Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Desconecte un almacén de claves externo
Al desconectar un almacén de claves externo con conectividad a VPC Endpoint Service de su proxy de almacén de claves externo, AWS KMS se elimina el punto final de la interfaz con el servicio de VPC endpoints y se elimina la infraestructura de red que creó para soportar la conexión. No se requiere ningún proceso equivalente para los almacenes de claves externos con puntos de conexión públicos. Esta acción no afecta al servicio VPC de puntos finales ni a ninguno de sus componentes auxiliares, ni al proxy del almacén de claves externo ni a ningún componente externo.
Mientras el almacén de claves externo esté desconectado, AWS KMS no envía ninguna solicitud al proxy del almacén de claves externo. El estado de conexión del almacén de claves externo es DISCONNECTED. Las KMS claves del almacén de claves externo desconectado están en un estado UNAVAILABLE clave (a menos que estén pendientes de ser eliminadas), lo que significa que no se pueden utilizar en operaciones criptográficas. Sin embargo, puede seguir viendo y gestionando su almacén de claves externo y sus KMS claves existentes.
El estado desconectado está diseñado para ser temporal y reversible. Puede volver a conectar el almacén de claves externo en cualquier momento. Por lo general, no es necesaria ninguna reconfiguración. Sin embargo, si alguna de las propiedades del proxy del almacén de claves externo asociado cambió mientras estaba desconectado, como la rotación de su credencial de autenticación del proxy, debe editar la configuración del almacén de claves externo antes de volver a conectarse.
nota
Mientras un almacén de claves personalizado esté desconectado, fallarán todos los intentos de crear KMS claves en el almacén de claves personalizado o de utilizar KMS las claves existentes en operaciones criptográficas. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
Para estimar mejor el efecto de la desconexión del almacén de claves externo, identifique las KMS claves del almacén de claves externo y determine su uso anterior.
Puede desconectar el almacén de claves externo por los motivos siguientes:
-
Para editar sus propiedades. Puede editar el nombre del almacén de claves personalizado, la URI ruta del proxy y la credencial de autenticación del proxy mientras el almacén de claves externo esté conectado. Sin embargo, para editar el tipo de conectividad del proxy, el URI punto final del proxy o el nombre del servicio del VPC punto final, primero debe desconectar el almacén de claves externo. Para obtener más información, consulte Editar las propiedades del almacén de claves externo.
-
Para detener todas las comunicaciones entre AWS KMS y el proxy del almacén de claves externo. También puede detener la comunicación entre AWS KMS y su proxy deshabilitando su terminal o servicio de VPC punto final. Además, el proxy del almacén de claves externo o el software de administración de claves pueden proporcionar mecanismos adicionales para AWS KMS impedir la comunicación con el proxy o impedir que el proxy acceda a su administrador de claves externo.
-
Para deshabilitar todas KMS las claves del almacén de claves externo. Puede desactivar y volver a activar KMS las teclas de un almacén de claves externo mediante la AWS KMS consola o la DisableKeyoperación. Estas operaciones se completan rápidamente (con sujeción a la posible coherencia), pero actúan sobre una KMS tecla a la vez. Al desconectar el almacén de claves externo, se cambia el estado de todas KMS las claves del almacén de claves externo a
Unavailable, lo que impide que se utilicen en cualquier operación criptográfica. -
Para reparar un error en la conexión. Si el intento de conexión al almacén de claves externo falla (el estado de la conexión del almacén de claves externo es
FAILED), deberá desconectar el almacén de claves externo antes de intentar conectarlo de nuevo.
Desconecte el almacén de claves externo
Puede desconectar el almacén de claves externo en la AWS KMS consola o mediante esta DisconnectCustomKeyStoreoperación.
Puede utilizar la AWS KMS consola para conectar un almacén de claves externo a su proxy de almacén de claves externo. Este proceso tarda alrededor de 5 minutos en completarse.
-
Inicia sesión en la consola AWS Key Management Service (AWS KMS) AWS Management Console y ábrela en https://console.aws.amazon.com/kms
. -
Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).
-
Elija la fila del almacén de claves externo que desee desconectar.
-
En el menú Key store actions (Acciones del almacén de claves), seleccione Disconnect (Desconectar).
Cuando se complete la operación, el estado de la conexión cambiará de a DISCONNECTING. DISCONNECTED Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Errores de conexión del almacén de claves externo.
Para desconectar un almacén de claves externo conectado, utilice la DisconnectCustomKeyStoreoperación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un JSON objeto sin propiedades. El proceso tarda hasta cinco minutos en completarse. Para encontrar el estado de conexión del almacén de claves externo, utilice la DescribeCustomKeyStoresoperación.
En los ejemplos de esta sección, se utiliza la AWS Command Line Interface
(AWS CLI)
En este ejemplo, se desconecta un almacén de claves externo con la conectividad del servicio de VPC punto final. Antes de ejecutar este ejemplo, reemplace el ID del almacén de claves personalizado de ejemplo por uno válido.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Para comprobar que el almacén de claves externo está desconectado, utilice la DescribeCustomKeyStoresoperación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de ConnectionState DISCONNECTED indica que el almacén de claves externo ya no está conectado a su proxy del almacén de claves externo.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
