Trennen Sie die Verbindung zu einem externen Schlüsselspeicher - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Trennen Sie die Verbindung zu einem externen Schlüsselspeicher

Wenn Sie einen externen Schlüsselspeicher mit VPCEndpoint Service-Konnektivität von seinem externen Schlüsselspeicher-Proxy trennen, AWS KMS wird sein Schnittstellenendpunkt zum VPC Endpunktdienst gelöscht und die Netzwerkinfrastruktur entfernt, die zur Unterstützung der Verbindung erstellt wurde. Für externe Schlüsselspeicher mit öffentlicher Endpunktkonnektivität ist kein entsprechender Prozess erforderlich. Diese Aktion hat keine Auswirkungen auf den VPC Endpunktdienst oder eine seiner unterstützenden Komponenten und hat auch keine Auswirkungen auf den externen Schlüsselspeicher-Proxy oder externe Komponenten.

Solange der externe Schlüsselspeicher getrennt ist, werden AWS KMS keine Anfragen an den externen Schlüsselspeicher-Proxy gesendet. Der Verbindungsstatus des externen Schlüsselspeichers ist DISCONNECTED. Die KMS Schlüssel im getrennten externen Schlüsselspeicher befinden sich in einem UNAVAILABLESchlüsselstatus (sofern sie nicht gelöscht werden müssen), was bedeutet, dass sie nicht für kryptografische Operationen verwendet werden können. Sie können Ihren externen Schlüsselspeicher und die vorhandenen KMS Schlüssel jedoch weiterhin anzeigen und verwalten.

Der getrennte Zustand ist als vorübergehend und umkehrbar konzipiert. Sie können die Verbindung Ihres externen Schlüsselspeichers jederzeit wieder herstellen. Normalerweise ist keine Neukonfiguration erforderlich. Wenn sich jedoch Eigenschaften des zugehörigen externen Schlüsselspeicher-Proxys geändert haben, während die Verbindung getrennt war, z. B. die Rotation der Anmeldeinformation für die Proxy-Authentifizierung, müssen Sie die Einstellungen des externen Schlüsselspeichers vor der erneuten Verbindung bearbeiten.

Anmerkung

Solange ein benutzerdefinierter Schlüsselspeicher getrennt ist, schlagen alle Versuche fehl, KMS Schlüssel im benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS Schlüssel für kryptografische Operationen zu verwenden. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

Um die Auswirkungen einer Trennung Ihres externen Schlüsselspeichers besser einschätzen zu können, identifizieren Sie die KMS Schlüssel im externen Schlüsselspeicher und ermitteln, wie sie in der Vergangenheit verwendet wurden.

Die Verbindung eines externen Schlüsselspeichers könnte beispielsweise aus folgenden Gründen getrennt werden:

  • Zum Bearbeiten seiner Eigenschaften. Sie können den Namen des benutzerdefinierten Schlüsselspeichers, den URI Proxypfad und die Anmeldeinformationen für die Proxyauthentifizierung bearbeiten, während der externe Schlüsselspeicher verbunden ist. Um den Proxy-Konnektivitätstyp, den URI Proxyendpunkt oder den Namen des VPC Endpunktdienstes zu bearbeiten, müssen Sie jedoch zuerst die Verbindung zum externen Schlüsselspeicher trennen. Details hierzu finden Sie unter Eigenschaften des externen Schlüsselspeichers bearbeiten.

  • Um die gesamte Kommunikation zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy zu beenden. Sie können auch die Kommunikation zwischen AWS KMS und Ihrem Proxy beenden, indem Sie Ihren Endpunkt oder VPC Endpunktdienst deaktivieren. Darüber hinaus bietet Ihr externer Schlüsselspeicher-Proxy oder Ihre Schlüsselverwaltungssoftware möglicherweise zusätzliche Mechanismen, um die Kommunikation mit AWS KMS dem Proxy oder den Zugriff des Proxys auf Ihren externen Schlüsselmanager zu verhindern.

  • Um alle KMS Schlüssel im externen Schlüsselspeicher zu deaktivieren. Sie können KMSSchlüssel in einem externen Schlüsselspeicher mithilfe der AWS KMS Konsole oder des DisableKeyVorgangs deaktivieren und erneut aktivieren. Diese Operationen werden schnell abgeschlossen (vorausgesetzt, dass sie irgendwann konsistent sind), sie wirken sich jedoch jeweils auf einen KMS Schlüssel aus. Wenn die Verbindung zum externen Schlüsselspeicher getrennt wird, ändert sich der Schlüsselstatus aller KMS Schlüssel im externen Schlüsselspeicher aufUnavailable, sodass sie nicht für kryptografische Operationen verwendet werden können.

  • Zur Behebung eines fehlgeschlagenen Verbindungsversuchs. Wenn ein Versuch, eine Verbindung für einen externen Schlüsselspeicher herzustellen, fehlschlägt (Verbindungsstatus des benutzerdefinierten Schlüsselspeichers ist FAILED), müssen Sie die Verbindung des externen Schlüsselspeichers trennen, bevor Sie erneut versuchen, eine Verbindung herzustellen.

Trennen Sie die Verbindung zu Ihrem externen Schlüsselspeicher

Sie können die Verbindung zu Ihrem externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des DisconnectCustomKeyStoreVorgangs trennen.

Sie können die AWS KMS Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden. Dieser Vorgang dauert etwa 5 Minuten.

  1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

  4. Wählen Sie die Zeile des externen Schlüsselspeichers aus, mit dem Sie die Verbindung trennen möchten.

  5. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Disconnect (Verbindung trennen) aus.

Wenn der Vorgang abgeschlossen ist, ändert sich der Verbindungsstatus von zu. DISCONNECTINGDISCONNECTED Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt Fehler bei der Verbindung mit dem externen Schlüsselspeicher.

Verwenden Sie den DisconnectCustomKeyStoreVorgang, um die Verbindung zu einem angeschlossenen externen Schlüsselspeicher zu trennen. Wenn der Vorgang erfolgreich ist, wird eine Antwort von HTTP 200 und ein JSON Objekt ohne Eigenschaften AWS KMS zurückgegeben. Der Vorgang dauert etwa fünf Minuten. Verwenden Sie den DescribeCustomKeyStoresVorgang, um den Verbindungsstatus des externen Schlüsselspeichers zu ermitteln.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

In diesem Beispiel wird die Verbindung eines externen Schlüsselspeichers mit der VPC Endpunktdienstkonnektivität getrennt. Vor der Ausführung dieses Beispiels müssen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine gültige ID ersetzen.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Verwenden Sie den Vorgang, um zu überprüfen, ob der externe Schlüsselspeicher getrennt ist. DescribeCustomKeyStores Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der ConnectionState-Wert DISCONNECTED bedeutet, dass in diesem Beispiel der externe Schlüsselspeicher nicht mehr mit seinem externen Schlüsselspeicher-Proxy verbunden ist.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }