Criar um repositório de chaves externo - AWS Key Management Service
Organizar os pré-requisitosCriar um novo repositório de chaves externo

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criar um repositório de chaves externo

Você pode criar um ou vários armazenamentos de chaves externas em cada região da Conta da AWS. Cada armazenamento de chaves externas deve estar associado a um gerenciador de chaves externas fora da AWS e a um proxy de armazenamento de chaves externas (proxy XKS) que é intermediário na comunicação entre o AWS KMS e o gerenciador de chaves externas. Para obter detalhes, consulte Escolher uma opção de conectividade de proxy de um repositório de chaves externo. Antes de começar, confirme se você precisa de um armazenamento de chaves externas. A maioria dos clientes pode usar chaves do KMS baseadas em material de chave do AWS KMS.

dica

Alguns gerenciadores de chaves externas fornecem um método mais simples de criar um armazenamento de chaves externas. Para obter detalhes, consulte a documentação do gerenciador de chaves externas.

Antes de criar o armazenamento de chaves externas, você precisa organizar os pré-requisitos. Durante o processo de criação, especifique as propriedades do armazenamento de chaves externas. Mais importante ainda, indique se o armazenamento de chaves externas no AWS KMS usa um endpoint público ou um serviço de endpoint da VPC para se conectar ao proxy de armazenamento de chaves externas. Especifique também os detalhes da conexão, inclusive o endpoint de URI do proxy e o caminho dentro desse endpoint de proxy em que o AWS KMS envia solicitações de API ao proxy.

  • Se você usa conectividade de endpoint público, verifique se o AWS KMS pode se comunicar com o proxy pela Internet usando uma conexão HTTPS. Isso inclui configurar o TLS no proxy de armazenamento de chaves externas e garantir que os firewalls entre o AWS KMS e o proxy permitam tráfego de entrada e saída para a porta 443 no proxy. Ao criar um armazenamento de chaves externas com conectividade de endpoint público, o AWS KMS testa a conexão enviando uma solicitação de status ao proxy do armazenamento de chaves externas. Esse teste verifica se o endpoint está acessível e se o proxy de armazenamento de chaves externas aceitará uma solicitação assinada com sua credencial de autenticação de proxy de armazenamento de chaves externas. Se essa solicitação de teste falhar, a operação para criar o armazenamento de chaves externas falhará.

  • Se você usa a conectividade do serviço de endpoint da VPC, verifique se o balanceador de carga de rede, o nome DNS privado e o serviço de endpoint da VPC estão configurados corretamente e em operação. Se o proxy do armazenamento de chaves externas não estiver na VPC, você precisará verificar se o serviço de endpoint da VPC pode se comunicar com o proxy de armazenamento de chaves externas. (O AWS KMS testa a conectividade do serviço de endpoint da VPC quando você conecta o armazenamento de chaves externas ao proxy de armazenamento de chaves externas.)

Considerações adicionais:

  • O AWS KMS registra métricas e dimensões do Amazon CloudWatch, sobretudo para armazenamentos de chaves externas. Grafos de monitoramento baseados em algumas dessas métricas são exibidos no console do AWS KMS para cada armazenamento de chaves externas. É altamente recomendável usar essas métricas para criar alarmes que monitorem seu armazenamento de chaves externas. Esses alarmes alertam sobre os primeiros sinais de problemas operacionais e de performance antes que eles ocorram. Para obter instruções, consulte Monitorar repositórios de chaves externos.

  • Os armazenamentos de chaves externas estão sujeitos a cotas de recursos. O uso de chaves do KMS em um armazenamento de chaves externas está sujeito às cotas de solicitação. Analise essas cotas antes de projetar sua implementação de armazenamento de chaves externas.

nota

Revise sua configuração para ver se há dependências circulares que possam impedi-lo de funcionar.

Por exemplo, se você criar o proxy de armazenamento de chaves externo usando recursos do AWS, certifique-se de que a operação do proxy não exija a disponibilidade de uma chave do KMS em um armazenamento de chaves externo que seja acessado por meio desse proxy.

Todos os novos armazenamentos de chaves externas são criados no estado desconectado. Antes de criar chaves do KMS em seu armazenamento de chaves externas, é necessário conectá-lo ao proxy de armazenamento de chaves externas. Para alterar as propriedades do armazenamento de chaves externas, edite as configurações de armazenamento de chaves externas.

Organizar os pré-requisitos

Antes de criar um armazenamento de chaves externas, é necessário organizar os componentes obrigatórios, incluindo o gerenciador de chaves externas que você usará para dar suporte ao armazenamento de chaves externas e o proxy do armazenamento de chaves externas que converte as solicitações do AWS KMS para um formato que o gerenciador de chaves externas entenda.

Os componentes a seguir são obrigatórios para todos os armazenamentos de chaves externas. Além desses componentes, é necessário fornecer os componentes que ofereçam suporte à opção de conectividade do proxy de armazenamento de chaves externas que você escolher.

dica

O gerenciador de chaves externas pode incluir alguns desses componentes ou eles poderão ser configurados para você. Para obter detalhes, consulte a documentação do gerenciador de chaves externas.

Se você estiver criando seu armazenamento de chaves externas no console do AWS KMS, você tem a opção de carregar um arquivo de configuração de proxy baseado em JSON que especifica o caminho do URI do proxy e a credencial de autenticação do proxy. Alguns proxies de armazenamento de chaves externas geram esse arquivo para você. Para obter detalhes, consulte a documentação do proxy de armazenamento de chaves externas ou do gerenciador de chaves externas.

Gerenciador de chaves externas

Cada armazenamento de chaves externas requer pelo menos uma instância do gerenciador de chaves externas. Pode ser um módulo de segurança de hardware (HSM) físico ou virtual ou um software de gerenciamento de chaves.

Você pode usar um único gerenciador de chaves, mas recomendamos pelo menos duas instâncias de gerenciador de chaves relacionadas que compartilhem chaves de criptografia para redundância. O armazenamento de chaves externas não exige o uso exclusivo do gerenciador de chaves externas. Porém, o gerenciador de chaves externas deve ter a capacidade de lidar com a frequência esperada de solicitações de criptografia e descriptografia dos serviços da AWS que usam chaves do KMS no armazenamento de chaves externas para proteger seus recursos. O gerenciador de chaves externas deve ser configurado para lidar com até 1.800 solicitações por segundo e responder dentro do tempo limite de 250 milissegundos para cada solicitação. Recomendamos localizar o gerenciador de chaves externas próximo a uma Região da AWS para que o tempo de resposta (RTT) da rede seja de 35 milissegundos ou menos.

Se o proxy de armazenamento de chaves externas permitir, será possível alterar o gerenciador de chaves externas que você associa ao proxy de armazenamento de chaves externas, mas o novo gerenciador de chaves externas deve ser um backup ou snapshot com o mesmo material de chave. Se a chave externa que você associa a uma chave do KMS não estiver mais disponível para seu proxy de armazenamento de chaves externas, o AWS KMS não poderá descriptografar o texto cifrado criptografado com a chave do KMS.

O gerenciador de chaves externas deve estar acessível ao proxy de armazenamento de chaves externas. Se a resposta de GetHealthStatus do proxy informar que todas as instâncias do gerenciador de chaves externas estão Unavailable, todas as tentativas de criar um armazenamento de chaves externas falharão com XksProxyUriUnreachableException.

Proxy de armazenamento de chaves externas

É necessário especificar um proxy de armazenamento de chaves externas (proxy XKS) que esteja em conformidade com os requisitos de design em AWS KMS External Key Store Proxy API Specification (Especificação da API de proxy de armazenamento de chaves externas do ). Você pode desenvolver ou comprar um proxy de armazenamento de chaves externas ou usar um proxy de armazenamento de chaves externas fornecido ou incorporado ao gerenciador de chaves externas. O AWS KMS recomenda que o proxy de armazenamento de chaves externas seja configurado para lidar com até 1.800 solicitações por segundo e responder dentro do tempo limite de 250 milissegundos para cada solicitação. Recomendamos localizar o gerenciador de chaves externas próximo a uma Região da AWS para que o tempo de resposta (RTT) da rede seja de 35 milissegundos ou menos.

Você pode usar um proxy de armazenamento de chaves externas para mais de um armazenamento de chaves externas, mas cada armazenamento de chaves externas deve ter um endpoint de URI e um caminho exclusivo dentro do proxy de armazenamento de chaves externas para as solicitações.

Se você estiver usando a conectividade do serviço de endpoint da VPC, poderá localizar o proxy de armazenamento de chaves externas na Amazon VPC, mas isso não é necessário. Você pode localizar seu proxy fora da AWS, como em seu data center privado, e usar o serviço de endpoint da VPC somente para se comunicar com o proxy.

Credencial de autenticação de proxy

Para criar um armazenamento de chaves externas, é necessário especificar sua credencial de autenticação de proxy de armazenamento de chaves externas (XksProxyAuthenticationCredential).

É necessário estabelecer uma credencial de autenticação (XksProxyAuthenticationCredential) para o AWS KMS em seu proxy de armazenamento de chaves externas. O AWS KMS autentica seu proxy assinando suas solicitações usando o processo Signature Version 4 (SigV4) com a credencial de autenticação de proxy do armazenamento de chaves externas. Você especifica a credencial de autenticação ao criar seu armazenamento de chaves externas e pode alterá-la a qualquer momento. Se o proxy alternar sua credencial, certifique-se de atualizar os valores da credencial para seu armazenamento de chaves externas.

A credencial de autenticação do proxy tem duas partes. É necessário fornecer as duas partes para o armazenamento de chaves externas.

  • ID da chave de acesso: identifica a chave de acesso secreta. Você pode fornecer o ID em texto não criptografado.

  • Chave de acesso secreta: a parte secreta da credencial. O AWS KMS criptografa a chave de acesso secreta na credencial antes de armazená-la.

A credencial SigV4 que o AWS KMS usa para assinar solicitações ao proxy de armazenamento de chaves externas não está relacionada a credenciais SigV4 associadas às entidades principais do AWS Identity and Access Management de suas contas da AWS. Não reutilize nenhuma credencial SigV4 do IAM para seu proxy de armazenamento de chaves externas.

Conectividade do proxy

Para criar um armazenamento de chaves externas, é necessário especificar sua opção de conectividade do proxy de armazenamento de chaves externas (XksProxyConnectivity).

O AWS KMS pode se comunicar com seu proxy de armazenamento de chaves externas usando um endpoint público ou um serviço de endpoint da Amazon Virtual Private Cloud (Amazon VPC). Embora seja mais simples de configurar e manter, um endpoint público pode não atender aos requisitos de segurança de todas as instalações. Se você escolher a opção de conectividade do serviço de endpoint da Amazon VPC, deverá criar e manter os componentes obrigatórios, inclusive uma Amazon VPC com pelo menos duas sub-redes em duas zonas de disponibilidade diferentes, um serviço de endpoint da VPC com um balanceador de carga de rede e grupo de destino e um nome DNS privado para o serviço de endpoint da VPC.

Você pode alterar a opção de conectividade de proxy para seu armazenamento de chaves externas. No entanto, você deve garantir a disponibilidade contínua do material de chave associado às chaves do KMS em seu armazenamento de chaves externas. Caso contrário, o AWS KMS não conseguirá descriptografar nenhum texto cifrado criptografado com essas chaves do KMS.

Para obter ajuda para decidir qual opção de conectividade de proxy é melhor para seu armazenamento de chaves externas, consulte Escolher uma opção de conectividade de proxy de um repositório de chaves externo. Para obter ajuda para criar uma configuração da conectividade do serviço de endpoint da VPC, consulte Configurar a conectividade do serviço de endpoint da VPC.

Endpoint de URI do proxy

Para criar um armazenamento de chaves externas, você deve especificar o endpoint (XksProxyUriEndpoint) que o AWS KMS usa para enviar solicitações ao proxy de armazenamento de chaves externas.

O protocolo deve ser o HTTPS. O AWS KMS se comunica na porta 443. Não especifique a porta no valor do endpoint do URI do proxy.

O certificado do servidor TLS configurado no proxy do armazenamento de chaves externas deve corresponder ao nome do domínio no endpoint de URI do proxy de armazenamento de chaves externas e ser emitido por uma autoridade de certificação com suporte para armazenamentos de chaves externas. Para obter uma lista, consulte Trusted Certificate Authorities (Autoridades de certificação confiáveis). A autoridade de certificação exigirá prova de propriedade do domínio antes de emitir o certificado TLS.

O nome comum (CN) da entidade no certificado TLS deve corresponder ao nome DNS privado. Por exemplo, se o nome DNS privado for myproxy-private.xks.example.com, o CN no certificado TLS deverá ser myproxy-private.xks.example.com ou *.xks.example.com.

Você pode alterar seu endpoint do URI do proxy, mas certifique-se de que o proxy do armazenamento de chaves externas tenha acesso ao material de chave associado às chaves do KMS de seu armazenamento de chaves externas. Caso contrário, o AWS KMS não conseguirá descriptografar nenhum texto cifrado criptografado com essas chaves do KMS.

Requisitos de exclusividade

  • O valor combinado do endpoint (XksProxyUriEndpoint) do URI do proxy e do caminho do URI do proxy (XksProxyUriPath) deve ser exclusivo na região e Conta da AWS.

  • Armazenamentos de chaves externas com conectividade de endpoint público podem compartilhar o mesmo endpoint do URI do proxy, desde que tenham valores do caminho do URI do proxy diferentes.

  • Um armazenamento de chaves externas com conectividade de endpoint público não pode usar o mesmo valor de endpoint do URI do proxy que qualquer armazenamento de chaves externas com conectividade de serviços de endpoint da VPC na mesma Região da AWS, mesmo que os armazenamentos de chaves estejam em Contas da AWS diferentes.

  • Cada armazenamento de chaves externas com conectividade de endpoint da VPC deve ter seu próprio nome DNS privado. O endpoint do URI do proxy (nome DNS privado) deve ser exclusivo na região e Conta da AWS.

Caminho do URI do proxy

Para criar um armazenamento de chaves externas, é necessário especificar o caminho base em seu proxy de armazenamento de chaves externas para as APIs de proxy necessárias. O valor deve começar com / e terminar com /kms/xks/v1, em que v1 representa a versão da API do AWS KMS para o proxy de armazenamento de chaves externas. Esse caminho pode incluir um prefixo opcional entre os elementos obrigatórios, como /example-prefix/kms/xks/v1. Para encontrar esse valor, consulte a documentação do proxy de armazenamento de chaves externas.

O AWS KMS envia solicitações de proxy ao endereço especificado pela concatenação do endpoint do URI do proxy e do caminho do URI do proxy. Por exemplo, se o endpoint do URI do proxy for https://myproxy.xks.example.com e o caminho do URI do proxy for /kms/xks/v1, o AWS KMS enviará suas solicitações de API de proxy para https://myproxy.xks.example.com/kms/xks/v1.

Você pode alterar o caminho do URI do proxy, mas certifique-se de que o proxy do armazenamento de chaves externas tenha acesso ao material de chave associado às chaves do KMS de seu armazenamento de chaves externas. Caso contrário, o AWS KMS não conseguirá descriptografar nenhum texto cifrado criptografado com essas chaves do KMS.

Requisitos de exclusividade

  • O valor combinado do endpoint (XksProxyUriEndpoint) do URI do proxy e do caminho do URI do proxy (XksProxyUriPath) deve ser exclusivo na região e Conta da AWS.

Serviço de VPC endpoint

Especifica o nome do serviço de endpoint da Amazon VPC usado para se comunicar com o proxy de armazenamento de chaves externas. Esse componente é obrigatório somente para armazenamentos de chaves externas que usam conectividade de serviços de endpoint da VPC. Para obter ajuda para instalar e configurar seu serviço de endpoint da VPC para um armazenamento de chaves externas, consulte Configurar a conectividade do serviço de endpoint da VPC.

O serviço de endpoint da VPC deve ter as seguintes propriedades:

  • O serviço de endpoint da VPC deve estar na mesma região e Conta da AWS que o armazenamento de chaves externas.

  • Deve ter um balanceador de carga de rede (NLB) conectado a pelo menos duas sub-redes, cada uma em uma zona de disponibilidade diferente.

  • A lista de entidades principais autorizadas para o serviço de endpoint da VPC deve incluir a entidade principal do serviço do AWS KMS da região: cks.kms.<region>.amazonaws.com, como cks.kms.us-east-1.amazonaws.com.

  • Não deve exigir a aceitação de solicitações de conexão.

  • Deve ter um nome DNS privado dentro de um domínio público de nível superior. Por exemplo, você pode ter o nome DNS privado myproxy-private.xks.example.com no domínio público xks.example.com.

    O nome DNS privado de um armazenamento de chaves externas com conectividade do serviço de endpoint da VPC deve ser exclusivo na Região da AWS.

  • O status da verificação do domínio do nome DNS privado deverá ser verified.

  • O certificado do servidor TLS configurado no proxy do armazenamento de chaves externas deve especificar o nome de host DNS privado no qual o endpoint pode ser acessado.

Requisitos de exclusividade

  • Armazenamentos de chaves externas com conectividade de endpoint da VPC podem compartilhar uma Amazon VPC, mas cada armazenamento de chaves externas deve ter seu próprio serviço de endpoint da VPC e nome DNS privado.

Arquivo de configuração do proxy

Um arquivo de configuração de proxy é um arquivo opcional baseado em JSON que contém valores para o caminho do URI do proxy e as propriedades da credencial de autenticação do proxy do armazenamento de chaves externas. Ao criar ou editar um armazenamento de chaves externas no console do AWS KMS, é possível carregar um arquivo de configuração de proxy para fornecer valores de configuração para o armazenamento de chaves externas. Usar esse arquivo evita erros de digitação e colagem e garante que os valores do armazenamento de chaves externas correspondam aos valores do proxy de armazenamento de chaves externas.

Os arquivos de configuração do proxy são gerados pelo proxy de armazenamento de chaves externas. Para saber se o proxy de armazenamento de chaves externas oferece um arquivo de configuração de proxy, consulte a documentação do proxy de armazenamento de chaves externas.

Veja a seguir o exemplo de um arquivo de configuração de proxy bem formado com valores fictícios.

{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}

Você pode carregar um arquivo de configuração de proxy somente ao criar ou editar um armazenamento de chaves externas no console do AWS KMS. Não é possível usá-lo com as operações CreateCustomKeyStore ou UpdateCustomKeyStore, mas você pode usar os valores no arquivo de configuração do proxy para garantir que os valores dos parâmetros estejam corretos.

Criar um novo repositório de chaves externo

Após reunir os pré-requisitos necessários, você pode criar um novo repositório de chaves externo no console do AWS KMS ou usar a operação CreateCustomKeyStore.

Antes de criar um repositório de chaves externo, escolha o tipo de conectividade de proxy e verifique se você criou e configurou todos os componentes necessários. Se precisar de ajuda para encontrar algum dos valores obrigatórios, consulte a documentação do proxy de armazenamento de chaves externas ou do software de gerenciamento de chaves.

nota

Ao criar um armazenamento de chaves externas no AWS Management Console, você pode carregar um arquivo de configuração de proxy baseado em JSON com valores para o caminho do URI do proxy e a credencial de autenticação do proxy. Alguns proxies geram esse arquivo para você. Não é obrigatório.

  1. Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, selecione Custom key stores (Armazenamentos de chaves personalizados), External key stores (Armazenamentos de chaves externas).

  4. Escolha Create external key store (Criar armazenamento de chaves externas).

  5. Digite um nome amigável para o armazenamento de chaves externas. O nome deve ser exclusivo entre todos os outros armazenamentos de chaves externas da conta.

    Importante

    Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples nos logs do CloudTrail e em outras saídas.

  6. Escolha o tipo de conectividade de proxy.

    A escolha de conectividade de proxy determina os componentes obrigatórios para o proxy de armazenamento de chaves externas. Para obter ajuda para fazer essa escolha, consulte Escolher uma opção de conectividade de proxy de um repositório de chaves externo.

  7. Escolha ou insira o nome do serviço de endpoint da VPC para esse armazenamento de chaves externas. Essa etapa é exibida somente quando o tipo de conectividade de proxy de armazenamento de chaves externas é o serviço de endpoint da VPC.

    O serviço de endpoint da VPC e suas VPCs devem atender aos requisitos de um armazenamento de chaves externas. Para obter detalhes, consulte Organizar os pré-requisitos.

  8. Insira o endpoint do URI do proxy. O protocolo deve ser o HTTPS. O AWS KMS se comunica na porta 443. Não especifique a porta no valor do endpoint do URI do proxy.

    Se o AWS KMS reconhecer o serviço de endpoint da VPC que você especificou na etapa anterior, ele preencherá este campo para você.

    Para obter conectividade de endpoint público, insira um URI de endpoint disponível publicamente. Para obter conectividade do endpoint da VPC: insira https:// seguido pelo nome DNS privado do serviço de endpoint da VPC.

  9. Para inserir os valores do prefixo do caminho do URI do proxy e da credencial de autenticação do proxy, carregue um arquivo de configuração do proxy ou insira os valores manualmente.

    • Se você tiver um arquivo de configuração de proxy opcional que contenha valores para o caminho do URI do proxy e a credencial de autenticação do proxy, escolha Upload configuration file (Carregar arquivo de configuração). Siga as etapas para carregar o arquivo.

      Quando o arquivo for carregado, o console exibirá os valores do arquivo em campos editáveis. Você pode alterar os valores agora ou editar esses valores depois que o armazenamento de chaves externas for criado.

      Para exibir o valor da chave de acesso secreta, escolha Show secret access key (Exibir chave de acesso secreta).

    • Caso não tenha um arquivo de configuração de proxy, você poderá inserir o caminho do URI do proxy e os valores da credencial de autenticação do proxy manualmente.

      1. Caso não tenha um arquivo de configuração de proxy, insira o URI do proxy manualmente. O console fornece o valor obrigatório de /kms/xks/v1.

        Se o caminho do URI do proxy incluir um prefixo opcional, como example-prefix em /example-prefix/kms/xks/v1, insira o prefixo no campo Proxy URI path prefix (Prefixo do caminho do URI do proxy). Senão, deixe o campo vazio.

      2. Caso não tenha um arquivo de configuração de proxy, insira a credencial de autenticação do proxy manualmente. Tanto o ID da chave de acesso como a chave de acesso secreta são obrigatórios.

        • Em Proxy credential: Access key ID (Credencial do proxy: ID da chave de acesso), insira o ID da chave de acesso da credencial de autenticação do proxy. O ID da chave de acesso identifica a chave de acesso secreta.

        • Em Proxy credential: Secret acces key (Credencial do proxy: chave de acesso secreta), insira a chave de acesso secreta da credencial de autenticação do proxy.

        Para exibir o valor da chave de acesso secreta, escolha Show secret access key (Exibir chave de acesso secreta).

        Esse procedimento não define nem altera a credencial de autenticação que você estabeleceu no proxy de armazenamento de chaves externas. Ele apenas associa esses valores ao armazenamento de chaves externas. Para obter informações sobre como configurar, alterar e alternar sua credencial de autenticação de proxy, consulte a documentação do proxy de armazenamento de chaves externas ou do software de gerenciamento de chaves.

        Se a credencial de autenticação de proxy for alterada, edite a configuração de credencial para seu armazenamento de chaves externas.

  10. Escolha Create external key store (Criar armazenamento de chaves externas).

Se o procedimento for bem-sucedido, o novo armazenamento de chaves externas será exibido na lista de armazenamentos de chaves externas na conta e região. Se ele for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Erros de CreateKey para a chave externa.

Próximo: os novos armazenamentos de chaves externas não são conectados automaticamente. Antes de criar AWS KMS keys em seu armazenamento de chaves externas, é necessário conectar o armazenamento de chaves externas ao proxy de armazenamento de chaves externas.

Você pode usar a operação CreateCustomKeyStore para criar um novo armazenamento de chaves externas. Para obter ajuda para encontrar os valores dos parâmetros obrigatórios, consulte a documentação do proxy de armazenamento de chaves externas ou do software de gerenciamento de chaves.

dica

Você não pode carregar um arquivo de configuração de proxy ao usar a operação CreateCustomKeyStore. Porém, você pode usar os valores no arquivo de configuração do proxy para garantir que os valores dos parâmetros estejam corretos.

Para criar um armazenamento de chaves externas, a operação CreateCustomKeyStore exige os valores de parâmetros a seguir.

  • CustomKeyStoreName: um nome amigável para o armazenamento de chaves externas que é exclusivo na conta.

    Importante

    Não inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples nos logs do CloudTrail e em outras saídas.

  • CustomKeyStoreType: especifique EXTERNAL_KEY_STORE.

  • XksProxyConnectivity: especifique PUBLIC_ENDPOINT ou VPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential: especifique o ID da chave de acesso e a chave de acesso secreta.

  • XksProxyUriEndpoint: o endpoint que o AWS KMS usa para se comunicar com o proxy de armazenamento de chaves externas.

  • XksProxyUriPath: o caminho dentro do proxy para as APIs de proxy.

  • XksProxyVpcEndpointServiceName: exigido somente quando o valor de XksProxyConnectivity é VPC_ENDPOINT_SERVICE.

nota

Se você usa a versão 1.0 da AWS CLI, execute o comando a seguir antes de especificar um parâmetro com um valor HTTP ou HTTPS, como o parâmetro XksProxyUriEndpoint.

aws configure set cli_follow_urlparam false

Caso contrário, a versão 1.0 da AWS CLI substitui o valor do parâmetro pelo conteúdo encontrado nesse endereço de URI, causando o seguinte erro:

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404

Os exemplos a seguir usam valores fictícios. Antes de executar o comando, substitua-os por valores válidos para seu armazenamento de chaves externas.

Crie um armazenamento de chaves externas com conectividade pública de endpoints.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Crie um armazenamento de chaves externas com conectividade de serviço de endpoint da VPC.

$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Quando a operação é bem-sucedida, CreateCustomKeyStore retorna o ID do armazenamento de chaves personalizado, conforme exibido na resposta de exemplo a seguir.

{
    "CustomKeyStoreId": cks-1234567890abcdef0
}

Se a operação falhar, corrija o erro indicado pela exceção e tente novamente. Para obter ajuda adicional, consulte Solução de problemas de armazenamentos de chaves externas.

Próximo: para usar o armazenamento de chaves externas, conecte-o ao proxy do armazenamento de chaves externas.