Criar recursos no AWS KMS com AWS CloudFormation - AWS Key Management Service

Criar recursos no AWS KMS com AWS CloudFormation

O AWS Key Management Service está integrado ao AWS CloudFormation, um serviço que ajuda você a modelar e configurar seus recursos da AWS para que você possa gastar menos tempo criando e gerenciando seus recursos e infraestrutura. Você cria um modelo que descreve chaves e aliases do KMS, e o AWS CloudFormation provisiona e configura esses recursos para você. Para obter informações sobre o suporte do AWS KMSpara o CloudFormation, consulte aReferência de tipos de recursos do KMS noManual do usuário do AWS CloudFormation.

Ao usar o AWS CloudFormation, você poderá reutilizar seu modelo para configurar seus recursos do AWS KMS de forma repetida e consistente. Descreva seus recursos uma vez e depois provisione os mesmos recursos repetidamente em várias regiões e Contas da AWS.

Para provisionar e configurar recursos para o AWS KMS e outros serviços da AWS relacionados, você deve entender modelos do AWS CloudFormation. Os modelos são arquivos de texto formatados em JSON ou YAML. Esses modelos descrevem os recursos que você deseja provisionar nas suas pilhas do AWS CloudFormation. Se você não estiver familiarizado com JSON ou YAML, poderá usar o AWS CloudFormation Designer para ajudá-lo a começar a usar os modelos do AWS CloudFormation. Para obter mais informações, consulte O que é o AWS CloudFormation Designer? no Manual do usuário do AWS CloudFormation.

Regiões da

Há suporte para os recursos de AWS KMS do CloudFormation em todas as regiões nas quais há suporte para AWS CloudFormation. No entanto, na região Ásia-Pacífico (Jakarta) (ap-southeast-3), você não pode usar um modelo do CloudFormation para criar ou gerenciar chaves do KMS assimétricas ou chaves de várias regiões (primária ou réplica).

Recursos do AWS KMSem modelos do AWS CloudFormation

O AWS KMS oferece suporte aos seguintes recursos do AWS CloudFormation.

As chaves do KMS que o modelo cria são recursos reais na sua Conta da AWS. As entidades principais autorizadas podem usar e gerenciar as chaves do KMS criadas pelo modelo, seja usando o modelo, o console do AWS KMSou as APIs do AWS KMS. Quando você exclui uma chave do KMS do modelo, ela é programada para exclusão usando um período de espera especificado antecipadamente.

Por exemplo, você pode usar um modelo do AWS CloudFormationpara criar uma chave do KMS de teste com uma política de chaves, especificação de chave, uso de chave, aliases e etiquetas de sua preferência. Você pode executá-lo em seu conjunto de teste, rever seus resultados e usar o modelo para programar a chave de teste para exclusão. Mais tarde, você pode executar o modelo novamente para criar uma chave de teste com as mesmas propriedades.

Ou é possível usar um modelo do AWS CloudFormationpara definir uma configuração de chave do KMS específica que atenda às regras de negócios e aos padrões de segurança. Em seguida, você pode usar esse modelo sempre que precisar para criar uma chave do KMS. Você não precisa se preocupar com chaves mal configuradas. Se a sua configuração preferencial for alterada, você poderá usar o modelo para atualizar suas chaves do KMS. Por exemplo, o modelo facilita a ativação programática da alternância automática de chaves em todas as chaves do KMS definidas por ele.

Para obter mais informações sobre recursos do AWS KMS, incluindo exemplos, consulte a referência a tipos de recursos do KMS, no Manual do usuário do AWS CloudFormation.

Saiba mais sobre o AWS CloudFormation

Para saber mais sobre o AWS CloudFormation, consulte os seguintes recursos: