KMSchiavi in archivi di chiavi esterni

Per creare, visualizzare, gestire, utilizzare e pianificare l'eliminazione delle KMS chiavi in un archivio di chiavi esterno, si utilizzano procedure molto simili a quelle utilizzate per KMS le altre chiavi. Tuttavia, quando si crea una KMS chiave in un archivio di chiavi esterno, si specificano un archivio chiavi esterno e una chiave esterna. Quando si utilizza una KMS chiave in un archivio di chiavi esterno, le operazioni di crittografia e decrittografia vengono eseguite dal gestore delle chiavi esterno utilizzando la chiave esterna specificata.

AWS KMS non è possibile creare, visualizzare, aggiornare o eliminare alcuna chiave crittografica nel gestore di chiavi esterno. AWS KMS non accede mai direttamente al gestore di chiavi esterno o a qualsiasi chiave esterna. Tutte le richieste relative alle operazioni di crittografia sono mediate dal proxy dell'archivio delle chiavi esterne. Per utilizzare una KMS chiave in un archivio di chiavi esterno, l'archivio di chiavi esterno che ospita la KMS chiave deve essere collegato al relativo proxy di archiviazione chiavi esterno.

Funzionalità supportate

Oltre alle procedure illustrate in questa sezione, è possibile effettuare le seguenti operazioni con KMS le chiavi in un archivio di chiavi esterno:

Utilizza le politiche, IAMle politiche e le concessioni chiave per controllare l'accesso alle KMS chiavi.
Abilita e disabilita i KMS tasti. Queste azioni non influiscono sulla chiave esterna nel gestore delle chiavi esterne.
Assegna tag e crea alias e usa il controllo di accesso basato sugli attributi (ABAC) per autorizzare l'accesso alle chiavi. KMS
Utilizzate le KMS chiavi per eseguire le seguenti operazioni crittografiche:
Le operazioni che generano coppie di chiavi di dati asimmetriche GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, non sono supportate negli archivi di chiavi personalizzati.
Utilizza le KMS chiavi Servizi AWS che si integrano AWS KMS e supportano le chiavi gestite dai clienti.

Caratteristiche non supportate

Gli archivi di chiavi esterni supportano solo chiavi di crittografia KMS simmetriche. Non è possibile creare HMAC KMS chiavi o chiavi asimmetriche in un archivio di KMS chiavi esterno.
GenerateDataKeyPaire non GenerateDataKeyPairWithoutPlaintextsono supportati sulle KMS chiavi in un archivio di chiavi esterno.
Non è possibile utilizzare un AWS CloudFormation modelloAWS:KMS:: :Key per creare un archivio di chiavi esterno o una KMS chiave in un archivio di chiavi esterno.
Le chiavi multi-regione non sono supportate in un archivio delle chiavi esterne.
KMSle chiavi con materiale chiave importato non sono supportate in un archivio di chiavi esterno.
La rotazione automatica delle chiavi non è supportata per KMS le chiavi in un archivio chiavi esterno.

Utilizzo KMS delle chiavi in un archivio di chiavi esterno

Quando utilizzi la KMS chiave in una richiesta, identifica la KMS chiave tramite il relativo ID chiave, chiaveARN, alias o ARN alias. Non è necessario specificare l'archivio delle chiavi esterne. La risposta include gli stessi campi restituiti per qualsiasi chiave di crittografia simmetrica. KMS Tuttavia, quando si utilizza una KMS chiave in un archivio di chiavi esterno, le operazioni di crittografia e decrittografia vengono eseguite dal gestore delle chiavi esterno utilizzando la chiave esterna associata alla chiave. KMS

Per garantire che il testo cifrato crittografato da una KMS chiave in un archivio di chiavi esterno sia sicuro almeno quanto qualsiasi testo cifrato crittografato con una chiave standardKMS, utilizza la doppia crittografia. AWS KMS I dati vengono prima crittografati utilizzando il materiale chiave AWS KMS . AWS KMS Quindi vengono crittografati dal gestore delle chiavi esterno utilizzando la chiave esterna della KMS chiave. Per decrittografare il testo cifrato a doppia crittografia, il testo cifrato viene prima decrittografato dal gestore delle chiavi esterno utilizzando la chiave esterna per la chiave. KMS Quindi viene decrittografato utilizzando il materiale chiave per la chiave. AWS KMS AWS KMS KMS

Perché ciò avvenga, devono essere soddisfatte le seguenti condizioni.

Lo stato chiave della KMS chiave deve essere. Enabled Per trovare lo stato della chiave, consulta il campo Stato relativo alle chiavi gestite dal cliente, la AWS KMS console o il KeyState campo nella DescribeKeyrisposta.
L'archivio chiavi esterno che ospita la KMS chiave deve essere connesso al relativo proxy di archiviazione chiavi esterno, ovvero lo stato di connessione dell'archivio chiavi esterno deve essereCONNECTED.

È possibile visualizzare lo stato della connessione nella pagina Archivi di chiavi esterni nella AWS KMS console o nella DescribeCustomKeyStoresrisposta. Lo stato di connessione dell'archivio chiavi esterno viene visualizzato anche nella pagina di dettaglio della KMS chiave nella AWS KMS console. Nella pagina dei dettagli, scegli la scheda Cryptographic configuration (Configurazione crittografica) e visualizza il campo Connection state (Stato connessione) nella sezione Custom key store (Archivio delle chiavi personalizzate).

Se lo stato della connessione è DISCONNECTED, devi prima connetterlo. Se lo stato della connessione è FAILED, devi risolvere il problema, disconnettere l'archivio delle chiavi esterne e riconnetterlo. Per istruzioni, consulta Connect e disconnetti gli archivi di chiavi esterni.
Il proxy dell'archivio delle chiavi personalizzate deve essere in grado di trovare la chiave esterna.
La chiave esterna deve essere abilitata e deve eseguire le operazioni di crittografia e decrittografia.

Lo stato della chiave esterna è indipendente e non influenzato dalle modifiche allo stato della KMS chiave, incluse l'attivazione e la disabilitazione della KMS chiave. Analogamente, la disabilitazione o l'eliminazione della chiave esterna non modifica lo stato della KMS chiave, ma le operazioni di crittografia che utilizzano la chiave associata KMS falliranno.

Se queste condizioni non vengono soddisfatte, l'operazione di crittografia ha esito negativo e AWS KMS restituisce un'eccezione. KMSInvalidStateException Potrebbe essere necessario ricollegare l'archivio delle chiavi esterne o utilizzare gli strumenti di gestione delle chiavi esterne per riconfigurare o riparare la chiave esterna. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi all'archivio delle chiavi esterne.

Quando utilizzate le KMS chiavi in un archivio di chiavi esterno, tenete presente che le KMS chiavi in ogni archivio di chiavi esterno condividono una quota di richiesta di archiviazione chiavi personalizzata per le operazioni di crittografia. Se superi la quota, AWS KMS restituisce unThrottlingException. Per informazioni dettagliate sulle quote di richiesta dell'archivio delle chiavi personalizzate, consulta Quote di richiesta per l'archivio delle chiavi personalizzate.

Ulteriori informazioni

Per ulteriori informazioni sugli archivi di chiavi esterni, consultaArchivi delle chiavi esterne.
Per ulteriori informazioni sul materiale chiave negli archivi di chiavi esterni, consultaChiave esterna.
Per creare KMS chiavi in un archivio di chiavi esterno, vedereCreare una KMS chiave in archivi di chiavi esterni.
Per identificare e visualizzare KMS le chiavi in un archivio di chiavi esterno, vedereIdentifica KMS le chiavi negli archivi di chiavi esterni.
Per ulteriori informazioni sulle considerazioni speciali sull'eliminazione delle KMS chiavi in un archivio di chiavi esterno, vedere Eliminazione delle KMS chiavi da un archivio di chiavi esterno.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

KMSchiavi in un archivio di HSM chiavi Cloud

AWS KMS elementi essenziali della crittografia