中斷連接外部金鑰存放區 - AWS Key Management Service
中斷連接外部金鑰存放區

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中斷連接外部金鑰存放區

當您將具有VPC端點服務連線的外部金鑰存放區從其外部金鑰存放區代理中斷連線時, AWS KMS 會將其介面端點刪除至VPC端點服務,並移除其建立來支援連線的網路基礎設施。具有公有端點連接的外部金鑰存放區不需要同等程序。此動作不會影響VPC端點服務或其任何支援元件,也不會影響外部金鑰存放區代理或任何外部元件。

當外部金鑰存放區中斷連線時, AWS KMS 不會將任何請求傳送至外部金鑰存放區代理。外部金鑰存放區的連接狀態為 DISCONNECTED。已中斷連線的外部KMS金鑰存放區中的金鑰處於UNAVAILABLE金鑰狀態 (除非它們正在等待刪除 ),這表示它們無法用於密碼編譯操作。不過,您仍然可以檢視和管理外部金鑰存放區及其現有KMS金鑰。

中斷連接狀態被設計為暫時且可還原的。您可以隨時重新連接外部金鑰存放區。通常,不需要重新設定。但是,如果相關聯的外部金鑰存放區代理的任何屬性在中斷連接時發生變更,例如其代理身分驗證憑證的輪換,則必須先編輯外部金鑰存放區設定,才能重新連接。

注意

當自訂金鑰存放區中斷連線時,所有在自訂金鑰存放區中建立KMS金鑰或在密碼編譯操作中使用現有KMS金鑰的嘗試都會失敗。此動作可防止使用者存放和存取敏感資料。

為了更好地估算中斷連接外部金鑰存放區的影響,請識別外部金鑰存放區中的KMS金鑰,並判斷其過去使用 的次數。

您可能中斷連接外部金鑰存放區的原因如下所示:

  • 編輯其屬性。您可以在連接外部金鑰存放區時編輯自訂金鑰存放區名稱、代理URI路徑和代理身分驗證憑證。不過,若要編輯代理連線類型、代理URI端點或VPC端點服務名稱,您必須先中斷外部金鑰存放區連線。如需詳細資訊,請參閱 編輯外部金鑰存放區屬性

  • 停止 與外部金鑰存放區代理之間的所有通訊。 AWS KMS 您也可以停用端點或VPC端點服務,停止 AWS KMS 與代理之間的通訊。此外,您的外部金鑰存放區代理或金鑰管理軟體可能會提供額外的機制, AWS KMS 以防止與代理通訊或防止代理存取您的外部金鑰管理員。

  • 停用外部KMS金鑰存放區中的所有金鑰。您可以使用 AWS KMS 主控台或 DisableKey操作,在外部KMS金鑰存放區中停用和重新啟用金鑰。這些操作快速完成 (取決於最終一致性),但一次只能使用一個KMS金鑰。中斷連接外部金鑰存放區會將外部KMS金鑰存放區中所有金鑰的金鑰狀態變更為 Unavailable,這可防止它們用於任何密碼編譯操作。

  • 為了修復失敗的連接嘗試。如果嘗試連接外部金鑰存放區失敗 (自訂金鑰存放區的連接狀態為 FAILED),您必須先中斷連接外部金鑰存放區,之後再嘗試重新連接。

中斷連接外部金鑰存放區

您可以使用 AWS KMS 操作中斷主控台中的外部金鑰存放區連線DisconnectCustomKeyStore

您可以使用 AWS KMS 主控台將外部金鑰存放區連接至其外部金鑰存放區代理。此程序約需 5 分鐘才能完成。

  1. 登入 AWS Management Console 並在 https://console.aws.amazon.com/kms 開啟 AWS Key Management Service (AWS KMS) 主控台。

  2. 若要變更 AWS 區域,請使用頁面右上角的區域選擇器。

  3. 在導覽窗格中,依次選擇 Custom key stores (自訂金鑰存放區)、External key stores (外部金鑰存放區)。

  4. 選擇您想要中斷連接之外部金鑰存放區的資料列。

  5. Key store actions (金鑰存放區動作) 選單中,選擇 Disconnect (中斷連接)。

操作完成時,連線狀態會從 變更為 DISCONNECTING DISCONNECTED。如果操作失敗,會出現錯誤訊息,其中描述問題並提供如何修正的協助。如果您需要更多協助,請參閱外部金鑰存放區連接錯誤

若要中斷連接的外部金鑰存放區連線,請使用 DisconnectCustomKeyStore操作。如果操作成功, 會 AWS KMS 傳回 200 HTTP 回應和沒有屬性的JSON物件。該程序需要大約五分鐘才能完成。若要尋找外部金鑰存放區的連線狀態,請使用 DescribeCustomKeyStores操作。

本節中的範例使用 AWS Command Line Interface (AWS CLI),但您可以使用任何支援的程式設計語言。

此範例會中斷具有VPC端點服務連線的外部金鑰存放區。執行此範例之前,請將範例自訂金鑰存放區 ID 取代為有效的 ID。

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

若要確認外部金鑰存放區已中斷連線,請使用 DescribeCustomKeyStores操作。在預設情況下,此操作會傳回您帳戶和區域中的所有自訂金鑰存放區。但是,您可以使用 CustomKeyStoreIdCustomKeyStoreName 參數 (但不能同時使用) 來限制對特定自訂金鑰存放區的回應。DISCONNECTEDConnectionState 值表示此範例外部金鑰存放區不再連接至其外部金鑰存放區代理。

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}