As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Criando atributos AWS KMS com AWS CloudFormation
O AWS Key Management Service está integrado ao AWS CloudFormation, um serviço que ajuda você a modelar e configurar seus recursos da AWS para que você possa gastar menos tempo criando e gerenciando seus recursos e infraestrutura. Você cria um modelo que descreve chaves e aliases do KMS, e o AWS CloudFormation provisiona e configura esses recursos para você. Para obter informações sobre AWS KMS suporte para CloudFormation, consulte a referência do tipo de recurso KMS no Guia do AWS CloudFormation usuário.
Ao usar o AWS CloudFormation, você poderá reutilizar seu modelo para configurar seus recursos do AWS KMS de forma repetida e consistente. Descreva seus recursos uma vez e depois provisione os mesmos recursos repetidamente em várias regiões e Contas da AWS.
Para provisionar e configurar recursos para o AWS KMS e outros serviços da AWS relacionados, você deve entender modelos do AWS CloudFormation. Os modelos são arquivos de texto formatados em JSON ou YAML. Esses modelos descrevem os atributos que você deseja provisionar nas suas pilhas AWS CloudFormation. Se não estiver familiarizado com JSON ou YAML, você pode usar AWS CloudFormation Designer para ajudá-lo a começar a usar os modelos AWS CloudFormation. Para obter mais informações, consulte O que é o AWS CloudFormation Designer? no Manual do usuário da AWS CloudFormation.
Regiões
AWS KMS CloudFormation os recursos são suportados em todas as regiões nas quais AWS CloudFormation há suporte.
Recursos do AWS KMSem modelos do AWS CloudFormation
O AWS KMS oferece suporte aos seguintes recursos do AWS CloudFormation.
-
O
AWS::KMS::Keycria uma chave do KMS simétrica ou assimétrica. Você pode usar esse recurso para criar uma chave do KMS primária de várias regiões simétrica ou assimétrica. Para criar uma chave de réplica de várias regiões, use o recursoAWS::KMS::ReplicaKey. Você não pode usar esse recurso para criar chaves do KMS commaterial de chave importado ou chaves do KMS em umarmazenamento de chaves personalizado. -
O
AWS::KMS::Aliascria um alias e o associa a uma chave do KMS. A chave do KMS pode ser definida no modelo ou criada por outro mecanismo. -
O
AWS::KMS::ReplicaKeycria uma chave de réplica de várias regiões. Para criar uma chave primária de várias regiões, use o recursoAWS::KMS::Key. Você não pode usar esse recurso para replicar chaves de várias regiões com material de chave importado. Para obter detalhes sobre chaves de várias regiões, consulteChaves de várias regiões em AWS KMS.
Importante
Se você alterar o valor da propriedade KeyUsage, KeySpec ou MultiRegion de uma chave do KMS existente, esta será programada para exclusão, e uma nova chave do KMS será criada com o valor especificado.
Enquanto é programada para exclusão, a chave do KMS existente torna-se inutilizável. Se você não cancelar a exclusão programada da chave do KMS existente fora do AWS CloudFormation, todos os dados criptografados na chave do KMS existente se tornarão irrecuperáveis quando ela for excluída.
As chaves do KMS que o modelo cria são recursos reais na sua Conta da AWS. As entidades principais autorizadas podem usar e gerenciar as chaves do KMS criadas pelo modelo, seja usando o modelo, o console do AWS KMSou as APIs do AWS KMS. Quando você exclui uma chave do KMS do modelo, ela é programada para exclusão usando um período de espera especificado antecipadamente.
Por exemplo, você pode usar um modelo do AWS CloudFormationpara criar uma chave do KMS de teste com uma política de chaves, especificação de chave, uso de chave, aliases e etiquetas de sua preferência. Você pode executá-lo em seu conjunto de teste, rever seus resultados e usar o modelo para programar a chave de teste para exclusão. Mais tarde, você pode executar o modelo novamente para criar uma chave de teste com as mesmas propriedades.
Ou é possível usar um modelo do AWS CloudFormationpara definir uma configuração de chave do KMS específica que atenda às regras de negócios e aos padrões de segurança. Em seguida, você pode usar esse modelo sempre que precisar para criar uma chave do KMS. Você não precisa se preocupar com chaves mal configuradas. Se a sua configuração preferencial for alterada, você poderá usar o modelo para atualizar suas chaves do KMS. Por exemplo, o modelo facilita a ativação programática da alternância automática de chaves em todas as chaves do KMS definidas por ele.
Para obter mais informações sobre recursos do AWS KMS, incluindo exemplos, consulte a referência a tipos de recursos do KMS, no Manual do usuário do AWS CloudFormation.
Saiba mais sobre a AWS CloudFormation
Para saber mais sobre a AWS CloudFormation, consulte os seguintes recursos:
