As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Visualizar um armazenamento de chaves externas
Você pode visualizar os armazenamentos externos de chaves em cada conta e região usando o AWS KMS console ou usando a DescribeCustomKeyStoresoperação.
Ao visualizar um armazenamento de chaves externas, você pode ver o seguinte:
-
Informações básicas sobre o armazenamento de chaves, inclusive seu nome amigável, ID, tipo de armazenamento de chaves e data de criação.
-
Informações de configuração para o proxy de armazenamento de chaves externa, inclusive o tipo de conectividade, o endpoint e o caminho do URI do proxy e o ID da chave de acesso da credencial de autenticação de proxy atual.
-
Se o proxy de armazenamento de chaves externas usar a conectividade do serviço de endpoint da VPC, o console exibirá o nome do serviço de endpoint da VPC.
-
O estado da conexão atual.
nota
Um valor do estado da conexão Disconnected (Desconectado) indica que o armazenamento de chaves externas nunca foi conectado ou que foi desconectado do proxy do armazenamento de chaves externas intencionalmente. No entanto, se as tentativas de usar uma chave do KMS em um armazenamento de chaves externas conectado falharem, pode ser indício de um problema com o armazenamento de chaves externas ou o proxy. Para obter ajuda, consulte Erros de conexão do armazenamento de chaves externas.
Uma seção de monitoramento com gráficos das CloudWatch métricas da Amazon projetada para ajudar você a detectar e resolver problemas com seu armazenamento externo de chaves. Para obter ajuda na interpretação dos gráficos, no uso deles no planejamento e na solução de problemas e na criação de CloudWatch alarmes com base nas métricas dos gráficos, consulte. Monitorar um armazenamento de chaves externas
Consulte também:
Tópicos
Propriedades do armazenamento de chaves externas
As seguintes propriedades de um armazenamento de chaves externo são visíveis no AWS KMS console e na DescribeCustomKeyStoresresposta.
Propriedades do armazenamento de chaves personalizado
Os valores a seguir aparecem na seção General configuration (Configuração geral) da página de detalhes de cada armazenamento de chaves personalizado. Essas propriedades se aplicam a todos os armazenamentos de chaves personalizados, inclusive armazenamentos de chaves do AWS CloudHSM e armazenamentos de chaves externas.
- ID do armazenamento de chaves personalizado
-
Um ID exclusivo que o AWS KMS atribui ao armazenamento de chaves personalizado.
- Nome do armazenamento de chaves personalizado
-
Um nome amigável que você atribui ao armazenamento de chaves personalizado ao criá-lo. Você pode alterar esse valor a qualquer momento.
- Tipo do armazenamento de chaves personalizado
-
O tipo do armazenamento de chaves personalizado. Os valores válidos são AWS CloudHSM (
AWS_CLOUDHSM) ou External key store (Armazenamento de chaves externas) (EXTERNAL_KEY_STORE). Você não pode alterar o tipo depois de criar o armazenamento de chaves personalizado. - Data de Criação
-
A data em que o armazenamento de chaves personalizado foi criado. Essa data é exibida na hora local da Região da AWS.
- Estado da conexão
-
Indica se o armazenamento de chaves personalizado está conectado a seu armazenamento de chaves de reserva. O estado da conexão será
DISCONNECTEDsomente se o armazenamento de chaves personalizado nunca tiver sido conectado ao armazenamento de chaves de reserva ou se tiver sido desconectado intencionalmente. Para obter detalhes, consulte Estado da conexão.
Propriedades de configuração do armazenamento de chaves externas
Os valores a seguir aparecem na seção Configuração de proxy do armazenamento de chaves externo da página de detalhes de cada armazenamento de chaves externo e no XksProxyConfiguration elemento da DescribeCustomKeyStoresresposta. Para obter uma descrição detalhada de cada campo, inclusive requisitos de exclusividade e ajuda para determinar o valor correto para cada campo, consulte Organizar os pré-requisitos no tópico Criar um armazenamento de chaves externas.
- Conectividade do proxy
Indica se o armazenamento de chaves externas usa conectividade de endpoint público ou conectividade de serviço de endpoint da VPC.
- Endpoint de URI do proxy
-
O endpoint que o AWS KMS usa para se comunicar com o proxy de armazenamento de chaves externas.
- Caminho do URI do proxy
-
O caminho do endpoint do URI do proxy para o qual o AWS KMS envia as solicitações da API de proxy.
- Credencial de proxy: ID da chave de acesso
-
Parte da credencial de autenticação de proxy que você estabelece em seu proxy de armazenamento de chaves externas. O ID da chave de acesso identifica a chave de acesso secreta na credencial.
O AWS KMS usa o processo de assinatura SigV4 e a credencial de autenticação de proxy para assinar suas solicitações no proxy de armazenamento de chaves externas. A credencial na assinatura permite que o proxy de armazenamento de chaves externas autentique solicitações do AWS KMS em seu nome.
- Nome do serviço de endpoint da VPC
-
O nome do serviço de endpoint da Amazon VPC que oferece suporte ao armazenamento de chaves externas. Esse valor é exibido somente quando o armazenamento de chaves externas usa a conectividade de serviço de endpoint da VPC. Você pode localizar o proxy de armazenamento de chaves externas na VPC ou usar o serviço de endpoint da VPC para se comunicar de forma segura com o proxy de armazenamento de chaves externas.
Visualizar um armazenamento de chaves externas (console)
Para visualizar armazenamentos de chaves externas em uma determinada conta e região, use o procedimento a seguir.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, selecione Custom key stores (Armazenamentos de chaves personalizados), External key stores (Armazenamentos de chaves externas).
-
Para exibir informações detalhadas sobre um armazenamento de chaves externas, escolha o nome do armazenamento de chaves.
Visualizar um armazenamento de chaves externas (API)
Para visualizar seus armazenamentos externos de chaves, use a DescribeCustomKeyStoresoperação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados na conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId ou CustomKeyStoreName (mas não ambos) para limitar o resultado para um determinado armazenamento de chaves personalizado.
Para armazenamentos de chaves personalizados, a saída consiste no ID, nome e tipo do armazenamento de chaves personalizado e no estado da conexão do armazenamento de chaves. Se o estado da conexão é FAILED, o resultado também inclui um ConnectionErrorCode que descreve o motivo do erro. Para obter ajuda para interpretar ConnectionErrorCode para um armazenamento de chaves externas, consulte Códigos de erro de conexão para armazenamentos de chaves externas.
Para armazenamentos de chaves externas, a saída também inclui o elemento XksProxyConfiguration. Esse elemento inclui o tipo de conectividade, o endpoint do URI do proxy, o caminho do URI do proxy e o ID da chave de acesso da credencial de autenticação do proxy.
Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI)
Por exemplo, o comando a seguir retorna todos os armazenamentos de chaves personalizados na conta e região. Você pode usar os parâmetros Marker e Limit para percorrer os armazenamentos de chaves personalizados do resultado.
$aws kms describe-custom-key-stores
O comando a seguir usa o parâmetro CustomKeyStoreName para obter apenas o armazenamento de chaves externas de exemplo com o nome amigável ExampleXksPublic. Este exemplo de armazenamento de chaves usa conectividade pública de endpoint. Está conectado ao proxy de armazenamento de chaves externas.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksPublic{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
O comando a seguir obtém um exemplo de armazenamento de chaves externas com conectividade de serviço de endpoint da VPC. Neste exemplo, o armazenamento de chaves externas está conectado ao proxy de armazenamento de chaves externas.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
O ConnectionState Disconnected indica que um armazenamento de chaves externas nunca foi conectado ou foi intencionalmente desconectado do proxy de armazenamento de chaves externas. No entanto, se as tentativas de usar uma chave do KMS em um armazenamento de chaves externas conectado falharem, pode ser indício de um problema com o proxy de armazenamento de chaves externas ou outros componentes externos.
Quando o ConnectionState do armazenamento de chaves externas FAILED, a resposta DescribeCustomKeyStores inclui um elemento ConnectionErrorCode que explica o motivo desse erro.
Por exemplo, na saída a seguir, o valor XKS_PROXY_TIMED_OUT indica que o AWS KMS pode se conectar ao proxy de armazenamento de chaves externas, mas a conexão falhou porque o proxy de armazenamento de chaves externas não respondeu ao AWS KMS no tempo estipulado. Caso veja esse código de erro de conexão repetidamente, notifique seu fornecedor de proxy de armazenamento de chaves externas. Para obter ajuda com relação a esta e outras falhas de erro de conexão, consulte Solução de problemas de armazenamentos de chaves externas.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
