KMSchiavi in un archivio di HSM chiavi Cloud

È possibile creare, visualizzare, gestire, utilizzare e pianificare l'eliminazione delle chiavi AWS KMS keys in un AWS CloudHSM key store. Le procedure utilizzate sono molto simili a quelle utilizzate per KMS le altre chiavi. L'unica differenza è che si specifica un archivio di AWS CloudHSM chiavi quando si crea la KMS chiave. Quindi, AWS KMS crea materiale chiave non estraibile per la KMS chiave nel AWS CloudHSM cluster associata all'archivio delle AWS CloudHSM chiavi. Quando si utilizza una KMS chiave in un archivio di AWS CloudHSM chiavi, le operazioni crittografiche vengono eseguite nel HSMs cluster.

Funzionalità supportate

Oltre alle procedure illustrate in questa sezione, è possibile effettuare le seguenti operazioni con le KMS chiavi in un archivio di AWS CloudHSM chiavi:

Utilizza le politiche, le IAM politiche e le concessioni chiave per autorizzare l'accesso alle chiavi. KMS
Abilita e disabilita i tasti. KMS
Assegna tag e crea alias e usa il controllo di accesso basato sugli attributi (ABAC) per autorizzare l'accesso alle chiavi. KMS
Utilizzate le KMS chiavi per eseguire le seguenti operazioni crittografiche:
Le operazioni che generano coppie di chiavi di dati asimmetriche GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, non sono supportate negli archivi di chiavi personalizzati.
Utilizza le KMS chiavi con AWS servizi che si integrano AWS KMS e supportano le chiavi gestite dai clienti.
Tieni traccia dell'uso delle tue KMS chiavi nei AWS CloudTrail log e negli strumenti di CloudWatch monitoraggio di Amazon.

Caratteristiche non supportate

AWS CloudHSM gli archivi di chiavi supportano solo chiavi di crittografia simmetriche. KMS Non è possibile creare HMAC KMS chiavi, chiavi asimmetriche o coppie di KMS chiavi di dati asimmetriche in un archivio di chiavi. AWS CloudHSM
Non è possibile importare materiale chiave in una chiave in un KMS archivio chiavi. AWS CloudHSM AWS KMS genera il materiale chiave per la KMS chiave nel AWS CloudHSM cluster.
Non è possibile abilitare o disabilitare la rotazione automatica del materiale chiave per una KMS chiave in un archivio di AWS CloudHSM chiavi.

Utilizzo KMS delle chiavi in un archivio di AWS CloudHSM chiavi

Quando utilizzi la KMS chiave in una richiesta, identifica la KMS chiave tramite il relativo ID o alias; non è necessario specificare l'archivio delle AWS CloudHSM chiavi o il AWS CloudHSM cluster. La risposta include gli stessi campi restituiti per qualsiasi chiave di crittografia simmetrica. KMS

Tuttavia, quando si utilizza una KMS chiave in un archivio di AWS CloudHSM chiavi, l'operazione di crittografia viene eseguita interamente all'interno del AWS CloudHSM cluster associato all' AWS CloudHSM archivio chiavi. L'operazione utilizza il materiale chiave del cluster associato alla KMS chiave scelta.

Perché ciò avvenga, devono essere soddisfatte le seguenti condizioni.

Lo stato chiave della KMS chiave deve essereEnabled. Per trovare lo stato della chiave, usa il campo Status nella AWS KMS console o il KeyState campo nella DescribeKeyrisposta.
L'archivio delle AWS CloudHSM chiavi deve essere connesso al relativo AWS CloudHSM cluster. Il relativo stato nella AWS KMS console o ConnectionState nella DescribeCustomKeyStoresrisposta deve essereCONNECTED.
Il AWS CloudHSM cluster associato all'archivio chiavi personalizzato deve contenerne almeno uno attivoHSM. Per trovare il numero di persone attive HSMs nel cluster, usa la AWS KMS console, la AWS CloudHSM console o l'DescribeClustersoperazione.
Il AWS CloudHSM cluster deve contenere il materiale chiave per la KMS chiave. Se il materiale chiave è stato eliminato dal cluster o ne HSM è stato creato uno da un backup che non includeva il materiale chiave, l'operazione di crittografia avrà esito negativo.

Se queste condizioni non vengono soddisfatte, l'operazione di crittografia ha esito negativo e AWS KMS restituisce un'KMSInvalidStateExceptioneccezione. In genere, è sufficiente ricollegare l'archivio delle AWS CloudHSM chiavi. Per ulteriori informazioni, consulta Come correggere una chiave difettosa KMS.

Quando utilizzate le KMS chiavi in un archivio di AWS CloudHSM chiavi, tenete presente che le KMS chiavi di ogni archivio di AWS CloudHSM chiavi condividono una quota di richiesta di archivio chiavi personalizzata per le operazioni crittografiche. Se superi la quota, AWS KMS restituisce unThrottlingException. Se il AWS CloudHSM cluster associato all'archivio AWS CloudHSM chiavi elabora numerosi comandi, inclusi quelli non correlati all'archivio AWS CloudHSM chiavi, potresti riceverne uno ThrottlingException a una velocità ancora inferiore. Se viene generata un'eccezione ThrottlingException per una qualsiasi richiesta, riduci la frequenza delle richieste e riesegui i comandi. Per informazioni dettagliate sulle quote di richiesta dell'archivio delle chiavi personalizzate, consulta Quote di richiesta per l'archivio delle chiavi personalizzate.

Ulteriori informazioni

Per ulteriori informazioni sui AWS CloudHSM key store, consultaAWS CloudHSM negozi chiave.
Per creare KMS chiavi in un archivio di AWS CloudHSM chiavi, consultaCreare una KMS chiave in un archivio di AWS CloudHSM chiavi.
Per identificare e visualizzare KMS le chiavi in un archivio di AWS CloudHSM chiavi, vedereIdentifica KMS le chiavi negli archivi AWS CloudHSM delle chiavi.
Per trovare KMS chiavi e materiale chiave in un archivio di AWS CloudHSM chiavi, vediTrova KMS chiavi e materiale chiave in un negozio di AWS CloudHSM chiavi.
Per informazioni su considerazioni speciali sull'eliminazione delle KMS chiavi in un archivio AWS CloudHSM chiavi, vedi Eliminazione delle KMS chiavi da un AWS CloudHSM archivio chiavi.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Protezione del materiale della chiave importato

KMSchiavi in archivi di chiavi esterni