Usar chaves do KMS em um armazenamento de chaves personalizado - AWS Key Management Service

Usar chaves do KMS em um armazenamento de chaves personalizado

Após criar uma chave do KMS de criptografia simétrica em um armazenamento personalizado de chaves, é possível usá-la para as seguintes operações de criptografia:

As operações que geram pares de chaves de dados assimétricas, GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext, não são compatíveis com um armazenamento personalizado de chaves.

Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo ID ou alias. Não é necessário especificar o armazenamento de chaves personalizado ou o cluster do AWS CloudHSM. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica.

No entanto, quando você usa uma chave do KMS em um armazenamento de chaves personalizado, a operação de criptografia é executada inteiramente no cluster do AWS CloudHSM que está associado ao armazenamento de chaves personalizado. A operação usa o material de chave no cluster associado à chave do KMS escolhida.

Para tornar isso possível, as seguintes condições são necessárias.

  • O estado de chave da chave do KMS deve ser Enabled. Para encontrar o estado da chave, use o campo Status no AWS Management Console ou o campo KeyState na resposta DescribeKey.

  • O armazenamento de chaves personalizado deve ser conectado ao cluster do AWS CloudHSM. Seu Status no AWS Management Console ou ConnectionState na resposta DescribeCustomKeyStores deve ser CONNECTED.

  • O cluster do AWS CloudHSM associado ao armazenamento de chaves personalizado deve conter pelo menos um HSM ativo. Para localizar o número de HSMs ativos no cluster, use o console do AWS KMS, o console do AWS CloudHSM, ou a operação DescribeClusters.

  • O cluster do AWS CloudHSM deve conter o material de chave da chave do KMS. Se o material de chaves foi excluído do cluster ou um HSM foi criado de um backup que não incluía o material de chaves, haverá falha na operação de criptografia.

Se essas condições não forem atendidas, haverá falha na operação de criptografia, e o AWS KMS retornará uma exceção KMSInvalidStateException. Normalmente, você só precisará reconectar o armazenamento de chaves personalizado. Para obter ajuda adicional, consulte Como corrigir uma chave do KMS com falha.

Ao usar as chaves do KMS em um armazenamento de chaves personalizado, esteja ciente de que as chaves do KMS em cada armazenamento de chaves personalizado compartilha uma cota por segundo em operações de criptografia. Se você exceder a cota, o AWS KMS retornará um ThrottlingException. Se o cluster do AWS CloudHSM associado ao armazenamento de chaves personalizadas estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves personalizadas, você poderá obter uma ThrottlingException a uma taxa ainda menor. Se você receber uma ThrottlingException para qualquer solicitação, diminua a sua taxa de solicitações e tente os comandos novamente. Para obter detalhes sobre a cota de solicitações para operações de criptografia em um armazenamento de chaves personalizado, consulte .Cota do armazenamento de chaves personalizado