Chaves do KMS em um repositório de chaves do CloudHSM - AWS Key Management Service

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Chaves do KMS em um repositório de chaves do CloudHSM

Você pode criar, visualizar, gerenciar, usar e programar a exclusão de AWS KMS keys em um armazenamento de chaves do AWS CloudHSM. Os procedimentos são muito semelhantes aos usados em outras chaves do KMS. A única diferença é que você especifica um armazenamento de chaves do AWS CloudHSM ao criar a chave do KMS. Em seguida, o AWS KMS cria o material de chave não extraível para a chave do KMS no cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM. Ao usar uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, as operações de criptografia são executadas nos HSMs no cluster.

Recursos compatíveis

Além dos procedimentos discutidos nesta seção, você pode fazer o seguinte com chaves do KMS em um armazenamento de chaves do AWS CloudHSM:

Atributos não compatíveis
  • Armazenamentos de chaves do AWS CloudHSM são compatíveis apenas com chaves do KMS de criptografia simétrica. Você não pode criar chaves do KMS de HMAC, chaves do KMS assimétricas nem pares de chaves de dados assimétricas em um armazenamento de chaves do AWS CloudHSM.

  • Você não pode importar material de chave em uma chave do KMS em um armazenamento de chaves do AWS CloudHSM. O AWS KMS gera o material de chave para a chave do KMS no cluster do AWS CloudHSM.

  • Você não pode habilitar ou desabilitar a alternância automática do material da chave para uma chave do KMS em um armazenamento de chaves do AWS CloudHSM.

Usar chaves do KMS em um repositório de chaves do AWS CloudHSM

Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo ID ou alias. Não é necessário especificar o armazenamento de chaves do AWS CloudHSM ou o cluster do AWS CloudHSM. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica.

No entanto, quando você usa uma chave do KMS em um armazenamento de chaves do AWS CloudHSM, a operação de criptografia é executada inteiramente no cluster do AWS CloudHSM que está associado ao armazenamento de chaves do AWS CloudHSM. A operação usa o material de chave no cluster associado à chave do KMS escolhida.

Para tornar isso possível, as seguintes condições são necessárias.

  • O estado de chave da chave do KMS deve ser Enabled. Para localizar o estado da chave, use o campo Status no console do AWS KMS ou o campo KeyState na resposta de DescribeKey.

  • O armazenamento de chaves do AWS CloudHSM deve ser conectado ao cluster do AWS CloudHSM. Seu Status no console do AWS KMS ou ConnectionState na resposta de DescribeCustomKeyStores deve ser CONNECTED.

  • O cluster do AWS CloudHSM associado ao armazenamento de chaves personalizado deve conter pelo menos um HSM ativo. Para localizar o número de HSMs ativos no cluster, use o console do AWS KMS, o console do AWS CloudHSM, ou a operação DescribeClusters.

  • O cluster do AWS CloudHSM deve conter o material de chave da chave do KMS. Se o material de chaves foi excluído do cluster ou um HSM foi criado de um backup que não incluía o material de chaves, haverá falha na operação de criptografia.

Se essas condições não forem atendidas, haverá falha na operação de criptografia, e o AWS KMS retornará uma exceção KMSInvalidStateException. Normalmente, você só precisará reconectar o armazenamento de chaves do AWS CloudHSM. Para obter ajuda adicional, consulte Como corrigir uma chave do KMS com falha.

Ao usar as chaves do KMS em um armazenamento de chaves do AWS CloudHSM, esteja ciente de que as chaves do KMS em cada armazenamento de chaves do AWS CloudHSM compartilha uma cota de solicitações de armazenamento de chaves personalizado para operações de criptografia. Se você exceder a cota, o AWS KMS retornará um ThrottlingException. Se o cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM estiver processando vários comandos, incluindo aqueles não relacionados ao armazenamento de chaves do AWS CloudHSM, você poderá obter ThrottlingException a uma taxa ainda menor. Se você receber uma ThrottlingException para qualquer solicitação, diminua a sua taxa de solicitações e tente os comandos novamente. Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte Cotas de solicitação de armazenamento de chaves personalizadas.

Saiba mais