Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connessione e disconnessione di un archivio delle chiavi esterne
I nuovi archivi delle chiavi esterne non sono connessi. Per creare e utilizzare AWS KMS keys nell'archivio delle chiavi esterne, devi connettere tale archivio al relativo proxy. Puoi connettere e disconnettere l'archivio delle chiavi esterne in qualsiasi momento e visualizzare il relativo stato di connessione.
Quando l'archivio delle chiavi esterne è disconnesso, AWS KMS non è in grado di comunicare con il proxy dell'archivio delle chiavi esterne. Di conseguenza, puoi visualizzare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS, ma non puoi creare chiavi KMS nell'archivio delle chiavi esterne o utilizzare le relative chiavi KMS in operazioni di crittografia. In alcuni casi, ad esempio si modificano le proprietà, potresti dover disconnettere l'archivio delle chiavi esterne, per cui ti consigliamo di pianificare le operazioni di conseguenza. La disconnessione dell'archivio delle chiavi potrebbe interrompere il funzionamento dei servizi AWS che utilizzano le relative chiavi KMS.
Non sei obbligato a connettere l'archivio delle chiavi esterne. Puoi lasciarlo disconnesso indefinitamente e connetterlo solo quando devi utilizzarlo. Puoi tuttavia testare la connessione periodicamente per verificare che le impostazioni sono corrette e che non vi sono problemi di connessione dello store.
Quando disconnetti un archivio delle chiavi personalizzate, le chiavi KMS nell'archivio diventano immediatamente inutilizzabili (in base alla coerenza finale). Tuttavia, le risorse crittografate con chiavi di dati protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda i Servizi AWS, molti dei quali proteggono le risorse tramite le chiavi dati. Per informazioni dettagliate, vedi In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati.
Nota
Gli archivi delle chiavi esterne presentano lo stato DISCONNECTED solo quando l'archivio non è mai stato connesso o se lo si disconnette esplicitamente. Lo stato CONNECTED non indica che l'archivio delle chiavi esterne o i relativi componenti di supporto funzionino in modo efficiente. Per informazioni relative alle prestazioni dei componenti dell'archivio delle chiavi esterne, consulta i grafici nella sezione Monitoraggio della pagina dei dettagli di ogni archivio delle chiavi esterne. Per informazioni dettagliate, vedi Monitoraggio di un archivio delle chiavi esterne.
Il gestore delle chiavi esterne potrebbe fornire metodi aggiuntivi per interrompere e riavviare la comunicazione tra AWS KMS e il proxy dell'archivio delle chiavi esterne o tra il proxy e il gestore. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.
Argomenti
- Connessione di un archivio delle chiavi esterne
- Disconnessione di un archivio delle chiavi esterne
- Stato connessione
- Connessione di un archivio delle chiavi esterne (console)
- Connessione di un archivio delle chiavi esterne (API)
- Disconnessione di un archivio delle chiavi esterne (console)
- Disconnessione di un archivio delle chiavi esterne (API)
Connessione di un archivio delle chiavi esterne
Quando l'archivio delle chiavi esterne è connesso al relativo proxy, puoi creare chiavi KMS nello stesso archivio delle chiavi esterne e utilizzare le chiavi KMS esistenti in operazioni di crittografia.
Il processo che collega un archivio delle chiavi esterne al relativo proxy varia in base alla connettività dell'archivio.
-
Quando si connette un archivio di chiavi esterno con connettività endpoint pubblica, AWS KMS invia una GetHealthStatus richiesta al proxy dell'archivio chiavi esterno per convalidare l'endpoint URI del proxy, il percorso URI del proxy e le credenziali di autenticazione del proxy. Una risposta positiva da parte del proxy conferma che l'endpoint dell'URI proxy e il percorso URI proxy sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le credenziali di autenticazione proxy per l'archivio delle chiavi esterne.
-
Quando connetti un archivio delle chiavi esterne con connettività del servizio endpoint VPC al relativo proxy, AWS KMS esegue le seguenti operazioni:
-
Conferma che il dominio per il nome DNS privato specificato nell'endpoint URI proxy è verificato.
-
Crea un endpoint di interfaccia da un VPC AWS KMS al servizio endpoint VPC.
-
Crea una zona ospitata privata per il nome DNS privato specificato nell'endpoint URI proxy
-
Invia una GetHealthStatusrichiesta al proxy dell'archivio chiavi esterno. Una risposta positiva da parte del proxy conferma che l'endpoint dell'URI proxy e il percorso URI proxy sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le credenziali di autenticazione proxy per l'archivio delle chiavi esterne.
-
L'operazione di connessione avvia il processo di connessione dell'archivio delle chiavi personalizzate, ma il collegamento di un archivio delle chiavi esterne al relativo proxy esterno richiede circa cinque minuti. Una risposta positiva dell'operazione di connessione non indica che l'archivio delle chiavi esterne sia connesso. Per confermare che la connessione è avvenuta correttamente, utilizza la AWS KMS console o l'DescribeCustomKeyStoresoperazione per visualizzare lo stato della connessione del tuo key store esterno.
Quando lo stato della connessione è FAILED, nella console AWS KMS viene visualizzato un codice di errore di connessione che viene aggiunto alla risposta DescribeCustomKeyStore. Per informazioni sull'interpretazione dei codici di errore di connessione, consulta Codici di errore di connessione per archivi delle chiavi esterne.
Disconnessione di un archivio delle chiavi esterne
Quando disconnetti un archivio delle chiavi esterne con connettività del servizio endpoint VPC dal relativo proxy dell'archivio delle chiavi esterne, AWS KMS elimina l'endpoint di interfaccia per il servizio endpoint VPC e rimuove l'infrastruttura di rete che ha creato per supportare la connessione. Non è richiesto alcun processo equivalente per gli archivi delle chiavi esterne con connettività dell'endpoint pubblico. Questa operazione non influisce sul servizio endpoint VPC o sui suoi componenti di supporto. Inoltre, non ha alcun impatto sul proxy dell'archivio delle chiavi esterne o su eventuali componenti esterni.
Quando l'archivio delle chiavi esterne è disconnesso, AWS KMS non invia alcuna richiesta al proxy dell'archivio delle chiavi esterne. Lo stato di connessione dell'archivio delle chiavi esterne è DISCONNECTED. Le chiavi KMS nell'archivio delle chiavi esterne disconnesso presentano uno stato UNAVAILABLE (a meno che non siano in attesa di eliminazione), pertanto non possono essere utilizzate nelle operazioni di crittografia. Tuttavia, puoi comunque visualizzare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS esistenti.
Lo stato disconnesso è progettato per essere temporaneo e reversibile. La riconnessione dell'archivio delle chiavi esterne può avvenire in qualsiasi momento. In genere, non è necessaria alcuna riconfigurazione. Tuttavia, se alcune proprietà del proxy dell'archivio delle chiavi esterne associato sono state modificate durante la disconnessione, ad esempio la rotazione delle credenziali di autenticazione proxy, è necessario modificare le impostazioni dell'archivio delle chiavi esterne prima di riconnetterlo.
Nota
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.
Per valutare meglio l'effetto della disconnessione dell'archivio delle chiavi esterne, identifica le chiavi KMS e determinane l'utilizzo precedente.
Puoi disconnettere un archivio delle chiavi esterne per i seguenti motivi:
-
Per modificarne le proprietà. Puoi modificare il nome dell'archivio delle chiavi personalizzate, il percorso URI proxy e le credenziali di autenticazione proxy mentre l'archivio delle chiavi esterne è connesso. Tuttavia, per modificare il tipo di connettività proxy, l'endpoint dell'URI proxy o il nome del servizio endpoint VPC, devi prima disconnettere l'archivio delle chiavi esterne. Per informazioni dettagliate, vedi Modifica delle proprietà dell'archivio delle chiavi esterne.
-
Per interrompere tutte le comunicazioni tra AWS KMS e il proxy dell'archivio delle chiavi esterne. Puoi anche interrompere la comunicazione tra AWS KMS e il proxy disabilitando l'endpoint o il servizio endpoint VPC. Inoltre, il proxy dell'archivio delle chiavi esterne o il software di gestione delle chiavi potrebbe fornire meccanismi aggiuntivi per impedire ad AWS KMS di comunicare con il proxy o per impedire al proxy di accedere al gestore delle chiavi esterne.
-
Per disabilitare tutte le chiavi KMS nell'archivio delle chiavi esterne. È possibile disabilitare e riattivare le chiavi KMS in un archivio di chiavi esterno utilizzando la AWS KMS console o l'DisableKeyoperazione. Queste operazioni vengono completate rapidamente (in base alla coerenza finale), ma agiscono su una sola chiave KMS alla volta. La disconnessione modifica lo stato di chiave di tutte le chiavi KMS nell'archivio delle chiavi esterne in
Unavailable, che ne impedisce l'utilizzo in qualsiasi operazione di crittografia. -
Per riparare un tentativo di connessione non riuscito. Se un tentativo di connessione di un archivio delle chiavi esterne ha esito negativo (il relativo stato di connessione è
FAILED), devi disconnettere l'archivio prima di eseguire un nuovo tentativo di connessione.
Stato connessione
La connessione e la disconnessione modificano lo stato di connessione dell'archivio delle chiavi personalizzate. I valori dello stato di connessione per gli archivi delle chiavi di AWS CloudHSM e gli archivi delle chiavi esterne sono gli stessi.
Per visualizzare lo stato di connessione del tuo archivio di chiavi personalizzato, utilizza l'DescribeCustomKeyStoresoperazione o AWS KMS la console. Il campo Connection state (Stato connessione) viene visualizzato in ogni tabella dell'archivio delle chiavi personalizzate, nella sezione General configuration (Configurazione generale) della pagina dei dettagli di ogni archivio e nella scheda Cryptographic configuration (Configurazione crittografica) delle chiavi KMS. Per informazioni dettagliate, consulta Visualizzazione di un archivio delle chiavi di AWS CloudHSM e Visualizzazione di un archivio delle chiavi esterne.
Un archivio delle chiavi personalizzate può avere uno dei seguenti stati di connessione:
-
CONNECTED: l'archivio delle chiavi personalizzate è connesso al relativo archivio del materiale della chiave. Puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi personalizzate.L'archivio del materiale della chiave per un archivio delle chiavi di AWS CloudHSM è il cluster AWS CloudHSM associato. L'archivio del materiale della chiave per un archivio delle chiavi esterne è rappresentato da un proxy dell'archivio delle chiavi esterne e dal gestore delle chiavi esterne che supporta.
Uno stato CONNECTED (CONNESSO) indica che la connessione è riuscita e che l'archivio delle chiavi personalizzate non è stato disconnesso intenzionalmente. Non indica che la connessione sta funzionando correttamente. Per informazioni sullo stato del AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi, consulta Ottenere le CloudWatch metriche AWS CloudHSM nella Guida per l'AWS CloudHSMutente. Per informazioni sullo stato e sul funzionamento dell'archivio delle chiavi esterne, consulta i grafici nella sezione Monitoring (Monitoraggio) della pagina dei dettagli di ogni archivio. Per informazioni dettagliate, vedi Monitoraggio di un archivio delle chiavi esterne.
-
CONNECTING: il processo di connessione di un archivio delle chiavi personalizzate è in corso. Si tratta di uno stato transitorio. -
DISCONNECTED: L'archivio chiavi personalizzato non è mai stato collegato al relativo supporto oppure è stato disconnesso intenzionalmente utilizzando la AWS KMS console o l'operazione. DisconnectCustomKeyStore -
DISCONNECTING: il processo di disconnessione di un archivio delle chiavi personalizzate è in corso. Si tratta di uno stato transitorio. -
FAILED: tentativo di connessione dell'archivio delle chiavi personalizzate non riuscito.ConnectionErrorCodeNella DescribeCustomKeyStoresrisposta indica il problema.
Per connettere un archivio delle chiavi personalizzate, il relativo stato di connessione deve essere DISCONNECTED. Se lo stato della connessione è FAILED, utilizza ConnectionErrorCode per identificare e risolvere il problema. Disconnetti quindi l'archivio delle chiavi personalizzate prima di provare a connetterlo di nuovo. Per informazioni sugli errori di connessione, consulta Errori di connessione all'archivio delle chiavi esterne. Per informazioni sulla risposta a un codice di errore di connessione, consulta Codici di errore di connessione per archivi delle chiavi esterne.
Per visualizzare il codice di errore della connessione:
-
Nella DescribeCustomKeyStoresrisposta, visualizza il valore dell'
ConnectionErrorCodeelemento. Tale elemento appare nella rispostaDescribeCustomKeyStoressolo quandoConnectionStateè nello statoFAILED. -
Per visualizzare il codice di errore della connessione nella console AWS KMS, accedi alla pagina dei dettagli dell'archivio delle chiavi esterne e passa il puntatore del mouse sul valore Failed (Non riuscito).
Connessione di un archivio delle chiavi esterne (console)
Puoi utilizzare la console AWS KMS per connettere un archivio delle chiavi esterne al relativo proxy.
-
Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms
. -
Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.
Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).
-
Scegli la riga relativa all'archivio delle chiavi esterne che vuoi connettere.
Se la voce Connection state (Stato connessione) dell'archivio delle chiavi esterne è FAILED (NON RIUSCITO), devi disconnettere l'archivio prima di connetterlo.
-
Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Connect (Connetti).
Il completamento del processo di connessione richiede in genere circa cinque minuti. Al termine dell'operazione, lo stato di connessione cambia in CONNECTED (CONNESSO).
Se lo stato della connessione è Failed (Non riuscito), passa il mouse sullo stato per visualizzare il codice di errore di connessione e la causa dell'errore. Per informazioni sulla risposta a un codice di errore di connessione, consulta Codici di errore di connessione per archivi delle chiavi esterne. Per connettere un archivio delle chiavi esterne con uno stato di connessione Failed (Non riuscito), devi innanzitutto disconnettere l'archivio delle chiavi personalizzate.
Connessione di un archivio delle chiavi esterne (API)
Per connettere un archivio di chiavi esterno disconnesso, utilizzare l'ConnectCustomKeyStoreoperazione.
Prima della connessione, lo stato dell'archivio delle chiavi esterne deve essere DISCONNECTED. Se lo stato di connessione corrente è FAILED, disconnetti l'archivio delle chiavi esterne e riconnettilo.
Il completamento del processo di connessione può richiedere fino a cinque minuti. Se l'operazione non genera rapidamente un errore, ConnectCustomKeyStore restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare se l'archivio chiavi esterno è connesso, vedi lo stato della connessione nella DescribeCustomKeyStoresrisposta.
Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI)
Per identificare l'archivio delle chiavi esterne, utilizza l'ID dell'archivio delle chiavi personalizzate. È possibile trovare l'ID nella pagina Custom key stores della console o utilizzando l'DescribeCustomKeyStoresoperazione. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
L'operazione ConnectCustomKeyStore non restituisce alcun ConnectionState nella risposta. Per verificare che l'archivio chiavi esterno sia connesso, utilizzare l'DescribeCustomKeyStoresoperazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Un ConnectionState con valore CONNECTED indica che l'archivio delle chiavi esterne è connesso al relativo proxy.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Se il valore ConnectionState nella risposta DescribeCustomKeyStores è FAILED, l'elemento ConnectionErrorCode indica il motivo dell'errore.
Nell'esempio seguente, il valore XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND di ConnectionErrorCode indica che AWS KMS non riesce a trovare il servizio endpoint VPC utilizzato per comunicare con il proxy dell'archivio delle chiavi esterne. Verifica che XksProxyVpcEndpointServiceName sia corretto, che il principale del servizio AWS KMS sia consentito nel servizio endpoint Amazon VPC e che il servizio endpoint VPC non richieda l'accettazione delle richieste di connessione. Per informazioni sulla risposta a un codice di errore di connessione, consulta Codici di errore di connessione per archivi delle chiavi esterne.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Disconnessione di un archivio delle chiavi esterne (console)
Puoi utilizzare la console AWS KMS per connettere un archivio delle chiavi esterne al relativo proxy. Questo processo dura circa 5 minuti.
-
Accedi alla AWS Management Console e apri la console AWS Key Management Service (AWS KMS) all'indirizzo https://console.aws.amazon.com/kms
. -
Per modificare la Regione AWS, utilizza il Selettore di regione nell'angolo in alto a destra della pagina.
Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).
-
Scegli la riga relativa all'archivio delle chiavi esterne che vuoi disconnettere.
-
Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Disconnect (Disconnetti).
Al completamento dell'operazione, lo stato della connessione cambia da CONNECTED (CONNESSO) a DISCONNECTED (DISCONNESSO). Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta Errori di connessione all'archivio delle chiavi esterne.
Disconnessione di un archivio delle chiavi esterne (API)
Per disconnettere un archivio di chiavi esterno connesso, utilizzare l'DisconnectCustomKeyStoreoperazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Il completamento del processo può richiedere fino a cinque minuti. Per trovare lo stato di connessione dell'archivio chiavi esterno, utilizzare l'DescribeCustomKeyStoresoperazione.
Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI)
Questo esempio disconnette un archivio delle chiavi esterne con connettività del servizio endpoint VPC. Prima di eseguire questo comando, sostituisci l'ID dell'archivio delle chiavi personalizzate di esempio con uno valido.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Per verificare che l'archivio chiavi esterno sia disconnesso, utilizzare l'DescribeCustomKeyStoresoperazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il ConnectionState con valore DISCONNECTED indica che questo archivio delle chiavi esterne di esempio non è più connesso al relativo proxy.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
