Disconnetti un archivio di chiavi esterno - AWS Key Management Service
Disconnetti l'archivio di chiavi esterno

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Disconnetti un archivio di chiavi esterno

Quando si disconnette un archivio di chiavi esterno con connettività del servizio VPC endpoint dal relativo proxy di archiviazione chiavi esterno, AWS KMS elimina l'endpoint di interfaccia con il servizio VPC endpoint e rimuove l'infrastruttura di rete creata per supportare la connessione. Non è richiesto alcun processo equivalente per gli archivi delle chiavi esterne con connettività dell'endpoint pubblico. Questa azione non influisce sul servizio VPC endpoint o sui relativi componenti di supporto e non influisce sul proxy dell'archivio chiavi esterno o sui componenti esterni.

Sebbene l'archivio chiavi esterno sia disconnesso, AWS KMS non invia alcuna richiesta al proxy dell'archivio chiavi esterno. Lo stato di connessione dell'archivio delle chiavi esterne è DISCONNECTED. Le KMS chiavi nell'archivio chiavi esterno disconnesso si trovano in uno stato UNAVAILABLE chiave (a meno che non siano in attesa di eliminazione), il che significa che non possono essere utilizzate nelle operazioni crittografiche. Tuttavia, è ancora possibile visualizzare e gestire l'archivio di chiavi esterno e le relative chiavi esistenti. KMS

Lo stato disconnesso è progettato per essere temporaneo e reversibile. La riconnessione dell'archivio delle chiavi esterne può avvenire in qualsiasi momento. In genere, non è necessaria alcuna riconfigurazione. Tuttavia, se alcune proprietà del proxy dell'archivio delle chiavi esterne associato sono state modificate durante la disconnessione, ad esempio la rotazione delle credenziali di autenticazione proxy, è necessario modificare le impostazioni dell'archivio delle chiavi esterne prima di riconnetterlo.

Nota

Anche se un archivio chiavi personalizzato è disconnesso, tutti i tentativi di creare KMS chiavi nell'archivio chiavi personalizzato o di utilizzare KMS le chiavi esistenti nelle operazioni crittografiche falliranno. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Per stimare meglio l'effetto della disconnessione dell'archivio chiavi esterno, identificate KMS le chiavi nell'archivio chiavi esterno e determinatene l'uso passato.

Puoi disconnettere un archivio delle chiavi esterne per i seguenti motivi:

  • Per modificarne le proprietà. È possibile modificare il nome dell'archivio chiavi personalizzato, il URI percorso proxy e la credenziale di autenticazione proxy mentre l'archivio chiavi esterno è connesso. Tuttavia, per modificare il tipo di connettività proxy, l'URIendpoint proxy o il nome del servizio dell'VPCendpoint, è necessario prima disconnettere l'archivio di chiavi esterno. Per informazioni dettagliate, consultare Modifica delle proprietà dell'archivio chiavi esterno.

  • Per interrompere tutte le comunicazioni tra AWS KMS e il proxy dell'archivio chiavi esterno. Puoi anche interrompere la comunicazione tra AWS KMS e il tuo proxy disabilitando l'endpoint o VPC il servizio endpoint. Inoltre, il proxy di archiviazione delle chiavi esterno o il software di gestione delle chiavi potrebbe fornire meccanismi aggiuntivi per AWS KMS impedire la comunicazione con il proxy o per impedire al proxy di accedere al gestore di chiavi esterno.

  • Per disabilitare tutte KMS le chiavi nell'archivio chiavi esterno. È possibile disabilitare e riattivare KMS le chiavi in un archivio di chiavi esterno utilizzando la AWS KMS console o l'DisableKeyoperazione. Queste operazioni vengono completate rapidamente (a seconda dell'eventuale coerenza), ma agiscono su una KMS chiave alla volta. La disconnessione dell'archivio chiavi esterno modifica lo stato delle chiavi di tutte le KMS chiavi nell'archivio chiavi esternoUnavailable, il che impedisce che vengano utilizzate in qualsiasi operazione crittografica.

  • Per riparare un tentativo di connessione non riuscito. Se un tentativo di connessione di un archivio delle chiavi esterne ha esito negativo (il relativo stato di connessione è FAILED), devi disconnettere l'archivio prima di eseguire un nuovo tentativo di connessione.

Disconnetti l'archivio di chiavi esterno

È possibile disconnettere l'archivio di chiavi esterno nella AWS KMS console o utilizzando l'DisconnectCustomKeyStoreoperazione.

È possibile utilizzare la AWS KMS console per connettere un archivio chiavi esterno al relativo proxy di archiviazione chiavi esterno. Questo processo dura circa 5 minuti.

  1. Accedi a AWS Management Console e apri la console AWS Key Management Service (AWS KMS) su https://console.aws.amazon.com/kms.

  2. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

  3. Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).

  4. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi disconnettere.

  5. Dal menu Key store actions (Operazioni per l'archivio delle chiavi), scegli Disconnect (Disconnetti).

Al termine dell'operazione, lo stato della connessione cambia da a. DISCONNECTINGDISCONNECTED Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta Errori di connessione all'archivio delle chiavi esterne.

Per disconnettere un archivio di chiavi esterno connesso, utilizzare l'DisconnectCustomKeyStoreoperazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta di HTTP 200 e un JSON oggetto senza proprietà. Il completamento del processo può richiedere fino a cinque minuti. Per trovare lo stato di connessione dell'archivio chiavi esterno, utilizzare l'DescribeCustomKeyStoresoperazione.

Gli esempi in questa sezione utilizzano AWS Command Line Interface (AWS CLI), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.

Questo esempio disconnette un archivio di chiavi esterno con connettività al servizio VPC endpoint. Prima di eseguire questo comando, sostituisci l'ID dell'archivio delle chiavi personalizzate di esempio con uno valido.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Per verificare che l'archivio di chiavi esterno sia disconnesso, utilizzare l'operazione. DescribeCustomKeyStores Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il ConnectionState con valore DISCONNECTED indica che questo archivio delle chiavi esterne di esempio non è più connesso al relativo proxy.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}