Conexión de un almacén de claves externo
Cuando el almacén de claves externo esté conectado, puede crear las claves de KMS en él y usar las claves de KMS existentes en operaciones criptográficas.
El proceso que conecta un almacén de claves externo a su proxy del almacén de claves externo difiere en función de la conectividad del almacén de claves externo.
-
Al conectar un almacén de claves externo con conectividad de punto de conexión público, AWS KMS envía una solicitud GetHealthStatus al proxy del almacén de claves externo para validar el punto de conexión de la URI del proxy, la ruta de URI del proxy y la credencial de autenticación del proxy. Una respuesta correcta del proxy confirma que el punto de conexión de la URI del proxy y la ruta de la URI del proxy son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la credencial de autenticación del proxy para el almacén de claves externo.
-
Al conectar un almacén de claves externo con conectividad al servicio de punto de conexión de VPC a su proxy del almacén de claves externo, AWS KMS hace lo siguiente:
-
Confirma que se ha verificado el dominio del nombre DNS privado especificado en el punto de conexión de URI del proxy.
-
Crea un punto de conexión de interfaz desde una VPC de AWS KMS a su servicio del punto de conexión de VPC.
-
Crea una zona alojada privada para el nombre DNS privado especificado en el punto de conexión de URI del proxy
-
Envía una solicitud GetHealthStatus al proxy del almacén de claves externo. Una respuesta correcta del proxy confirma que el punto de conexión de la URI del proxy y la ruta de la URI del proxy son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la credencial de autenticación del proxy para el almacén de claves externo.
-
La operación de conexión inicia el proceso de conexión del almacén de claves personalizado, pero conectar un almacén de claves externo a su proxy externo tarda aproximadamente cinco minutos. Una respuesta correcta de la operación de conexión no indica que el almacén de claves externo esté conectado. Para confirmar que la conexión se ha realizado correctamente, utilice la consola de AWS KMS o la operación DescribeCustomKeyStores para ver el estado de la conexión de un almacén de claves externo.
Cuando el estado de conexión es FAILED, se muestra un código de error de conexión en la consola de AWS KMS y se agrega a la respuesta DescribeCustomKeyStore. Para obtener ayuda para interpretar los códigos de error de conexión, consulte Códigos de error de conexión para almacenes de claves externos.
Conexión y reconexión a su almacén de claves externo
Puede conectar o volver a conectar su almacén de claves externo en la consola de AWS KMS o mediante la operación ConnectCustomKeyStore.
Puede utilizar la consola de AWS KMS para conectar un almacén de claves externo a su proxy del almacén de claves externo.
-
Inicie sesión en la Consola de administración de AWS y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).
-
Elija la fila del almacén de claves externo que desee conectar.
Si el estado de conexión del almacén de claves externo es FAILED (ERROR), deberá desconectar el almacén de claves externo antes de conectarlo.
-
En el menú Key store actions (Acciones del almacén de claves), seleccione Connect (Conectar).
El proceso de conexión suele tardar unos cinco minutos en completarse. Cuando se completa la operación, el estado de la conexión cambia a CONNECTED (CONECTADO).
Si el estado de conexión es Failed (Error), coloque el cursor sobre el estado de la conexión para ver el código de error de conexión, que explica la causa del error. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte Códigos de error de conexión para almacenes de claves externos. Para conectar un almacén de claves externo con un estado de conexión Failed (Error), primero debe desconectar el almacén de claves personalizado.
Para conectar un almacén de claves externo desconectado, use la operación ConnectCustomKeyStore.
Antes de realizar la conexión, el estado de conexión del almacén de claves externo debe ser DISCONNECTED. Si el estado de conexión actual es FAILED, desconecte el almacén de claves externo y conéctelo de nuevo.
El proceso de conexión tarda hasta cinco minutos en completarse. A menos que el error sea rápido, la operación ConnectCustomKeyStore devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar si el almacén de claves externo está conectado, consulte el estado de conexión en la respuesta DescribeCustomKeyStores.
En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI)
Para identificar el almacén de claves externo, use el ID del almacén de claves personalizado. Puede buscar el ID en la página Custom key stores (Almacenes de claves personalizados) en la consola o utilizando la operación DescribeCustomKeyStores. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.
$aws kms connect-custom-key-store --custom-key-store-idcks-1234567890abcdef0
En cambio, la operación ConnectCustomKeyStore no devuelve el ConnectionState en su respuesta. Para verificar que el almacén de claves externo está conectado, utilice la operación DescribeCustomKeyStores. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de ConnectionState CONNECTED indica que el almacén de claves externo está conectado a su proxy del almacén de claves externo.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Si el valor de ConnectionState en la respuesta DescribeCustomKeyStores es FAILED, el elemento ConnectionErrorCode indica el motivo del error.
En el siguiente ejemplo, el valor XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND para el ConnectionErrorCode indica que AWS KMS no puede encontrar el servicio del punto de conexión de VPC que utiliza para comunicarse con el proxy del almacén de claves externo. Compruebe que el XksProxyVpcEndpointServiceName es correcto, que la entidad principal del servicio de AWS KMS es una entidad principal permitida en el servicio de punto de conexión de VPC de Amazon y que el servicio del punto de conexión de VPC no requiere la aceptación de las solicitudes de conexión. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte Códigos de error de conexión para almacenes de claves externos.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
