Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Einen externen Schlüsselspeicher verbinden
Wenn Ihr externer Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist, können Sie KMSSchlüssel in Ihrem externen Schlüsselspeicher erstellen und die vorhandenen KMS Schlüssel für kryptografische Operationen verwenden.
Der Prozess, der einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbindet, unterscheidet sich je nach der Konnektivität des externen Schlüsselspeichers.
-
Wenn Sie einen externen Schlüsselspeicher mit öffentlicher Endpunktkonnektivität verbinden, AWS KMS sendet er eine GetHealthStatus Anfrage an den externen Schlüsselspeicher-Proxy, um den URIProxyendpunkt, den URIProxypfad und die Anmeldeinformationen für die Proxyauthentifizierung zu überprüfen. Eine erfolgreiche Antwort des Proxys bestätigt, dass der URIProxyendpunkt und der URIProxypfad korrekt und zugänglich sind und dass der Proxy die mit den Proxyauthentifizierungsdaten für den externen Schlüsselspeicher signierte Anfrage authentifiziert hat.
-
Wenn Sie einen externen Schlüsselspeicher mit VPCEndpoint Service-Konnektivität mit seinem externen Schlüsselspeicher-Proxy verbinden, AWS KMS geht Folgendes vor:
-
Bestätigt, dass die Domäne für den privaten DNS Namen, der im URIProxyendpunkt angegeben ist, verifiziert wurde.
-
Erstellt einen Schnittstellenendpunkt von einem AWS KMS VPC zu Ihrem VPC Endpunktdienst.
-
Erstellt eine private, gehostete Zone für den privaten DNS Namen, der im URI Proxy-Endpunkt angegeben ist
-
Sendet eine GetHealthStatusAnfrage an den externen Schlüsselspeicher-Proxy. Eine erfolgreiche Antwort des Proxys bestätigt, dass der URIProxyendpunkt und der URIProxypfad korrekt und zugänglich sind und dass der Proxy die mit den Proxyauthentifizierungsdaten für den externen Schlüsselspeicher signierte Anfrage authentifiziert hat.
-
Der Verbindungsvorgang beginnt mit der Verbindung Ihres benutzerdefinierten Schlüsselspeichers, die Verbindung eines externen Schlüsselspeichers mit seinem externen Proxy dauert jedoch etwa fünf Minuten. Eine Erfolgsmeldung des Verbindungsvorgangs bedeutet nicht, dass der externe Schlüsselspeicher verbunden ist. Um zu überprüfen, ob die Verbindung erfolgreich war, verwenden Sie die AWS KMS Konsole oder den DescribeCustomKeyStoresVorgang, um den Verbindungsstatus Ihres externen Schlüsselspeichers anzuzeigen.
Wenn der Verbindungsstatus lautetFAILED
, wird ein Verbindungsfehlercode in der AWS KMS Konsole angezeigt und der DescribeCustomKeyStore
Antwort hinzugefügt. Hilfe zur Interpretation von Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.
Connect zu Ihrem externen Schlüsselspeicher her und stellen Sie erneut eine Verbindung her
Sie können Ihren externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des Vorgangs verbinden oder erneut verbinden. ConnectCustomKeyStore
Sie können die AWS KMS Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden.
-
Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.
-
Wählen Sie die Zeile des externen Schlüsselspeichers aus, den Sie verbinden möchten.
Wenn der Verbindungsstatus des externen Schlüsselspeichers lautet FAILED, müssen Sie die Verbindung zum externen Schlüsselspeicher trennen, bevor Sie eine Verbindung herstellen.
-
Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus.
Der Verbindungsvorgang dauert in der Regel etwa fünf Minuten. Wenn der Vorgang abgeschlossen ist, ändert sich der Verbindungsstatus auf. CONNECTED
Wenn der Verbindungsstatus Failed (Fehlgeschlagen) ist, bewegen Sie den Mauszeiger über den Verbindungsstatus, um den Verbindungsfehlercode zu sehen, der die Ursache des Fehlers erklärt. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher. Um einen externen Schlüsselspeicher mit dem Verbindungsstatus Failed (Fehlgeschlagen) zu verbinden, müssen Sie zuerst den benutzerdefinierten Schlüsselspeicher trennen.
Verwenden Sie den ConnectCustomKeyStoreVorgang, um eine Verbindung zu einem getrennten externen Schlüsselspeicher herzustellen.
Vor der Verbindung muss der Verbindungsstatus des externen Schlüsselspeichers DISCONNECTED
sein. Wenn der Verbindungsstatus FAILED
lautet, trennen Sie den externen Schlüsselspeicher und stellen Sie anschließend die Verbindung her.
Der Verbindungsvorgang dauert etwa fünf Minuten. Sofern der Vorgang nicht schnell fehlschlägt, wird eine Antwort von HTTP 200 und ein JSON Objekt ohne Eigenschaften ConnectCustomKeyStore
zurückgegeben. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den Verbindungsstatus in der DescribeCustomKeyStoresAntwort an.
Für diese Beispiele wird die AWS Command Line Interface
(AWS CLI)
Identifizieren Sie den externen Schlüsselspeicher anhand der ID des benutzerdefinierten Schlüsselspeichers. Sie finden die ID auf der Seite Benutzerdefinierte Schlüsselspeicher in der Konsole oder mithilfe des DescribeCustomKeyStoresVorgangs. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.
$
aws kms connect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
Der ConnectCustomKeyStore
-Vorgang gibt den ConnectionState
nicht in seiner Antwort zurück. Verwenden Sie den DescribeCustomKeyStoresVorgang, um zu überprüfen, ob der externe Schlüsselspeicher angeschlossen ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId
oder CustomKeyStoreName
(aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der ConnectionState
-Wert CONNECTED
bedeutet, dass der externe Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksVpc
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Wenn der ConnectionState
-Wert in der DescribeCustomKeyStores
-Antwort FAILED
lautet, gibt das ConnectionErrorCode
-Element den Grund für den Fehler an.
Im folgenden Beispiel ConnectionErrorCode
gibt der XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND
Wert für an, dass der VPC Endpunktdienst, den er für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht gefunden werden AWS KMS kann. Stellen Sie sicher, XksProxyVpcEndpointServiceName
dass der AWS KMS Service Principal ein zulässiger Principal auf dem Amazon VPC Endpoint Service ist und dass der VPC Endpoint Service keine Annahme von Verbindungsanfragen erfordert. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksVpc
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }