Conexión y desconexión de almacenes de claves externos - AWS Key Management Service
Estado de la conexión

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Conexión y desconexión de almacenes de claves externos

Los nuevos almacenes de claves externos no están conectados. Para crear y utilizar AWS KMS keys en su almacén de claves externo, debe conectar su almacén de claves externo a su proxy del almacén de claves externo. Puede conectar y desconectar su almacén de claves externo en cualquier momento y ver su estado de conexión.

Mientras el almacén de claves externo esté desconectado, AWS KMS no podrá comunicarse con el proxy del almacén de claves externo. Como resultado, puede ver y administrar su almacén de claves externo y sus claves de KMS existentes. Sin embargo, no puede crear claves de KMS en su almacén de claves externo ni utilizar sus claves de KMS en operaciones criptográficas. Puede que tenga que desconectar el almacén de claves externo en algún momento, por ejemplo, al editar sus propiedades, por lo que debería planificar ante eventualidades. La desconexión del almacén de claves podría interrumpir el funcionamiento de los servicios de AWS que utilizan sus claves de KMS.

No es obligatorio conectar el almacén de claves externo. Puede dejar un almacén de claves externo desconectado de forma indefinida y conectarlo únicamente cuando tenga que usarlo. Sin embargo, le recomendamos que compruebe la conexión de forma periódica para verificar que la configuración es correcta y que se puede conectar.

Al desconectar un almacén de claves personalizado, las claves de KMS del almacén de claves quedan inutilizables de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con claves de datos protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte Cómo afectan las claves de KMS obsoletas a las claves de datos.

nota

Los almacenes de claves externos tienen un estado DISCONNECTED solo cuando el almacén de claves nunca se ha conectado o lo desconecta explícitamente. Un estado CONNECTED no indica que el almacén de claves externo o sus componentes de soporte estén funcionando de manera eficiente. Para obtener información sobre el rendimiento de los componentes del almacén de claves externo, consulte los gráficos de la sección Monitoreo de la página de detalles de cada almacén de claves externo. Para obtener más información, consulte Monitoreo de almacenes de claves externos.

El administrador de claves externo puede proporcionar métodos adicionales para detener y reiniciar la comunicación entre el almacén de claves externo de AWS KMS y el proxy del almacén de claves externo, o entre el proxy del almacén de claves externo y el administrador de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.

Temas

Estado de la conexión

La conexión y la desconexión cambian el estado de conexión del almacén de claves personalizado. Los valores del estado de conexión son los mismos para los almacenes de claves de AWS CloudHSM y para los almacenes de claves externos.

Para ver el estado de conexión de los almacenes de claves personalizados, use la operación DescribeCustomKeyStores o la consola de AWS KMS. El Connection state (Estado de la conexión) aparece en cada tabla de almacén de claves personalizado, en la sección General configuration (Configuración general), y en la pestaña Cryptographic configuration (Configuración criptográfica) de las claves de KMS de un almacén de claves personalizado. Para más detalles, consulte Visualización de un almacén de claves de AWS CloudHSM y Visualización de almacenes de claves externos.

Un almacén de claves personalizado puede tener uno de los siguientes estados de conexión:

  • CONNECTED: el almacén de claves personalizado está conectado a su almacén de claves de respaldo. Puede crear y usar claves de KMS en el almacén de claves personalizado.

    El almacén de claves de respaldo de un almacén de claves de AWS CloudHSM es su clúster de AWS CloudHSM asociado. El almacén de claves de respaldo de un almacén de claves externo es el proxy del almacén de claves externo y el administrador de claves externo que admite.

    El estado CONNECTED (CONECTADO) significa que la conexión se ha realizado correctamente y que el almacén de claves personalizado no se ha desconectado intencionadamente. No indica que la conexión funcione correctamente. Para obtener información sobre el estado del clúster de AWS CloudHSM asociado a su almacén de claves de AWS CloudHSM, consulte Obtener las métricas de CloudWatch para AWS CloudHSM en la Guía del usuario de AWS CloudHSM. Para obtener información sobre el estado y el funcionamiento del almacén de claves externo, consulte los gráficos de la sección Monitoreo de la página de detalles de cada almacén de claves externo. Para obtener más información, consulte Monitoreo de almacenes de claves externos.

  • CONNECTING: el proceso de conectar un almacén de claves personalizado está en curso. Este es un estado transitorio.

  • DISCONNECTED: el almacén de claves personalizado nunca se ha conectado a su respaldo o se desconectó intencionadamente mediante la consola de AWS KMS o la operación DisconnectCustomKeyStore.

  • DISCONNECTING: el proceso de desconexión de un almacén de claves personalizado está en curso. Este es un estado transitorio.

  • FAILED: se produjo un error al intentar conectar el almacén de claves personalizado. El ConnectionErrorCode de la respuesta DescribeCustomKeyStores indica el problema.

Para conectar un almacén de claves personalizado, su estado de conexión debe ser DISCONNECTED. Si el estado de la conexión es FAILED, utilice el ConnectionErrorCode para identificar y resolver el problema. Luego, desconecte el almacén de claves personalizado antes de intentar conectarse de nuevo. Si desea ayuda con las conexiones que dan error, consulte Errores de conexión del almacén de claves externo. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte Códigos de error de conexión para almacenes de claves externos.

Para ver el código de error de conexión:

  • En la respuesta DescribeCustomKeyStores, consulte el valor del elemento ConnectionErrorCode. Este elemento aparece en la respuesta DescribeCustomKeyStores solo cuando el ConnectionState es FAILED.

  • Para ver el código de error de conexión en la consola de AWS KMS, vaya a la página de detalles del almacén de claves externo y coloque el cursor sobre el valor Failed (Error).

    Código de error de conexión en la página de detalles del almacén de claves personalizado