Serviço de gestão de chaves externas e automação de instância

  • Versão de lançamento: Australia
  • Atualizado 23 de abr. de 2026
  • 3 min. de leitura

    • Entenda os requisitos e as limitações das operações de automação de instância quando o Serviço de gestão de chaves externas estiver habilitado.

    Quando o serviço de gestão de chaves externas (EKMS) está habilitado em sua instância, você deve planejar operações de automação de instância, como clonagem, backup e restauração, cópia, movimentação e alternância entre instâncias. Essas operações exigem configurações de EKMS compatíveis entre as instâncias de origem e de destino para serem bem-sucedidas.

    Você não pode clonar ou restaurar dados criptografados externamente, a menos que a instância de destino possa acessar a mesma chave de criptografia externa. A verificação de comprovação valida a compatibilidade com EKMS antes do início das operações de automação de instância. Se as configurações forem incompatíveis, a operação será bloqueada e você deverá seguir as etapas de resolução manual em KB2540187 .

    Compatibilidade de automação de instância

    A tabela a seguir mostra quais operações de automação de instância são compatíveis com base nas configurações de instância de origem e de destino.
    Tabela 1. Tabela de compatibilidade de automação de instância
    Instância de origem Instância de destino Resultado
    Sem EKMS Sem EKMS Compatível
    EKMS em uso Compatível com EKMS Compatível
    EKMS em uso Versão mais antiga sem suporte a EKMS Compatível
    Versão mais antiga sem suporte a EKMS Compatível com EKMS, mas não configurado Compatível
    Compatível com EKMS Versão mais antiga sem suporte a EKMS Compatível
    EKMS configurado EKMS com configuração correspondente e estratégia de quebra de chave Compatível
    EKMS configurado EKMS com configuração compatível Compatível
    EKMS configurado com status de chave não ATIVO Qualquer Bloqueado- Consulte os principais requisitos de status abaixo
    EKMS configurado EKMS com configuração diferente Bloqueado- Consulte KB2540187
    Quebra de chave interna Quebra de chave externa Bloqueado- Consulte KB2540187
    EKMS configurado EKMS com configuração diferente ou estratégia de encapsulamento Bloqueado- Consulte KB2540187
    EKMS presentes, mas não configurados EKMS em uso Bloqueado- Consulte KB2540187
    Versão mais antiga sem suporte a EKMS EKMS configurado Bloqueado- Consulte KB2540187
    Compatível com EKMS, mas não configurado EKMS configurado Bloqueado- Consulte KB2540187

    Primeiro ative o EKMS na origem.
    EKMS configurado EKMS com configuração incompatível Bloqueado- Consulte KB2540187

    Principais requisitos de status

    As operações de automação de instância exigem que o status da chave do AWS KMS seja Ativo. Se o status da chave externa não for ATIVO, as operações criptográficas podem falhar durante ou após a operação de automação da instância.

    Antes de executar a automação de instância com EKMS:
    • Verifique se o status da chave na configuração do EKMS é exibido como ATIVO.
    • Não prossiga com a automação da instância enquanto o status da chave estiver desabilitado, com exclusão pendente, indisponível ou excluído.
    • Se o status da chave não estiver ATIVO, resolva o problema antes de tentar a automação da instância.
    Principais problemas e resoluções de status:
    • Desabilitado: Habilite novamente a chave no AWS KMS.
    • Exclusão pendente: Cancele a programação de exclusão na AWS e habilite novamente a chave, se necessário.
    • Indisponível: Restaure a conectividade do EKMS verificando credenciais, acesso à região e disponibilidade do endpoint.
    • Excluído: Entre em contato com o Suporte da ServiceNow para obter estratégia de recuperação e planejamento de reconfiguração. Esta é uma situação crítica e irreversível.

    Depois de resolver problemas de status-chave, aguarde até que o trabalho de verificação de integridade do EKMS atualize o status da instância para ATIVO e execute novamente a verificação de comprovação antes de prosseguir.

    Suporte à gestão de chaves legadas

    Por padrão, a automação de instâncias entre instâncias que usam diferentes arquiteturas de gestão de chaves (legadas e atuais) não é compatível. Você pode habilitar o suporte para cenários de gestão de chaves legadas definindo a propriedade do sistema glide.ekms.ia.non_bagheera_support como verdadeira.

    Para habilitar o suporte à gestão de chaves legadas:
    1. Navegar até Propriedades do sistema > Todas as Propriedades.
    2. Pesquisar glide.ekms.ia.non_bagheera_support .
    3. Defina o valor como Verdadeiro .
    4. Selecione Save (Salvar).

    Você deve ter a função de administrador para modificar as propriedades do sistema.

    Esta propriedade habilita a automação de instância nos seguintes cenários:
    • A instância de origem usa a gestão de chaves legadas e a instância de destino usa a arquitetura de gestão de chaves atual.
    • As instâncias de origem e de destino usam a gestão de chaves legadas.
    • A instância de origem usa a arquitetura de gestão de chaves atual e a instância de destino usa a gestão de chaves legadas.

    Mesmo com esta propriedade habilitada, se a verificação de comprovação detectar configurações incompatíveis, você deverá seguir as etapas de resolução manual em KB2540187 .