Conectar e desconectar um armazenamento de chaves personalizado - AWS Key Management Service

Conectar e desconectar um armazenamento de chaves personalizado

Os novos armazenamentos de chaves personalizados não são conectados. Antes de criar e usar AWS KMS keys no armazenamento de chaves personalizado, você precisa conectá-lo ao cluster do AWS CloudHSM associado. Você pode conectar e desconectar seu armazenamento de chaves personalizado a qualquer momento, e visualizar seu status de conexão.

Não é necessário conectar seu armazenamento de chaves personalizado. Você pode deixar um armazenamento de chaves personalizado em estado desconectado indefinidamente e conectá-lo somente quando precisar usá-lo. No entanto, você pode desejar testar a conexão periodicamente para verificar se as configurações estão corretas e se ele pode ser conectado.

nota

Armazenamentos de chaves personalizados têm um status DISCONNECTEDsomente quando nunca foram conectados ou quando você os desconecta explicitamente. Se o status de armazenamento de chaves personalizado for CONNECTED, mas você estiver com problemas para usá-lo, certifique-se de que seu cluster do AWS CloudHSM esteja ativo e contenha pelo menos um HSM ativo. Para obter ajuda com falhas de conexão, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Conectar um armazenamento de chaves personalizado

Quando você conecta um armazenamento de chaves personalizado, o AWS KMS localiza o cluster do AWS CloudHSM associado, estabelece conexão com ele, faz login no cliente do AWS CloudHSM como o usuário de criptografia do kmsuser (CU) e alterna a senha de kmsuser. O AWS KMS permanecerá conectado ao cliente do AWS CloudHSM enquanto o armazenamento de chaves personalizado estiver conectado.

Para estabelecer a conexão, o AWS KMS cria grupos de segurança chamados kms-<custom key store ID> na virtual private cloud (VPC) do cluster. O grupo de segurança tem uma única regra que permite o tráfego de entrada dos grupos de segurança do cluster. O AWS KMS também cria uma interface de rede elástica (ENI) em cada zona de disponibilidade da sub-rede privada para o cluster. O AWS KMS adiciona as ENIs ao grupo de segurança kms-<cluster ID> e os grupos de segurança para o cluster. A descrição de cada ENI é KMS managed ENI for cluster <cluster-ID>.

O processo de conexão pode demorar um período prolongado para ser concluído; até 20 minutos.

Antes de conectar o armazenamento de chaves personalizado, verifique se ele atende aos requisitos.

  • Seu cluster do AWS CloudHSM associado deve conter pelo menos um HSM ativo. Para localizar o número de HSMs no cluster, visualize o cluster no console do AWS CloudHSM ou use a operação DescribeClusters. Se necessário, você pode adicionar um HSM.

  • O cluster deve ter uma conta de usuário de criptografia do kmsuser (CU), mas esse CU não pode ser registrado no cluster quando você conecta o armazenamento de chaves personalizadas. Para obter ajuda com o logout, consulte Como fazer logout e se conectar novamente.

  • O status de conexão do armazenamento de chaves personalizado não pode ser DISCONNECTING ou FAILED. Você pode visualizar o status de conexão no console ou usando a operação DescribeCustomKeyStores. Se o status da conexão for FAILED, desconecte o armazenamento de chaves personalizado e conecte-o novamente.

Quando seu armazenamento de chaves personalizado está conectado, é possível criar chaves do KMS nele e usar chaves do KMS existentes em operações de criptografia.

Desconectar um armazenamento de chaves personalizado

Quando você desconecta um armazenamento de chaves personalizado, o AWS KMS faz logout do cliente AWS CloudHSM, desconecta-se do cluster do AWS CloudHSM associado e remove a infraestrutura de rede que ele criou para oferecer suporte à conexão.

Enquanto um armazenamento de chaves personalizado está desconectado, é possível gerenciá-lo e suas AWS KMS keys (chaves do KMS), mas não é possível criar nem usar chaves do KMS no armazenamento de chaves personalizado. O status do armazenamento de chaves é DISCONNECTED, e o estado de chave das chaves do KMS no armazenamento de chaves personalizado é Unavailable, a menos que elas estejam com PendingDeletion. Você pode reconectar o armazenamento de chaves personalizado a qualquer momento.

nota

Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Para avaliar melhor o efeito de desconectar o armazenamento de chaves, identifique as chaves do KMS no armazenamento de chaves personalizado e determine seu uso anterior.

Você pode desconectar o armazenamento de chaves personalizado por motivos como o seguinte:

  • Para mudar a senha do kmsuser. O AWS KMS altera a senha kmsuser toda vez que se conecta ao cluster do AWS CloudHSM. Para forçar uma mudança de senha, basta desconectar e reconectar.

  • Para auditar o material de chave das chaves do KMS no cluster do AWS CloudHSM. Quando você desconecta o armazenamento de chaves personalizado, o AWS KMS faz logout da conta do usuário de criptografia kmsuser no cliente AWS CloudHSM. Isso permite fazer login no cluster como o CU kmsuser e auditar e gerenciar o material de chave para a chave do KMS.

  • Para desabilitar imediatamente todas as chaves do KMS no armazenamento de chaves personalizado. É possível desabilitar e reabilitar chaves do KMS em um armazenamento de chaves personalizado usando o AWS Management Console ou a operação DisableKey. Essas operações são concluídas rapidamente, mas atuam em uma chave do KMS de cada vez. A desconexão altera imediatamente o estado de chave de todas as chaves do KMS no armazenamento de chaves personalizada para Unavailable, o que impede que elas sejam usadas em operações de criptografia.

  • Para reparar uma falha na tentativa de conexão. Se ocorrer falha em uma tentativa de conectar-se a um armazenamento de chaves personalizado (o status de conexão do armazenamento de chaves personalizado apresentado é FAILED), você deve desconectar o armazenamento de chaves personalizado antes de tentar se conectar novamente.

Conectar um armazenamento de chaves personalizado (console)

Para conectar um armazenamento de chaves personalizado ao AWS Management Console, comece selecionando o armazenamento de chaves personalizado a partir da página Custom key stores (Armazenamentos de chaves personalizados). O processo pode levar até 20 minutos.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação à esquerda, selecione Custom key stores (Armazenamentos de chaves personalizados).

  4. Escolha o armazenamento de chaves personalizado que você deseja conectar.

  5. Se o status do armazenamento de chaves personalizado for FAILED (FALHA), você deve desconectar o armazenamento de chaves personalizado antes de conectá-lo.

  6. No menu Key store actions (Ações do armazenamento de chaves), selecione Connect custom key store (Conectar o armazenamento de chaves personalizado).

AWS KMSO inicia o processo de conexão do seu armazenamento de chaves personalizado. Ele localiza o cluster do AWS CloudHSM associado, cria a infraestrutura de rede necessária, se conecta, faz login no cluster do AWS CloudHSM como CU do kmsuser e muda a senha do kmsuser. Quando a operação é concluída, o estado de conexão é alterado para CONNECTED (CONECTADO).

Se houver falha na operação, uma mensagem descrevendo o motivo da falha será exibida. Antes de tentar se conectar novamente, visualize o status da conexão do seu armazenamento de chaves personalizado. Se for FAILED (FALHA), você deve desconectar o armazenamento de chaves personalizado antes de conectá-lo novamente. Se precisar de ajuda, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Próximo: Criar chaves do KMS em um armazenamento de chaves personalizado.

Conectar um armazenamento de chaves personalizado (API)

Para conectar um armazenamento de chaves personalizado desconectado, use a operação ConnectCustomKeyStore. O cluster do AWS CloudHSM associado deve conter pelo menos um HSM ativo, e o status da conexão não pode ser FAILED.

O processo de conexão demora um período prolongado para ser concluído; até 20 minutos. A menos que ocorra uma falha rapidamente, a operação retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. No entanto, essa resposta inicial não indica que a conexão foi bem-sucedida. Para determinar o status da conexão do armazenamento de chaves personalizado, use a operação DescribeCustomKeyStores.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Para identificar o armazenamento de chaves personalizado, use o ID de armazenamento de chaves personalizado Você pode encontrar o ID na página Armazenamentos de chaves personalizados no console ou usando a operação DescribeCustomKeyStores. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para verificar se o armazenamento de chaves personalizado está conectado, use a operação DescribeCustomKeyStores. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId ou CustomKeyStoreName (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor ConnectionState CONNECTED indica que o armazenamento de chaves personalizado está conectado ao cluster do AWS CloudHSM.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

Se ocorrer falha no valor ConnectionState, o elemento ConnectionErrorCode indica o motivo da falha. Nesse caso, o AWS KMS não conseguiu encontrar um cluster do AWS CloudHSM em sua conta com o ID do cluster cluster-1a23b4cdefg. Se você excluiu o cluster, você pode restaurá-lo a partir de um backup do cluster original e editar o ID do cluster para o armazenamento de chaves personalizado.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" "ConnectionErrorCode": "CLUSTER_NOT_FOUND" ], }

Próximo: Criar chaves do KMS em um armazenamento de chaves personalizado.

Desconectar um armazenamento de chaves personalizado (console)

Para desconectar um armazenamento de chaves personalizado conectado ao AWS Management Console, comece selecionando o armazenamento de chaves personalizado a partir da página Custom key stores (Armazenamentos de chaves personalizados).

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação à esquerda, selecione Custom key stores (Armazenamentos de chaves personalizados).

  4. Escolha o armazenamento de chaves personalizado que você deseja desconectar.

  5. No menu Key store actions (Ações do armazenamento de chaves), selecione Disconnect custom key store (Desconectar o armazenamento de chaves personalizado).

Quando a operação é concluída, o estado de conexão é alterado de DISCONNECTING (DESCONECTANDO) para DISCONNECTED (DESCONECTADO). Se ocorrer falha na operação, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Desconectar um armazenamento de chaves personalizado (API)

Para desconectar um armazenamento de chaves personalizado conectado, use a operação DisconnectCustomKeyStore. Se a operação tiver êxito, o AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Esse exemplo desconecta um armazenamento de chaves personalizado. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para verificar se o armazenamento de chaves personalizado está desconectado, use a operação DescribeCustomKeyStores. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId e CustomKeyStoreName (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor ConnectionState DISCONNECTED indica que o armazenamento de chaves personalizado não está conectado ao cluster do AWS CloudHSM.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>" ], }