Desconectar um armazenamento de chaves externo - AWS Key Management Service
Desconecte seu armazenamento de chaves externo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Desconectar um armazenamento de chaves externo

Quando você desconecta um armazenamento de chaves externo com conectividade de serviço de VPC endpoint de seu proxy de armazenamento de chaves externo, AWS KMS exclui seu endpoint de interface para o serviço de VPC endpoint e remove a infraestrutura de rede que ele criou para suportar a conexão. Nenhum processo equivalente é necessário para armazenamentos de chaves externas com conectividade de endpoint público. Essa ação não afeta o serviço de VPC endpoint nem nenhum de seus componentes de suporte e não afeta o proxy externo do armazenamento de chaves nem nenhum componente externo.

Enquanto o armazenamento de chaves externo estiver desconectado, AWS KMS não envia nenhuma solicitação para o proxy externo do armazenamento de chaves. O estado da conexão do armazenamento de chaves externas é DISCONNECTED. As KMS chaves no armazenamento externo de chaves desconectado estão em um estado de UNAVAILABLE chave (a menos que estejam pendentes de exclusão), o que significa que não podem ser usadas em operações criptográficas. No entanto, você ainda pode visualizar e gerenciar seu armazenamento de chaves externo e suas KMS chaves existentes.

O estado desconectado foi criado para ser temporário e reversível. Você pode reconectar o armazenamento de chaves externas a qualquer momento. Normalmente, não é necessária nenhuma reconfiguração. Porém, se alguma propriedade do proxy de armazenamento de chaves externas associado tiver sido alterada enquanto ele estava desconectado, como a alternância de sua credencial de autenticação de proxy, você deverá editar as configurações do armazenamento de chaves externas antes de reconectar.

nota

Enquanto um armazenamento de chaves personalizadas estiver desconectado, todas as tentativas de criar KMS chaves no armazenamento de chaves personalizadas ou de usar KMS chaves existentes em operações criptográficas falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Para estimar melhor o efeito da desconexão do armazenamento de chaves externo, identifique as KMS chaves no armazenamento de chaves externo e determine seu uso anterior.

Você pode desconectar o armazenamento de chaves externas por motivos como estes:

  • Para editar suas propriedades. Você pode editar o nome do armazenamento de chaves personalizado, o URI caminho do proxy e a credencial de autenticação do proxy enquanto o armazenamento de chaves externo está conectado. No entanto, para editar o tipo de conectividade do proxy, o URI endpoint do proxy ou o nome do serviço do VPC endpoint, você deve primeiro desconectar o armazenamento de chaves externo. Para obter detalhes, consulte Editar propriedades externas do armazenamento de chaves.

  • Para interromper toda a comunicação entre AWS KMS e o proxy externo do armazenamento de chaves. Você também pode interromper a comunicação entre AWS KMS e seu proxy desativando seu endpoint ou VPC serviço de endpoint. Além disso, seu proxy de armazenamento de chaves externo ou software de gerenciamento de chaves pode fornecer mecanismos adicionais para AWS KMS impedir a comunicação com o proxy ou impedir que o proxy acesse seu gerenciador de chaves externo.

  • Para desativar todas KMS as chaves no armazenamento externo de chaves. Você pode desativar e reativar KMS as chaves em um armazenamento de chaves externo usando o AWS KMS console ou a DisableKeyoperação. Essas operações são concluídas rapidamente (sujeitas a uma eventual consistência), mas atuam em uma KMS tecla por vez. Desconectar o armazenamento de chaves externo altera o estado da chave de todas KMS as chaves no armazenamento de chaves externo paraUnavailable, o que impede que sejam usadas em qualquer operação criptográfica.

  • Para reparar uma falha na tentativa de conexão. Se ocorrer falha em uma tentativa de conectar-se a um armazenamento de chaves externas (o estado da conexão do armazenamento de chaves personalizado apresentado é FAILED), você deve desconectar o armazenamento de chaves externas antes de tentar se conectar novamente.

Desconecte seu armazenamento de chaves externo

Você pode desconectar o armazenamento externo de chaves no AWS KMS console ou usando a DisconnectCustomKeyStoreoperação.

Você pode usar o AWS KMS console para conectar um armazenamento de chaves externo ao seu proxy de armazenamento de chaves externo. Esse processo leva cerca de cinco minutos para ser concluído.

  1. Faça login no console AWS Management Console e abra o AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar o Região da AWS, use o seletor de região no canto superior direito da página.

  3. No painel de navegação, selecione Custom key stores (Armazenamentos de chaves personalizados), External key stores (Armazenamentos de chaves externas).

  4. Escolha a linha do armazenamento de chaves externas que deseja desconectar.

  5. No menu Key store actions (Ações do armazenamento de chaves), escolha Disconnect (Desconectar).

Quando a operação é concluída, o estado da conexão muda de DISCONNECTINGpara DISCONNECTED. Se ocorrer falha na operação, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Erros de conexão do armazenamento de chaves externas.

Para desconectar um armazenamento de chaves externo conectado, use a DisconnectCustomKeyStoreoperação. Se a operação for bem-sucedida, AWS KMS retornará uma resposta HTTP 200 e um JSON objeto sem propriedades. O processo leva cerca de cinco minutos para ser concluído. Para encontrar o estado da conexão do armazenamento de chaves externo, use a DescribeCustomKeyStoresoperação.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Este exemplo desconecta um armazenamento de chaves externo com conectividade de serviço de VPC endpoint. Antes de executar este exemplo, substitua o ID de exemplo do armazenamento de chaves personalizado por um válido.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para verificar se o armazenamento de chaves externo está desconectado, use a DescribeCustomKeyStoresoperação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId e CustomKeyStoreName (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor ConnectionState de DISCONNECTED indica que esse exemplo de armazenamento de chaves externas não está mais conectado ao proxy de armazenamento de chaves externas.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}