Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Desconexión de un almacén de claves externo
Al desconectar un almacén de claves externo con conectividad a un servicio de punto de conexión de VPC de su proxy del almacén de claves externo, AWS KMS elimina el punto de conexión de su interfaz al servicio del punto de conexión de VPC y elimina la infraestructura de red que creó para respaldar la conexión. No se requiere ningún proceso equivalente para los almacenes de claves externos con puntos de conexión públicos. Esta acción no afecta al servicio del punto de conexión de VPC ni a ninguno de sus componentes de soporte, ni al proxy del almacén de claves externo ni a ningún componente externo.
Mientras el almacén de claves externo esté desconectado, AWS KMS no envía ninguna solicitud al proxy del almacén de claves externo. El estado de conexión del almacén de claves externo es DISCONNECTED. Las claves de KMS del almacén de claves externo desconectado se encuentran en el estado de clave UNAVAILABLE (a menos que estén pendientes de eliminación), lo que significa que no se pueden utilizar en operaciones criptográficas. Sin embargo, aún puede ver y administrar su almacén de claves externo y sus claves de KMS existentes.
El estado desconectado está diseñado para ser temporal y reversible. Puede volver a conectar el almacén de claves externo en cualquier momento. Por lo general, no es necesaria ninguna reconfiguración. Sin embargo, si alguna de las propiedades del proxy del almacén de claves externo asociado cambió mientras estaba desconectado, como la rotación de su credencial de autenticación del proxy, debe editar la configuración del almacén de claves externo antes de volver a conectarse.
nota
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
Para realizar una mejor estimación del efecto de desconectar el almacén de claves externo, identifique las claves de KMS en el almacén de claves externo y determine su uso en el pasado.
Puede desconectar el almacén de claves externo por los motivos siguientes:
-
Para editar sus propiedades. Puede editar el nombre del almacén de claves personalizado, la ruta URI del proxy y la credencial de autenticación del proxy mientras el almacén de claves externo esté conectado. Sin embargo, para editar el tipo de conectividad del proxy, el punto de conexión URI del proxy o el nombre del servicio de punto de conexión de VPC, primero debe desconectar el almacén de claves externo. Para obtener más información, consulte Edición de las propiedades del almacén de claves externo.
-
Para detener toda comunicación entre el proxy del almacén de claves externo y AWS KMS. También puede detener la comunicación entre su proxy y AWS KMS al desactivar su punto de conexión o servicio del punto de conexión de VPC. Además, el proxy de su almacén de claves externo o el software de administración de claves pueden proporcionar mecanismos adicionales para impedir que AWS KMS se comunique con el proxy o evitar que el proxy acceda a su administrador de claves externo.
-
Para deshabilitar todas las claves de KMS en el almacén de claves externo. Puede deshabilitar y volver a habilitar las claves de KMS en un almacén de claves externo mediante la consola de AWS KMS o la operación DisableKey. Estas operaciones se completan rápidamente (sujeto a eventual consistencia), pero actúan en una clave de KMS cada vez. La desconexión del almacén de claves externo cambia el estado de clave de todas las claves de KMS en el almacén de claves externo a
Unavailable, lo que evita que se utilicen en operaciones criptográficas. -
Para reparar un error en la conexión. Si el intento de conexión al almacén de claves externo falla (el estado de la conexión del almacén de claves externo es
FAILED), deberá desconectar el almacén de claves externo antes de intentar conectarlo de nuevo.
Desconexión de su almacén de claves externo
Puede desconectar el almacén de claves externo en la consola de AWS KMS o mediante la operación DisconnectCustomKeyStore.
Puede utilizar la consola de AWS KMS para conectar un almacén de claves externo a su proxy del almacén de claves externo. Este proceso tarda alrededor de 5 minutos en completarse.
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).
-
Elija la fila del almacén de claves externo que desee desconectar.
-
En el menú Key store actions (Acciones del almacén de claves), seleccione Disconnect (Desconectar).
Cuando la operación finalizada, el estado de conexión cambia de DISCONNECTING (DESCONECTANDO) a DISCONNECTED (DESCONECTADO). Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Errores de conexión del almacén de claves externo.
Para desconectar un almacén de claves externo conectado, use la operación DisconnectCustomKeyStore. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. El proceso tarda hasta cinco minutos en completarse. Para buscar el estado de conexión de un almacén de claves externo, utilice la operación DescribeCustomKeyStores.
En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI)
En este ejemplo, se desconecta un almacén de claves externo con la conectividad del servicio del punto de conexión de VPC. Antes de ejecutar este ejemplo, reemplace el ID del almacén de claves personalizado de ejemplo por uno válido.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Para verificar que el almacén de claves externo está desconectado, utilice la operación DescribeCustomKeyStores. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de ConnectionState DISCONNECTED indica que el almacén de claves externo ya no está conectado a su proxy del almacén de claves externo.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "DISCONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
