連接和中斷連接外部金鑰存放區 - AWS Key Management Service

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

連接和中斷連接外部金鑰存放區

新的外部金鑰存放區未連接。若要在外部金鑰存放區 AWS KMS keys 中建立和使用 ,您需要將外部金鑰存放區連接至其外部金鑰存放區代理 。您可以隨時連接和中斷連接您的外部金鑰存放區,並且檢視其連接狀態

當您的外部金鑰存放區中斷連線時, AWS KMS 無法與外部金鑰存放區代理通訊。因此,您可以檢視和管理外部金鑰存放區及其現有KMS金鑰。不過,您無法在外部KMS金鑰存放區中建立金鑰,或在密碼編譯操作中使用其KMS金鑰。您可能需要在某些時候中斷連接外部金鑰存放區,例如在編輯其屬性時,但需要進行相應的規劃。中斷連接金鑰存放區可能會中斷使用其KMS金鑰之 AWS 服務的操作。

您不需要連接您的外部金鑰存放區。您可以將外部金鑰存放區無限期保留在中斷連接狀態,並只在您需要使用它時連接它。不過,您可能希望定期測試連接,以驗證設定正確並且可連接。

當您中斷連接自訂金鑰存放區時,金鑰存放區中的KMS金鑰會立即無法使用 (取決於最終一致性)。不過,在再次KMS使用金鑰之前,使用受KMS金鑰保護的資料金鑰加密的資源不會受到影響,例如解密資料金鑰。此問題會影響 AWS 服務,其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊,請參閱 無法使用的KMS金鑰如何影響資料金鑰

注意

僅當金鑰存放區從未連接或明確中斷連接時,外部金鑰存放區才會處於 DISCONNECTED 狀態。CONNECTED 狀態並不表示外部金鑰存放區或其支援元件正在高效運作。如需外部金鑰存放區元件效能的相關資訊,請參閱每個外部金鑰存放區詳細資訊頁面之 Monitoring (監控) 區段中的圖表。如需詳細資訊,請參閱 監控外部金鑰存放區

您的外部金鑰管理員可能會提供其他方法來停止和重新啟動 AWS KMS 外部金鑰存放區與外部金鑰存放區代理之間的通訊,或外部金鑰存放區代理與外部金鑰管理員之間的通訊。如需詳細資訊,請參閱外部金鑰管理器文件。

連線狀態

連接和中斷連接會變更自訂金鑰存放區的連接狀態。 AWS CloudHSM 金鑰存放區和外部金鑰存放區的連線狀態值相同。

若要檢視自訂金鑰存放區的連線狀態,請使用 DescribeCustomKeyStores操作或 AWS KMS 主控台。連線狀態會顯示在每個自訂金鑰存放區資料表、每個自訂金鑰存放區詳細資訊頁面的一般組態區段,以及自訂金鑰存放區中KMS金鑰的加密組態索引標籤。如需詳細資訊,請參閱 檢視 AWS CloudHSM 金鑰存放區檢視外部金鑰存放區

自訂金鑰存放區可以有下列其中一個連接狀態:

  • CONNECTED:自訂金鑰存放區已連接至其備份金鑰存放區。您可以在自訂KMS金鑰存放區中建立和使用金鑰。

    金鑰存放區的後端 AWS CloudHSM 金鑰存放區是其相關聯的 AWS CloudHSM 叢集。外部金鑰存放區的備份金鑰存放區是外部金鑰存放區代理及其支援的外部金鑰管理器。

    CONNECTED 狀態表示連線成功,而且自訂金鑰存放區尚未刻意中斷連線。這並不表示連接運作正常。如需與 AWS CloudHSM 金鑰存放區相關聯的 AWS CloudHSM 叢集狀態資訊,請參閱 AWS CloudHSM 使用者指南中的取得 CloudWatch 指標 AWS CloudHSM。如需有關外部金鑰存放區狀態和操作的相關資訊,請參閱每個外部金鑰存放區詳細資訊頁面的監控區段中的圖表。如需詳細資訊,請參閱 監控外部金鑰存放區

  • CONNECTING:連接自訂金鑰存放區的程序正在進行中。這是暫時的狀態。

  • DISCONNECTED:自訂金鑰存放區從未連接至其後端,或使用 AWS KMS 主控台或 DisconnectCustomKeyStore操作刻意中斷連線。

  • DISCONNECTING:中斷連接自訂金鑰存放區的程序正在進行中。這是暫時的狀態。

  • FAILED:嘗試連接自訂金鑰存放區失敗。DescribeCustomKeyStores 回應ConnectionErrorCode中的 表示問題。

若要連接自訂金鑰存放區,其連接狀態必須為 DISCONNECTED。如果連接狀態為 FAILED,則請使用 ConnectionErrorCode 來識別並解決問題。請先中斷連接自訂金鑰存放區,然後再重試連接。如需連線失敗的協助,請參閱 外部金鑰存放區連接錯誤。如需有關回應連接錯誤代碼的說明,請參閱 外部金鑰存放區的連接錯誤代碼

若要檢視連接錯誤代碼:

  • DescribeCustomKeyStores回應中,檢視 ConnectionErrorCode元素的值。只有當 ConnectionStateFAILED 時,此元素才會出現在 DescribeCustomKeyStores 回應中。

  • 若要在 AWS KMS 主控台中檢視連線錯誤碼,請在外部金鑰存放區的詳細資訊頁面上,並將滑鼠游標移至失敗值上方。

    自訂金鑰存放區詳細資訊頁面上的連接錯誤代碼