Crear una KMS clave en un almacén de AWS CloudHSM claves - AWS Key Management Service
Cree una KMS clave nueva en su almacén de HSM claves de la nube

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear una KMS clave en un almacén de AWS CloudHSM claves

Una vez creado un almacén de AWS CloudHSM claves, puede crearlo AWS KMS keys en su almacén de claves. Deben ser claves de cifrado simétricas con el material de KMS claves que se AWS KMS generen. No puede crear KMSclaves asimétricas, ni HMACKMSclaves con material de KMS claves importado en un almacén de claves personalizado. Además, no puede utilizar claves de cifrado simétricas en un almacén de KMS claves personalizado para generar pares de claves de datos asimétricos.

Para crear una KMS clave en un almacén de AWS CloudHSM claves, el almacén de AWS CloudHSM claves debe estar conectado al AWS CloudHSM clúster asociado y el clúster debe contener al menos dos activos HSMs en distintas zonas de disponibilidad. Para averiguar el estado y el número de la conexiónHSMs, consulte la página de almacenes de AWS CloudHSM claves en AWS Management Console. Cuando utilice las API operaciones, utilice la DescribeCustomKeyStoresoperación para comprobar que el almacén de AWS CloudHSM claves esté conectado. Para verificar el número de personas activas HSMs en el clúster y sus zonas de disponibilidad, utilice la AWS CloudHSM DescribeClustersoperación.

Al crear una KMS clave en el almacén de AWS CloudHSM claves, AWS KMS crea la KMS clave AWS KMS. Sin embargo, crea el material clave para la KMS clave en el AWS CloudHSM clúster asociado. En concreto, AWS KMS inicia sesión en el clúster como la kmsuserCU que creó. A continuación, crea una clave simétrica del Estándar de Cifrado Avanzado (AES) persistente, no extraíble y de 256 bits en el clúster. AWS KMS establece el valor del atributo de etiqueta clave, que solo está visible en el clúster, en Amazon Resource Name (ARN) de la KMS clave.

Cuando el comando se ejecuta correctamente, el estado clave de la nueva KMS clave es Enabled y su origen esAWS_CLOUDHSM. No puede cambiar el origen de ninguna KMS clave después de crearla. Al ver una KMS clave en un almacén de AWS CloudHSM claves de la AWS KMS consola o al utilizar la DescribeKeyoperación, puede ver las propiedades típicas, como el identificador de clave, el estado de la clave y la fecha de creación. Pero también puede ver el ID del almacén de claves personalizado y (de forma opcional) el ID del clúster de AWS CloudHSM .

Si se produce un error al intentar crear una KMS AWS CloudHSM clave en el almacén de claves, utilice el mensaje de error como ayuda para determinar la causa. Puede indicar que el almacén de AWS CloudHSM claves no está conectado (CustomKeyStoreInvalidStateException) o HSMs que el AWS CloudHSM clúster asociado no tiene los dos activos necesarios para esta operación (CloudHsmClusterInvalidConfigurationException). Para obtener ayuda, consulte Resolver problemas de un almacén de claves personalizado.

Para ver un ejemplo del AWS CloudTrail registro de la operación que crea una KMS clave en un almacén de AWS CloudHSM claves, consulteCreateKey.

Cree una KMS clave nueva en su almacén de HSM claves de la nube

Puedes crear una KMS clave de cifrado simétrica en el almacén de AWS CloudHSM claves de la AWS KMS consola o mediante esta CreateKeyoperación.

Utilice el siguiente procedimiento para crear una KMS clave de cifrado simétrica en un almacén de AWS CloudHSM claves.

nota

No incluya información confidencial en el alias, la descripción ni las etiquetas. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

  1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrala en https://console.aws.amazon.com/kms.

  2. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

  3. En el panel de navegación, elija Claves administradas por el cliente.

  4. Elija Create key.

  5. Seleccione Symmetric (Simétrica).

  6. En Key usage (Uso de claves), se selecciona la opción Encrypt and decrypt (Cifrar y descifrar) para usted. No la cambie.

  7. Elija Advanced options (Opciones avanzadas).

  8. En Origen del material de claves, elija Almacén de claves de AWS CloudHSM .

    No puede crear una clave multirregional en un AWS CloudHSM almacén de claves.

  9. Elija Next (Siguiente).

  10. Seleccione un almacén de AWS CloudHSM claves para la nueva KMS clave. Para crear un nuevo almacén de AWS CloudHSM claves, selecciona Crear un almacén de claves personalizado.

    El almacén de AWS CloudHSM claves que seleccione debe tener el estado Conectado. Su AWS CloudHSM clúster asociado debe estar activo y contener al menos dos activos HSMs en distintas zonas de disponibilidad.

    Si necesita ayuda para conectar un almacén de AWS CloudHSM claves, consulteDesconexión de un almacén de claves de AWS CloudHSM. Para obtener ayuda sobre cómo añadirHSMs, consulte Añadir un elemento HSM en la Guía del AWS CloudHSM usuario.

  11. Elija Next (Siguiente).

  12. Escriba un alias y una descripción opcional para la KMS clave.

  13. (Opcional). En la página Añadir etiquetas, añada etiquetas que identifiquen o clasifiquen la KMS clave.

    Al añadir etiquetas a AWS los recursos, AWS genera un informe de asignación de costes con el uso y los costes agregados por etiquetas. Las etiquetas también se pueden usar para controlar el acceso a una KMS clave. Para obtener información sobre el etiquetado de KMS claves, consulte Etiquetas en AWS KMS yABAC para AWS KMS.

  14. Elija Next (Siguiente).

  15. En la sección Administradores de claves, seleccione los IAM usuarios y roles que pueden administrar la KMS clave. Para obtener más información, consulte Permite a los administradores de claves administrar la KMS clave.

    Notas

    IAMlas políticas pueden dar permiso a otros IAM usuarios y roles para usar la KMS clave.

    IAMlas mejores prácticas desalientan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega administradores clave a la política clave bajo el identificador de la declaración"Allow access for Key Administrators". La modificación de este identificador de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  16. (Opcional) Para evitar que estos administradores de claves eliminen esta KMS clave, desactive la casilla situada en la parte inferior de la página para permitir que los administradores de claves eliminen esta clave.

  17. Elija Next (Siguiente).

  18. En la sección Esta cuenta, seleccione los IAM usuarios y roles Cuenta de AWS que pueden usar la KMS clave en las operaciones criptográficas. Para obtener más información, consulte Permite a los usuarios clave utilizar la KMS clave.

    Notas

    IAMlas mejores prácticas desaconsejan el uso de IAM usuarios con credenciales de larga duración. Siempre que sea posible, utilice IAM roles, que proporcionan credenciales temporales. Para obtener más información, consulte las prácticas recomendadas de seguridad IAM en la Guía del IAM usuario.

    La AWS KMS consola agrega los usuarios clave a la política clave bajo los identificadores de la declaración "Allow use of the key" y"Allow attachment of persistent resources". La modificación de estos identificadores de declaración puede afectar a la forma en que la consola muestra las actualizaciones que realice en la declaración.

  19. (Opcional) Puede permitir que otras personas Cuentas de AWS usen esta KMS clave para operaciones criptográficas. Para ello, en la Cuentas de AWS sección Otros, en la parte inferior de la página, selecciona Añadir otra Cuenta de AWS e introduce el Cuenta de AWS ID de una cuenta externa. Para agregar varias cuentas externas, repita este paso.

    nota

    Los administradores de la otra también Cuentas de AWS deben permitir el acceso a la KMS clave mediante la creación de IAM políticas para sus usuarios. Para obtener más información, consulte Permitir a los usuarios de otras cuentas utilizar una clave KMS.

  20. Elija Next (Siguiente).

  21. Revise las declaraciones de políticas clave para ver la clave. Para realizar cambios en la política clave, selecciona Editar.

  22. Elija Next (Siguiente).

  23. Revise los ajustes de clave que ha elegido. Aún puede volver atrás y cambiar todos los ajustes.

  24. Cuando haya acabado, elija Finish (Finalizar) para crear la clave.

Cuando el procedimiento se complete correctamente, la pantalla mostrará la nueva KMS clave en el almacén de AWS CloudHSM claves que haya elegido. Al elegir el nombre o el alias de la nueva KMS clave, la pestaña de configuración criptográfica de su página de detalles muestra el origen de la KMS clave (AWS CloudHSM), el nombre, el identificador y el tipo del almacén de claves personalizado y el identificador del clúster. AWS CloudHSM Si el procedimiento falla, aparecerá un mensaje de error que describe el motivo del error.

sugerencia

Para facilitar la identificación de KMS las claves en un almacén de claves personalizado, en la página de claves gestionadas por el cliente, añada la columna ID del almacén de claves personalizado a la pantalla. Haga clic en el icono de engranaje en la esquina superior derecha y, a continuación, seleccione Custom key store ID (ID del almacén de claves personalizado). Para obtener más información, consulte Personalización de la vista de la consola.

Para crear una nueva AWS KMS key (KMSclave) en su almacén de AWS CloudHSM claves, utilice la CreateKeyoperación. Use el parámetro CustomKeyStoreId para identificar su almacén de claves personalizado y en el valor Origin especifique AWS_CLOUDHSM.

Es posible que también desee utilizar el parámetro Policy para especificar una política de claves. Puede cambiar la política de claves (PutKeyPolicy) y añadir elementos opcionales, como una descripción y etiquetas, en cualquier momento.

En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI), pero puede usar cualquier lenguaje de programación admitido.

El siguiente ejemplo comienza con una llamada a la DescribeCustomKeyStoresoperación para comprobar que el almacén de AWS CloudHSM claves está conectado al AWS CloudHSM clúster asociado. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Para describir únicamente un almacén de AWS CloudHSM claves concreto, utilice su CustomKeyStoreName parámetro CustomKeyStoreId o (pero no ambos).

Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por un ID válido.

nota

No incluya información confidencial en los campos Description o Tags. Estos campos pueden aparecer en texto plano en CloudTrail los registros y otros resultados.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS CloudHSM key store",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

El siguiente comando de ejemplo utiliza la DescribeClustersoperación para comprobar que el AWS CloudHSM clúster asociado al ExampleKeyStore (cluster-1a23b4cdefg) tiene al menos dos activos. HSMs Si el clúster tiene menos de dos, se produce un error en la operación. HSMs CreateKey

$ aws cloudhsmv2 describe-clusters
{
    "Clusters": [
        {
            "SubnetMapping": {
               ...
            },
            "CreateTimestamp": 1507133412.351,
            "ClusterId": "cluster-1a23b4cdefg",
            "SecurityGroup": "sg-865af2fb",
            "HsmType": "hsm1.medium",
            "VpcId": "vpc-1a2b3c4d",
            "BackupPolicy": "DEFAULT",
            "Certificates": {
                "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n"
            },
            "Hsms": [
                {
                    "AvailabilityZone": "us-west-2a",
                    "EniIp": "10.0.1.11",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-a6b10bd1",
                    "HsmId": "hsm-abcdefghijk",
                    "State": "ACTIVE"
                },
                {
                    "AvailabilityZone": "us-west-2b",
                    "EniIp": "10.0.0.2",
                    "ClusterId": "cluster-1a23b4cdefg",
                    "EniId": "eni-ea8647e1",
                    "StateMessage": "HSM created.",
                    "SubnetId": "subnet-b6b10bd2",
                    "HsmId": "hsm-zyxwvutsrqp",
                    "State": "ACTIVE"
                },
            ],
            "State": "ACTIVE"
        }
    ]
}

Este comando de ejemplo utiliza la CreateKeyoperación para crear una KMS clave en un almacén de AWS CloudHSM claves. Para crear una KMS clave en un almacén de AWS CloudHSM claves, debe proporcionar el ID del almacén de claves personalizado del almacén de AWS CloudHSM claves y especificar un Origin valor deAWS_CLOUDHSM.

La respuesta incluye el almacén IDs de claves personalizado y el AWS CloudHSM clúster.

Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por un ID válido.

$ aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-id cks-1234567890abcdef0
{
  "KeyMetadata": {
    "AWSAccountId": "111122223333",
    "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "CreationDate": 1.499288695918E9,
    "Description": "Example key",
    "Enabled": true,
    "MultiRegion": false,
    "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
    "KeyManager": "CUSTOMER",
    "KeyState": "Enabled",
    "KeyUsage": "ENCRYPT_DECRYPT",    
    "Origin": "AWS_CLOUDHSM"
    "CloudHsmClusterId": "cluster-1a23b4cdefg",
    "CustomKeyStoreId": "cks-1234567890abcdef0"
    "KeySpec": "SYMMETRIC_DEFAULT",
    "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT",
    "EncryptionAlgorithms": [
        "SYMMETRIC_DEFAULT"
    ]
  }
}