Desconectar um repositório de chaves do AWS CloudHSM - AWS Key Management Service
Desconectar seu repositório de chaves do AWS CloudHSM

Desconectar um repositório de chaves do AWS CloudHSM

Quando você desconecta um armazenamento de chaves do AWS CloudHSM, o AWS KMS faz logout do cliente do AWS CloudHSM, desconecta-se do cluster do AWS CloudHSM associado e remove a infraestrutura de rede que ele criou para oferecer suporte à conexão.

Enquanto um armazenamento de chaves do AWS CloudHSM está desconectado, é possível gerenciar o armazenamento de chaves do AWS CloudHSM e suas chaves do KMS, mas não é possível criar nem usar chaves do KMS no armazenamento de chaves do AWS CloudHSM. O estado da conexão do armazenamento de chaves é DISCONNECTED, e o estado da chave das chaves do KMS no armazenamento de chaves personalizado é Unavailable, a menos que elas estejam com PendingDeletion. Você pode reconectar o armazenamento de chaves do AWS CloudHSM a qualquer momento.

nota

Os armazenamentos de chaves do AWS CloudHSM têm um estado de conexão DISCONNECTED somente quando nunca foram conectados ou quando você os desconecta explicitamente. Se o estado da conexão do armazenamento de chaves do AWS CloudHSM for CONNECTED, mas você estiver com problemas para usá-lo, certifique-se de que seu cluster do AWS CloudHSM esteja ativo e contenha pelo menos um HSM ativo. Para obter ajuda com falhas de conexão, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Quando você desconecta um armazenamento de chaves personalizado, as chaves do KMS do armazenamento de chaves tornam-se inutilizáveis imediatamente (sujeitas a consistência posterior). Porém, os recursos criptografados com chaves de dados protegidas pela chave do KMS não serão afetados até que a chave do KMS seja usada novamente, por exemplo, para descriptografar a chave de dados. Esse problema afeta os Serviços da AWS, pois muitos deles usam chaves de dados para proteger recursos. Para obter detalhes, consulte Como as chaves do KMS inutilizáveis afetam as chaves de dados.

nota

Enquanto um armazenamento de chaves personalizado estiver desconectado, todas as tentativas de criar chaves do KMS nele ou de usar chaves do KMS existentes em operações de criptografia falharão. Essa ação pode impedir que os usuários armazenem e acessem dados sigilosos.

Para avaliar melhor o efeito de desconectar o armazenamento de chaves personalizado, identifique as chaves do KMS no armazenamento de chaves personalizado e determine seu uso anterior.

Você pode desconectar o armazenamento de chaves do AWS CloudHSM por motivos como estes:

  • Para mudar a senha do kmsuser. O AWS KMS altera a senha kmsuser toda vez que se conecta ao cluster do AWS CloudHSM. Para forçar uma mudança de senha, basta desconectar e reconectar.

  • Para auditar o material de chave das chaves do KMS no cluster do AWS CloudHSM. Quando você desconecta o armazenamento de chaves personalizado, o AWS KMS faz logout da conta do usuário de criptografia kmsuser no cliente AWS CloudHSM. Isso permite fazer login no cluster como o CU kmsuser e auditar e gerenciar o material de chave para a chave do KMS.

  • Para desabilitar imediatamente todas as chaves do KMS no armazenamento de chaves do AWS CloudHSM. Você pode desabilitar e reabilitar chaves do KMS em um armazenamento de chaves do AWS CloudHSM usando o Console de gerenciamento da AWS ou a operação DisableKey. Essas operações são concluídas rapidamente, mas atuam em uma chave do KMS de cada vez. A desconexão do armazenamento de chaves do AWS CloudHSM altera imediatamente o estado de chave de todas as chaves do KMS no armazenamento de chaves do AWS CloudHSM para Unavailable, o que impede que elas sejam usadas em operações de criptografia.

  • Para reparar uma falha na tentativa de conexão. Se ocorrer falha em uma tentativa de conectar-se a um armazenamento de chaves do AWS CloudHSM (o estado da conexão do armazenamento de chaves personalizado apresentado é FAILED), você deve desconectar o armazenamento de chaves do AWS CloudHSM antes de tentar se conectar novamente.

Desconectar seu repositório de chaves do AWS CloudHSM

Você pode desconectar seu repositório de chaves do AWS CloudHSM no console do AWS KMS ou usando a operação DisconnectCustomKeyStore.

Para desconectar um armazenamento de chaves do AWS CloudHSM no console do AWS KMS, comece escolhendo o armazenamento de chaves do AWS CloudHSM na página Repositórios de chaves personalizados.

  1. Faça login no Console de gerenciamento da AWS e abra o console do AWS Key Management Service (AWS KMS) em https://console.aws.amazon.com/kms.

  2. Para alterar a Região da AWS, use o seletor de regiões no canto superior direito da página.

  3. No painel de navegação, selecione Custom key stores (Repositórios de chaves personalizados), AWS CloudHSM key stores (Repositórios de chaves do ).

  4. Escolha a linha do armazenamento de chaves externas que deseja desconectar.

  5. No menu Key store actions (Ações do armazenamento de chaves), escolha Disconnect (Desconectar).

Quando a operação é concluída, o estado de conexão é alterado de Disconnecting (Desconectando) para Disconnected (Desconectado). Se ocorrer falha na operação, será exibida uma mensagem de erro descrevendo o problema e fornecendo ajuda para corrigi-lo. Se precisar de ajuda adicional, consulte Solucionar problemas de um armazenamento de chaves personalizado.

Para desconectar um armazenamento de chaves do AWS CloudHSM conectado, use a operação DisconnectCustomKeyStore. Se a operação tiver êxito, o AWS KMS retornará uma resposta HTTP 200 e um objeto JSON sem propriedades.

Os exemplos nesta seção usam a AWS Command Line Interface (AWS CLI), mas você pode usar qualquer linguagem de programação compatível.

Esse exemplo desconecta um armazenamento de chaves do AWS CloudHSM. Antes de executar esse exemplo, substitua o ID de exemplo por um válido.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Para verificar se o armazenamento de chaves do AWS CloudHSM está desconectado, use a operação DescribeCustomKeyStores. Por padrão, essa operação retorna todos os armazenamentos de chaves personalizados em sua conta e região. No entanto, você pode usar o parâmetro CustomKeyStoreId e CustomKeyStoreName (mas não ambos) para limitar a resposta para determinados armazenamentos de chaves personalizados. O valor ConnectionState DISCONNECTED indica que o armazenamento de chaves do AWS CloudHSM de exemplo não está conectado ao cluster do AWS CloudHSM.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}