Solucionar problemas de um armazenamento de chaves personalizado

Os armazenamentos de chaves do AWS CloudHSM foram projetados para serem disponíveis e resilientes. No entanto, há algumas condições de erro que você pode ter de reparar para manter o armazenamento de chaves do AWS CloudHSM em operação.

Como corrigir chaves do KMS indisponíveis

O estado da chave de AWS KMS keys em um armazenamento de chaves do AWS CloudHSM normalmente é Enabled. Como todas as chaves do KMS, o estado de chave é alterado quando você desabilita as chaves do KMS em um armazenamento de chaves do AWS CloudHSM ou agenda sua exclusão. No entanto, ao contrário de outras chaves do KMS, as chaves do KMS em um armazenamento de chaves personalizado também podem ter um estado de chave Unavailable.

Um estado de chave Unavailable indica que a chave do KMS está em um armazenamento de chaves personalizado que foi intencionalmente desconectado e que as tentativas de reconectá-lo, se houver, não foram bem-sucedidas. Enquanto uma chave do KMS está indisponível, é possível visualizá-la e gerenciá-la, mas não é possível usá-la para operações de criptografia.

Para encontrar o estado de chave de uma chave do KMS, na página Customer managed keys (Chaves gerenciadas pelo cliente), visualize o campo Status da chave do KMS. Ou use a DescribeKeyoperação e visualize o KeyState elemento na resposta. Para obter detalhes, consulte Visualizar chaves.

As chaves do KMS em um armazenamento de chaves personalizado desconectado terão o estado de chave Unavailable ou PendingDeletion. As chaves do KMS agendadas para exclusão de um armazenamento de chaves personalizado têm um estado de chave Pending Deletion, mesmo quando o armazenamento de chaves personalizado está desconectado. Isso permite que você cancele a programação da exclusão de chaves sem reconectar o armazenamento de chaves personalizado.

Para corrigir uma chave do KMS indisponível, reconecte o armazenamento de chaves personalizado. Após a reconexão do armazenamento de chaves personalizado, o estado de chave das chaves do KMS nesse armazenamento é automaticamente restaurado ao estado anterior, como Enabled ou Disabled. Chaves do KMS com exclusão pendente permanecem no estado PendingDeletion. No entanto, enquanto o problema persistir, habilitar ou desabilitar uma chave do KMS indisponível não altera seu estado de chave. A ação habilitar ou desabilitar entra em vigor somente quando a chave é disponibilizada.

Para obter ajuda com conexões com falha, consulte Como corrigir uma falha de conexão.

Como corrigir uma chave do KMS com falha

Problemas com a criação e o uso de chaves do KMS em armazenamentos de chaves do AWS CloudHSM podem ser causados por um problema no armazenamento de chaves do AWS CloudHSM, no cluster do AWS CloudHSM associado, na chave do KMS ou no material de chave.

Quando um armazenamento de chaves do AWS CloudHSM é desconectado do cluster do AWS CloudHSM, o estado de chave das chaves do KMS no armazenamento de chaves personalizado é Unavailable. Todas as solicitações para criar chaves do KMS em um armazenamento de chaves do AWS CloudHSM desconectado retornam uma exceção CustomKeyStoreInvalidStateException. Todas as solicitações para criptografar, descriptografar e criptografar novamente ou gerar chaves de dados retornam uma exceção KMSInvalidStateException. Para corrigir o problema, reconecte o armazenamento de chaves do AWS CloudHSM.

No entanto, suas tentativas de usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSMpara operações de criptografia podem falhar mesmo quando o estado da chave é Enabled e o estado da conexão do armazenamento de chaves do AWS CloudHSM é Connected. Isso pode ser causado por uma das seguintes condições.

• O material de chave para a chave do KMS pode ter sido excluído do cluster do AWS CloudHSM associado. Para investigar, localize o identificador de chave do material de chave para uma chave do KMS e, se necessário, tente recuperar o material de chave.

• Todos os HSMs foram excluídos do cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM. Para usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM em uma operação de criptografia, seu cluster do AWS CloudHSM deve conter pelo menos um HSM ativo. Para verificar o número e o estado dos HSMs em um AWS CloudHSM cluster, use o AWS CloudHSM console ou a DescribeClustersoperação. Para adicionar um HSM ao cluster, use o AWS CloudHSM console ou a CreateHsmoperação.

• O cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM foi excluído. Para corrigir o problema, crie um cluster a partir de um backup relacionado ao cluster original, como um backup do cluster original, ou um backup que foi usado para criar o cluster original. Edite o ID do cluster nas configurações do armazenamento de chaves personalizado. Para obter instruções, consulte Como recuperar materiais de chave excluídos de uma chave do KMS.

• O cluster do AWS CloudHSM associado ao armazenamento de chaves personalizado não tinha sessões do PKCS #11 disponíveis. Isso geralmente ocorre durante períodos de alto tráfego de intermitência quando sessões adicionais são necessárias para atender ao tráfego. Para responder a um KMSInternalException com uma mensagem de erro sobre as sessões do PKCS #11, volte e repita a solicitação.

Como corrigir uma falha de conexão

Se você tentar conectar um armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM, mas a operação falhar, o estado da conexão do armazenamento de chaves do AWS CloudHSM será alterado para FAILED. Para encontrar o estado da conexão de um armazenamento de AWS CloudHSM chaves, use o AWS KMS console ou a DescribeCustomKeyStoresoperação.

Como alternativa, algumas tentativas de conexão falham rapidamente devido a erros de configuração de cluster facilmente detectados. Nesse caso, o estado da conexão ainda é DISCONNECTED. Essas falhas retornar uma mensagem de erro ou exceção que explica por que a tentativa falhou. Analise a descrição da exceção e os requisitos do cluster, corrija o problema, atualize o armazenamento de chaves do AWS CloudHSM, se necessário, e tente se conectar novamente.

Quando o estado da conexão estiverFAILED, execute a DescribeCustomKeyStoresoperação e veja o ConnectionErrorCode elemento na resposta.

nota

Quando o estado da conexão de um armazenamento de chaves do AWS CloudHSM for FAILED, você deverá desconectar o armazenamento de chaves do AWS CloudHSM antes de tentar reconectá-lo. Você não pode conectar um armazenamento de chaves do AWS CloudHSM com um estado de conexão FAILED.

• CLUSTER_NOT_FOUND indica que o AWS KMS não consegue encontrar o cluster do AWS CloudHSM com o ID do cluster especificado. Isso pode ocorrer quando o ID de cluster errado é fornecido para uma operação de API ou o cluster é excluído e não substituído. Para corrigir esse erro, verifique o ID do cluster, por exemplo, usando o AWS CloudHSM console ou a DescribeClustersoperação. Se o cluster foi excluído, crie um cluster a partir de um backup recente do original. Desconecte o armazenamento de chaves do AWS CloudHSM, edite o armazenamento de chaves do AWS CloudHSMna configuração de ID do cluster e reconecte o armazenamento de chaves do AWS CloudHSM ao cluster.

• INSUFFICIENT_CLOUDHSM_HSMS indica que o cluster do AWS CloudHSM associado não contém HSMs. Para se conectar, o cluster deve ter pelo menos um HSM. Para encontrar o número de HSMs no cluster, use a DescribeClustersoperação. Para corrigir esse erro, adicione pelo menos um HSM ao cluster. Se você adicionar vários HSMs, é melhor criá-los em diferentes zonas de disponibilidade.

• INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET indica que o AWS KMS não pôde conectar o armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM porque pelo menos uma sub-rede privada associada ao cluster não tem um endereço IP disponível. Uma conexão de armazenamento de chaves do AWS CloudHSM requer um endereço IP livre em cada uma das sub-redes privadas associadas, embora dois endereços IP sejam preferíveis.

  Não é possível adicionar endereços IP (blocos CIDR) a uma sub-rede existente. Se possível, mova ou exclua outros recursos que estejam usando os endereços IP na sub-rede, como instâncias do EC2 não utilizadas ou interfaces elásticas de rede. Caso contrário, crie um cluster a partir de um backup recente do cluster AWS CloudHSM com sub-redes privadas novas ou existentes que tenham mais espaço de endereço livre. Depois, para associar o novo cluster ao armazenamento de chaves do AWS CloudHSM, desconecte o armazenamento de chaves personalizado, altere o ID do cluster do armazenamento de chaves do AWS CloudHSM para o ID do novo cluster e tente se conectar novamente.

  dica

  Para evitar redefinir a senha de kmsuser, use o backup mais recente do cluster do AWS CloudHSM.

• INTERNAL_ERROR indica que o AWS KMS não conseguiu concluir a solicitação devido a um erro interno. Repetir a solicitação . Para solicitações ConnectCustomKeyStore, desconecte o armazenamento de chaves do AWS CloudHSM antes de tentar se conectar novamente.

• INVALID_CREDENTIALS indica que o AWS KMS não pode fazer login no cluster do AWS CloudHSM associado, pois ele não tem a senha correta da conta kmsuser. Para obter ajuda com relação a esse erro, consulte Como corrigir credenciais kmsuser inválidas.

• NETWORK_ERRORS geralmente indica problemas de rede temporários. Desconecte o armazenamento de chaves do AWS CloudHSM, aguarde alguns minutos e tente se conectar novamente.

• SUBNET_NOT_FOUND indica que pelo menos uma sub-rede na configuração do cluster do AWS CloudHSM foi excluída. Se o AWS KMS não conseguir localizar todas as sub-redes na configuração do cluster, as tentativas de conectar o armazenamento de chaves do AWS CloudHSM ao cluster do AWS CloudHSM falharão.

  Para corrigir esse erro, crie um cluster de um backup recente do mesmo cluster do AWS CloudHSM. (Esse processo cria uma configuração de cluster com uma VPC e sub-redes privadas.) Verifique se o novo cluster atende aos requisitos para um armazenamento de chaves personalizado e anote o novo ID do cluster. Depois, para associar o novo cluster ao armazenamento de chaves do AWS CloudHSM, desconecte o armazenamento de chaves personalizado, altere o ID do cluster do armazenamento de chaves do AWS CloudHSM para o ID do novo cluster e tente se conectar novamente.

  dica

  Para evitar redefinir a senha de kmsuser, use o backup mais recente do cluster do AWS CloudHSM.

• USER_LOCKED_OUT indica que a conta do usuário de criptografia (CU) kmsuser está bloqueada do cluster do AWS CloudHSM associado devido ao excesso de tentativas de senha com falha. Para obter ajuda com relação a esse erro, consulte Como corrigir credenciais kmsuser inválidas.

  Para corrigir esse erro, desconecte o armazenamento de chaves do AWS CloudHSM e use o comando changePswd no cloudhsm_mgmt_util para alterar a senha da conta kmsuser. Edite as configurações de senha kmsuser do armazenamento de chaves personalizado e tente se conectar novamente. Para obter ajuda, use o procedimento descrito no tópico Como corrigir credenciais kmsuser inválidas.

• USER_LOGGED_IN indica que a conta do CU kmsuser está registrada no cluster do AWS CloudHSM associado. Isso impede que o AWS KMS faça a rotação da senha da conta kmsuser e faça login no cluster. Para corrigir esse erro, registre o CU kmsuser fora do cluster. Se tiver alterado a senha do kmsuser para fazer login no cluster, também será necessário atualizar o valor da senha do armazenamento de chaves do AWS CloudHSM. Para obter ajuda, consulte Como fazer logout e se conectar novamente.

• USER_NOT_FOUND indica que o AWS KMS não consegue localizar uma conta de CU kmsuser no cluster do AWS CloudHSM associado. Para corrigir esse erro, crie uma conta de usuário de criptografia kmsuser no cluster e atualize o valor da senha do armazenamento de chaves para o armazenamento de chaves do AWS CloudHSM. Para obter ajuda, consulte Como corrigir credenciais kmsuser inválidas.

Como responder a uma falha de operação criptográfica

Uma operação criptográfica que usa uma chave do KMS em um armazenamento de chaves personalizado pode falhar com um KMSInvalidStateException. As mensagens de erro a seguir podem acompanhar o KMSInvalidStateException.

O KMS não pode se comunicar com seu cluster CloudHSM. Pode ser um problema de rede transitório. Caso veja esse erro repetidamente, verifique se as ACLs de rede e as regras do grupo de segurança para a VPC do cluster do AWS CloudHSM estão corretas.

• Embora este seja um erro HTTPS 400, ele pode ser resultante de problemas de rede transitórios. Para responder, comece tentando novamente a solicitação. No entanto, se o erro persistir, examine a configuração dos seus componentes de rede. O erro é causado provavelmente pela configuração incorreta de um componente de rede, como uma regra de firewall ou uma regra de grupo de segurança de VPC que está bloqueando o tráfego de saída.

O KMS não pode se comunicar com o cluster do AWS CloudHSM porque o kmsuser está bloqueado. Caso veja esse erro repetidamente, desconecte o armazenamento de chaves do AWS CloudHSM e redefina a senha da conta kmsuser. Atualize a senha do kmsuser para o armazenamento de chaves personalizado e tente fazer a solicitação novamente.

• Essa mensagem de erro indica que a conta do usuário de criptografia (CU) kmsuser está bloqueada do cluster do AWS CloudHSM correspondente devido ao excesso de tentativas de senha com falha. Para obter ajuda com relação a esse erro, consulte Como desconectar e fazer login.

Como corrigir credenciais kmsuser inválidas

Quando você conecta um armazenamento de chaves do AWS CloudHSM, o AWS KMS faz login no cluster do AWS CloudHSM associado como o usuário de criptografia kmsuser. Ele permanece conectado até que o armazenamento de chaves do AWS CloudHSM seja desconectado. A resposta DescribeCustomKeyStores mostra um ConnectionState com valor FAILED e ConnectionErrorCode de INVALID_CREDENTIALS, conforme mostrado no exemplo a seguir.

Se você desconectar o armazenamento de chaves do AWS CloudHSM e alterar a senha do kmsuser, o AWS KMS não poderá fazer login no cluster do AWS CloudHSM com as credenciais da conta de usuário de critografia kmsuser. Como resultado, haverá falha em todas as tentativas de conexão ao armazenamento de chaves do AWS CloudHSM. A resposta DescribeCustomKeyStores mostra um ConnectionState com valor FAILED e ConnectionErrorCode de INVALID_CREDENTIALS, conforme mostrado no exemplo a seguir.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Além disso, após cinco tentativas malsucedidas de efetuar login no cluster com uma senha incorreta, o AWS CloudHSM bloqueia a conta do usuário. Para efetuar login no cluster, você deve alterar a senha da conta.

Se o AWS KMS obtiver uma resposta de bloqueio ao tentar efetuar login no cluster como usuário de criptografia kmsuser, ocorrerá uma falha na solicitação para se conectar ao armazenamento de chaves do AWS CloudHSM. A DescribeCustomKeyStoresresposta inclui um ConnectionState de FAILED e um ConnectionErrorCode valor deUSER_LOCKED_OUT, conforme mostrado no exemplo a seguir.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}

Para corrigir qualquer uma dessas condições, use o procedimento a seguir.

1. Desconecte o armazenamento de chaves do AWS CloudHSM.

2. Execute a DescribeCustomKeyStoresoperação e visualize o valor do ConnectionErrorCode elemento na resposta.

   • Se o valor ConnectionErrorCode for INVALID_CREDENTIALS, determine a senha atual para a conta kmsuser. Se necessário, use o comando changePswd no cloudhsm_mgmt_util para definir a senha como um valor conhecido.

   • Se o valor ConnectionErrorCode for USER_LOCKED_OUT, você deve usar o comando changePswd no cloudhsm_mgmt_util para alterar a senha kmsuser.

3. Edite a configuração de senha kmsuser para corresponder à senha kmsuser atual no cluster. Essa ação informa ao AWS KMS a senha a ser usada para fazer login no cluster. Ela não altera a senha kmsuser no cluster.

4. Conectar o armazenamento de chaves personalizado

Como excluir material de chave órfã

Depois de programar a exclusão de uma chave do KMS de um armazenamento de chaves do AWS CloudHSM, pode ser necessário excluir manualmente o material de chave correspondente do cluster do AWS CloudHSM associado.

Quando você cria uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, o AWS KMS cria os metadados da chave do KMS no AWS KMS e gera o material de chave no cluster do AWS CloudHSM associado. Quando você programa a exclusão de uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, após o período de espera, o AWS KMS exclui os metadados da chave do KMS. O AWS KMS faz o possível para excluir o material de chaves do cluster do AWS CloudHSM. A tentativa pode falhar se o AWS KMS não puder acessar o cluster, como quando ele é desconectado do armazenamento de chaves do AWS CloudHSM ou com alterações de senha do kmsuser. O AWS KMS não tenta excluir o material de chave dos backups do cluster.

AWS KMS informa os resultados de sua tentativa de excluir o material de chaves do cluster na entrada de eventos DeleteKey do seus logs do AWS CloudTrail. Ela aparece no elemento backingKeysDeletionStatus do elemento additionalEventData, conforme mostrado na entrada de exemplo a seguir. A entrada também inclui o ARN da chave do KMS, o ID do cluster do AWS CloudHSM e o identificador de chave do material de chave (backing-key-id).

{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "eu-west-1",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"keyHandle\":\"01\",\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"keyHandle\":\"16\",\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}

Para excluir o material de chaves do cluster do AWS CloudHSM associado, use um procedimento semelhante ao seguinte. Esse exemplo usa as ferramentas da linha de comando da AWS CLI e do AWS CloudHSM, mas você pode usar o AWS Management Console em vez da CLI.

1. Desconecte o armazenamento de chaves do AWS CloudHSM, caso ainda não tenha sido desconectado e faça login no key_mgmt_util, conforme explicado em Como desconectar e fazer login.

2. Use o comando deleteKey no key_mgmt_util para excluir a chave dos HSMs no cluster.

   Por exemplo, esse comando exclui a chave 262162 dos HSMs no cluster. O identificador da chave está listado na entrada do CloudTrail registro.

   Command: deleteKey -k 262162
   
           Cfm3DeleteKey returned: 0x00 : HSM Return: SUCCESS
   
           Cluster Error Status
           Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
           Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
           Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

3. Encerre a sessão do key_mgmt_util e reconecte o armazenamento de chaves do AWS CloudHSM, como descrito em Como fazer logout e se conectar novamente.

Como recuperar materiais de chave excluídos de uma chave do KMS

Se o material de chave para uma AWS KMS key for excluído, a chave do KMS ficará inutilizável, e o texto cifrado que foi criptografado com ela não poderá ser descriptografado. Isso poderá acontecer se o material de chaves para uma chave do KMS em um armazenamento de chaves do AWS CloudHSM for excluído do cluster do AWS CloudHSM associado. No entanto, há a possibilidade de recuperação do material de chaves.

Quando uma AWS KMS key (chave do KMS) é criada em um armazenamento de chaves do AWS CloudHSM, o AWS KMS faz login no cluster do AWS CloudHSM associado e cria o material de chave para a chave do KMS. Ele também altera a senha para um valor que apenas ele conhece e permanecerá conectado enquanto o armazenamento de chaves do AWS CloudHSM estiver conectado. Como apenas o proprietário da chave, ou seja, o CU que criou uma chave, pode excluir a chave, é improvável que a chave seja excluída dos HSMs acidentalmente.

No entanto, se o material de chave para uma chave do KMS for excluído dos HSMs em um cluster, o estado da chave do KMS será alterado para UNAVAILABLE. Se você tentar usar a chave do KMS para uma operação de criptografia, ocorrerá falha na operação com uma exceção KMSInvalidStateException. E, o que é mais importante, os dados que tiverem sido criptografados com a chave do KMS não poderão ser descriptografados.

Em determinadas circunstâncias, é possível recuperar o material de chaves excluído, criando um cluster a partir de um backup que contenha o material de chaves. Essa estratégia funciona somente quando pelo menos um backup foi criado enquanto a chave existia e antes de ter sido excluída.

Use o processo a seguir para recuperar o material de chaves.

1. Encontre um backup de cluster que contém o material de chaves. O backup também deve conter todos os usuários e chaves de que você precisa para oferecer suporte ao cluster e seus dados criptografados.

   Use a DescribeBackupsoperação para listar os backups de um cluster. Use o timestamp do backup para ajudá-lo a selecionar um backup. Para limitar a saída para o cluster associado ao armazenamento de chaves do AWS CloudHSM, use o parâmetro Filters, conforme exibido no exemplo a seguir.

   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }

2. Crie um cluster a partir de um backup selecionado. Verifique se o backup contém a chave excluída e outros usuários e chaves que o cluster requer.

3. Desconecte o armazenamento de chaves do AWS CloudHSM para que você possa editar suas propriedades.

4. Edite o ID do cluster do armazenamento de chaves do AWS CloudHSM. Insira o ID do cluster que você criou a partir do backup. Como o cluster compartilha um histórico de backup com o cluster original, o novo ID do cluster deve ser válido.

5. Reconecte o armazenamento de chaves do AWS CloudHSM.

Como fazer login como kmsuser

Para criar e gerenciar o material de chaves no cluster do AWS CloudHSM para o armazenamento de chaves do AWS CloudHSM, o AWS KMS usa a conta de usuário de criptografia kmsuser. Você cria a conta de usuário de criptografia kmsuser no cluster e fornece sua senha para o AWS KMS ao criar seu armazenamento de chaves do AWS CloudHSM.

Em geral, o AWS KMS gerencia a conta kmsuser. No entanto, para algumas tarefas, você precisa desconectar o armazenamento de chaves do AWS CloudHSM, fazer login no cluster como usuário de criptografia kmsuser e usar as ferramentas da linha de comando cloudhsm_mgmt_util e key_mgmt_util.

nota

Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Este tópico explica como desconectar o armazenamento de chaves do AWS CloudHSM e fazer login como kmsuser, executar a ferramenta da linha de comando do AWS CloudHSM e desconectar e reconectar seu armazenamento de chaves do AWS CloudHSM.

Tópicos

• Como desconectar e fazer login
• Como fazer logout e se conectar novamente

Como desconectar e fazer login

Use o procedimento a seguir sempre que precisar fazer login em um cluster associado como CU kmsuser.

1. Desconecte o armazenamento de chaves do AWS CloudHSM, caso ele ainda não tenha sido desconectado. É possível usar o console do AWS KMS ou a API do AWS KMS.

   Enquanto a chave do AWS CloudHSM estiver conectada, o AWS KMS estará conectado como kmsuser. Isso evita que você faça login como kmsuser ou altere a senha kmsuser.

   Por exemplo, esse comando é usado DisconnectCustomKeyStorepara desconectar um exemplo de armazenamento de chaves. Substitua o ID de exemplo do armazenamento de chaves do AWS CloudHSM por um ID válido.

   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

2. Iniciar cloudhsm_mgmt_util. Use o procedimento descrito na seção Preparar para executar cloudhsm_mgmt_util do Manual do usuário do AWS CloudHSM.

3. Faça login no cloudhsm_mgmt_util no cluster do AWS CloudHSM como responsável pela criptografia (CO).

   Por exemplo, este comando efetua login como um CO chamado admin. Substitua o nome de usuário e a senha do CO de exemplo por valores válidos.

   aws-cloudhsm>loginHSM CO admin <password>
   loginHSM success on server 0(10.0.2.9)
   loginHSM success on server 1(10.0.3.11)
   loginHSM success on server 2(10.0.1.12)

4. Use o comando changePswd para alterar a senha da conta kmsuser para a senha de sua preferência. (O AWS KMS altera a senha quando você se conecta ao armazenamento de chaves do AWS CloudHSM.) A senha deve conter de 7 a 32 caracteres alfanuméricos. Ela diferencia maiúsculas de minúsculas e não pode conter caracteres especiais.

   Por exemplo, este comando altera a senha kmsuser para tempPassword.

   aws-cloudhsm>changePswd CU kmsuser tempPassword
   
   *************************CAUTION********************************
   This is a CRITICAL operation, should be done on all nodes in the
   cluster. Cav server does NOT synchronize these changes with the
   nodes on which this operation is not executed or failed, please
   ensure this operation is executed on all nodes in the cluster.
   ****************************************************************
   
   Do you want to continue(y/n)?y
   Changing password for kmsuser(CU) on 3 nodes

5. Faça login no key_mgmt_util ou cloudhsm_mgmt_util como kmsuser usando a senha que você definir. Para obter instruções detalhadas, consulte Conceitos básicos cloudhsm_mgmt_util e Conceitos básicos key_mgmt_util. A ferramenta que você usa depende da sua tarefa.

   Por exemplo, este comando faz login em key_mgmt_util.

   Command: loginHSM -u CU -s kmsuser -p tempPassword
   Cfm3LoginHSM returned: 0x00 : HSM Return: SUCCESS
   
   Cluster Error Status
   Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
   Node id 1 and err state 0x00000000 : HSM Return: SUCCESS
   Node id 2 and err state 0x00000000 : HSM Return: SUCCESS

Como fazer logout e se conectar novamente

1. Execute a tarefa e faça logout da ferramenta da linha de comando. Se você não fizer logout, ocorrerá falha nas tentativas de se reconectar ao armazenamento de chaves do AWS CloudHSM.

   Command:  logoutHSM
   Cfm3LogoutHSM returned: 0x00 : HSM Return: SUCCESS
   
   Cluster Error Status
   Node id 0 and err state 0x00000000 : HSM Return: SUCCESS
   Node id 1 and err state 0x00000000 : HSM Return: SUCCESS

2. Edite a configuração de senha kmsuser para o armazenamento de chaves personalizado.

   Esse procedimento informa ao AWS KMS a senha atual do kmsuser no cluster. Se você pular essa etapa, o AWS KMS não poderá fazer login no cluster como kmsuser, e ocorrerá falha em todas as tentativas de reconectá-lo ao armazenamento de chaves personalizado. Você pode usar o AWS KMS console ou o KeyStorePassword parâmetro da UpdateCustomKeyStoreoperação.

   Por exemplo, este comando informa ao AWS KMS que a senha atual é tempPassword. Substitua a senha de exemplo pela real.

   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword

3. Reconectar o armazenamento de chaves do AWS KMS ao cluster do AWS CloudHSM. Substitua o ID de exemplo do armazenamento de chaves do AWS CloudHSM por um ID válido. Durante o processo de conexão, o AWS KMS altera a senha kmsuser para um valor que apenas ele conhece.

   A ConnectCustomKeyStoreoperação retorna rapidamente, mas o processo de conexão pode levar um longo período de tempo. A resposta inicial não indica o sucesso do processo de conexão.

   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

4. Use a DescribeCustomKeyStoresoperação para verificar se o armazenamento de AWS CloudHSM chaves está conectado. Substitua o ID de exemplo do armazenamento de chaves do AWS CloudHSM por um ID válido.

   Neste exemplo, o campo de estado da conexão mostra que agora o armazenamento de chaves do AWS CloudHSM está conectado.

   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }