连接和断开外部密钥存储 - AWS Key Management Service
连接状态

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

连接和断开外部密钥存储

新外部密钥存储未连接。要在外部密钥存储中创建和使用 AWS KMS keys,您需要将外部密钥存储连接到其外部密钥存储代理。您可以随时连接和断开外部密钥存储,并查看其连接状态

在外部密钥存储断开后,AWS KMS 无法与外部密钥存储代理通信。因此,您可以查看和管理外部密钥存储及其现有 KMS 密钥。不过,您不能在外部密钥存储中创建 KMS 密钥,也不能在加密操作中使用其 KMS 密钥。您可能需要在某些时候断开外部密钥存储的连接,例如编辑外部密钥存储的属性时,但要进行相应计划。断开密钥存储的连接可能会中断使用其 KMS 密钥的 AWS 服务的运行。

您无需连接外部密钥存储。您可以将外部密钥存储保持在无限期断开的状态并且仅在您需要使用它时进行连接。但是,您可能希望定期测试连接以验证设置是否正确以及自定义密钥存储是否可以连接。

当您断开自定义密钥存储时,密钥存储中的 KMS 密钥立即变得不可用(视最终一致性而定)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的数据密钥加密的资源不会受到影响。此问题会影响 AWS 服务,因为许多服务使用数据密钥来保护您的资源。有关详细信息,请参阅不可用的 KMS 密钥如何影响数据密钥

注意

仅当密钥存储从未连接或您明确断开密钥存储连接时,外部密钥存储才会具有 DISCONNECTED 状态。CONNECTED 状态并不表示外部密钥存储或其支持组件正在高效运行。有关外部密钥存储组件性能的信息,请参阅每个外部密钥存储详细信息页面 Monitoring(监控)部分中的图表。有关详细信息,请参阅监控外部密钥存储

您的外部密钥管理器可能会提供其他方法来停止和重新启动 AWS KMS 外部密钥存储代理与外部密钥存储代理之间或外部密钥存储代理与外部密钥管理器之间的通信。有关详细信息,请参阅外部密钥管理器的文档。

主题

连接状态

连接和断开会改变自定义密钥存储的连接状态。AWS CloudHSM 密钥存储和外部密钥存储的连接状态值相同。

要查看自定义密钥存储的连接状态,请使用 DescribeCustomKeyStores 操作或 AWS KMS 控制台。连接状态显示在每个自定义密钥存储表中、每个自定义密钥存储详细信息页面的 General configuration(常规配置)部分中,以及自定义密钥存储中 KMS 密钥 Cryptographic configuration(加密配置)选项卡上。有关详细信息,请参阅 查看 AWS CloudHSM 密钥存储查看外部密钥存储

自定义密钥存储可能具有以下连接状态之一:

  • CONNECTED:自定义密钥存储已连接到其备用密钥存储。您可以在自定义密钥存储中创建和使用 KMS 密钥。

    AWS CloudHSM 密钥存储的备用密钥存储是其关联的 AWS CloudHSM 集群。外部密钥存储的备用密钥存储是外部密钥存储代理及其支持的外部密钥管理器。

    CONNECTED(已连接)状态表示连接成功且自定义密钥存储未被故意断开。但该状态并不表示连接运行正常。有关与 AWS CloudHSM 密钥存储关联的 AWS CloudHSM 集群状态的信息,请参阅《AWS CloudHSM User Guide》中的 Getting CloudWatch metrics for AWS CloudHSM。有关外部密钥存储的状态和操作的信息,请参阅每个外部密钥存储详细信息页面 Monitoring(监控)部分的图表。有关详细信息,请参阅监控外部密钥存储

  • CONNECTING:连接自定义密钥存储的过程正在进行。这是一种暂时状态。

  • DISCONNECTED:自定义密钥存储从未与其后端连接过,或者是使用 AWS KMS 控制台或 DisconnectCustomKeyStore 操作故意将其断开连接

  • DISCONNECTING:断开自定义密钥存储的过程正在进行。这是一种暂时状态。

  • FAILED:尝试连接自定义密钥存储失败。DescribeCustomKeyStores 响应中的 ConnectionErrorCode 表示存在问题。

要连接自定义密钥存储,其连接状态必须为 DISCONNECTED。如果连接状态为 FAILED,则使用 ConnectionErrorCode 来识别和解决问题。接着断开自定义密钥存储,然后再尝试重新连接。如需帮助解决连接失败问题,请参阅 外部密钥存储连接错误。有关响应连接错误代码的帮助信息,请参阅 外部密钥存储的连接错误代码

要查看连接错误代码,请执行以下操作:

  • DescribeCustomKeyStores 响应中查看 ConnectionErrorCode 元素的值。只有当 ConnectionStateFAILED 时,此元素才会出现在 DescribeCustomKeyStores 响应中。

  • 要在 AWS KMS 控制台中查看连接错误代码,请将鼠标悬停在外部密钥存储详细信息页面的 Failed(失败)值上。

    自定义密钥存储详细信息页面上的连接错误代码