As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar chaves do KMS em um armazenamento de chaves externas
Após criar uma chave do KMS de criptografia simétrica em um armazenamento de chaves externas, é possível usá-la para as seguintes operações de criptografia:
As operações de criptografia simétrica que geram pares de chaves de dados assimétricos GenerateDataKeyPaire GenerateDataKeyPairWithoutPlaintext, não são suportadas em armazenamentos de chaves personalizadas.
Um contexto de criptografia é compatível com todas as operações de criptografia com chaves do KMS em um armazenamento de chaves externas. Como sempre, usar um contexto de criptografia é uma das práticas de segurança recomendadas pelo AWS KMS.
Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo ID de chave, ARN de chave, alias ou ARN do alias. Não é necessário especificar o armazenamento de chaves externas. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica. Porém, quando você usa uma chave do KMS em um armazenamento de chaves externas, as operações de criptografia e descriptografia são executadas pelo gerenciador de chaves externas usando a chave externa que está associada à chave do KMS.
Para garantir que o texto cifrado criptografado por uma chave do KMS em um armazenamento de chaves externas seja pelo menos tão seguro quanto o texto cifrado criptografado por uma chave do KMS padrão, o AWS KMS usa criptografia dupla. Os dados são criptografados no AWS KMS usando material de chave do AWS KMS. Em seguida, ele é criptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Para descriptografar texto cifrado com criptografia dupla, o texto cifrado é primeiro descriptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Em seguida, ele é descriptografado no AWS KMS usando o material de chave do AWS KMS para a chave do KMS.
Para tornar isso possível, as seguintes condições são necessárias.
-
O estado de chave da chave do KMS deve ser
Enabled. Para encontrar o estado da chave, consulte o campo Status das chaves gerenciadas pelo cliente, o AWS KMSconsole ou oKeyStatecampo na DescribeKeyresposta. -
O armazenamento de chaves externas que hospeda a chave do KMS deve estar conectado ao proxy de armazenamento de chaves externas, ou seja, o estado da conexão do armazenamento de chaves externas deve ser
CONNECTED.Você pode ver o estado da conexão na página Armazenamentos externos de chaves no AWS KMS console ou na DescribeCustomKeyStoresresposta. O estado de conexão do armazenamento de chaves externas também é exibido na página de detalhes da chave do KMS no console do AWS KMS. Na página de detalhes, escolha a guia Cryptographic configuration (Configuração criptográfica) e veja o campo Connection state (Estado da conexão) na seção Custom key store (Armazenamento de chaves personalizado).
Se o estado da conexão for
DISCONNECTED, primeiro é necessário conectá-lo. Se o estado da conexão forFAILED, você deverá resolver o problema, desconectar o armazenamento de chaves externas e conectá-lo. Para obter instruções, consulte Conectar e desconectar um armazenamento de chaves externas. -
O proxy de armazenamento de chaves externas deve ser capaz de encontrar a chave externa.
-
A chave externa deve estar habilitada e deve executar criptografia e descriptografia.
O status da chave externa é independente e não é afetado por alterações no estado da chave da chave do KMS, inclusive habilitar e desabilitar a chave do KMS. Da mesma forma, desabilitar ou excluir a chave externa não alterará o estado da chave do KMS, mas as operações de criptografia que usam a chave do KMS associada falharão.
Se essas condições não forem atendidas, haverá falha na operação de criptografia, e o AWS KMS retornará uma exceção KMSInvalidStateException. Talvez seja necessário reconectar o armazenamento de chaves externas ou usar as ferramentas do gerenciador de chaves externas para reconfigurar ou reparar a chave externa. Para obter ajuda adicional, consulte Solução de problemas de armazenamentos de chaves externas.
Ao usar as chaves do KMS em um armazenamento de chaves externas, esteja ciente de que as chaves do KMS em cada armazenamento de chaves externas compartilha uma cota de solicitações de armazenamento de chaves personalizado para operações de criptografia. Se você exceder a cota, o AWS KMS retornará um ThrottlingException. Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte Cotas de solicitação de armazenamento de chaves personalizadas.
