Putuskan sambungan penyimpanan kunci eksternal - AWS Key Management Service
Putuskan sambungan toko kunci eksternal Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Putuskan sambungan penyimpanan kunci eksternal

Ketika Anda memutuskan penyimpanan kunci eksternal dengan konektivitas layanan VPC titik akhir dari proxy penyimpanan kunci eksternal, AWS KMS menghapus titik akhir antarmuka ke layanan VPC titik akhir dan menghapus infrastruktur jaringan yang dibuat untuk mendukung koneksi. Tidak diperlukan proses yang setara untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik. Tindakan ini tidak memengaruhi layanan VPC titik akhir atau komponen pendukungnya, dan tidak memengaruhi proxy penyimpanan kunci eksternal atau komponen eksternal apa pun.

Sementara penyimpanan kunci eksternal terputus, AWS KMS tidak mengirim permintaan apa pun ke proxy penyimpanan kunci eksternal. Status koneksi dari toko kunci eksternal adalahDISCONNECTED. KMSKunci di penyimpanan kunci eksternal yang terputus berada dalam keadaan UNAVAILABLE kunci (kecuali jika sedang menunggu penghapusan), yang berarti bahwa mereka tidak dapat digunakan dalam operasi kriptografi. Namun, Anda masih dapat melihat dan mengelola toko kunci eksternal Anda dan KMS kunci yang ada.

Keadaan terputus dirancang untuk bersifat sementara dan reversibel. Anda dapat menghubungkan kembali toko kunci eksternal Anda kapan saja. Biasanya, tidak diperlukan konfigurasi ulang. Namun, jika ada properti dari proxy penyimpanan kunci eksternal yang terkait telah berubah saat terputus, seperti rotasi kredensi otentikasi proksi, Anda harus mengedit pengaturan penyimpanan kunci eksternal sebelum menyambung kembali.

catatan

Sementara toko kunci khusus terputus, semua upaya untuk membuat KMS kunci di toko kunci khusus atau menggunakan KMS kunci yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Untuk memperkirakan efek pemutusan penyimpanan kunci eksternal Anda dengan lebih baik, identifikasi KMS kunci di penyimpanan kunci eksternal dan tentukan penggunaannya di masa lalu.

Anda dapat memutuskan sambungan penyimpanan kunci eksternal karena alasan seperti berikut:

  • Untuk mengedit propertinya. Anda dapat mengedit nama toko kunci kustom, URI jalur proxy, dan kredensi otentikasi proxy saat penyimpanan kunci eksternal terhubung. Namun, untuk mengedit jenis konektivitas proxy, URI titik akhir proxy, atau nama layanan VPC titik akhir, Anda harus terlebih dahulu memutuskan penyimpanan kunci eksternal. Untuk detailnya, lihat Edit properti penyimpanan kunci eksternal.

  • Untuk menghentikan semua komunikasi antara AWS KMS dan proxy penyimpanan kunci eksternal. Anda juga dapat menghentikan komunikasi antara AWS KMS dan proxy Anda dengan menonaktifkan layanan endpoint atau VPC endpoint Anda. Selain itu, proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda mungkin menyediakan mekanisme tambahan untuk AWS KMS mencegah komunikasi dengan proxy atau untuk mencegah proxy mengakses manajer kunci eksternal Anda.

  • Untuk menonaktifkan semua KMS kunci di toko kunci eksternal. Anda dapat menonaktifkan dan mengaktifkan kembali KMS kunci di penyimpanan kunci eksternal dengan menggunakan AWS KMS konsol atau DisableKeyoperasi. Operasi ini selesai dengan cepat (tergantung pada konsistensi akhirnya), tetapi mereka bertindak pada satu KMS kunci pada satu waktu. Memutuskan sambungan penyimpanan kunci eksternal mengubah status kunci dari semua KMS kunci di penyimpanan kunci eksternalUnavailable, yang mencegahnya digunakan dalam operasi kriptografi apa pun.

  • Untuk memperbaiki upaya koneksi yang gagal. Jika upaya untuk menghubungkan penyimpanan kunci eksternal gagal (status koneksi penyimpanan kunci kustomFAILED), Anda harus memutuskan sambungan penyimpanan kunci eksternal sebelum Anda mencoba menghubungkannya lagi.

Putuskan sambungan toko kunci eksternal Anda

Anda dapat memutuskan sambungan penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan DisconnectCustomKeyStoreoperasi.

Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal. Proses ini memakan waktu sekitar 5 menit untuk menyelesaikannya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, Toko kunci eksternal.

  4. Pilih baris toko kunci eksternal yang ingin Anda putuskan.

  5. Dari menu Key Store Actions, pilih Disconnect.

Ketika operasi selesai, status koneksi berubah dari DISCONNECTINGke DISCONNECTED. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Kesalahan koneksi penyimpanan kunci eksternal.

Untuk memutuskan sambungan penyimpanan kunci eksternal yang terhubung, gunakan DisconnectCustomKeyStoreoperasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan JSON objek tanpa properti. Prosesnya memakan waktu sekitar lima menit untuk menyelesaikannya. Untuk menemukan status koneksi penyimpanan kunci eksternal, gunakan DescribeCustomKeyStoresoperasi.

Contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Contoh ini memutus penyimpanan kunci eksternal dengan konektivitas layanan VPC endpoint. Sebelum menjalankan contoh ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Untuk memverifikasi bahwa penyimpanan kunci eksternal terputus, gunakan DescribeCustomKeyStoresoperasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter CustomKeyStoreId dan CustomKeyStoreName (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. ConnectionStateNilai DISCONNECTED menunjukkan bahwa contoh penyimpanan kunci eksternal ini tidak lagi terhubung ke proxy penyimpanan kunci eksternal.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}