Usar chaves do KMS em um armazenamento de chaves do AWS CloudHSM - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar chaves do KMS em um armazenamento de chaves do AWS CloudHSM

Após criar uma chave do KMS de criptografia simétrica em um armazenamento de chaves do AWS CloudHSM, é possível usá-la para as seguintes operações de criptografia:

As operações que geram pares de chaves de dados assimétricos, GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, não são suportadas em armazenamentos de chaves personalizadas.

Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo ID ou alias. Não é necessário especificar o armazenamento de chaves do AWS CloudHSM ou o cluster do AWS CloudHSM. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica.

No entanto, quando você usa uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, a operação de criptografia é executada inteiramente no cluster do AWS CloudHSM que está associado ao armazenamento de chaves do AWS CloudHSM. A operação usa o material de chave no cluster associado à chave do KMS escolhida.

Para tornar isso possível, as seguintes condições são necessárias.

  • O estado de chave da chave do KMS deve ser Enabled. Para encontrar o estado da chave, use o campo Status no AWS KMSconsole ou o KeyState campo na DescribeKeyresposta.

  • O armazenamento de chaves do AWS CloudHSM deve ser conectado ao cluster do AWS CloudHSM. Seu status no AWS KMSconsole ou ConnectionState na DescribeCustomKeyStoresresposta deve serCONNECTED.

  • O cluster do AWS CloudHSM associado ao armazenamento de chaves personalizado deve conter pelo menos um HSM ativo. Para encontrar o número de HSMs ativos no cluster, use o AWS KMSconsole, o AWS CloudHSM console ou a DescribeClustersoperação.

  • O cluster do AWS CloudHSM deve conter o material de chave da chave do KMS. Se o material de chaves foi excluído do cluster ou um HSM foi criado de um backup que não incluía o material de chaves, haverá falha na operação de criptografia.

Se essas condições não forem atendidas, haverá falha na operação de criptografia, e o AWS KMS retornará uma exceção KMSInvalidStateException. Normalmente, você só precisará reconectar o armazenamento de chaves do AWS CloudHSM. Para obter ajuda adicional, consulte Como corrigir uma chave do KMS com falha.

Ao usar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM, esteja ciente de que as chaves do KMS em cada armazenamento de chaves do AWS CloudHSM compartilha uma cota de solicitações de armazenamento de chaves personalizado para operações de criptografia. Se você exceder a cota, o AWS KMS retornará um ThrottlingException. Se o cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves do AWS CloudHSM, você poderá obter ThrottlingException a uma taxa ainda menor. Se você receber uma ThrottlingException para qualquer solicitação, diminua a sua taxa de solicitações e tente os comandos novamente. Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte Cotas de solicitação de armazenamento de chaves personalizadas.