Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # KMS-Schlüssel in einem CloudHSM-Schlüsselspeicher Sie können den in einem AWS CloudHSM Schlüsselspeicher erstellen, anzeigen, verwalten, verwenden und das AWS KMS keys Löschen von Dateien planen. Die dafür verwendeten Verfahren ähneln denjenigen für andere KMS-Schlüssel. Der einzige Unterschied besteht darin, dass Sie bei der Erstellung des AWS CloudHSM KMS-Schlüssels einen Schlüsselspeicher angeben. AWS KMS Erstellt dann nicht extrahierbares Schlüsselmaterial für den KMS-Schlüssel im AWS CloudHSM Cluster, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher verwenden, werden die [kryptografischen Operationen](#use-cmk-keystore) HSMs im Cluster ausgeführt. **Unterstützte Features** Zusätzlich zu den in diesem Abschnitt beschriebenen Verfahren können Sie mit KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher wie folgt vorgehen: + Verwenden Sie Schlüsselrichtlinien, IAM-Richtlinien und Erteilungen zur [Autorisierung des Zugriffs](control-access.md) auf die KMS-Schlüssel. + [Aktivieren und Deaktivieren](enabling-keys.md) der KMS-Schlüssel. + Zuweisen von [Tags](tagging-keys.md) und Erstellen von [Aliassen](kms-alias.md) und Autorisieren des Zugriffs auf die KMS-Schlüssel mithilfe der attributbasierten Zugriffskontrolle (ABAC) + Verwenden Sie die KMS-Schlüssel, um die folgenden kryptografischen Operationen durchzuführen: + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) Die Operationen, die asymmetrische Datenschlüsselpaare generieren, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)und [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), werden in benutzerdefinierten Schlüsselspeichern *nicht* unterstützt. + Verwenden Sie die KMS-Schlüssel mit [AWS -Services, die in AWS KMS integriert werden können](service-integration.md) und kundenverwaltete KMS-Schlüssel unterstützen. + Verfolgen Sie die Verwendung Ihrer KMS-Schlüssel in [AWS CloudTrail Protokollen](logging-using-cloudtrail.md) und [ CloudWatch Amazon-Überwachungstools](monitoring-overview.md). **Nicht unterstützte Funktionen** + AWS CloudHSM Schlüsselspeicher unterstützen nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Sie können keine HMAC-KMS-Schlüssel, asymmetrische KMS-Schlüssel oder asymmetrische Datenschlüsselpaare in einem Schlüsselspeicher erstellen. AWS CloudHSM + Sie können [Schlüsselmaterial nicht in einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher importieren](importing-keys.md). AWS KMS generiert das Schlüsselmaterial für den KMS-Schlüssel im AWS CloudHSM Cluster. + Sie können die [automatische Rotation](rotate-keys.md) des Schlüsselmaterials für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher nicht aktivieren oder deaktivieren. **Verwendung von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher** Wenn Sie Ihren KMS-Schlüssel in einer Anfrage verwenden, identifizieren Sie den KMS-Schlüssel anhand seiner ID oder seines Alias. Sie müssen den AWS CloudHSM Schlüsselspeicher oder den AWS CloudHSM Cluster nicht angeben. Die Antwort enthält die gleichen Felder, die auch für alle anderen KMS-Schlüssel mit symmetrischer Verschlüsselung zurückgegeben werden. Wenn Sie jedoch einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher verwenden, wird der kryptografische Vorgang vollständig innerhalb des AWS CloudHSM Clusters ausgeführt, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Die Produktion verwendet das Schlüsselmaterial im Cluster, das dem ausgewählten KMS-Schlüssel zugeordnet ist. Damit dies möglich ist, sind die folgenden Bedingungen erforderlich. + Der [Schlüsselstatus](key-state.md) des KMS-Schlüssels muss `Enabled` lauten. Um den Schlüsselstatus zu ermitteln, verwenden Sie das **Statusfeld** in der [AWS KMS Konsole](finding-keys.md#viewing-console-details) oder das `KeyState` Feld in der [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Antwort. + Der AWS CloudHSM Schlüsselspeicher muss mit seinem AWS CloudHSM Cluster verbunden sein. Sein **Status** muss in der [AWS KMS Konsole](view-keystore.md) oder `ConnectionState` in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort stehen`CONNECTED`. + Der AWS CloudHSM Cluster, der dem benutzerdefinierten Schlüsselspeicher zugeordnet ist, muss mindestens ein aktives HSM enthalten. Verwenden Sie die Konsole, die [AWS KMS Konsole](view-keystore.md) oder HSMs den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang, um die Anzahl der AWS CloudHSM aktiven Benutzer im Cluster zu ermitteln. + Der AWS CloudHSM Cluster muss das Schlüsselmaterial für den KMS-Schlüssel enthalten. Wenn das Schlüsselmaterial aus dem Cluster gelöscht wurden oder ein HSM aus einer Sicherung erstellt wurde, in der die Schlüsselinformationen nicht enthalten waren, schlägt die kryptografische Produktion fehl. Wenn diese Bedingungen nicht erfüllt sind, schlägt der kryptografische Vorgang fehl und es wird eine `KMSInvalidStateException` Ausnahme AWS KMS zurückgegeben. In der Regel müssen Sie nur die Verbindung zum [AWS CloudHSM Schlüsselspeicher erneut herstellen](connect-keystore.md). Weitere Informationen finden Sie unter [Beheben eines fehlerhaften KMS-Schlüssels](fix-keystore.md#fix-cmk-failed). Beachten Sie bei der Verwendung der KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher, dass sich die KMS-Schlüssel in jedem AWS CloudHSM Schlüsselspeicher ein [benutzerdefiniertes Schlüsselspeicher-Anforderungskontingent](requests-per-second.md#rps-key-stores) für kryptografische Operationen teilen. Wenn Sie das Kontingent überschreiten, wird a AWS KMS `ThrottlingException` zurückgegeben. Wenn der AWS CloudHSM Cluster, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist, zahlreiche Befehle verarbeitet, auch solche, die nichts mit dem AWS CloudHSM Schlüsselspeicher zu tun haben, erhalten Sie möglicherweise eine noch geringere Rate. `ThrottlingException` Wenn Sie eine `ThrottlingException` für eine Anforderung erhalten, verringern Sie Ihre Anforderungsrate und führen Sie die Befehle erneut aus. Details zum Anforderungskontingent für benutzerdefinierte Schlüsselspeicher finden Sie unter [Anforderungskontingente für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores). **Weitere Informationen** + Weitere Informationen zu AWS CloudHSM Schlüsselspeichern finden Sie unter[AWS CloudHSM wichtige Geschäfte](keystore-cloudhsm.md). + Informationen zum Erstellen von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen](create-cmk-keystore.md). + Informationen zum Identifizieren und Anzeigen von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern](identify-key-types.md#identify-key-hsm-keystore). + Informationen zu KMS-Schlüsseln und Schlüsselmaterial in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Suchen Sie KMS-Schlüssel und Schlüsselmaterial in einem AWS CloudHSM Schlüsselspeicher](find-key-material.md). + Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter [Löschen von KMS-Schlüsseln aus einem AWS CloudHSM Schlüsselspeicher](deleting-keys.md#delete-cmk-keystore).