As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Chaves do KMS em um repositório de chaves do CloudHSM
Você pode criar, visualizar, gerenciar, usar e programar a exclusão de AWS KMS keys em um armazenamento de chaves do AWS CloudHSM. Os procedimentos são muito semelhantes aos usados em outras chaves do KMS. A única diferença é que você especifica um armazenamento de chaves do AWS CloudHSM ao criar a chave do KMS. Em seguida, o AWS KMS cria o material de chave não extraível para a chave do KMS no cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM. Ao usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, as operações de criptografia são executadas nos HSMs no cluster.
- Recursos compatíveis
-
Além dos procedimentos discutidos nesta seção, você pode fazer o seguinte com chaves do KMS em um armazenamento de chaves do AWS CloudHSM:
-
Usar políticas de chaves, políticas do IAM e concessões para autorizar o acesso às chaves do KMS.
-
Habilite e desabilite as chaves do KMS.
-
Atribua etiquetas, crie aliases e use o controle de acesso por atributo (ABAC) para autorizar o acesso às chaves do KMS.
-
Use as chaves do KMS para executar as seguintes operações de criptografia:
As operações que geram pares de chaves de dados assimétricas, GenerateDataKeyPair e GenerateDataKeyPairWithoutPlaintext, não são compatíveis com armazenamentos de chaves personalizados.
-
Use as chaves do KMS com serviços da AWS que se integram ao AWS KMS e oferecem suporte a chaves gerenciadas pelo cliente.
-
Acompanhar o uso da chave do KMS em logs do AWS CloudTrail e em ferramentas de monitoramento do Amazon CloudWatch.
-
- Atributos não compatíveis
-
-
Armazenamentos de chaves do AWS CloudHSM são compatíveis apenas com chaves do KMS de criptografia simétrica. Você não pode criar chaves do KMS de HMAC, chaves do KMS assimétricas nem pares de chaves de dados assimétricas em um armazenamento de chaves do AWS CloudHSM.
-
Você não pode importar material de chave em uma chave do KMS em um armazenamento de chaves do AWS CloudHSM. O AWS KMS gera o material de chave para a chave do KMS no cluster do AWS CloudHSM.
-
Você não pode habilitar ou desabilitar a alternância automática do material da chave para uma chave do KMS em um armazenamento de chaves do AWS CloudHSM.
-
- Usar chaves do KMS em um repositório de chaves do AWS CloudHSM
-
Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo ID ou alias. Não é necessário especificar o armazenamento de chaves do AWS CloudHSM ou o cluster do AWS CloudHSM. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica.
No entanto, quando você usa uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, a operação de criptografia é executada inteiramente no cluster do AWS CloudHSM que está associado ao armazenamento de chaves do AWS CloudHSM. A operação usa o material de chave no cluster associado à chave do KMS escolhida.
Para tornar isso possível, as seguintes condições são necessárias.
-
O estado de chave da chave do KMS deve ser
Enabled
. Para localizar o estado da chave, use o campo Status no console do AWS KMS ou o campoKeyState
na resposta de DescribeKey. -
O armazenamento de chaves do AWS CloudHSM deve ser conectado ao cluster do AWS CloudHSM. Seu Status no console do AWS KMS ou
ConnectionState
na resposta de DescribeCustomKeyStores deve serCONNECTED
. -
O cluster do AWS CloudHSM associado ao armazenamento de chaves personalizado deve conter pelo menos um HSM ativo. Para localizar o número de HSMs ativos no cluster, use o console do AWS KMS, o console do AWS CloudHSM, ou a operação DescribeClusters.
-
O cluster do AWS CloudHSM deve conter o material de chave da chave do KMS. Se o material de chaves foi excluído do cluster ou um HSM foi criado de um backup que não incluía o material de chaves, haverá falha na operação de criptografia.
Se essas condições não forem atendidas, haverá falha na operação de criptografia, e o AWS KMS retornará uma exceção
KMSInvalidStateException
. Normalmente, você só precisará reconectar o armazenamento de chaves do AWS CloudHSM. Para obter ajuda adicional, consulte Como corrigir uma chave do KMS com falha.Ao usar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM, esteja ciente de que as chaves do KMS em cada armazenamento de chaves do AWS CloudHSM compartilha uma cota de solicitações de armazenamento de chaves personalizado para operações de criptografia. Se você exceder a cota, o AWS KMS retornará um
ThrottlingException
. Se o cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves do AWS CloudHSM, você poderá obterThrottlingException
a uma taxa ainda menor. Se você receber umaThrottlingException
para qualquer solicitação, diminua a sua taxa de solicitações e tente os comandos novamente. Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte Cotas de solicitação de armazenamento de chaves personalizadas. -
- Saiba mais
-
-
Para saber mais sobre repositórios de chaves do AWS CloudHSM, consulte Armazenamentos de chaves do AWS CloudHSM.
-
Para criar chaves do KMS em um repositório de chaves do AWS CloudHSM, consulte Criar uma chave do KMS em um repositório de chaves do AWS CloudHSM.
-
Para identificar e visualizar chaves do KMS em um repositório de chaves do AWS CloudHSM, consulte Identificar chaves do KMS em repositórios de chaves do AWS CloudHSM.
-
Para encontrar chaves do KMS e material de chave em um repositório de chaves do AWS CloudHSM, consulte Encontre KMS chaves e material de chaves em uma loja de AWS CloudHSM chaves.
-
Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS em um repositório de chaves do AWS CloudHSM, consulte Excluir chaves do KMS de um repositório de chaves do AWS CloudHSM.
-