As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerenciar chaves do KMS em um armazenamento de chaves externas
Para criar, visualizar, gerenciar, usar e programar a exclusão de chaves do KMS em um armazenamento de chaves externas, use procedimentos muito semelhantes aos usados para outras chaves do KMS. No entanto, ao criar uma chave do KMS em um armazenamento de chaves externas, especifique um armazenamento de chaves externas e uma chave externa. Quando você usa uma chave do KMS em um armazenamento de chaves externas, as operações de criptografia e descriptografia são executadas pelo gerenciador de chaves externas usando a chave externa especificada.
O AWS KMS não pode criar, visualizar, atualizar ou excluir nenhuma chave de criptografia em seu gerenciador de chaves externa. O AWS KMS nunca acessa diretamente seu gerenciador de chaves externas ou qualquer chave externa. Todas as solicitações de operações de criptografia são mediadas por seu proxy de armazenamento de chaves externas. Para usar uma chave do KMS em um armazenamento de chaves externas, o armazenamento de chaves externas que hospeda a chave do KMS deve estar conectado ao proxy de armazenamento de chaves externas.
Recursos compatíveis
Além dos procedimentos discutidos nesta seção, você pode fazer o seguinte com chaves do KMS de um armazenamento de chaves externas:
-
Use políticas de chaves, políticas do IAM e concessões para autorizar o acesso às chaves do KMS.
-
Habilite e desabilite as chaves do KMS. Essas ações não afetam a chave externa no gerenciador de chaves externas.
-
Atribua etiquetas, crie aliases e use o controle de acesso por atributo (ABAC) para autorizar o acesso às chaves do KMS.
-
Usar as chaves do KMS com Serviços da AWS que se integram ao AWS KMS
e oferecem suporte a chaves gerenciadas pelo cliente.
Recursos sem suporte
-
Armazenamentos de chaves externas são compatíveis apenas com chaves do KMS de criptografia simétrica. Você não pode criar chaves do KMS de HMAC ou assimétricas em um armazenamento de chaves externas.
-
GenerateDataKeyPaire não GenerateDataKeyPairWithoutPlaintextsão compatíveis com chaves KMS em um armazenamento de chaves externo.
-
Você não pode usar um modelo do AWS CloudFormation para criar um armazenamento de chaves externas ou uma chave do KMS em um armazenamento de chaves externas.
-
As chaves multirregionais não são compatíveis com o armazenamento de chaves externas.
-
As chaves do KMS com material de chave importado não são compatíveis com o armazenamento de chaves externas.
-
A alternância automática de chaves não é compatível com chaves do KMS em armazenamentos de chaves externas.