Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Per creare, visualizzare, gestire, utilizzare e pianificare l'eliminazione delle chiavi KMS in un archivio delle chiavi esterne, puoi utilizzare procedure molto simili a quelle impiegate per altre chiavi KMS. Tuttavia, durante la creazione di una chiave KMS in un archivio delle chiavi esterne, specifica un archivio delle chiavi esterne e una chiave esterna. Quando utilizzi una chiave KMS in un archivio delle chiavi esterne, le operazioni di crittografia e decrittografia vengono eseguite dal gestore delle chiavi esterne utilizzando la chiave esterna specificata.
AWS KMS non può creare, visualizzare, aggiornare o eliminare alcuna chiave crittografica nel gestore di chiavi esterno. AWS KMS non accede mai direttamente al gestore di chiavi esterno o a qualsiasi chiave esterna. Tutte le richieste relative alle operazioni di crittografia sono mediate dal proxy dell'archivio delle chiavi esterne. Per utilizzare una chiave KMS in un archivio delle chiavi esterne, l'archivio che ospita la chiave KMS deve essere connesso al relativo proxy dell'archivio delle chiavi esterne.
- Funzionalità supportate
-
Oltre alle procedure discusse in questa sezione, puoi eseguire le seguenti operazioni con le chiavi KMS in un archivio delle chiavi esterne:
-
Utilizzare le policy delle chiavi, le policy IAM e le concessioni per autorizzare l'accesso alle chiavi KMS.
-
Abilitare e disabilitare le chiavi KMS. Queste azioni non influiscono sulla chiave esterna nel gestore delle chiavi esterne.
-
Assegnare tag, creare alias e utilizzare il controllo degli accessi basato su attributi (ABAC) per autorizzare l'accesso alle chiavi KMS.
-
Utilizza le chiavi KMS per eseguire le seguenti operazioni crittografiche:
Le operazioni che generano coppie di chiavi di dati asimmetriche GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, non sono supportate negli archivi di chiavi personalizzati.
-
Utilizzare le chiavi KMS con Servizi AWS che si integrano con AWS KMS
e supportano le chiavi gestite dal cliente.
-
- Caratteristiche non supportate
-
-
Gli archivi delle chiavi esterne supportano solo chiavi KMS di crittografia simmetrica. Non puoi creare chiavi KMS HMAC o chiavi KMS asimmetriche in un archivio delle chiavi esterne.
-
GenerateDataKeyPaire non GenerateDataKeyPairWithoutPlaintextsono supportati sulle chiavi KMS in un archivio di chiavi esterno.
-
Non è possibile utilizzare un AWS::KMS::Key AWS CloudFormation modello per creare un archivio di chiavi esterno o una chiave KMS in un archivio di chiavi esterno.
-
Le chiavi multi-regione non sono supportate in un archivio delle chiavi esterne.
-
Le chiavi KMS con materiale della chiave importato non sono supportate in un archivio delle chiavi esterne.
-
La rotazione automatica delle chiavi non è supportata per le chiavi KMS in un archivio delle chiavi esterne.
-
- Utilizzo delle chiavi KMS in un archivio di chiavi esterno
-
Quando utilizzi la chiave KMS in una richiesta, identifica la chiave KMS in base a ID chiave, ARN chiave, alias o ARN alias. Non è necessario specificare l'archivio delle chiavi esterne. La risposta include gli stessi campi che vengono restituiti per qualsiasi chiave KMS di crittografia simmetrica. Tuttavia, quando utilizzi una chiave KMS in un archivio delle chiavi esterne, le operazioni di crittografia e decrittografia vengono eseguite dal gestore delle chiavi esterne utilizzando la chiave esterna associata alla chiave KMS.
Per garantire che il testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno sia sicuro almeno quanto qualsiasi testo cifrato crittografato da una chiave KMS standard, utilizza la doppia crittografia. AWS KMS I dati vengono prima crittografati utilizzando materiale chiave. AWS KMS AWS KMS Quindi, viene crittografato dal gestore delle chiavi esterne utilizzando la chiave esterna per la chiave KMS. Per decrittografare il testo criptato con doppia crittografia, il testo viene innanzitutto decodificato dal gestore delle chiavi esterno utilizzando la chiave esterna per la chiave KMS. Quindi vengono decrittografati AWS KMS utilizzando il materiale AWS KMS chiave per la chiave KMS.
Perché ciò avvenga, devono essere soddisfatte le seguenti condizioni.
-
Lo stato di chiave della chiave KMS deve essere
Enabled. Per trovare lo stato della chiave, consulta il campo Stato per le chiavi gestite dal cliente, la AWS KMS console o ilKeyStatecampo nella risposta. DescribeKey -
L'archivio delle chiavi esterne che ospita la chiave KMS deve essere connesso al relativo proxy dell'archivio delle chiavi esterne, ovvero lo stato di connessione dell'archivio delle chiavi esterne deve essere
CONNECTED.È possibile visualizzare lo stato della connessione nella pagina Archivi di chiavi esterni della AWS KMS console o nella DescribeCustomKeyStoresrisposta. Lo stato di connessione dell'archivio delle chiavi esterne viene visualizzato anche nella pagina dei dettagli della chiave KMS nella console AWS KMS . Nella pagina dei dettagli, scegli la scheda Cryptographic configuration (Configurazione crittografica) e visualizza il campo Connection state (Stato connessione) nella sezione Custom key store (Archivio delle chiavi personalizzate).
Se lo stato della connessione è
DISCONNECTED, devi prima connetterlo. Se lo stato della connessione èFAILED, devi risolvere il problema, disconnettere l'archivio delle chiavi esterne e riconnetterlo. Per istruzioni, consulta Connect e disconnetti gli archivi di chiavi esterni. -
Il proxy dell'archivio delle chiavi personalizzate deve essere in grado di trovare la chiave esterna.
-
La chiave esterna deve essere abilitata e deve eseguire le operazioni di crittografia e decrittografia.
Lo stato della chiave esterna è indipendente e non influisce sulle modifiche apportate allo stato chiave della chiave KMS, inclusa l'attivazione e la disabilitazione della chiave stessa. Allo stesso modo, la disabilitazione o l'eliminazione della chiave esterna non modifica lo stato chiave della chiave KMS, ma le operazioni di crittografia che utilizzano la chiave KMS associata avranno esito negativo.
Se queste condizioni non vengono soddisfatte, l'operazione di crittografia ha esito negativo e AWS KMS restituisce un'
KMSInvalidStateExceptioneccezione. Potrebbe essere necessario ricollegare l'archivio delle chiavi esterne o utilizzare gli strumenti di gestione delle chiavi esterne per riconfigurare o riparare la chiave esterna. Per ulteriori informazioni, consulta Risoluzione dei problemi relativi all'archivio delle chiavi esterne.Quando utilizzi le chiavi KMS in un archivio delle chiavi esterne, tieni presente che le chiavi KMS in ogni archivio delle chiavi esterne condividono una quota di richiesta dell'archivio delle chiavi personalizzate per le operazioni di crittografia. Se superi la quota, AWS KMS restituisce un
ThrottlingException. Per informazioni dettagliate sulle quote di richiesta dell'archivio delle chiavi personalizzate, consulta Quote di richiesta per l'archivio delle chiavi personalizzate. -
- Ulteriori informazioni
-
-
Per ulteriori informazioni sugli archivi di chiavi esterni, consultaArchivi delle chiavi esterne.
-
Per ulteriori informazioni sul materiale chiave negli archivi di chiavi esterni, consultaChiave esterna.
-
Per creare chiavi KMS in un archivio di chiavi esterno, vediCrea una chiave KMS in archivi di chiavi esterni.
-
Per identificare e visualizzare le chiavi KMS in un archivio di chiavi esterno, vedi. Identifica le chiavi KMS negli archivi di chiavi esterni
-
Per informazioni su considerazioni speciali sull'eliminazione delle chiavi KMS in un archivio di chiavi esterno, vedi Eliminazione delle chiavi KMS da un archivio di chiavi esterno.
-
