Visualizar um armazenamento de chaves personalizado - AWS Key Management Service

Visualizar um armazenamento de chaves personalizado

Você pode visualizar armazenamentos de chaves personalizados em cada conta e região usando o AWS Management Console ou a API do AWS KMS.

Para obter ajuda para visualizar as chaves do KMS no armazenamento de chaves personalizado, consulte Visualizar chaves do KMS em um armazenamento de chaves personalizado. Para obter informações sobre como visualizar os logs do AWS CloudTrail que registram todas as operações da API em um armazenamento de chaves personalizado, consulte Registrar em log chamadas de API do AWS KMS com o AWS CloudTrail.

Visualizar um armazenamento de chaves personalizado (console)

Ao visualizar armazenamentos de chaves personalizados no AWS Management Console, você pode ver as seguintes informações:

  • O nome do armazenamento de chaves personalizado

  • O ID do cluster do AWS CloudHSM associado

  • O número de HSMs no cluster

  • O status de conexão atual

Um status de conexão Disconnected (Desconectado) indica que o armazenamento de chaves personalizado é novo e nunca foi conectado, ou foi intencionalmente desconectado do cluster do AWS CloudHSM. No entanto, se as suas tentativas de usar uma chave do KMS em um armazenamento de chaves personalizado conectado falharem, pode ser indício de um problema com o armazenamento de chaves personalizado ou com o cluster do AWS CloudHSM. Para obter ajuda, consulte Como corrigir uma chave do KMS com falha.

Para visualizar armazenamentos de chaves personalizados em uma determinada conta e região, use o procedimento a seguir.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o Region selector (Seletor de regiões) no canto superior direito da página.

  3. No painel de navegação à esquerda, selecione Custom key stores (Armazenamentos de chaves personalizados).

Para personalizar a exibição, clique no ícone de engrenagem que aparece abaixo do botão Create key store (Criar armazenamento de chaves).

Visualizar um armazenamento de chaves personalizado (API)

Para visualizar seus armazenamentos de chaves personalizados, use a operação DescribeCustomKeyStores. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados na conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId ou CustomKeyStoreName (mas não ambos) para limitar o resultado para um determinado armazenamento de chaves personalizado. O resultado contém o ID e o nome de armazenamento de chaves personalizado, o ID do cluster do AWS CloudHSM associado, e o estado da conexão. Se o estado da conexão indica um erro, o resultado também inclui um código de erro que descreve o motivo do erro.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Por exemplo, o comando a seguir retorna todos os armazenamentos de chaves personalizados na conta e região. Você pode usar os parâmetros Marker e Limit para percorrer os armazenamentos de chaves personalizados do resultado.

$ aws kms describe-custom-key-stores

O comando de exemplo a seguir usa o parâmetro CustomKeyStoreName para obter apenas o armazenamento de chaves personalizado com o nome amigável ExampleKeyStore. É possível usar o parâmetro CustomKeyStoreName ou CustomKeyStoreId (mas não ambos) em cada comando.

O exemplo de resultado a seguir representa um armazenamento de chaves personalizado que está conectado ao seu cluster do AWS CloudHSM. O elemento ConnectionState corresponde ao campo Status do console.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "CONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate appears here>" } ] }

Um ConnectionState Disconnected indica que um armazenamento de chaves personalizado nunca foi conectado, ou foi intencionalmente desconectado do cluster do AWS CloudHSM. No entanto, se as tentativas de usar uma chave do KMS em um armazenamento de chaves personalizado conectado falharem, pode ser indício de um problema com o armazenamento de chaves personalizado ou com o cluster do AWS CloudHSM. Para obter ajuda, consulte Como corrigir uma chave do KMS com falha.

Quando o ConnectionState do armazenamento de chaves personalizado FAILED, a resposta DescribeCustomKeyStores inclui um elemento ConnectionErrorCode que explica o motivo desse erro.

Por exemplo, no resultado a seguir, o valor INVALID_CREDENTIALS indica que a conexão do armazenamento de chaves personalizado falhou porque a senha kmsuser é inválido. Para obter ajuda com relação a esta e outras falhas de erro de conexão, consulte Solucionar problemas de um armazenamento de chaves personalizado.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ { "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionErrorCode": "INVALID_CREDENTIALS", "ConnectionState": "FAILED", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CreationDate": "1.499288695918E9", "TrustAnchorCertificate": "<certificate appears here>" } ] }