Chaves do KMS em repositórios de chaves externos

Para criar, visualizar, gerenciar, usar e programar a exclusão de chaves do KMS em um armazenamento de chaves externas, use procedimentos muito semelhantes aos usados para outras chaves do KMS. No entanto, ao criar uma chave do KMS em um armazenamento de chaves externas, especifique um armazenamento de chaves externas e uma chave externa. Quando você usa uma chave do KMS em um armazenamento de chaves externas, as operações de criptografia e descriptografia são executadas pelo gerenciador de chaves externas usando a chave externa especificada.

O AWS KMS não pode criar, visualizar, atualizar ou excluir nenhuma chave de criptografia em seu gerenciador de chaves externa. O AWS KMS nunca acessa diretamente seu gerenciador de chaves externas ou qualquer chave externa. Todas as solicitações de operações de criptografia são mediadas por seu proxy de armazenamento de chaves externas. Para usar uma chave do KMS em um armazenamento de chaves externas, o armazenamento de chaves externas que hospeda a chave do KMS deve estar conectado ao proxy de armazenamento de chaves externas.

Atributos compatíveis

Além dos procedimentos discutidos nesta seção, você pode fazer o seguinte com chaves do KMS de um armazenamento de chaves externas:

Use políticas de chaves, políticas do IAM e concessões para autorizar o acesso às chaves do KMS.
Habilite e desabilite as chaves do KMS. Essas ações não afetam a chave externa no gerenciador de chaves externas.
Atribua etiquetas, crie aliases e use o controle de acesso por atributo (ABAC) para autorizar o acesso às chaves do KMS.
Use as chaves do KMS para executar as seguintes operações de criptografia:
As operações que geram pares de chaves de dados assimétricas, GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext, não são compatíveis com armazenamentos de chaves personalizados.
Usar as chaves do KMS com Serviços da AWS que se integram ao AWS KMS e oferecem suporte a chaves gerenciadas pelo cliente.

Atributos não compatíveis

Armazenamentos de chaves externas são compatíveis apenas com chaves do KMS de criptografia simétrica. Você não pode criar chaves do KMS de HMAC ou assimétricas em um armazenamento de chaves externas.
GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext não são compatíveis com chaves do KMS em um armazenamento de chaves externas.
Você não pode usar um modelo AWS::KMS::Key do AWS CloudFormation para criar um repositório de chaves externo ou uma chave do KMS em um repositório de chaves externo.
As chaves multirregionais não são compatíveis com o armazenamento de chaves externas.
As chaves do KMS com material de chave importado não são compatíveis com o armazenamento de chaves externas.
A alternância automática de chaves não é compatível com chaves do KMS em armazenamentos de chaves externas.

Usar chaves do KMS em um repositório de chaves externo

Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo ID de chave, ARN de chave, alias ou ARN do alias. Não é necessário especificar o armazenamento de chaves externas. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica. Porém, quando você usa uma chave do KMS em um armazenamento de chaves externas, as operações de criptografia e descriptografia são executadas pelo gerenciador de chaves externas usando a chave externa que está associada à chave do KMS.

Para garantir que o texto cifrado criptografado por uma chave do KMS em um armazenamento de chaves externas seja pelo menos tão seguro quanto o texto cifrado criptografado por uma chave do KMS padrão, o AWS KMS usa criptografia dupla. Os dados são criptografados no AWS KMS usando material de chave do AWS KMS. Em seguida, ele é criptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Para descriptografar texto cifrado com criptografia dupla, o texto cifrado é primeiro descriptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Em seguida, ele é descriptografado no AWS KMS usando o material de chave do AWS KMS para a chave do KMS.

Para tornar isso possível, as seguintes condições são necessárias.

O estado de chave da chave do KMS deve ser Enabled. Para localizar o estado da chave, use o campo Status para chaves gerenciadas pelo cliente, o console do AWS KMS ou o campo KeyState na resposta de DescribeKey.
O armazenamento de chaves externas que hospeda a chave do KMS deve estar conectado ao proxy de armazenamento de chaves externas, ou seja, o estado da conexão do armazenamento de chaves externas deve ser CONNECTED.

Você pode visualizar o estado da conexão na página External key stores (Armazenamentos de chaves externas) no console do AWS KMS ou na resposta de DescribeCustomKeyStores. O estado de conexão do armazenamento de chaves externas também é exibido na página de detalhes da chave do KMS no console do AWS KMS. Na página de detalhes, escolha a guia Cryptographic configuration (Configuração criptográfica) e veja o campo Connection state (Estado da conexão) na seção Custom key store (Armazenamento de chaves personalizado).

Se o estado da conexão for DISCONNECTED, primeiro é necessário conectá-lo. Se o estado da conexão for FAILED, você deverá resolver o problema, desconectar o armazenamento de chaves externas e conectá-lo. Para obter instruções, consulte Conectar e desconectar repositórios de chaves externos.
O proxy de armazenamento de chaves externas deve ser capaz de encontrar a chave externa.
A chave externa deve estar habilitada e deve executar criptografia e descriptografia.

O status da chave externa é independente e não é afetado por alterações no estado da chave da chave do KMS, inclusive habilitar e desabilitar a chave do KMS. Da mesma forma, desabilitar ou excluir a chave externa não alterará o estado da chave do KMS, mas as operações de criptografia que usam a chave do KMS associada falharão.

Se essas condições não forem atendidas, haverá falha na operação de criptografia, e o AWS KMS retornará uma exceção KMSInvalidStateException. Talvez seja necessário reconectar o armazenamento de chaves externas ou usar as ferramentas do gerenciador de chaves externas para reconfigurar ou reparar a chave externa. Para obter ajuda adicional, consulte Solução de problemas de armazenamentos de chaves externas.

Ao usar as chaves do KMS em um armazenamento de chaves externas, esteja ciente de que as chaves do KMS em cada armazenamento de chaves externas compartilha uma cota de solicitações de armazenamento de chaves personalizado para operações de criptografia. Se você exceder a cota, o AWS KMS retornará um ThrottlingException. Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte Cotas de solicitação de armazenamento de chaves personalizadas.

Saiba mais

Para saber mais sobre repositórios de chaves externos, consulte Armazenamentos de chaves externas.
Para saber mais sobre material de chave em repositórios de chaves externos, consulte Chave externa.
Para criar chaves do KMS em um repositório de chaves externo, consulte Criar uma chave do KMS em repositórios de chaves externos.
Para identificar e visualizar chaves do KMS em um repositório de chaves externo, consulte Identificar chaves do KMS em repositórios de chaves externos.
Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS em um repositório de chaves externo, consulte Excluir chaves do KMS de um repositório de chaves externo.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Chaves do KMS em um repositório de chaves do CloudHSM

AWS KMS fundamentos da criptografia