As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criar uma KMS chave em um armazenamento de AWS CloudHSM chaves
Depois de criar um armazenamento de AWS CloudHSM chaves, você pode criar AWS KMS keys em seu armazenamento de chaves. Elas devem ser KMSchaves de criptografia simétricas com material de chave que AWS KMS gera. Você não pode criar chaves assimétricas, KMS chaves ou HMACKMSKMSchaves com material de chave importado em um armazenamento de chaves personalizado. Além disso, você não pode usar chaves de criptografia simétricas em um armazenamento de KMS chaves personalizado para gerar pares de chaves de dados assimétricos.
Para criar uma KMS chave em um armazenamento de AWS CloudHSM chaves, o armazenamento de AWS CloudHSM chaves deve estar conectado ao AWS CloudHSM cluster associado e o cluster deve conter pelo menos dois ativos HSMs em diferentes zonas de disponibilidade. Para encontrar o estado da conexão e o número deHSMs, consulte a página de armazenamentos de AWS CloudHSM chaves no AWS Management Console. Ao usar as API operações, use a DescribeCustomKeyStoresoperação para verificar se o armazenamento de AWS CloudHSM chaves está conectado. Para verificar o número de ativos HSMs no cluster e suas zonas de disponibilidade, use a AWS CloudHSM DescribeClustersoperação.
Quando você cria uma KMS chave no seu armazenamento de AWS CloudHSM chaves, AWS KMS cria a KMS chave em AWS KMS. Porém, ele cria o material chave para a KMS chave no AWS CloudHSM cluster associado. Especificamente AWS KMS , entra no cluster como a kmsuserUC que você criou. Em seguida, ele cria uma chave simétrica Advanced Encryption Standard (AES) persistente e não extraível de 256 bits no cluster. AWS KMS define o valor do atributo do rótulo da chave, que é visível somente no cluster, como Amazon Resource Name (ARN) da KMS chave.
Quando o comando é bem-sucedido, o estado-chave da nova KMS chave é Enabled e sua origem éAWS_CLOUDHSM. Você não pode alterar a origem de nenhuma KMS chave depois de criá-la. Ao visualizar uma KMS chave em um armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a DescribeKeyoperação, você pode ver propriedades típicas, como ID da chave, estado da chave e data de criação. No entanto, você também pode ver o ID do armazenamento de chaves personalizado e (opcionalmente) o ID do cluster do AWS CloudHSM
.
Se sua tentativa de criar uma KMS chave no armazenamento de AWS CloudHSM chaves falhar, use a mensagem de erro para ajudá-lo a determinar a causa. Isso pode indicar que o armazenamento de AWS CloudHSM chaves não está conectado (CustomKeyStoreInvalidStateException) ou HSMs que o AWS CloudHSM cluster associado não tem os dois ativos necessários para essa operação (CloudHsmClusterInvalidConfigurationException). Para obter ajuda, consulte Solucionar problemas de um armazenamento de chaves personalizado.
Para obter um exemplo do AWS CloudTrail registro da operação que cria uma KMS chave em um armazenamento de AWS CloudHSM chaves, consulteCreateKey.
Crie uma nova KMS chave em seu armazenamento de HSM chaves na nuvem
Você pode criar uma KMS chave de criptografia simétrica no seu armazenamento de AWS CloudHSM chaves no AWS KMS console ou usando a CreateKeyoperação.
Use o procedimento a seguir para criar uma KMS chave de criptografia simétrica em um armazenamento de AWS CloudHSM chaves.
nota
Não inclua informações confidenciais ou sigilosas no alias, na descrição ou nas tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
-
Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.
-
No painel de navegação, escolha Chaves gerenciadas pelo cliente.
-
Escolha Criar chave.
-
Selecione Symmetric (Simétrica).
-
Em Key usage (Uso da chave), a opção Encrypt and decrypt (Criptografar e descriptografar) é selecionada para você. Não altere essa opção.
-
Escolha Advanced options (Opções avançadas).
-
Em Key material origin (Origem do material de chave), escolha AWS CloudHSM key store (Armazenamento de chaves do ).
Você não pode criar uma chave multirregional em um armazenamento de AWS CloudHSM chaves.
-
Escolha Próximo.
-
Selecione um repositório de AWS CloudHSM chaves para sua nova KMS chave. Para criar um novo armazenamento de AWS CloudHSM chaves, escolha Criar armazenamento de chaves personalizado.
O armazenamento de AWS CloudHSM chaves selecionado deve ter o status Conectado. Seu AWS CloudHSM cluster associado deve estar ativo e conter pelo menos dois ativos HSMs em diferentes zonas de disponibilidade.
Para obter ajuda com a conexão de um armazenamento de AWS CloudHSM chaves, consulteDesconectar um repositório de chaves do AWS CloudHSM. Para obter ajuda com a adiçãoHSMs, consulte Adicionar um HSM no Guia AWS CloudHSM do usuário.
-
Escolha Próximo.
-
Digite um alias e uma descrição opcional para a KMS chave.
-
(Opcional). Na página Adicionar tags, adicione tags que identifiquem ou categorizem sua KMS chave.
Quando você adiciona tags aos seus AWS recursos, AWS gera um relatório de alocação de custos com uso e custos agregados por tags. As tags também podem ser usadas para controlar o acesso a uma KMS chave. Para obter informações sobre a marcação de KMS chaves, consulte Etiquetas em AWS KMS e. ABAC para AWS KMS
-
Escolha Próximo.
-
Na seção Administradores de chaves, selecione os IAM usuários e funções que podem gerenciar a KMS chave. Para obter mais informações, consulte Permite que os administradores de chaves administrem a chave. KMS
Observações
IAMas políticas podem dar permissão a outros IAM usuários e funções para usar a KMS chave.
IAMas melhores práticas desencorajam o uso de IAM usuários com credenciais de longo prazo. Sempre que possível, use IAM funções que forneçam credenciais temporárias. Para obter detalhes, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.
O AWS KMS console adiciona administradores de chaves à política de chaves sob o identificador
"Allow access for Key Administrators"de instrução. A modificação desse identificador de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração. -
(Opcional) Para evitar que esses administradores de chaves excluam essa KMS chave, desmarque a caixa na parte inferior da página para Permitir que administradores de chaves excluam essa chave.
-
Escolha Próximo.
-
Na seção Esta conta, selecione os IAM usuários e funções Conta da AWS que podem usar a KMS chave em operações criptográficas. Para obter mais informações, consulte Permite que os principais usuários usem a KMS chave.
Observações
IAMas melhores práticas desencorajam o uso de IAM usuários com credenciais de longo prazo. Sempre que possível, use IAM funções que forneçam credenciais temporárias. Para obter detalhes, consulte as melhores práticas de segurança IAM no Guia IAM do usuário.
O AWS KMS console adiciona os principais usuários à política de chaves sob os identificadores de declaração
"Allow use of the key"e."Allow attachment of persistent resources"A modificação desses identificadores de declaração pode afetar a forma como o console exibe as atualizações que você faz na declaração. -
(Opcional) Você pode permitir que outras Contas da AWS pessoas usem essa KMS chave para operações criptográficas. Para fazer isso, na Contas da AWS seção Outros na parte inferior da página, escolha Adicionar outro Conta da AWS e insira o Conta da AWS ID de uma conta externa. Para adicionar várias contas externas, repita essa etapa.
nota
Os administradores do outro também Contas da AWS devem permitir o acesso à KMS chave criando IAM políticas para seus usuários. Para obter mais informações, consulte Permitir que usuários de outras contas usem uma chave do KMS.
-
Escolha Próximo.
-
Analise as principais declarações de política para obter a chave. Para fazer alterações na política de chaves, selecione Editar.
-
Escolha Próximo.
-
Revise as configurações que você escolheu. Ainda é possível voltar e alterar todas as configurações.
-
Quando terminar, escolha Finish (Terminar) para criar a chave.
Quando o procedimento for bem-sucedido, a tela mostrará a nova KMS AWS CloudHSM chave no armazenamento de chaves que você escolheu. Quando você escolhe o nome ou alias da nova KMS chave, a guia Configuração criptográfica em sua página de detalhes exibe a origem da KMS chave (AWS CloudHSM), o nome, a ID e o tipo do armazenamento de chaves personalizadas e a ID do AWS CloudHSM cluster. Se houver falha no procedimento, uma mensagem descrevendo a falha será exibida.
dica
Para facilitar a identificação de KMS chaves em um armazenamento de chaves personalizado, na página Chaves gerenciadas pelo cliente, adicione a coluna ID do armazenamento de chaves personalizadas à tela. Clique no ícone de engrenagem no canto superior direito e selecione Custom key store ID (ID de armazenamento de chaves personalizado). Para obter detalhes, consulte Personalizar a exibição do console.
Para criar uma nova AWS KMS key (KMSchave) em seu armazenamento de AWS CloudHSM
chaves, use a CreateKeyoperação. Use o parâmetro CustomKeyStoreId para identificar o armazenamento de chaves personalizado e especificar um valor de Origin da AWS_CLOUDHSM.
Você também pode usar o parâmetro Policy para especificar uma política de chaves. Você pode alterar a política de chaves (PutKeyPolicy) e adicionar elementos opcionais, como uma descrição e tags, a qualquer momento.
Os exemplos nesta seção usam a AWS Command Line Interface
(AWS CLI)
O exemplo a seguir começa com uma chamada para a DescribeCustomKeyStoresoperação para verificar se o armazenamento de AWS CloudHSM chaves está conectado ao AWS CloudHSM cluster associado. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. Para descrever somente um determinado armazenamento de AWS CloudHSM chaves, use seu CustomKeyStoreName parâmetro CustomKeyStoreId or (mas não ambos).
Antes de executar um comando como esse, substitua o ID de exemplo do armazenamento de chaves personalizado por um ID válido.
nota
Não inclua informações confidenciais ou sigilosas nos campos Description ou Tags. Esses campos podem aparecer em texto simples em CloudTrail registros e outras saídas.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS CloudHSM key store", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }
O próximo comando de exemplo usa a DescribeClustersoperação para verificar se o AWS CloudHSM cluster associado ao ExampleKeyStore (cluster-1a23b4cdefg) tem pelo menos dois ativos. HSMs Se o cluster tiver menos de doisHSMs, a CreateKey operação falhará.
$aws cloudhsmv2 describe-clusters{ "Clusters": [ { "SubnetMapping": { ... }, "CreateTimestamp": 1507133412.351, "ClusterId": "cluster-1a23b4cdefg", "SecurityGroup": "sg-865af2fb", "HsmType": "hsm1.medium", "VpcId": "vpc-1a2b3c4d", "BackupPolicy": "DEFAULT", "Certificates": { "ClusterCertificate": "-----BEGIN CERTIFICATE-----\...\n-----END CERTIFICATE-----\n" }, "Hsms": [ { "AvailabilityZone": "us-west-2a", "EniIp": "10.0.1.11", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-a6b10bd1", "HsmId": "hsm-abcdefghijk", "State": "ACTIVE" }, { "AvailabilityZone": "us-west-2b", "EniIp": "10.0.0.2", "ClusterId": "cluster-1a23b4cdefg", "EniId": "eni-ea8647e1", "StateMessage": "HSM created.", "SubnetId": "subnet-b6b10bd2", "HsmId": "hsm-zyxwvutsrqp", "State": "ACTIVE" }, ], "State": "ACTIVE" } ] }
Este exemplo de comando usa a CreateKeyoperação para criar uma KMS chave em um armazenamento de AWS CloudHSM chaves. Para criar uma KMS chave em um armazenamento de AWS CloudHSM chaves, você deve fornecer o ID de armazenamento de chaves personalizado do armazenamento de AWS CloudHSM chaves e especificar um Origin valor deAWS_CLOUDHSM.
A resposta inclui o armazenamento IDs de chaves personalizadas e o AWS CloudHSM cluster.
Antes de executar um comando como esse, substitua o ID de exemplo do armazenamento de chaves personalizado por um ID válido.
$aws kms create-key --origin AWS_CLOUDHSM --custom-key-store-idcks-1234567890abcdef0{ "KeyMetadata": { "AWSAccountId": "111122223333", "Arn": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", "CreationDate": 1.499288695918E9, "Description": "Example key", "Enabled": true, "MultiRegion": false, "KeyId": "1234abcd-12ab-34cd-56ef-1234567890ab", "KeyManager": "CUSTOMER", "KeyState": "Enabled", "KeyUsage": "ENCRYPT_DECRYPT", "Origin": "AWS_CLOUDHSM" "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreId": "cks-1234567890abcdef0" "KeySpec": "SYMMETRIC_DEFAULT", "CustomerMasterKeySpec": "SYMMETRIC_DEFAULT", "EncryptionAlgorithms": [ "SYMMETRIC_DEFAULT" ] } }
