Conectar e desconectar repositórios de chaves externos - AWS Key Management Service
Estado da conexão

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conectar e desconectar repositórios de chaves externos

Os novos armazenamentos de chaves externas não são conectados. Para criar e usar AWS KMS keys em seu armazenamento de chaves externas, é necessário conectar o armazenamento de chaves externas ao proxy de armazenamento de chaves externas. Você pode conectar e desconectar seu armazenamento de chaves externas a qualquer momento, e visualizar seu estado de conexão.

Enquanto o armazenamento de chaves externas estiver desconectado, o AWS KMS não poderá se comunicar com o proxy de armazenamento de chaves externas. Como resultado, você poderá visualizar e gerenciar o armazenamento de chaves externas e suas chaves do KMS existentes. No entanto, não é possível criar chaves do KMS em seu armazenamento de chaves externas nem usar suas chaves do KMS em operações de criptografia. Talvez seja necessário desconectar o armazenamento de chaves externas em algum momento, como ao editar as propriedades, mas planeje adequadamente. A desconexão do armazenamento de chaves poderá interromper a operação dos serviços da AWS que usam suas chaves do KMS.

Não é necessário conectar seu armazenamento de chaves externas. Você pode deixar um armazenamento de chaves externas em estado desconectado indefinidamente e conectá-lo somente quando precisar usá-lo. No entanto, você pode desejar testar a conexão periodicamente para verificar se as configurações estão corretas e se ele pode ser conectado.

Quando você desconecta um armazenamento de chaves personalizado, as chaves do KMS do armazenamento de chaves tornam-se inutilizáveis imediatamente (sujeitas a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

nota

Armazenamentos de chaves externas têm o estado DISCONNECTED somente quando nunca foram conectados ou quando você os desconecta explicitamente. Um estado CONNECTED não indica que o armazenamento de chaves externas ou seus componentes de apoio estejam operando com eficiência. Para obter informações sobre a performance dos componentes do armazenamento de chaves externas, consulte os grafos na seção Monitoring (Monitoramento) da página de detalhes de cada armazenamento de chaves externas. Para obter detalhes, consulte Monitorar repositórios de chaves externos.

O gerenciador de chaves externas pode fornecer outros métodos para interromper e reiniciar a comunicação entre o armazenamento de chaves externas do AWS KMS e o proxy de armazenamento de chaves externas, ou entre o proxy de armazenamento de chaves externas e o gerenciador de chaves externas. Para obter detalhes, consulte a documentação do gerenciador de chaves externas.

Tópicos

Estado da conexão

A conexão e desconexão altera o estado da conexão do armazenamento de chaves personalizado. Os valores do estado da conexão são os mesmos para armazenamentos de chaves do AWS CloudHSM e armazenamentos de chaves externas.

Para visualizar o estado de conexão de seu armazenamento de chaves personalizado, use a operação DescribeCustomKeyStores ou o console do AWS KMS. O estado da conexão é exibido em cada tabela de armazenamento de chaves personalizado, na seção General configuration (Configuração geral) da página de detalhes de cada armazenamento de chaves personalizado e na guia Cryptographic configuration (Configuração criptográfica) das chaves do KMS em um armazenamento de chaves personalizado. Para obter mais detalhes, consulte Visualizar um repositório de chaves do AWS CloudHSM e Visualizar repositórios de chaves externos.

O armazenamento de chaves personalizado pode ter um dos estados de conexão a seguir:

  • CONNECTED: o armazenamento de chaves personalizado está conectado a seu armazenamento de chaves de reserva. Você pode criar e usar chaves do KMS no armazenamento de chaves personalizado.

    O armazenamento de chaves de reserva para um armazenamento de chaves do AWS CloudHSM é o cluster do AWS CloudHSM associado. O armazenamento de chaves de reserva para um armazenamento de chaves externas é o proxy de armazenamento de chaves externas e o gerenciador de chaves externas ao qual oferece suporte.

    Um estado CONNECTED significa que uma conexão foi bem-sucedida e que o armazenamento de chaves personalizado não foi desconectado intencionalmente. Isso não indica que a conexão está funcionando devidamente. Para obter informações sobre o status do cluster do AWS CloudHSM associado ao armazenamento de chaves do AWS CloudHSM, consulte Getting CloudWatch metrics for AWS CloudHSM (Obter métricas do CloudWatch para o ) no Guia do usuário do AWS CloudHSM. Para obter informações sobre o status e a operação do armazenamento de chaves externas, consulte os grafos na seção Monitoring (Monitoramento) da página de detalhes de cada armazenamento de chaves externas. Para obter detalhes, consulte Monitorar repositórios de chaves externos.

  • CONNECTING: o processo de conexão de um armazenamento de chaves personalizado está em andamento. É um estado transitório.

  • DISCONNECTED: o armazenamento de chaves personalizado nunca foi conectado ao suporte ou foi desconectado intencionalmente usando o console do AWS KMS ou a operação DisconnectCustomKeyStore.

  • DISCONNECTING: o processo de desconexão de um armazenamento de chaves personalizado está em andamento. É um estado transitório.

  • FAILED: falha na tentativa de conexão ao armazenamento de chaves personalizado. O ConnectionErrorCode na resposta de DescribeCustomKeyStores indica o problema.

Para conectar um armazenamento de chaves personalizado, o estado de conexão deve ser DISCONNECTED. Se o estado da conexão for FAILED, use ConnectionErrorCode para identificar e resolver o problema. Desconecte o armazenamento de chaves personalizado antes de tentar conectá-lo novamente. Para obter ajuda com falhas de conexão, consulte Erros de conexão do armazenamento de chaves externas. Para obter ajuda para responder a um código de erro de conexão, consulte Códigos de erro de conexão para armazenamentos de chaves externas.

Para visualizar o código de erro de conexão:

  • Na resposta de DescribeCustomKeyStores, visualize o valor do elemento ConnectionErrorCode. Este elemento aparece na resposta de DescribeCustomKeyStores somente quando ConnectionState é FAILED.

  • Para ver o código de erro de conexão no console do AWS KMS, acesse a página de detalhes do armazenamento de chaves externas e passe o mouse sobre o valor Failed.

    Código de erro de conexão na página de detalhes do armazenamento de chaves personalizado