KMS-Schlüssel in externen Schlüsselspeichern - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

KMS-Schlüssel in externen Schlüsselspeichern

Zum Erstellen, Anzeigen, Verwalten, Verwenden und Planen der Löschung von KMS-Schlüsseln in einem externen Schlüsselspeicher verwenden Sie ganz ähnliche Verfahren wie für andere KMS-Schlüssel. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen, geben Sie einen externen Schlüsselspeicher und einen externen Schlüssel an. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die Ver- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels durchgeführt.

AWS KMS kann keine kryptografischen Schlüssel in Ihrem externen Schlüsselmanager erstellen, anzeigen, aktualisieren oder löschen. AWS KMS greift niemals direkt auf Ihren externen Schlüsselmanager oder einen externen Schlüssel zu. Alle Anforderungen für kryptografische Vorgänge werden vom Proxy Ihres externen Schlüsselspeichers vermittelt. Zur Verwendung eines KMS-Schlüssels in einem externen Schlüsselspeicher muss der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, mit seinem externen Schlüsselspeicher-Proxy verbunden sein.

Unterstützte Features

Neben den in diesem Abschnitt beschriebenen Verfahren können Sie mit KMS-Schlüsseln in einem externen Schlüsselspeicher folgende Aktionen ausführen:

Nicht unterstützte Funktionen
KMS-Schlüssel in einem externen Schlüsselspeicher verwenden

Wenn Sie Ihren KMS-Schlüssel in einer Anforderung verwenden, identifizieren Sie den KMS-Schlüssel durch Schlüssel-ID, Schlüssel-ARN, Alias oder Alias-ARN. Sie müssen den externen Schlüsselspeicher nicht angeben. Die Antwort enthält die gleichen Felder, die auch für alle anderen KMS-Schlüssel mit symmetrischer Verschlüsselung zurückgegeben werden. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die Ver- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des externen Schlüssels ausgeführt, der dem KMS-Schlüssel zugeordnet ist.

Um sicherzustellen, dass Chiffretext, der mit einem KMS-Schlüssel in einem externen Schlüsselspeicher verschlüsselt wurde, mindestens so sicher ist wie jeder Chiffretext, der mit einem Standard-KMS-Schlüssel verschlüsselt wurde, AWS KMS verwendet doppelte Verschlüsselung. Daten werden zunächst mithilfe von Schlüsselmaterial verschlüsselt. AWS KMS AWS KMS Dann werden sie von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel verschlüsselt. Um doppelt verschlüsselten Geheimtext zu entschlüsseln, wird der Geheimtext zunächst von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel entschlüsselt. Anschließend werden sie AWS KMS unter Verwendung des AWS KMS Schlüsselmaterials für den KMS-Schlüssel entschlüsselt.

Damit dies möglich ist, sind die folgenden Bedingungen erforderlich.

  • Der Schlüsselstatus des KMS-Schlüssels muss Enabled lauten. Den Status des Schlüssels finden Sie im Feld Status für vom Kunden verwaltete Schlüssel, die AWS KMS Konsole oder das KeyState Feld in der DescribeKeyAntwort.

  • Der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, muss mit seinem externen Schlüsselspeicher-Proxy verbunden sein, d. h. der Verbindungsstatus des externen Schlüsselspeichers muss CONNECTED sein.

    Sie können den Verbindungsstatus auf der Seite Externe Schlüsselspeicher in der AWS KMS Konsole oder in der DescribeCustomKeyStoresAntwort einsehen. Der Verbindungsstatus des externen Schlüsselspeicher wird auch auf der Detailseite für den KMS-Schlüssel in der AWS KMS -Konsole angezeigt. Wählen Sie auf der Detailseite die Registerkarte Cryptographic configuration (Kryptografische Konfiguration) und sehen Sie im Feld Connection state (Verbindungsstatus) im Abschnitt Custom key store (Benutzerdefinierter Schlüsselspeicher) nach.

    Wenn der Verbindungsstatus DISCONNECTED ist, müssen Sie zuerst eine Verbindung herstellen. Wenn der Verbindungsstatus FAILED lautet, müssen Sie das Problem lösen, den externen Schlüsselspeicher trennen und ihn dann verbinden. Detaillierte Anweisungen finden Sie unter Externe Schlüsselspeicher Connect und trennen.

  • Der Proxy des externen Schlüsselspeichers muss in der Lage sein, den externen Schlüssel zu finden.

  • Der externe Schlüssel muss aktiviert sein und er muss die Verschlüsselung und Entschlüsselung durchführen.

    Der Status des externen Schlüssels ist unabhängig von Änderungen des Schlüsselstatus des KMS-Schlüssels, einschließlich der Aktivierung und Deaktivierung des KMS-Schlüssels, und wird von diesen nicht beeinflusst. Ebenso ändert das Deaktivieren oder Löschen des externen Schlüssels nicht den Schlüsselstatus des KMS-Schlüssels, aber kryptografische Vorgänge, die den zugehörigen KMS-Schlüssel verwenden, schlagen fehl.

Wenn diese Bedingungen nicht erfüllt sind, schlägt der kryptografische Vorgang fehl und es wird eine KMSInvalidStateException Ausnahme AWS KMS zurückgegeben. Möglicherweise müssen Sie den externen Schlüsselspeicher erneut verbinden oder Tools Ihres externen Schlüsselmanagers verwenden, um Ihren externen Schlüssel neu zu konfigurieren oder zu reparieren. Weitere Informationen finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.

Bei der Verwendung von KMS-Schlüsseln in einem externen Schlüsselspeicher ist zu beachten, dass die KMS-Schlüssel in jedem externen Schlüsselspeicher gemeinsam ein Anforderungskontingent für benutzerdefinierte Schlüsselspeicher für kryptografische Vorgänge nutzen. Wenn Sie das Kontingent überschreiten, wird a AWS KMS ThrottlingException zurückgegeben. Details zum Anforderungskontingent für benutzerdefinierte Schlüsselspeicher finden Sie unter Anforderungskontingente für benutzerdefinierte Schlüsselspeicher.

Weitere Informationen