Einen externen Schlüsselspeicher verbinden - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einen externen Schlüsselspeicher verbinden

Wenn Ihr externer Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist, können Sie KMSSchlüssel in Ihrem externen Schlüsselspeicher erstellen und die vorhandenen KMS Schlüssel für kryptografische Operationen verwenden.

Der Prozess, der einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbindet, unterscheidet sich je nach der Konnektivität des externen Schlüsselspeichers.

Der Verbindungsvorgang beginnt mit der Verbindung Ihres benutzerdefinierten Schlüsselspeichers, die Verbindung eines externen Schlüsselspeichers mit seinem externen Proxy dauert jedoch etwa fünf Minuten. Eine Erfolgsmeldung des Verbindungsvorgangs bedeutet nicht, dass der externe Schlüsselspeicher verbunden ist. Um zu überprüfen, ob die Verbindung erfolgreich war, verwenden Sie die AWS KMS Konsole oder den DescribeCustomKeyStoresVorgang, um den Verbindungsstatus Ihres externen Schlüsselspeichers anzuzeigen.

Wenn der Verbindungsstatus lautetFAILED, wird ein Verbindungsfehlercode in der AWS KMS Konsole angezeigt und der DescribeCustomKeyStore Antwort hinzugefügt. Hilfe zur Interpretation von Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.

Connect zu Ihrem externen Schlüsselspeicher her und stellen Sie erneut eine Verbindung her

Sie können Ihren externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des Vorgangs verbinden oder erneut verbinden. ConnectCustomKeyStore

Sie können die AWS KMS Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden.

  1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

  4. Wählen Sie die Zeile des externen Schlüsselspeichers aus, den Sie verbinden möchten.

    Wenn der Verbindungsstatus des externen Schlüsselspeichers lautet FAILED, müssen Sie die Verbindung zum externen Schlüsselspeicher trennen, bevor Sie eine Verbindung herstellen.

  5. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus.

Der Verbindungsvorgang dauert in der Regel etwa fünf Minuten. Wenn der Vorgang abgeschlossen ist, ändert sich der Verbindungsstatus auf. CONNECTED

Wenn der Verbindungsstatus Failed (Fehlgeschlagen) ist, bewegen Sie den Mauszeiger über den Verbindungsstatus, um den Verbindungsfehlercode zu sehen, der die Ursache des Fehlers erklärt. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher. Um einen externen Schlüsselspeicher mit dem Verbindungsstatus Failed (Fehlgeschlagen) zu verbinden, müssen Sie zuerst den benutzerdefinierten Schlüsselspeicher trennen.

Verwenden Sie den ConnectCustomKeyStoreVorgang, um eine Verbindung zu einem getrennten externen Schlüsselspeicher herzustellen.

Vor der Verbindung muss der Verbindungsstatus des externen Schlüsselspeichers DISCONNECTED sein. Wenn der Verbindungsstatus FAILED lautet, trennen Sie den externen Schlüsselspeicher und stellen Sie anschließend die Verbindung her.

Der Verbindungsvorgang dauert etwa fünf Minuten. Sofern der Vorgang nicht schnell fehlschlägt, wird eine Antwort von HTTP 200 und ein JSON Objekt ohne Eigenschaften ConnectCustomKeyStore zurückgegeben. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den Verbindungsstatus in der DescribeCustomKeyStoresAntwort an.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Identifizieren Sie den externen Schlüsselspeicher anhand der ID des benutzerdefinierten Schlüsselspeichers. Sie finden die ID auf der Seite Benutzerdefinierte Schlüsselspeicher in der Konsole oder mithilfe des DescribeCustomKeyStoresVorgangs. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Der ConnectCustomKeyStore-Vorgang gibt den ConnectionState nicht in seiner Antwort zurück. Verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob der externe Schlüsselspeicher angeschlossen ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der ConnectionState-Wert CONNECTED bedeutet, dass der externe Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }

Wenn der ConnectionState-Wert in der DescribeCustomKeyStores-Antwort FAILED lautet, gibt das ConnectionErrorCode-Element den Grund für den Fehler an.

Im folgenden Beispiel ConnectionErrorCode gibt der XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND Wert für an, dass der VPC Endpunktdienst, den er für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht gefunden werden AWS KMS kann. Stellen Sie sicher, XksProxyVpcEndpointServiceName dass der AWS KMS Service Principal ein zulässiger Principal auf dem Amazon VPC Endpoint Service ist und dass der VPC Endpoint Service keine Annahme von Verbindungsanfragen erfordert. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }