As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # Chaves do KMS em repositórios de chaves externos Para criar, visualizar, gerenciar, usar e programar a exclusão de chaves do KMS em um armazenamento de chaves externas, use procedimentos muito semelhantes aos usados para outras chaves do KMS. No entanto, ao criar uma chave do KMS em um armazenamento de chaves externas, especifique um [armazenamento de chaves externas](keystore-external.md#concept-external-key-store) e uma [chave externa](keystore-external.md#concept-external-key). Quando você usa uma chave do KMS em um armazenamento de chaves externas, [as operações de criptografia e descriptografia](keystore-external.md#xks-how-it-works) são executadas pelo gerenciador de chaves externas usando a chave externa especificada. AWS KMS não pode criar, visualizar, atualizar ou excluir nenhuma chave criptográfica em seu gerenciador de chaves externo. AWS KMS nunca acessa diretamente seu gerenciador de chaves externo ou qualquer chave externa. Todas as solicitações de operações de criptografia são mediadas por seu [proxy de armazenamento de chaves externas](keystore-external.md#concept-xks-proxy). Para usar uma chave do KMS em um armazenamento de chaves externas, o armazenamento de chaves externas que hospeda a chave do KMS deve estar [conectado](xks-connect-disconnect.md) ao proxy de armazenamento de chaves externas. **Recursos compatíveis** Além dos procedimentos discutidos nesta seção, você pode fazer o seguinte com chaves do KMS de um armazenamento de chaves externas: + Use [políticas de chaves](key-policies.md), [políticas do IAM](iam-policies.md) e [concessões](grants.md) para autorizar o acesso às chaves do KMS. + [Habilite e desabilite](enabling-keys.md) as chaves do KMS. Essas ações não afetam a chave externa no gerenciador de chaves externas. + Atribua [etiquetas](tagging-keys.md), crie [aliases](kms-alias.md) e use o [controle de acesso por atributo](abac.md) (ABAC) para autorizar o acesso às chaves do KMS. + Use as chaves do KMS para executar as seguintes operações de criptografia: + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) As operações que geram pares de chaves de dados assimétricos, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), *não* são suportadas em armazenamentos de chaves personalizadas. + Usar as chaves do KMS com [Serviços da AWS que se integram ao AWS KMS](https://aws.amazon.com/kms/features/#AWS_Service_Integration) e oferecem suporte a [chaves gerenciadas pelo cliente](concepts.md#customer-mgn-key). **Atributos não compatíveis** + Armazenamentos de chaves externas são compatíveis apenas com [chaves do KMS de criptografia simétrica](symm-asymm-choose-key-spec.md#symmetric-cmks). Você não pode criar chaves do KMS de HMAC ou assimétricas em um armazenamento de chaves externas. + [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)e não [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)são compatíveis com chaves KMS em um armazenamento de chaves externo. + Você não pode usar um [AWS::KMS::Key CloudFormation modelo](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) para criar um armazenamento de chaves externo ou uma chave KMS em um armazenamento de chaves externo. + As [chaves multirregionais](multi-region-keys-overview.md) não são compatíveis com o armazenamento de chaves externas. + As chaves do KMS com [material de chave importado](importing-keys.md) não são compatíveis com o armazenamento de chaves externas. + A [alternância automática de chaves](rotate-keys.md) não é compatível com chaves do KMS em armazenamentos de chaves externas. **Usar chaves do KMS em um repositório de chaves externo** Ao usar sua chave do KMS em uma solicitação, identifique a chave do KMS pelo [ID de chave, ARN de chave, alias ou ARN do alias](concepts.md#key-id). Não é necessário especificar o armazenamento de chaves externas. A resposta inclui os mesmos campos que são retornados para qualquer chave do KMS de criptografia simétrica. Porém, quando você usa uma chave do KMS em um armazenamento de chaves externas, as operações de criptografia e descriptografia são executadas pelo gerenciador de chaves externas usando a chave externa que está associada à chave do KMS. [Para garantir que o texto cifrado criptografado por uma chave KMS em um armazenamento de chaves externo seja pelo menos tão seguro quanto qualquer texto cifrado criptografado por uma chave KMS padrão, use criptografia dupla. AWS KMS](keystore-external.md#concept-double-encryption) Os dados são primeiro criptografados AWS KMS usando material AWS KMS chave. Em seguida, ele é criptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Para descriptografar texto cifrado com criptografia dupla, o texto cifrado é primeiro descriptografado pelo gerenciador de chaves externas usando a chave externa para a chave do KMS. Em seguida, ele é descriptografado AWS KMS usando o material de AWS KMS chave da chave KMS. Para tornar isso possível, as seguintes condições são necessárias. + O [estado de chave](key-state.md) da chave do KMS deve ser `Enabled`. Para encontrar o estado da chave, consulte o campo **Status** das chaves gerenciadas pelo cliente, o [AWS KMS console](finding-keys.md#viewing-console-details) ou o `KeyState` campo na [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)resposta. + O armazenamento de chaves externas que hospeda a chave do KMS deve estar conectado ao [proxy de armazenamento de chaves externas](keystore-external.md#concept-xks-proxy), ou seja, o [estado da conexão](xks-connect-disconnect.md#xks-connection-state) do armazenamento de chaves externas deve ser `CONNECTED`. Você pode ver o estado da conexão na página **Armazenamentos externos de chaves** no AWS KMS console ou na [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)resposta. O estado de conexão do armazenamento de chaves externas também é exibido na página de detalhes da chave do KMS no console do AWS KMS . Na página de detalhes, escolha a guia **Cryptographic configuration** (Configuração criptográfica) e veja o campo **Connection state** (Estado da conexão) na seção **Custom key store** (Armazenamento de chaves personalizado). Se o estado da conexão for `DISCONNECTED`, primeiro é necessário conectá-lo. Se o estado da conexão for `FAILED`, você deverá resolver o problema, desconectar o armazenamento de chaves externas e conectá-lo. Para instruções, consulte [Conectar e desconectar repositórios de chaves externos](xks-connect-disconnect.md). + O proxy de armazenamento de chaves externas deve ser capaz de encontrar a chave externa. + A chave externa deve estar habilitada e deve executar criptografia e descriptografia. O status da chave externa é independente e não é afetado por alterações no [estado da chave](key-state.md) da chave do KMS, inclusive habilitar e desabilitar a chave do KMS. Da mesma forma, desabilitar ou excluir a chave externa não alterará o estado da chave do KMS, mas as operações de criptografia que usam a chave do KMS associada falharão. Se essas condições não forem atendidas, a operação criptográfica falhará e AWS KMS retornará uma `KMSInvalidStateException` exceção. Talvez seja necessário [reconectar o armazenamento de chaves externas](xks-connect-disconnect.md) ou usar as ferramentas do gerenciador de chaves externas para reconfigurar ou reparar a chave externa. Para obter ajuda adicional, consulte [Solução de problemas de armazenamentos de chaves externas](xks-troubleshooting.md). Ao usar as chaves do KMS em um armazenamento de chaves externas, esteja ciente de que as chaves do KMS em cada armazenamento de chaves externas compartilha uma [cota de solicitações de armazenamento de chaves personalizado](requests-per-second.md#rps-key-stores) para operações de criptografia. Se você exceder a cota, AWS KMS retorna a. `ThrottlingException` Para obter detalhes sobre a cota de solicitações do armazenamento de chaves personalizado, consulte [Cotas de solicitação de armazenamento de chaves personalizadas](requests-per-second.md#rps-key-stores). **Saiba mais** + Para saber mais sobre repositórios de chaves externos, consulte [Armazenamentos de chaves externas](keystore-external.md). + Para saber mais sobre material de chave em repositórios de chaves externos, consulte [Chave externa](keystore-external.md#concept-external-key). + Para criar chaves do KMS em um repositório de chaves externo, consulte [Criar uma chave do KMS em repositórios de chaves externos](create-xks-keys.md). + Para identificar e visualizar chaves do KMS em um repositório de chaves externo, consulte [Identificar chaves do KMS em repositórios de chaves externos](identify-key-types.md#view-xks-key). + Para saber mais sobre considerações especiais sobre a exclusão de chaves do KMS em um repositório de chaves externo, consulte [Excluir chaves do KMS de um repositório de chaves externo](deleting-keys.md#delete-xks-key).