Menghubungkan dan memutuskan penyimpanan kunci eksternal - AWS Key Management Service
Menghubungkan toko kunci eksternalMemutuskan sambungan penyimpanan kunci eksternalStatus koneksiHubungkan toko kunci eksternal (konsol)Hubungkan penyimpanan kunci eksternal (API)Putuskan sambungan penyimpanan kunci eksternal (konsol)Putuskan sambungan penyimpanan kunci eksternal (API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menghubungkan dan memutuskan penyimpanan kunci eksternal

Toko kunci eksternal baru tidak terhubung. Untuk membuat dan menggunakan AWS KMS keys di toko kunci eksternal Anda, Anda perlu menghubungkan toko kunci eksternal Anda ke proxy penyimpanan kunci eksternal. Anda dapat menghubungkan dan memutuskan penyimpanan kunci eksternal Anda kapan saja, dan melihat status koneksinya.

Sementara penyimpanan kunci eksternal Anda terputus, AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Akibatnya, Anda dapat melihat dan mengelola toko kunci eksternal Anda dan kunci KMS yang ada. Namun, Anda tidak dapat membuat kunci KMS di toko kunci eksternal Anda, atau menggunakan kunci KMS-nya dalam operasi kriptografi. Anda mungkin perlu memutuskan penyimpanan kunci eksternal Anda di beberapa titik, seperti saat mengedit propertinya, tetapi rencanakan dengan tepat. Memutuskan sambungan toko kunci dapat mengganggu pengoperasian AWS layanan yang menggunakan kunci KMS-nya.

Anda tidak diharuskan untuk menghubungkan toko kunci eksternal Anda. Anda dapat meninggalkan penyimpanan kunci eksternal dalam keadaan terputus tanpa batas waktu dan menghubungkannya hanya ketika Anda perlu menggunakannya. Namun, Anda mungkin ingin menguji koneksi secara berkala untuk memverifikasi bahwa pengaturan sudah benar dan dapat tersambung.

Saat Anda memutuskan penyimpanan kunci khusus, kunci KMS di toko kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan kunci data yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhiLayanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Untuk detailnya, lihat Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data.

catatan

Penyimpanan kunci eksternal berada dalam DISCONNECTED keadaan hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. CONNECTEDStatus tidak menunjukkan bahwa penyimpanan kunci eksternal atau komponen pendukungnya beroperasi secara efisien. Untuk informasi tentang kinerja komponen penyimpanan kunci eksternal Anda, lihat grafik di bagian Monitoring pada halaman detail untuk setiap penyimpanan kunci eksternal. Untuk detailnya, lihat Memantau toko kunci eksternal.

Manajer kunci eksternal Anda mungkin menyediakan metode tambahan untuk menghentikan dan memulai kembali komunikasi antara penyimpanan kunci AWS KMS eksternal dan proxy penyimpanan kunci eksternal Anda, atau antara proxy penyimpanan kunci eksternal dan manajer kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Menghubungkan toko kunci eksternal

Ketika penyimpanan kunci eksternal Anda terhubung ke proxy penyimpanan kunci eksternal, Anda dapat membuat kunci KMS di toko kunci eksternal Anda dan menggunakan kunci KMS yang ada dalam operasi kriptografi.

Proses yang menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal berbeda berdasarkan konektivitas penyimpanan kunci eksternal.

Operasi connect memulai proses menghubungkan toko kunci kustom Anda, tetapi menghubungkan kunci eksternal menyimpannya proxy eksternal membutuhkan waktu sekitar lima menit. Respons sukses dari operasi koneksi tidak menunjukkan bahwa penyimpanan kunci eksternal terhubung. Untuk mengonfirmasi bahwa koneksi berhasil, gunakan AWS KMS konsol atau DescribeCustomKeyStoresoperasi untuk melihat status koneksi eksternal penyimpanan kunci Anda.

Ketika status koneksiFAILED, kode kesalahan koneksi ditampilkan di AWS KMS konsol dan ditambahkan ke DescribeCustomKeyStore respons. Untuk bantuan menafsirkan kode kesalahan koneksi, lihatKode kesalahan koneksi untuk penyimpanan kunci eksternal.

Memutuskan sambungan penyimpanan kunci eksternal

Ketika Anda memutuskan penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC dari proxy penyimpanan kunci eksternalAWS KMS, menghapus titik akhir antarmuka ke layanan titik akhir VPC dan menghapus infrastruktur jaringan yang dibuat untuk mendukung koneksi. Tidak diperlukan proses yang setara untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik. Tindakan ini tidak memengaruhi layanan titik akhir VPC atau komponen pendukungnya, dan tidak memengaruhi proxy penyimpanan kunci eksternal atau komponen eksternal apa pun.

Sementara penyimpanan kunci eksternal terputus, AWS KMS tidak mengirim permintaan apa pun ke proxy penyimpanan kunci eksternal. Status koneksi dari toko kunci eksternal adalahDISCONNECTED. Kunci KMS di penyimpanan kunci eksternal yang terputus berada dalam keadaan UNAVAILABLE kunci (kecuali jika sedang menunggu penghapusan), yang berarti bahwa mereka tidak dapat digunakan dalam operasi kriptografi. Namun, Anda masih dapat melihat dan mengelola toko kunci eksternal Anda dan kunci KMS yang ada.

Keadaan terputus dirancang untuk bersifat sementara dan reversibel. Anda dapat menghubungkan kembali toko kunci eksternal Anda kapan saja. Biasanya, tidak diperlukan konfigurasi ulang. Namun, jika ada properti dari proxy penyimpanan kunci eksternal yang terkait telah berubah saat terputus, seperti rotasi kredensi otentikasi proksi, Anda harus mengedit pengaturan penyimpanan kunci eksternal sebelum menyambung kembali.

catatan

Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Untuk memperkirakan efek pemutusan penyimpanan kunci eksternal Anda dengan lebih baik, identifikasi kunci KMS di penyimpanan kunci eksternal dan tentukan penggunaannya di masa lalu.

Anda dapat memutuskan sambungan penyimpanan kunci eksternal karena alasan seperti berikut:

  • Untuk mengedit propertinya. Anda dapat mengedit nama penyimpanan kunci kustom, jalur URI proxy, dan kredensi otentikasi proxy saat penyimpanan kunci eksternal terhubung. Namun, untuk mengedit jenis konektivitas proxy, titik akhir URI proxy, atau nama layanan titik akhir VPC, Anda harus terlebih dahulu memutuskan penyimpanan kunci eksternal. Untuk detailnya, lihat Mengedit properti penyimpanan kunci eksternal.

  • Untuk menghentikan semua komunikasi antara AWS KMS dan proxy penyimpanan kunci eksternal. Anda juga dapat menghentikan komunikasi antara AWS KMS dan proxy Anda dengan menonaktifkan layanan endpoint atau VPC endpoint Anda. Selain itu, proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda mungkin menyediakan mekanisme tambahan untuk AWS KMS mencegah komunikasi dengan proxy atau untuk mencegah proxy mengakses manajer kunci eksternal Anda.

  • Untuk menonaktifkan semua kunci KMS di toko kunci eksternal. Anda dapat menonaktifkan dan mengaktifkan kembali kunci KMS di toko kunci eksternal dengan menggunakan AWS KMS konsol atau operasi. DisableKey Operasi ini selesai dengan cepat (tergantung pada konsistensi akhirnya), tetapi mereka bertindak pada satu kunci KMS pada satu waktu. Memutuskan sambungan penyimpanan kunci eksternal mengubah status kunci dari semua kunci KMS di penyimpanan kunci eksternalUnavailable, yang mencegahnya digunakan dalam operasi kriptografi apa pun.

  • Untuk memperbaiki upaya koneksi yang gagal. Jika upaya untuk menghubungkan penyimpanan kunci eksternal gagal (status koneksi penyimpanan kunci kustomFAILED), Anda harus memutuskan penyimpanan kunci eksternal sebelum Anda mencoba menghubungkannya lagi.

Status koneksi

Menghubungkan dan memutuskan sambungan mengubah status koneksi toko kunci kustom Anda. Nilai status koneksi sama untuk penyimpanan AWS CloudHSM kunci dan penyimpanan kunci eksternal.

Untuk melihat status koneksi penyimpanan kunci kustom Anda, gunakan DescribeCustomKeyStoresoperasi atau AWS KMS konsol. Status koneksi muncul di setiap tabel penyimpanan kunci kustom, di bagian konfigurasi umum dari halaman detail untuk setiap toko kunci kustom, dan pada tab konfigurasi kriptografi kunci KMS di toko kunci khusus. Untuk detailnya, lihat Melihat toko AWS CloudHSM kunci dan Melihat toko kunci eksternal.

Toko kunci khusus dapat memiliki salah satu status koneksi berikut:

  • CONNECTED: Toko kunci khusus terhubung ke toko kunci pendukungnya. Anda dapat membuat dan menggunakan kunci KMS di toko kunci khusus.

    Toko kunci pendukung untuk toko AWS CloudHSM kunci adalah AWS CloudHSM cluster terkaitnya. Penyimpanan kunci pendukung untuk penyimpanan kunci eksternal adalah proxy penyimpanan kunci eksternal dan manajer kunci eksternal yang didukungnya.

    Status CONNECTED berarti bahwa koneksi berhasil dan penyimpanan kunci khusus belum sengaja terputus. Itu tidak menunjukkan bahwa koneksi beroperasi dengan benar. Untuk informasi tentang status AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda, lihat Mendapatkan CloudWatch metrik AWS CloudHSM di Panduan AWS CloudHSM Pengguna. Untuk informasi tentang status dan pengoperasian penyimpanan kunci eksternal Anda, lihat grafik di bagian Pemantauan halaman detail untuk setiap penyimpanan kunci eksternal. Untuk detailnya, lihat Memantau toko kunci eksternal.

  • CONNECTING: Proses menghubungkan toko kunci khusus sedang berlangsung. Ini adalah keadaan sementara.

  • DISCONNECTED: Toko kunci khusus tidak pernah terhubung ke dukungannya, atau sengaja terputus dengan menggunakan AWS KMS konsol atau operasi. DisconnectCustomKeyStore

  • DISCONNECTING: Proses pemutusan penyimpanan kunci khusus sedang berlangsung. Ini adalah keadaan sementara.

  • FAILED: Upaya untuk menghubungkan toko kunci kustom gagal. ConnectionErrorCodeDalam DescribeCustomKeyStoresrespon menunjukkan masalah.

Untuk menghubungkan toko kunci khusus, status koneksinya harusDISCONNECTED. Jika status koneksiFAILED, gunakan ConnectionErrorCode untuk mengidentifikasi dan menyelesaikan masalah. Kemudian lepaskan penyimpanan kunci khusus sebelum mencoba menghubungkannya lagi. Untuk bantuan dengan kegagalan koneksi, lihat Kesalahan koneksi penyimpanan kunci eksternal. Untuk bantuan menanggapi kode kesalahan koneksi, lihatKode kesalahan koneksi untuk penyimpanan kunci eksternal.

Untuk melihat kode kesalahan koneksi:

  • Dalam DescribeCustomKeyStorestanggapannya, lihat nilai ConnectionErrorCode elemen. Elemen ini muncul dalam DescribeCustomKeyStores respons hanya ketika ConnectionState adaFAILED.

  • Untuk melihat kode kesalahan koneksi di AWS KMS konsol, pada halaman detail untuk penyimpanan kunci eksternal dan arahkan kursor ke nilai Gagal.

    Kode kesalahan koneksi pada halaman detail toko kunci khusus

Hubungkan toko kunci eksternal (konsol)

Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, Toko kunci eksternal.

  4. Pilih baris toko kunci eksternal yang ingin Anda sambungkan.

    Jika status koneksi penyimpanan kunci eksternal GAGAL, Anda harus memutuskan penyimpanan kunci eksternal sebelum Anda menghubungkannya.

  5. Dari menu Key Store Actions, pilih Connect.

Proses koneksi biasanya memakan waktu sekitar lima menit untuk diselesaikan. Ketika operasi selesai, status koneksi berubah menjadi CONNECTED.

Jika status koneksi Gagal, arahkan kursor ke status koneksi untuk melihat kode kesalahan koneksi, yang menjelaskan penyebab kesalahan. Untuk bantuan menanggapi kode kesalahan koneksi, lihatKode kesalahan koneksi untuk penyimpanan kunci eksternal. Untuk menghubungkan penyimpanan kunci eksternal dengan status koneksi Gagal, Anda harus terlebih dahulu memutuskan penyimpanan kunci kustom.

Hubungkan penyimpanan kunci eksternal (API)

Untuk menghubungkan toko kunci eksternal yang terputus, gunakan ConnectCustomKeyStoreoperasi.

Sebelum menghubungkan, status koneksi penyimpanan kunci eksternal harusDISCONNECTED. Jika keadaan koneksi saat iniFAILED, lepaskan penyimpanan kunci eksternal, lalu sambungkan.

Proses koneksi memakan waktu sekitar lima menit untuk menyelesaikannya. Kecuali gagal dengan cepat, ConnectCustomKeyStore mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat status koneksi dalam DescribeCustomKeyStoresrespons.

Contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Untuk mengidentifikasi penyimpanan kunci eksternal, gunakan ID toko kunci kustom. Anda dapat menemukan ID di halaman Toko kunci kustom di konsol atau dengan menggunakan DescribeCustomKeyStoresoperasi. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

ConnectCustomKeyStoreOperasi tidak mengembalikan ConnectionState responsnya. Untuk memverifikasi bahwa penyimpanan kunci eksternal terhubung, gunakan DescribeCustomKeyStoresoperasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter CustomKeyStoreId atau CustomKeyStoreName (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. ConnectionStateNilai CONNECTED menunjukkan bahwa penyimpanan kunci eksternal terhubung ke proxy penyimpanan kunci eksternal.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}

Jika ConnectionState nilai dalam DescribeCustomKeyStores respons adalahFAILED, ConnectionErrorCode elemen menunjukkan alasan kegagalan.

Dalam contoh berikut, XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND nilai untuk ConnectionErrorCode menunjukkan bahwa tidak AWS KMS dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Pastikan XksProxyVpcEndpointServiceName sudah benar, prinsipal AWS KMS layanan adalah prinsipal yang diizinkan pada layanan titik akhir VPC Amazon, dan bahwa layanan titik akhir VPC tidak memerlukan penerimaan permintaan koneksi. Untuk bantuan menanggapi kode kesalahan koneksi, lihatKode kesalahan koneksi untuk penyimpanan kunci eksternal.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}

Putuskan sambungan penyimpanan kunci eksternal (konsol)

Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal. Proses ini memakan waktu sekitar 5 menit untuk menyelesaikannya.

  1. Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms.

  2. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

  3. Di panel navigasi, pilih Toko kunci khusus, Toko kunci eksternal.

  4. Pilih baris toko kunci eksternal yang ingin Anda putuskan.

  5. Dari menu Key Store Actions, pilih Disconnect.

Saat operasi selesai, status koneksi berubah dari MENGHUBUNGKAN menjadi TERPUTUS. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat Kesalahan koneksi penyimpanan kunci eksternal.

Putuskan sambungan penyimpanan kunci eksternal (API)

Untuk memutuskan sambungan penyimpanan kunci eksternal yang terhubung, gunakan DisconnectCustomKeyStoreoperasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Prosesnya memakan waktu sekitar lima menit untuk menyelesaikannya. Untuk menemukan status koneksi penyimpanan kunci eksternal, gunakan DescribeCustomKeyStoresoperasi.

Contoh dalam bagian ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Contoh ini memutus penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. Sebelum menjalankan contoh ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Untuk memverifikasi bahwa penyimpanan kunci eksternal terputus, gunakan DescribeCustomKeyStoresoperasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter CustomKeyStoreId dan CustomKeyStoreName (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. ConnectionStateNilai DISCONNECTED menunjukkan bahwa contoh penyimpanan kunci eksternal ini tidak lagi terhubung ke proxy penyimpanan kunci eksternal.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}