创建密 Amazon CloudHSM 钥库 - Amazon Key Management Service
汇编先决条件创建 Amazon CloudHSM 密钥库(控制台)创建 Amazon CloudHSM 密钥库 (API)
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

创建密 Amazon CloudHSM 钥库

您可以在自己的账户中创建一个或多个 Amazon CloudHSM 密钥库。每个 Amazon CloudHSM 密钥库都与同一个区域中的一个 Amazon CloudHSM 集群 Amazon Web Services 账户 相关联。在创建 Amazon CloudHSM 密钥存储之前,您需要汇编先决条件。然后,在使用 Amazon CloudHSM 密钥库之前,必须将其连接到其 Amazon CloudHSM 集群。

注意

如果您尝试创建与现有已断开连接的 Amazon CloudHSM 密钥存储具有相同属性值的 Amazon CloudHSM 密钥存储库,则 Amazon KMS 不会创建新的 Amazon CloudHSM 密钥存储,也不会引发异常或显示错误。相反,它会将重复 Amazon KMS 识别为重试可能产生的结果,并返回现有 Amazon CloudHSM 密钥库的 ID。

提示

您不必立即连接 Amazon CloudHSM 密钥库。您可以将它保持断开状态,直到您准备好使用它为止。但是,要验证它是否已正确配置,您可能需要连接它查看其连接状态,然后断开它

汇编先决条件

每个 Amazon CloudHSM 密钥库都由一个 Amazon CloudHSM 集群提供支持。要创建 Amazon CloudHSM 密钥存储库,必须指定尚未与其他密钥库关联的活动 Amazon CloudHSM 集群。您还需要在集群中创建一个专用的加密用户 (CU)HSMs,该用户 Amazon KMS 可用于代表您创建和管理密钥。

在创建 Amazon CloudHSM 密钥库之前,请执行以下操作:

选择一个 Amazon CloudHSM 集群

每个 Amazon CloudHSM 密钥库恰好与一个 Amazon CloudHSM 集群相关联。当您在 Amazon CloudHSM 密钥存储Amazon KMS keys中创建时, Amazon KMS 会在中创建KMS密钥元数据,例如 ID 和 Amazon 资源名称 (ARN) Amazon KMS。然后,它会在关联集群HSMs中创建密钥材料。您可以创建新 Amazon CloudHSM集群或使用现有集群。 Amazon KMS 不需要对集群的独占访问权限。

您选择的 Amazon CloudHSM 集群与 Amazon CloudHSM 密钥库永久关联。创建 Amazon CloudHSM 密钥库后,您可以更改关联集群的集群 ID,但您指定的集群必须与原始集群共享备份历史记录。要使用不相关的集群,您需要创建一个新的 Amazon CloudHSM 密钥库。

您选择的 Amazon CloudHSM 集群必须具有以下特征:

  • 集群必须处于活动状态

    您必须创建集群,对其进行初始化,安装适用于您的平台的 Amazon CloudHSM 客户端软件,然后激活集群。有关详细说明,请参阅《Amazon CloudHSM User Guide》中的 Getting started with Amazon CloudHSM

  • 集群必须与 Amazon CloudHSM 密钥库位于同一个账户和区域中。您不能将一个区域中的 Amazon CloudHSM 密钥存储库与另一个区域的集群相关联。要在多个区域创建密钥基础设施,您必须在每个区域中创建 Amazon CloudHSM 密钥存储和集群。

  • 集群不能与同一账户和区域中的其他自定义密钥存储关联。账户和区域中的每个 Amazon CloudHSM 密钥存储区都必须与不同的集 Amazon CloudHSM 群相关联。您无法指定已与自定义密钥存储关联的集群,也无法指定与关联集群共享备份历史记录的集群。共享备份历史记录的集群具有相同的集群证书。要查看集群的集群证书,请使用 Amazon CloudHSM 控制台或DescribeClusters操作。

    如果您将 Amazon CloudHSM 集群备份到其他区域,则该集群被视为不同的集群,您可以将备份与其区域中的自定义密钥存储相关联。但是,两个自定义KMS密钥存储库中的密钥不可互操作,即使它们具有相同的备用密钥。 Amazon KMS 将元数据绑定到密文,因此只能通过加密密文的密钥对其进行解密。KMS

  • 必须在区域中的至少两个可用区中为集群配置私有子网。由于 Amazon CloudHSM 并非所有可用区都支持私有子网,因此我们建议您在该区域的所有可用区中创建私有子网。您无法为现有集群重新配置子网,但可以从备份创建集群(在集群配置中具有不同的子网)。

    重要

    创建 Amazon CloudHSM 密钥库后,请勿删除为其 Amazon CloudHSM 集群配置的任何私有子网。如果在群集配置中找 Amazon KMS 不到所有子网,则尝试连接到自定义密钥库会失败,并显示SUBNET_NOT_FOUND连接错误状态。有关更多信息,请参阅 如何修复连接故障

  • 集群的安全组 (cloudhsm-cluster-<cluster-id>-sg) 必须包含允许端口 2223-2225 上TCP流量的入站规则和出站规则。入站规则中的 Source (源) 和出站规则中的 Destination (目标) 必须匹配安全组 ID。在创建集群时,默认情况下会设置这些规则。请勿删除或更改它们。

  • 集群必须至少包含两个HSMs处于不同可用区域的活动集群。要验证数量HSMs,请使用 Amazon CloudHSM 控制台或DescribeClusters操作。如有必要,您可以添加HSM

查找信任锚点证书

创建自定义密钥存储库时,必须将 Amazon CloudHSM 集群的信任锚证书上传到 Amazon KMS。 Amazon KMS 需要信任锚证书才能将 Amazon CloudHSM 密钥库连接到其关联的 Amazon CloudHSM 集群。

每个活动 Amazon CloudHSM 集群都有一个信任锚证书。在初始化集群时,您将生成此证书,将它保存在 customerCA.crt 文件中,并将它复制到已连接到集群的主机。

为创建kmsuser加密用户 Amazon KMS

要管理您的 Amazon CloudHSM 密钥存储,请 Amazon KMS 登录选定集群中的kmsuser加密用户 (CU) 账户。在创建 Amazon CloudHSM 密钥库之前,必须创建 C kmsuser U。然后,在创建 Amazon CloudHSM 密钥库时,您需要为提供密码 Amazon KMS。kmsuser每当您将 Amazon CloudHSM 密钥库连接到其关联 Amazon CloudHSM 集群时,都要以身份 Amazon KMS 登录kmsuser并轮换密码 kmsuser

重要

在创建 kmsuser CU 时,请勿指定 2FA 选项。如果这样做,则 Amazon KMS 无法登录,您的 Amazon CloudHSM 密钥库也无法连接到此 Amazon CloudHSM 集群。一旦指定 2FA,便无法撤消它。相反,您必须删除 CU 并重新创建它。

要创建 kmsuser CU,请使用以下过程。

  1. 按照《用户指南》的 “云HSM管理实用程序入门” () 主题中所述,启动 cloudhsm_mgmt_uti l。CMU Amazon CloudHSM

  2. 使用 cloudhsm_mgmt_util 中的createUser命令创建一个名为的 CU。kmsuser

    注意

    密码必须由 7 到 32 个字母数字字符组成。它区分大小写,并且不能包含任何特殊字符。

    例如,以下示例命令将创建密码为 kmsPswdkmsuser CU。

    aws-cloudhsm> createUser CU kmsuser kmsPswd

创建 Amazon CloudHSM 密钥库(控制台)

在中创建 Amazon CloudHSM 密钥库时 Amazon Web Services Management Console,可以在工作流程中添加和创建先决条件。但是,如果您事先已汇编这些先决条件,则此过程会更快。

  1. 登录 Amazon Web Services Management Console 并打开 Amazon Key Management Service (Amazon KMS) 控制台,网址为 https://console.aws.amazon.com/kms

  2. 要更改 Amazon Web Services 区域,请使用页面右上角的区域选择器。

  3. 在导航窗格中,选择自定义密钥存储Amazon CloudHSM 密钥存储

  4. 选择 “创建密钥库”。

  5. 为自定义密钥存储输入友好名称。该名称在您账户的所有自定义密钥存储中必须具备唯一性。

    重要

    不要在此字段中包含机密或敏感信息。此字段可能会以纯文本形式显示在 CloudTrail 日志和其他输出中。

  6. 为 Amazon CloudHSM 密钥库选择一个 Amazon CloudHSM 集群。或者,要创建新 Amazon CloudHSM 集群,请选择创建 Amazon CloudHSM 集群链接。

    该菜单显示您的账户和地区中尚未与 Amazon CloudHSM 密钥库关联的 Amazon CloudHSM 集群。该集群必须满足要求(与关联自定义密钥存储相关)。

  7. 选择 “选择文件”,然后上传所选 Amazon CloudHSM 集群的信任锚证书。这是您在初始化集群时创建的 customerCA.crt 文件。

  8. 输入您在选定集群中创建的 kmsuser 加密用户 (CU) 的密码。

  9. 选择创建

该过程成功后,新的 Amazon CloudHSM 密钥库将出现在账户和地区的 Amazon CloudHSM 密钥存储列表中。如果该过程失败,则会显示一条错误消息,描述问题并提供有关如何解决该问题的帮助。如果您需要更多帮助,请参阅对自定义密钥存储进行故障排除

如果您尝试创建与现有已断开连接的 Amazon CloudHSM 密钥存储具有相同属性值的 Amazon CloudHSM 密钥存储库,则 Amazon KMS 不会创建新的 Amazon CloudHSM 密钥存储,也不会引发异常或显示错误。相反,它会将重复 Amazon KMS 识别为重试可能产生的结果,并返回现有 Amazon CloudHSM 密钥库的 ID。

下一步:新的 Amazon CloudHSM 密钥库不会自动连接。在 Amazon CloudHSM 密钥库 Amazon KMS keys 中创建之前,必须先将自定义密钥库连接到其关联的 Amazon CloudHSM 集群。

创建 Amazon CloudHSM 密钥库 (API)

您可以使用该CreateCustomKeyStore操作来创建与账户和区域中的 Amazon CloudHSM 集群关联的新 Amazon CloudHSM 密钥存储。这些示例使用 Amazon Command Line Interface (Amazon CLI),但您可以使用任何支持的编程语言。

CreateCustomKeyStore 操作需要以下参数值。

以下示例使用虚构的集群 ID。在运行命令之前,请将其替换为有效的集群 ID。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>

如果您使用的是 Amazon CLI,则可以指定信任锚证书文件而不是其内容。在下面的示例中,customerCA.crt 文件位于根目录中。

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt

当此操作成功时,CreateCustomKeyStore 将返回自定义密钥存储 ID,如以下示例响应中所示。

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

如果操作失败,请更正异常指示的错误,然后重试。有关其他帮助,请参阅对自定义密钥存储进行故障排除

如果您尝试创建与现有已断开连接的 Amazon CloudHSM 密钥存储具有相同属性值的 Amazon CloudHSM 密钥存储库,则 Amazon KMS 不会创建新的 Amazon CloudHSM 密钥存储,也不会引发异常或显示错误。相反,它会将重复 Amazon KMS 识别为重试可能产生的结果,并返回现有 Amazon CloudHSM 密钥库的 ID。

下一步:要使用 Amazon CloudHSM 密钥库,请将其连接到其 Amazon CloudHSM 集群