在自定义密钥存储CMKs中创建 - AWS Key Management Service

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在自定义密钥存储CMKs中创建

创建自定义密钥存储后,您可以在密钥存储中创建 客户主密钥 (CMKs)。它们必须与 CMKs 生成的密钥材料AWS KMS对称。您无法创建非对称CMKs或CMKs导入的密钥材料,并且无法在自定义密钥存储CMKs中使用对称来生成非对称数据密钥对。

在自定义密钥存储CMKs中使用和管理 的方式与CMK在 中使用和管理任何 的方式相同AWS KMS。例如,您可以执行以下任一操作:

  • 使用 CMKs 进行加密操作

  • 在 上设置 IAM 和密钥策略CMKs。

  • 创建与 关联的别名CMKs。

  • 将标签附加到 CMKs。

  • 启用和禁用 CMKs。

  • 计划 的删除CMKs。

要在自定义密钥存储CMK中创建 ,自定义密钥存储必须连接到其关联的 AWS CloudHSM 集群,并且该集群必须在不同的可用区中包含至少两个活动 HSMs。要查找 HSMs 的连接状态和数量,请查看 中的自定义密钥存储页面AWS 管理控制台。在使用 API 操作时,请使用 DescribeCustomKeyStores 操作来验证自定义密钥存储是否已连接。使用 AWS CloudHSM DescribeClusters 操作获取集群中的活动 HSM 数及其可用区。

在自定义密钥存储CMK中创建 时, AWS KMS 在 CMK 中创建 AWS KMS。但是,它会在关联的 CMK 集群AWS CloudHSM中为 创建密钥材料。具体而言,AWS KMS 作为您创建的 kmsuser CU 登录到集群。然后,它会在集群中创建一个持久、不可提取的 256-bit高级加密标准 (AES) 对称密钥。 将AWS KMS密钥标签属性的值(仅在集群中可见)设置为 的 Amazon 资源名称 (CMKARN)。

如果命令成功,则新 的密钥状态为 CMK Enabled ,其源为 AWS_CLOUDHSM。在创建任何源CMK后,您无法更改其源。当您在 控制台中或使用 CMKDescribeKey 操作查看自定义密钥存储中的 时,您会看到典型属性,例如其密钥 ID、密钥状态和创建日期。但是,您也可以查看自定义密钥存储 ID 和(可选)AWS CloudHSM 集群 ID。有关详细信息,请参阅 在自定义密钥存储中查看CMKs

如果您在自定义密钥存储CMK中创建 的尝试失败,请使用错误消息帮助您确定原因。它可能表示未连接自定义密钥存储 (CustomKeyStoreInvalidStateException) 或关联的 AWS CloudHSM 集群没有此操作所需的两个活动 HSM (CloudHsmClusterInvalidConfigurationException)。有关帮助信息,请参阅对自定义密钥存储进行故障排除

在自定义密钥存储CMK中创建 (控制台)

使用以下过程在自定义密钥存储中创建 客户主密钥 (CMK)。

  1. 登录 AWS 管理控制台并通过以下网址打开 AWS Key Management Service (AWS KMS) 控制台:https://console.aws.amazon.com/kms

  2. 要更改 AWS 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择 Customer managed keys (客户托管密钥)

  4. 选择 Create key

  5. 选择 Symmetric (对称)

    您无法在自定义密钥存储CMK中创建非对称 。

  6. 选择 Advanced options (高级选项)

  7. 对于 Key material origin (密钥材料源),选择 Custom key store (CloudHSM) (自定义密钥存储 (CloudHSM))

  8. 选择 Next

  9. 为新的 选择自定义密钥存储CMK。要创建新的自定义密钥存储,请选择 Create custom key store (创建自定义密钥存储)

    您选择的自定义密钥存储的状态必须为 CONNECTED。其关联的 AWS CloudHSM 集群必须处于活动状态且在不同的可用区中包含至少两个活动 HSM。

    有关连接自定义密钥存储的帮助,请参阅连接和断开自定义密钥存储。有关添加 HSMs的帮助,请参阅 中的https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm添加 AWS CloudHSM User GuideHSM。

  10. 选择 Next

  11. 键入 的别名和可选描述CMK。

  12. (可选)。在 Add Tags (添加标签) 页面上,添加用于标识或分类 的标签CMK。

    在将标签添加到 AWS 资源时,AWS 可生成成本分配报告,其中按标签汇总了使用情况和成本。标签还可用于控制对 CMK 的访问。有关标记 CMK 的信息,请参阅标记密钥将 ABAC 用于 AWS KMS

  13. 选择 Next

  14. 在 Key Administrators (密钥管理员) 部分中,选择可管理 的 IAM 用户和角色CMK。有关更多信息,请参阅允许密钥管理员管理 CMK

    注意

    IAM 策略可以向其他 IAM 用户和角色授予使用 的权限CMK。

  15. (可选)要阻止这些密钥管理员删除此 CMK,请清除页面底部的允许密钥管理员删除此密钥对应的框。

  16. 选择 Next

  17. This account (此账户) 部分中,选择此AWS账户中可在CMK加密操作中使用 的 IAM 用户和角色。有关更多信息,请参阅允许密钥用户使用 CMK

    注意

    IAM 策略可以向其他 IAM 用户和角色授予使用 的权限CMK。

  18. (可选)您可以允许其他AWS账户CMK将此参数用于加密操作。为此,请在页面底部的 Other AWS accounts (其他账户) 部分中,选择 Add another AWS account (添加其他账户),然后输入外部账户AWS的账户标识号。要添加多个外部账户,请重复此步骤。

    注意

    其他AWS账户的管理员还必须通过为其用户创建 IAM 策略CMK来允许访问 。有关更多信息,请参阅允许其他账户中的用户使用 CMK

  19. 选择 Next

  20. 查看您选择的密钥设置。您仍然可以返回并更改所有设置。

  21. 完成后,选择 Finish (完成) 以创建密钥。

当该过程成功时,显示屏将在您选择的自定义密钥存储CMK中显示新的 。当您选择新的名称或别名时CMK,其详细信息页面将显示 CMK (CloudHSM) 的源、自定义密钥存储的名称和 ID 以及AWS CloudHSM集群的 ID。如果此过程失败,则会出现一条描述失败的错误消息。

提示

为了更轻松地识别自定义密钥存储CMKs中的 ,请在 Customer managed keys (客户托管密钥) 页面上,将 Custom key store ID (自定义密钥存储 ID) 列添加到显示中。单击右上角的齿轮图标并选择 Custom key store ID (自定义密钥存储 ID)

在自定义密钥存储CMK中创建 (API)

要在自定义密钥存储中创建新的 客户主密钥 (CMK),请使用 CreateKey 操作。使用 CustomKeyStoreId 参数识别自定义密钥存储并指定 OriginAWS_CLOUDHSM

您可能还需要使用 Policy 参数指定密钥策略。您可以随时更改密钥策略 (PutKeyPolicy) 并添加可选元素,例如描述标签

此部分中的示例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何受支持的编程语言。

在以下示例中,首先调用 DescribeCustomKeyStores 操作以验证自定义密钥存储是否已连接到其关联的 AWS CloudHSM 集群。默认情况下,此操作将返回您的账户和区域中的所有自定义密钥存储。要仅描述特定的自定义密钥存储,请使用 CustomKeyStoreIdCustomKeyStoreName 参数(而不是同时使用两者)。

在运行此命令之前,请将示例自定义密钥存储 ID 替换为有效的 ID。

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

下一条示例命令使用 DescribeClusters 操作验证与 AWS CloudHSM (ExampleKeyStore) 关联的 cluster-1a23b4cdefg 集群是否具有至少两个活动 HSM。如果集群的 HSM 少于两个,则 CreateKey 操作将失败。

$ aws cloudhsmv2 describe-clusters { "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }

此示例命令使用 CreateKey 操作创建自定义CMK密钥存储。要在自定义密钥存储CMK中创建 ,您必须提供自定义密钥存储名称的 ID 并指定 OriginAWS_CLOUDHSM

该响应包含自定义密钥存储和 AWS CloudHSM 集群的 ID。

在运行此命令之前,请将示例自定义密钥存储 ID 替换为有效的 ID。

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0 { "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }