As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Editar propriedades do repositório de chaves externo
Você pode editar as propriedades selecionadas de um armazenamento de chaves externas existente.
Você pode editar algumas propriedades enquanto o armazenamento de chaves externas está conectado ou desconectado. Para outras propriedades, é necessário primeiro desconectar o armazenamento de chaves externas do proxy de armazenamento de chaves externas. O estado da conexão do armazenamento de chaves externas deve ser DISCONNECTED
. Enquanto seu armazenamento de chaves externas está desconectado, é possível gerenciar o armazenamento de chaves e suas chaves do KMS, mas não é possível criar nem usar chaves do KMS no armazenamento de chaves externas. Para encontrar o estado da conexão do armazenamento de chaves externas, use a operação DescribeCustomKeyStores ou consulte a seção General configuration (Configuração geral) na página de detalhes do armazenamento de chaves externas.
Antes de atualizar as propriedades do armazenamento de chaves externas, o AWS KMS envia uma solicitação GetHealthStatus ao proxy de armazenamento de chaves externas usando os novos valores. Se a solicitação for bem-sucedida, isso indicará que você pode se conectar e se autenticar em um proxy de armazenamento de chaves externas com os valores de propriedade atualizados. Em caso de falha na solicitação, a operação de edição falhará com uma exceção que identifica o erro.
Quando a operação de edição for concluída, os valores atualizados das propriedades do armazenamento de chaves externas serão exibidos no console do AWS KMS e na resposta de DescribeCustomKeyStores
. No entanto, pode levar até cinco minutos para as alterações entrarem em vigor totalmente.
Ao editar seu armazenamento de chaves externas no console do AWS KMS, você tem a opção de carregar um arquivo de configuração de proxy baseado em JSON que especifica o caminho do URI do proxy e a credencial de autenticação do proxy. Alguns proxies de armazenamento de chaves externas geram esse arquivo para você. Para obter detalhes, consulte a documentação do proxy de armazenamento de chaves externas ou do gerenciador de chaves externas.
Atenção
Os valores de propriedade atualizados devem conectar seu armazenamento de chaves externas a um proxy para o mesmo gerenciador de chaves externas dos valores anteriores ou para um backup ou snapshot do gerenciador de chaves externas com as mesmas chaves de criptografia. Se o armazenamento de chaves externas perder o acesso às chaves externas associadas às chaves do KMS permanentemente, o texto cifrado criptografado sob essas chaves externas será irrecuperável. Especificamente, alterar a conectividade de proxy de um armazenamento de chaves externas pode impedir que o AWS KMS acesse suas chaves externas.
dica
Alguns gerenciadores de chaves externas fornecem um método mais simples de editar propriedades de armazenamento de chaves externas. Para obter detalhes, consulte a documentação do gerenciador de chaves externas.
Você pode alterar as seguintes propriedades de um armazenamento de chaves externas.
Propriedades editáveis do armazenamento de chaves externas | Qualquer estado da conexão | Exigir estado Disconnected (Desconectado) |
---|---|---|
Nome do armazenamento de chaves personalizado Um nome amigável obrigatório para um armazenamento de chaves personalizado. ImportanteNão inclua informações confidenciais ou sigilosas nesse campo. Esse campo pode ser exibido em texto simples nos logs do CloudTrail e em outras saídas. |
||
Credencial de autenticação de proxy (XksProxyAuthenticationCredential) (É necessário especificar o ID da chave de acesso e a chave de acesso secreta, mesmo que você esteja alterando apenas um elemento.) |
||
Caminho do URI do proxy (XksProxyUriPath) | ||
Conectividade proxy (XksProxyConnectivity) (Também é necessário atualizar o endpoint do URI do proxy. Se estiver alterando para a conectividade do serviço de endpoint da VPC, você deverá especificar um nome de serviço de endpoint da VPC do proxy.) |
||
Endpoint do URI do proxy (XksProxyUriEndpoint) Se você alterar o URI do endpoint do proxy, talvez também seja necessário alterar o certificado TLS. |
||
Nome do serviço de endpoint da VPC do proxy (xksProxyVPCEndpointServiceName) (Este campo é obrigatório para a conectividade do serviço de endpoint da VPC) |
Editar as propriedades do seu repositório de chaves externo
Você pode editar as propriedades do seu repositório de chaves externo no console do AWS KMS ou usando a operação UpdateCustomKeyStore.
Ao editar um armazenamento de chaves, é possível alterar qualquer valor editável. Algumas alterações exigem que o armazenamento de chaves externas seja desconectado do proxy de armazenamento de chaves externas.
Se você estiver editando o caminho do URI do proxy ou a credencial de autenticação do proxy, poderá inserir os novos valores ou carregar um arquivo de configuração de proxy de armazenamento de chaves externas que contenha os novos valores.
-
Faça login no AWS Management Console e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms
. -
Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.
No painel de navegação, selecione Custom key stores (Armazenamentos de chaves personalizados), External key stores (Armazenamentos de chaves externas).
-
Escolha a linha do armazenamento de chaves externas que deseja editar.
-
Se necessário, desconecte o armazenamento de chaves externas do proxy de armazenamento de chaves externas. No menu Key store actions (Ações do armazenamento de chaves), escolha Disconnect (Desconectar).
-
No menu Key store actions (Ações do armazenamento de chaves), escolha Edit (Editar).
-
Alterar uma ou mais das propriedades editáveis de armazenamento de chaves externas. Você também pode carregar um arquivo de configuração de proxy de armazenamento de chaves externas com valores para o caminho do URI do proxy e a credencial de autenticação do proxy. Você pode usar um arquivo de configuração de proxy mesmo que alguns valores especificados no arquivo não tenham sido alterados.
-
Escolha Update external key store (Atualizar armazenamento de chaves externas).
-
Revise o aviso e, se decidir continuar, confirme o aviso e escolha Update external key store (Atualizar armazenamento de chaves externas).
Se o procedimento for bem-sucedido, uma mensagem descreverá as propriedades que você editou. Se for malsucedido, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo.
-
Se necessário, reconecte o armazenamento de chaves externas. No menu Key store actions (Ações do armazenamento de chaves), escolha Connect (Conectar).
Você pode deixar o armazenamento de chaves externas desconectado. Porém, enquanto estiver desconectado, não será possível criar as chaves do KMS no armazenamento de chaves externas nem usá-las no armazenamento de chaves externas em operações de criptografia.
Para alterar as propriedades de um armazenamento de chaves externas, use a operação UpdateCustomKeyStore. Você pode alterar várias propriedades de um armazenamento de chaves externas na mesma operação. Se a operação tiver êxito, o AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades.
Use o parâmetro CustomKeyStoreId
para identificar o armazenamento de chaves externas. Utilize os outros parâmetros para alterar as propriedades. Você não pode usar um arquivo de configuração de proxy com a operação UpdateCustomKeyStore
. O arquivo de configuração do proxy é compatível somente com o console do AWS KMS. Contudo, é possível usar o arquivo de configuração do proxy para ajudar você a determinar os valores corretos dos parâmetros para o proxy de armazenamento de chaves externas.
Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI)
Antes de começar, se necessário, desconecte o armazenamento de chaves externas do proxy de armazenamento de chaves externas. Após a atualização, se necessário, você pode reconectar o armazenamento de chaves externas ao proxy do armazenamento de chaves externas. Você pode deixar o armazenamento de chaves externas no estado desconectado, mas é necessário reconectá-lo para que seja possível criar novas chaves do KMS no armazenamento de chaves ou usar as chaves do KMS existentes no armazenamento de chaves para operações de criptografia.
nota
Se você usa a versão 1.0 da AWS CLI, execute o comando a seguir antes de especificar um parâmetro com um valor HTTP ou HTTPS, como o parâmetro XksProxyUriEndpoint
.
aws configure set cli_follow_urlparam false
Caso contrário, a versão 1.0 da AWS CLI substitui o valor do parâmetro pelo conteúdo encontrado nesse endereço de URI, causando o seguinte erro:
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Alterar o nome do armazenamento de chaves externas
O primeiro exemplo usa a operação UpdateCustomKeyStore para alterar o nome amigável do armazenamento de chaves externas para XksKeyStore
. O comando usa o parâmetro CustomKeyStoreId
para identificar o armazenamento de chaves personalizado e CustomKeyStoreName
para especificar o novo nome para o armazenamento de chaves personalizado. Substitua todos os valores de exemplo por valores reais para o armazenamento de chaves externas.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
--new-custom-key-store-nameXksKeyStore
Alterar a credencial de autenticação de proxy
O exemplo a seguir atualiza a credencial de autenticação de proxy que o AWS KMS usa para se autenticar no proxy de armazenamento de chaves externas. Você pode usar um comando como este para atualizar a credencial, caso ela seja alternada em seu proxy.
Atualize primeiro a credencial no proxy de armazenamento de chaves externas. Em seguida, use esse recurso para relatar a alteração no AWS KMS. (Seu proxy oferecerá suporte brevemente à credencial antiga e à nova para que você tenha tempo de atualizar a credencial no AWS KMS.)
É necessário sempre especificar o ID da chave de acesso e a chave de acesso secreta na credencial, mesmo que apenas um valor seja alterado.
Os dois primeiros comandos definem as variáveis para manter os valores das credenciais. As operações UpdateCustomKeyStore
usam o parâmetro CustomKeyStoreId
para identificar o armazenamento de chaves externas. Utiliza o parâmetro XksProxyAuthenticationCredential
com os campos AccessKeyId
e RawSecretAccessKey
para especificar a nova credencial. Substitua todos os valores de exemplo por valores reais para o armazenamento de chaves externas.
$
accessKeyID=
access key id
$
secretAccessKey=
secret access key
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId
,RawSecretAccessKey=$secretAccessKey
Alterar o caminho do URI do proxy
O exemplo a seguir atualiza o caminho do URI do proxy (XksProxyUriPath
). A combinação do endpoint do URI do proxy e do caminho do URI do proxy deve ser exclusivo na Conta da AWS e na região. Substitua todos os valores de exemplo por valores reais para o armazenamento de chaves externas.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-uri-path/kms/xks/v1
Alterar a conectividade do serviço de endpoint da VPC
O exemplo a seguir usa a operação UpdateCustomKeyStore para alterar o tipo de conectividade de proxy do armazenamento de chaves externas para VPC_ENDPOINT_SERVICE
. Para fazer essa alteração, é necessário especificar os valores obrigatórios para a conectividade do serviço de endpoint da VPC, inclusive o nome do serviço de endpoint da VPC (XksProxyVpcEndpointServiceName
) e um valor de endpoint do URI do proxy (XksProxyUriEndpoint
) que inclua o nome DNS privado do serviço de endpoint da VPC. Substitua todos os valores de exemplo por valores reais para o armazenamento de chaves externas.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com
\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Alteração na conectividade de endpoints públicos
O exemplo a seguir altera o tipo de conectividade de proxy de armazenamento de chaves externas para PUBLIC_ENDPOINT
. Ao fazer essa alteração, é necessário atualizar o valor do endpoint do URI do proxy (XksProxyUriEndpoint
). Substitua todos os valores de exemplo por valores reais para o armazenamento de chaves externas.
nota
A conectividade de endpoint da VPC oferece maior segurança do que a conectividade de endpoint público. Antes de mudar para a conectividade de endpoint público, considere outras opções, como localizar seu proxy de armazenamento de chaves externas on-premises e usar a VPC somente para comunicação.
$
aws kms update-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com