As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Conectar e desconectar um armazenamento de chaves externas
Os novos armazenamentos de chaves externas não são conectados. Para criar e usar AWS KMS keys em seu armazenamento de chaves externas, é necessário conectar o armazenamento de chaves externas ao proxy de armazenamento de chaves externas. Você pode conectar e desconectar seu armazenamento de chaves externas a qualquer momento, e visualizar seu estado de conexão.
Enquanto o armazenamento de chaves externas estiver desconectado, o AWS KMS não poderá se comunicar com o proxy de armazenamento de chaves externas. Como resultado, você poderá visualizar e gerenciar o armazenamento de chaves externas e suas chaves do KMS existentes. No entanto, não é possível criar chaves do KMS em seu armazenamento de chaves externas nem usar suas chaves do KMS em operações de criptografia. Talvez seja necessário desconectar o armazenamento de chaves externas em algum momento, como ao editar as propriedades, mas planeje adequadamente. A desconexão do armazenamento de chaves poderá interromper a operação dos serviços da AWS que usam suas chaves do KMS.
Não é necessário conectar seu armazenamento de chaves externas. Você pode deixar um armazenamento de chaves externas em estado desconectado indefinidamente e conectá-lo somente quando precisar usá-lo. No entanto, você pode desejar testar a conexão periodicamente para verificar se as configurações estão corretas e se ele pode ser conectado.
Quando você desconecta um armazenamento de chaves personalizado, as chaves do KMS do armazenamento de chaves tornam-se inutilizáveis imediatamente (sujeitas a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.
nota
Armazenamentos de chaves externas têm o estado DISCONNECTED somente quando nunca foram conectados ou quando você os desconecta explicitamente. Um estado CONNECTED não indica que o armazenamento de chaves externas ou seus componentes de apoio estejam operando com eficiência. Para obter informações sobre a performance dos componentes do armazenamento de chaves externas, consulte os grafos na seção Monitoring (Monitoramento) da página de detalhes de cada armazenamento de chaves externas. Para obter detalhes, consulte Monitorar um armazenamento de chaves externas.
O gerenciador de chaves externas pode fornecer outros métodos para interromper e reiniciar a comunicação entre o armazenamento de chaves externas do AWS KMS e o proxy de armazenamento de chaves externas, ou entre o proxy de armazenamento de chaves externas e o gerenciador de chaves externas. Para obter detalhes, consulte a documentação do gerenciador de chaves externas.
Tópicos
- Conectar um armazenamento de chaves externas
- Desconectar um armazenamento de chaves externas
- Estado da conexão
- Conectar um armazenamento de chaves externas (console)
- Conectar um armazenamento de chaves externas (API)
- Desconectar um armazenamento de chaves externas (console)
- Desconectar um armazenamento de chaves externas (API)
Conectar um armazenamento de chaves externas
Quando seu armazenamento de chaves externas está conectado ao proxy de armazenamento de chaves externas, é possível criar chaves do KMS no armazenamento de chaves externas e usar chaves do KMS existentes em operações de criptografia.
O processo que conecta um armazenamento de chaves externas ao proxy de armazenamento de chaves externas difere com base na conectividade do armazenamento de chaves externas.
-
Quando você conecta um armazenamento de chaves externo com conectividade de endpoint público, AWS KMS envia uma GetHealthStatus solicitação ao proxy externo do armazenamento de chaves para validar o endpoint do URI do proxy, o caminho do URI do proxy e a credencial de autenticação do proxy. Uma resposta bem-sucedida do proxy confirma que o endpoint do URI do proxy e o caminho do URI do proxy estão corretos e acessíveis e que o proxy autenticou a solicitação assinada com a credencial de autenticação do proxy para o armazenamento de chaves externas.
-
Quando você conecta um armazenamento de chaves externas com a conectividade do serviço de endpoint da VPC ao proxy de armazenamento de chaves externas, o AWS KMS faz o seguinte:
-
Confirma que o domínio do nome DNS privado especificado no endpoint do URI do proxy foi verificado.
-
Cria um endpoint de interface de uma VPC do AWS KMS para o serviço de endpoint da VPC.
-
Cria uma zona hospedada privada para o nome DNS privado especificado no endpoint do URI do proxy
-
Envia uma GetHealthStatussolicitação para o proxy externo do armazenamento de chaves. Uma resposta bem-sucedida do proxy confirma que o endpoint do URI do proxy e o caminho do URI do proxy estão corretos e acessíveis e que o proxy autenticou a solicitação assinada com a credencial de autenticação do proxy para o armazenamento de chaves externas.
-
A operação de conexão inicia o processo de conexão do armazenamento de chaves personalizado, mas conectar um armazenamento de chaves externas ao proxy externo leva aproximadamente cinco minutos. Uma resposta bem-sucedida da operação de conexão não indica que o armazenamento de chaves externas esteja conectado. Para confirmar que a conexão foi bem-sucedida, use o AWS KMS console ou a DescribeCustomKeyStoresoperação para visualizar o estado da conexão externa do seu armazenamento de chaves.
Quando o estado da conexão é FAILED, um código de erro de conexão é exibido no console do AWS KMS e adicionado à resposta DescribeCustomKeyStore. Para obter ajuda na interpretação dos códigos de erro de conexão, consulte Códigos de erro de conexão para armazenamentos de chaves externas.
Desconectar um armazenamento de chaves externas
Quando você desconecta um armazenamento de chaves externas com conectividade do serviço de endpoint da VPC do proxy de armazenamento de chaves externas, o AWS KMS exclui o endpoint de interface para o serviço de endpoint da VPC e remove a infraestrutura de rede que ele criou para oferecer suporte à conexão. Nenhum processo equivalente é necessário para armazenamentos de chaves externas com conectividade de endpoint público. Essa ação não afeta o serviço de endpoint da VPC ou seus componentes de apoio nem afeta o proxy de armazenamento de chaves externas ou componentes externos.
Enquanto o armazenamento de chaves externas estiver desconectado, o AWS KMS não enviará nenhuma solicitação ao proxy de armazenamento de chaves externas. O estado da conexão do armazenamento de chaves externas é DISCONNECTED. As chaves do KMS no armazenamento de chaves externas desconectado estão no estado de chave UNAVAILABLE (a menos que estejam pendentes de exclusão), isto é, não podem ser usadas em operações de criptografia. Porém, você ainda poderá visualizar e gerenciar o armazenamento de chaves externas e suas chaves do KMS existentes.
O estado desconectado foi criado para ser temporário e reversível. Você pode reconectar o armazenamento de chaves externas a qualquer momento. Normalmente, não é necessária nenhuma reconfiguração. Porém, se alguma propriedade do proxy de armazenamento de chaves externas associado tiver sido alterada enquanto ele estava desconectado, como a alternância de sua credencial de autenticação de proxy, você deverá editar as configurações do armazenamento de chaves externas antes de reconectar.
nota
Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.
Para avaliar melhor o efeito de desconectar o armazenamento de chaves externas, identifique as chaves do KMS no armazenamento de chaves externas e determine seu uso anterior.
Você pode desconectar o armazenamento de chaves externas por motivos como estes:
-
Para editar suas propriedades. Você pode editar o nome do armazenamento de chaves personalizado, o caminho do URI do proxy e a credencial de autenticação do proxy enquanto o armazenamento de chaves externas está conectado. No entanto, para editar o tipo de conectividade do proxy, o endpoint do URI do proxy ou o nome do serviço de endpoint da VPC, primeiro é necessário desconectar o armazenamento de chaves externas. Para obter detalhes, consulte Editar propriedades do armazenamento de chaves externas.
-
Para interromper toda a comunicação entre o AWS KMS e o proxy de armazenamento de chaves externas. Você também pode interromper a comunicação entre o AWS KMS e o proxy desabilitando o endpoint ou o serviço de endpoint da VPC. Além disso, o proxy de armazenamento de chaves externas ou o software de gerenciamento de chaves pode fornecer outros mecanismos para impedir que o AWS KMS se comunique com o proxy ou impedir que o proxy acesse o gerenciador de chaves externas.
-
Para desabilitar todas as chaves do KMS no armazenamento de chaves externas. Você pode desativar e reativar as chaves KMS em um armazenamento de chaves externo usando o AWS KMS console ou a DisableKeyoperação. Essas operações são concluídas rapidamente (sujeitas a consistência posterior), mas atuam em uma chave do KMS de cada vez. A desconexão do armazenamento de chaves externas altera o estado da chave de todas as chaves do KMS no armazenamento de chaves externas para
Unavailable, impedindo que elas sejam usadas em operações de criptografia. -
Para reparar uma falha na tentativa de conexão. Se ocorrer falha em uma tentativa de conectar-se a um armazenamento de chaves externas (o estado da conexão do armazenamento de chaves personalizado apresentado é
FAILED), você deve desconectar o armazenamento de chaves externas antes de tentar se conectar novamente.
Estado da conexão
A conexão e desconexão altera o estado da conexão do armazenamento de chaves personalizado. Os valores do estado da conexão são os mesmos para armazenamentos de chaves do AWS CloudHSM e armazenamentos de chaves externas.
Para ver o estado da conexão do seu armazenamento de chaves personalizadas, use a DescribeCustomKeyStoresoperação ou o AWS KMS console. O estado da conexão é exibido em cada tabela de armazenamento de chaves personalizado, na seção General configuration (Configuração geral) da página de detalhes de cada armazenamento de chaves personalizado e na guia Cryptographic configuration (Configuração criptográfica) das chaves do KMS em um armazenamento de chaves personalizado. Para obter mais detalhes, consulte Visualizar um armazenamento de chaves do AWS CloudHSM e Visualizar um armazenamento de chaves externas.
O armazenamento de chaves personalizado pode ter um dos estados de conexão a seguir:
-
CONNECTED: o armazenamento de chaves personalizado está conectado a seu armazenamento de chaves de reserva. Você pode criar e usar chaves do KMS no armazenamento de chaves personalizado.O armazenamento de chaves de reserva para um armazenamento de chaves do AWS CloudHSM é o cluster do AWS CloudHSM associado. O armazenamento de chaves de reserva para um armazenamento de chaves externas é o proxy de armazenamento de chaves externas e o gerenciador de chaves externas ao qual oferece suporte.
Um estado CONNECTED significa que uma conexão foi bem-sucedida e que o armazenamento de chaves personalizado não foi desconectado intencionalmente. Isso não indica que a conexão está funcionando devidamente. Para obter informações sobre o status do AWS CloudHSM cluster associado ao seu armazenamento de AWS CloudHSM chaves, consulte Obter CloudWatch métricas para AWS CloudHSM no Guia do AWS CloudHSM usuário. Para obter informações sobre o status e a operação do armazenamento de chaves externas, consulte os grafos na seção Monitoring (Monitoramento) da página de detalhes de cada armazenamento de chaves externas. Para obter detalhes, consulte Monitorar um armazenamento de chaves externas.
-
CONNECTING: o processo de conexão de um armazenamento de chaves personalizado está em andamento. É um estado transitório. -
DISCONNECTED: o armazenamento de chaves personalizadas nunca foi conectado ao seu suporte ou foi desconectado intencionalmente usando o AWS KMS console ou a operação. DisconnectCustomKeyStore -
DISCONNECTING: o processo de desconexão de um armazenamento de chaves personalizado está em andamento. É um estado transitório. -
FAILED: falha na tentativa de conexão ao armazenamento de chaves personalizado. OConnectionErrorCodena DescribeCustomKeyStoresresposta indica o problema.
Para conectar um armazenamento de chaves personalizado, o estado de conexão deve ser DISCONNECTED. Se o estado da conexão for FAILED, use ConnectionErrorCode para identificar e resolver o problema. Desconecte o armazenamento de chaves personalizado antes de tentar conectá-lo novamente. Para obter ajuda com falhas de conexão, consulte Erros de conexão do armazenamento de chaves externas. Para obter ajuda para responder a um código de erro de conexão, consulte Códigos de erro de conexão para armazenamentos de chaves externas.
Para visualizar o código de erro de conexão:
-
Na DescribeCustomKeyStoresresposta, visualize o valor do
ConnectionErrorCodeelemento. Este elemento aparece na resposta deDescribeCustomKeyStoressomente quandoConnectionStateéFAILED. -
Para ver o código de erro de conexão no console do AWS KMS, acesse a página de detalhes do armazenamento de chaves externas e passe o mouse sobre o valor Failed.
Conectar um armazenamento de chaves externas (console)
Você pode usar o console do AWS KMS para conectar um armazenamento de chaves externas ao proxy de armazenamento de chaves externas.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, selecione Custom key stores (Armazenamentos de chaves personalizados), External key stores (Armazenamentos de chaves externas).
-
Escolha a linha do armazenamento de chaves externas que deseja conectar.
Se o estado de conexão do armazenamento de chaves externas for FAILED, você deverá desconectar o armazenamento de chaves externas antes de conectá-lo.
-
No menu Key store actions (Ações do armazenamento de chaves), escolha Connect (Conectar).
O processo de conexão normalmente leva cerca de cinco minutos para ser concluído. Quando a operação é concluída, o estado da conexão é alterado para CONNECTED.
Se o estado da conexão for Failed, passe o mouse sobre o estado da conexão para ver o código de erro da conexão, que explica a causa do erro. Para obter ajuda para responder a um código de erro de conexão, consulte Códigos de erro de conexão para armazenamentos de chaves externas. Para conectar um armazenamento de chaves externas com o estado de conexão Failed, você deve primeiro desconectar o armazenamento de chaves personalizado.
Conectar um armazenamento de chaves externas (API)
Para conectar um armazenamento de chaves externo desconectado, use a ConnectCustomKeyStoreoperação.
Antes de se conectar, o estado da conexão do armazenamento de chaves externas deve ser DISCONNECTED. Se o estado da conexão atual for FAILED, desconecte o armazenamento de chaves externas e conecte-o novamente.
O processo de conexão leva cerca de cinco minutos para ser concluído. A menos que ocorra uma falha rapidamente, ConnectCustomKeyStore retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. No entanto, essa resposta inicial não indica que a conexão foi bem-sucedida. Para determinar se o armazenamento de chaves externo está conectado, veja o estado da conexão na DescribeCustomKeyStoresresposta.
Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI)
Para identificar o armazenamento de chaves externas, use o ID do armazenamento de chaves personalizado. Você pode encontrar o ID na página Armazenamentos de chaves personalizadas no console ou usando a DescribeCustomKeyStoresoperação. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
A operação ConnectCustomKeyStore não retorna ConnectionState na resposta. Para verificar se o armazenamento de chaves externo está conectado, use a DescribeCustomKeyStoresoperação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId ou CustomKeyStoreName (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. Um valor ConnectionState de CONNECTED indica que o armazenamento de chaves externas está conectado ao proxy de armazenamento de chaves externas.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Se o valor ConnectionState na resposta de DescribeCustomKeyStores for FAILED, o elemento ConnectionErrorCode indica o motivo da falha.
No exemplo a seguir, o valor XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND para ConnectionErrorCode indica que o AWS KMS não consegue encontrar o serviço de endpoint da VPC que ele usa para se comunicar com o proxy de armazenamento de chaves externas. Verifique se XksProxyVpcEndpointServiceName está correto, se a entidade principal do serviço do AWS KMS é uma entidade principal permitida no serviço de endpoint da Amazon VPC e se o serviço de endpoint da VPC não exige a aceitação de solicitações de conexão. Para obter ajuda para responder a um código de erro de conexão, consulte Códigos de erro de conexão para armazenamentos de chaves externas.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Desconectar um armazenamento de chaves externas (console)
Você pode usar o console do AWS KMS para conectar um armazenamento de chaves externas ao proxy de armazenamento de chaves externas. Esse processo leva cerca de cinco minutos para ser concluído.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, selecione Custom key stores (Armazenamentos de chaves personalizados), External key stores (Armazenamentos de chaves externas).
-
Escolha a linha do armazenamento de chaves externas que deseja desconectar.
-
No menu Key store actions (Ações do armazenamento de chaves), escolha Disconnect (Desconectar).
Quando a operação é concluída, o estado de conexão é alterado de DISCONNECTING (DESCONECTANDO) para DISCONNECTED (DESCONECTADO). Se ocorrer falha na operação, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Erros de conexão do armazenamento de chaves externas.
Desconectar um armazenamento de chaves externas (API)
Para desconectar um armazenamento de chaves externo conectado, use a DisconnectCustomKeyStoreoperação. Se a operação tiver êxito, o AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades. O processo leva cerca de cinco minutos para ser concluído. Para encontrar o estado da conexão do armazenamento de chaves externo, use a DescribeCustomKeyStoresoperação.
Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI)
Este exemplo desconecta um armazenamento de chaves externas da conectividade do serviço de endpoint da VPC. Antes de executar este exemplo, substitua o ID de exemplo do armazenamento de chaves personalizado por um válido.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Para verificar se o armazenamento de chaves externo está desconectado, use a DescribeCustomKeyStoresoperação. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId e CustomKeyStoreName (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor ConnectionState de DISCONNECTED indica que esse exemplo de armazenamento de chaves externas não está mais conectado ao proxy de armazenamento de chaves externas.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
