Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Desconexión de un almacén de claves de AWS CloudHSM
Al desconectar un almacén de claves de AWS CloudHSM, AWS KMS cierra sesión en el cliente de AWS CloudHSM, se desconecta del clúster de AWS CloudHSM asociado y elimina la infraestructura de red creada para respaldar la conexión.
Mientras un almacén de claves de AWS CloudHSM esté desconectado, podrá administrar el almacén de claves de AWS CloudHSM y sus claves de KMS, pero no podrá crear ni usar las claves de KMS en el almacén de claves de AWS CloudHSM. El estado de conexión del almacén de claves es DISCONNECTED y el estado de clave de las claves de KMS en el almacén de claves personalizado es Unavailable, a menos que sean PendingDeletion. Puede volver a conectar el almacén de claves de AWS CloudHSM en cualquier momento.
nota
Los almacenes de claves de AWS CloudHSM tienen un estado de conexión DISCONNECTED solo cuando el almacén de claves nunca se ha conectado o lo desconecta explícitamente. Si el estado de conexión del almacén de claves de AWS CloudHSM es CONNECTED, pero tiene problemas para usarlo, asegúrese de que su clúster de AWS CloudHSM asociado está activo y contiene al menos un HSM activo. Si desea ayuda con las conexiones que dan error, consulte Resolver problemas de un almacén de claves personalizado.
Al desconectar un almacén de claves personalizado, las claves de KMS del almacén de claves quedan inutilizables de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.
nota
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
Para realizar una mejor estimación del efecto de desconectar el almacén de claves personalizado, identifique las claves de KMS en el almacén de claves personalizado y determine su uso en el pasado.
Puede desconectar el almacén de claves de AWS CloudHSM por los siguientes motivos:
-
Para rotar la contraseña
kmsuser. AWS KMS cambia la contraseña dekmsusercada vez que se conecta al clúster de AWS CloudHSM. Para forzar la rotación de contraseñas, desconecte y vuelva a conectar. -
Para auditar el material de claves para las claves KMS en el clúster de AWS CloudHSM. Al desconectar el almacén de claves personalizado, AWS KMS cierra la sesión de la cuenta del kmsuser usuario de criptografía en el cliente de AWS CloudHSM. Esto le permite iniciar sesión en el clúster con el CU
kmsusery auditar y administrar el material de claves para la clave KMS. -
Para desactivar de inmediato todas las claves de KMS en un almacén de claves de AWS CloudHSM Puede desactivar y volver a habilitar las claves de KMS en un almacén de claves de AWS CloudHSM utilizando la AWS Management Console o la operación DisableKey. Estas operaciones se completan rápidamente, pero actúan en una clave KMS cada vez. La desconexión inmediata del almacén de claves de AWS CloudHSM cambia el estado de clave de todas las claves de KMS del almacén de claves de AWS CloudHSM a
Unavailable, lo que evita que se utilicen en operaciones criptográficas. -
Para reparar un error en la conexión. Si el intento de conexión al almacén de claves de AWS CloudHSM falla (el estado de la conexión del almacén de claves personalizado es
FAILED), deberá desconectar el almacén de claves de AWS CloudHSM antes de intentar conectarlo de nuevo.
Desconexión de su almacén de claves de AWS CloudHSM
Puede desconectar el almacén de claves de AWS CloudHSM en la consola de AWS KMS o mediante la operación DisconnectCustomKeyStore.
Para desconectar un almacén de claves de AWS CloudHSM conectado en la consola de AWS KMS, primero deberá seleccionar el almacén de claves de AWS CloudHSM en la página Custom Key Stores (Almacenes de claves personalizados).
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
-
En el panel de navegación, elija Almacenes de claves personalizados, Almacenes de claves de AWS CloudHSM.
-
Elija la fila del almacén de claves externo que desee desconectar.
-
En el menú Key store actions (Acciones del almacén de claves), seleccione Disconnect (Desconectar).
Cuando la operación finaliza, el estado de conexión cambia de Disconnecting (Desconectando) a Disconnecting (Desconectado). Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte Resolver problemas de un almacén de claves personalizado.
Para desconectar un almacén de claves de AWS CloudHSM conectado, use la operación DisconnectCustomKeyStore. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades.
En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI)
Este ejemplo desconecta un almacén de claves de AWS CloudHSM. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.
$aws kms disconnect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
Para verificar que el almacén de claves de AWS CloudHSM está desconectado, utilice la operación DescribeCustomKeyStores. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor ConnectionState de DISCONNECTED indica que el almacén de claves de AWS CloudHSM no está conectado a su clúster de AWS CloudHSM.
$aws kms describe-custom-key-stores --custom-key-store-idcks-1234567890abcdef0{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate string appears here>" ], }
