Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Connect un key store esterno
Quando l'archivio chiavi esterno è collegato al relativo proxy di archiviazione chiavi esterno, è possibile creare KMS chiavi nell'archivio chiavi esterno e utilizzare le KMS chiavi esistenti nelle operazioni crittografiche.
Il processo che collega un archivio delle chiavi esterne al relativo proxy varia in base alla connettività dell'archivio.
-
Quando si connette un archivio di chiavi esterno con connettività endpoint pubblica, AWS KMS invia una GetHealthStatus richiesta al proxy dell'archivio chiavi esterno per convalidare l'URIendpoint proxy, il URI percorso del proxye le credenziali di autenticazione del proxy. Una risposta corretta del proxy conferma che l'URIendpoint e il URI percorso del proxy sono accurati e accessibili e che il proxy ha autenticato la richiesta firmata con le credenziali di autenticazione proxy per l'archivio di chiavi esterno.
-
Quando si collega un archivio di chiavi esterno con connettività del servizio VPC endpoint al relativo proxy di archiviazione chiavi esterno, AWS KMS effettua le seguenti operazioni:
-
Conferma che il dominio per il DNS nome privato specificato nell'URIendpoint proxy è verificato.
-
Crea un endpoint di interfaccia da un servizio AWS KMS VPC all'VPCendpoint dell'utente.
-
Crea una zona ospitata privata per il DNS nome privato specificato nell'endpoint proxy URI
-
Invia una GetHealthStatusrichiesta al proxy dell'archivio chiavi esterno. Una risposta corretta del proxy conferma che l'URIendpoint e il URIpercorso del proxy sono accurati e accessibili e che il proxy ha autenticato la richiesta firmata con la credenziale di autenticazione del proxy per l'archivio di chiavi esterno.
-
L'operazione di connessione avvia il processo di connessione dell'archivio delle chiavi personalizzate, ma il collegamento di un archivio delle chiavi esterne al relativo proxy esterno richiede circa cinque minuti. Una risposta positiva dell'operazione di connessione non indica che l'archivio delle chiavi esterne sia connesso. Per confermare che la connessione è avvenuta correttamente, utilizza la AWS KMS console o l'DescribeCustomKeyStoresoperazione per visualizzare lo stato della connessione del tuo key store esterno.
Quando lo stato della connessione è FAILED 0, nella AWS KMS console viene visualizzato un codice di errore di connessione che viene aggiunto alla DescribeCustomKeyStore risposta. Per informazioni sull'interpretazione dei codici di errore di connessione, consulta Codici di errore di connessione per archivi delle chiavi esterne.
Connect e riconnettiti al tuo key store esterno
È possibile connettere o ricollegare l'archivio chiavi esterno nella AWS KMS console o utilizzando l'ConnectCustomKeyStoreoperazione.
È possibile utilizzare la AWS KMS console per connettere un archivio chiavi esterno al relativo proxy di archiviazione chiavi esterno.
-
Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) su https://console.aws.amazon.com/kms
. -
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).
-
Scegli la riga relativa all'archivio delle chiavi esterne che vuoi connettere.
Se lo stato di connessione dell'archivio chiavi esterno è FAILED, è necessario disconnettere l'archivio chiavi esterno prima di collegarlo.
-
Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Connect (Connetti).
Il completamento del processo di connessione richiede in genere circa cinque minuti. Al termine dell'operazione, lo stato della connessione cambia in. CONNECTED
Se lo stato della connessione è Failed (Non riuscito), passa il mouse sullo stato per visualizzare il codice di errore di connessione e la causa dell'errore. Per informazioni sulla risposta a un codice di errore di connessione, consulta Codici di errore di connessione per archivi delle chiavi esterne. Per connettere un archivio delle chiavi esterne con uno stato di connessione Failed (Non riuscito), devi innanzitutto disconnettere l'archivio delle chiavi personalizzate.
Per connettere un archivio di chiavi esterno disconnesso, utilizzare l'ConnectCustomKeyStoreoperazione.
Prima della connessione, lo stato dell'archivio delle chiavi esterne deve essere DISCONNECTED. Se lo stato di connessione corrente è FAILED, disconnetti l'archivio delle chiavi esterne e riconnettilo.
Il completamento del processo di connessione può richiedere fino a cinque minuti. A meno che non fallisca rapidamente, ConnectCustomKeyStore restituisce una risposta di HTTP 200 e un JSON oggetto senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare se l'archivio chiavi esterno è connesso, consultate lo stato della connessione nella DescribeCustomKeyStoresrisposta.
Gli esempi in questa sezione utilizzano AWS Command Line Interface
(AWS CLI)
Per identificare l'archivio delle chiavi esterne, utilizza l'ID dell'archivio delle chiavi personalizzate. È possibile trovare l'ID nella pagina Custom key stores della console o utilizzando l'DescribeCustomKeyStoresoperazione. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
L'operazione ConnectCustomKeyStore non restituisce alcun ConnectionState nella risposta. Per verificare che l'archivio chiavi esterno sia connesso, utilizzare l'DescribeCustomKeyStoresoperazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Un ConnectionState con valore CONNECTED indica che l'archivio delle chiavi esterne è connesso al relativo proxy.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Se il valore ConnectionState nella risposta DescribeCustomKeyStores è FAILED, l'elemento ConnectionErrorCode indica il motivo dell'errore.
Nell'esempio seguente, il XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND valore di ConnectionErrorCode indica che non AWS KMS riesce a trovare il servizio VPC endpoint che utilizza per comunicare con il proxy dell'archivio chiavi esterno. Verifica che XksProxyVpcEndpointServiceName sia corretto, che l'entità del AWS KMS servizio sia un'entità consentita sul servizio VPC endpoint Amazon e che il servizio VPC endpoint non richieda l'accettazione delle richieste di connessione. Per informazioni sulla risposta a un codice di errore di connessione, consulta Codici di errore di connessione per archivi delle chiavi esterne.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
