave dopo averla creata. Quando si visualizza una KMS chiave in un archivio AWS CloudHSM chiavi della AWS KMS console o utilizzando l'DescribeKeyoperazione, è possibile visualizzare le proprietà tipiche, come l'ID della chiave, lo stato della chiave e la data di creazione. Ma puoi anche visualizzare l'ID store chiavi personalizzate ed eventualmente l'ID del cluster AWS CloudHSM .

Se il tentativo di creare una KMS chiave nell'archivio delle AWS CloudHSM chiavi fallisce, utilizza il messaggio di errore per determinarne la causa. Potrebbe indicare che l'archivio AWS CloudHSM chiavi non è connesso (CustomKeyStoreInvalidStateException) o HSMs che il AWS CloudHSM cluster associato non ha le due chiavi attive necessarie per questa operazione (CloudHsmClusterInvalidConfigurationException). Per assistenza, consulta Risoluzione di problemi relativi a store delle chiavi personalizzate.

Per un esempio del AWS CloudTrail registro dell'operazione che crea una KMS chiave in un archivio di AWS CloudHSM chiavi, vedereCreateKey.

Crea una nuova KMS chiave nel tuo archivio di HSM chiavi Cloud

Puoi creare una KMS chiave di crittografia simmetrica nel tuo archivio di AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'CreateKeyoperazione.

Utilizzare la procedura seguente per creare una KMS chiave di crittografia simmetrica in un archivio di AWS CloudHSM chiavi.

Nota

Non includere informazioni riservate o sensibili nell'alias, nella descrizione o nei tag. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel riquadro di navigazione, scegli Chiavi gestite dal cliente.

  4. Scegliere Create key (Crea chiave).

  5. Scegliere Symmetric (Simmetrica).

  6. In Key usage (Utilizzo della chiave), l'opzione Encrypt and decrypt (Crittografa e decrittografa) è selezionata per default. Non modificarla.

  7. Scegliere Advanced options (Opzioni avanzate).

  8. Per Origine del materiale della chiave, scegli Archivio di chiavi AWS CloudHSM .

    Non è possibile creare una chiave multiregionale in un archivio di chiavi. AWS CloudHSM

  9. Scegli Next (Successivo).

  10. Seleziona un archivio di AWS CloudHSM chiavi per la tua nuova KMS chiave. Per creare un nuovo archivio AWS CloudHSM chiavi, scegli Crea archivio chiavi personalizzato.

    Lo stato dell'archivio AWS CloudHSM chiavi selezionato deve avere lo stato Connesso. Il AWS CloudHSM cluster associato deve essere attivo e contenerne almeno due attivi HSMs in diverse zone di disponibilità.

    Per informazioni sulla connessione di un archivio di AWS CloudHSM chiavi, consultaDisconnetti un archivio di AWS CloudHSM chiavi. Per informazioni sull'aggiuntaHSMs, consulta Aggiungere un file HSM nella Guida AWS CloudHSM per l'utente.

  11. Scegli Next (Successivo).

  12. Digita un alias e una descrizione opzionale per la KMS chiave.

  13. (Facoltativo). Nella pagina Aggiungi tag, aggiungi i tag che identificano o classificano la tua KMS chiave.

    Quando aggiungi tag alle tue AWS risorse, AWS genera un rapporto sull'allocazione dei costi con utilizzo e costi aggregati per tag. I tag possono essere utilizzati anche per controllare l'accesso a una KMS chiave. Per informazioni sull'etichettatura delle KMS chiavi, consulta Tag in AWS KMS eABACper AWS KMS.

  14. Scegli Next (Successivo).

  15. Nella sezione Amministratori chiave, seleziona IAM gli utenti e i ruoli che possono gestire la KMS chiave. Per ulteriori informazioni, consulta Consente agli amministratori chiave di amministrare la chiave. KMS

    Nota

    IAMle politiche possono concedere ad altri IAM utenti e ruoli il permesso di utilizzare la KMS chiave.

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  16. (Facoltativo) Per impedire a questi amministratori chiave di eliminare questa KMS chiave, deseleziona la casella in fondo alla pagina relativa a Consenti agli amministratori chiave di eliminare questa chiave.

  17. Scegli Next (Successivo).

  18. Nella sezione Questo account, seleziona IAM gli utenti e i ruoli Account AWS che possono utilizzare la KMS chiave nelle operazioni crittografiche. Per ulteriori informazioni, consulta Consente agli utenti chiave di utilizzare la KMS chiave.

    Nota

    IAMle politiche possono concedere ad altri IAM utenti e ruoli il permesso di utilizzare la KMS chiave.

    IAMle migliori pratiche scoraggiano l'uso di IAM utenti con credenziali a lungo termine. Quando possibile, utilizzate IAM ruoli che forniscono credenziali temporanee. Per i dettagli, consulta le migliori pratiche di sicurezza IAM nella Guida per l'IAMutente.

  19. (Facoltativo) È possibile consentire Account AWS ad altri di utilizzare questa KMS chiave per operazioni crittografiche. A tale scopo, nella Account AWS sezione Altro in fondo alla pagina, scegli Aggiungi un altro account Account AWS e inserisci l' Account AWS ID di un account esterno. Per aggiungere più account esterni, ripetere questo passaggio.

    Nota

    Gli amministratori dell'altro Account AWS devono inoltre consentire l'accesso alla KMS chiave creando IAM politiche per i propri utenti. Per ulteriori informazioni, consulta Consentire agli utenti di altri account di utilizzare una KMS chiave.

  20. Seleziona Next (Successivo).

  21. Esaminare le principali impostazioni scelte. È comunque possibile tornare indietro e modificare tutte le impostazioni.

  22. Al termine, scegli Crea filtro.

Quando la procedura ha esito positivo, il display mostra la nuova KMS AWS CloudHSM chiave nell'archivio chiavi scelto. Quando si sceglie il nome o l'alias della nuova KMS chiave, la scheda Configurazione crittografica nella relativa pagina di dettaglio mostra l'origine della KMS chiave (AWS CloudHSM), il nome, l'ID e il tipo dell'archivio chiavi personalizzato e l'ID del cluster. AWS CloudHSM Se la procedura ha esito negativo, viene visualizzato un messaggio di errore che descrive l'errore.

Suggerimento

Per semplificare l'identificazione KMS delle chiavi in un archivio di chiavi personalizzato, nella pagina Customer managed keys, aggiungi la colonna Customer key store ID al display. Fai clic sull'icona che raffigura un ingranaggio in alto a destra e seleziona Custom key store ID (ID store chiavi personalizzate). Per informazioni dettagliate, consultare Personalizza la visualizzazione della console.

Per creare una nuova AWS KMS key (KMSchiave) nel tuo archivio AWS CloudHSM chiavi, usa l'CreateKeyoperazione. Utilizza il parametro CustomKeyStoreId per identificare lo store e specifica AWS_CLOUDHSM per Origin.

Potresti anche voler utilizzare il parametro Policy per specificare una policy delle chiavi. Puoi modificare la policy chiave (PutKeyPolicy) e aggiungere elementi opzionali, come una descrizione e dei tag in qualsiasi momento.

Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

L'esempio seguente inizia con una chiamata all'DescribeCustomKeyStoresoperazione per verificare che l'archivio AWS CloudHSM chiavi sia connesso al AWS CloudHSM cluster associato. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Per descrivere solo un particolare archivio di AWS CloudHSM chiavi, utilizzate il relativo CustomKeyStoreName parametro CustomKeyStoreId o (ma non entrambi).

Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.

Nota

Non includere informazioni riservate o sensibili nei campi Description o Tags. Questi campi possono apparire in testo semplice nei CloudTrail log e in altri output.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Il comando di esempio successivo utilizza l'DescribeClustersoperazione per verificare che il AWS CloudHSM cluster associato a ExampleKeyStore (cluster-1a23b4cdefg) ne abbia almeno due attivi. HSMs Se il cluster ne ha meno di due, l'operazione ha esito negativo. HSMs CreateKey

$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}

Questo comando di esempio utilizza l'CreateKeyoperazione per creare una KMS chiave in un archivio di AWS CloudHSM chiavi. Per creare una KMS chiave in un archivio AWS CloudHSM chiavi, è necessario fornire l'ID dell'archivio chiavi personalizzato dell'archivio AWS CloudHSM chiavi e specificare il Origin valore diAWS_CLOUDHSM.

La risposta include l'archivio IDs di chiavi personalizzato e il AWS CloudHSM cluster.

Prima di eseguire questo comando, sostituisci l'ID store chiavi personalizzate di esempio con un ID valido.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}