Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Externe Schlüsselspeicher anzeigen
Sie können externe Schlüsselspeicher für jedes Konto und jede Region mithilfe der AWS KMS Konsole oder mithilfe des DescribeCustomKeyStoresVorgangs anzeigen.
Beim Anzeigen eines externen Schlüsselspeichers können Sie folgende Informationen sehen:
-
Grundlegende Informationen über den Schlüsselspeicher, einschließlich seines Benutzernamens, seiner ID, seines Schlüsselspeichertyps und seines Erstellungsdatums
-
Konfigurationsinformationen für den externen Schlüsselspeicher-Proxy, einschließlich Konnektivitätstyp, URIProxyendpunkt und Pfad sowie der Zugriffsschlüssel-ID Ihrer aktuellen Proxyauthentifizierungsdaten.
-
Wenn der externe Schlüsselspeicher-Proxy VPCEndpoint Service-Konnektivität verwendet, zeigt die Konsole den Namen des VPC Endpunktdienstes an.
-
Den aktuellen Verbindungsstatus
Anmerkung
Der Verbindungsstatus Disconnected (Verbindung getrennt) bedeutet, dass der externe Schlüsselspeicher noch nie verbunden war oder dass die Verbindung zum Proxy des externen Schlüsselspeichers absichtlich getrennt wurde. Wenn Ihre Versuche, einen KMS Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, fehlschlagen, kann dies auf ein Problem mit dem externen Schlüsselspeicher oder seinem Proxy hinweisen. Weitere Informationen dazu finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher.
Ein Monitoring-Bereich mit Grafiken von CloudWatch Amazon-Metriken, die Ihnen helfen sollen, Probleme mit Ihrem externen Schlüsselspeicher zu erkennen und zu lösen. Hilfe bei der Interpretation der Grafiken, ihrer Verwendung bei der Planung und Fehlerbehebung und der Erstellung von CloudWatch Alarmen auf der Grundlage der Kennzahlen in den Diagrammen finden Sie unterÜberwachen Sie externe Schlüsselspeicher.
Eigenschaften des externen Schlüsselspeichers
Die folgenden Eigenschaften eines externen Schlüsselspeichers sind in der AWS KMS Konsole und in der DescribeCustomKeyStoresAntwort sichtbar.
Eigenschaften eines benutzerdefinierten Schlüsselspeichers
Die folgenden Werte werden im Abschnitt Allgemeine Konfiguration der Detailseite für jeden benutzerdefinierten Schlüsselspeicher angezeigt. Diese Eigenschaften gelten für alle benutzerdefinierten Schlüsselspeicher, einschließlich AWS CloudHSM Schlüsselspeicher und externer Schlüsselspeicher.
- ID des benutzerdefinierten Schlüsselspeichers
-
Eine eindeutige ID, die AWS KMS dem benutzerdefinierten Schlüsselspeicher zugewiesen wird.
- Name des benutzerdefinierten Schlüsselspeichers
-
Ein Anzeigename, den Sie dem benutzerdefinierten Schlüsselspeicher bei dessen Erstellung zuweisen. Sie können diesen Wert jederzeit ändern.
- Typ des benutzerdefinierten Schlüsselspeichers
-
Der Typ des benutzerdefinierten Schlüsselspeichers. Gültige Werte sind AWS CloudHSM (
AWS_CLOUDHSM
) oder „Externer Schlüsselspeicher“ (EXTERNAL_KEY_STORE
). Der Typ kann nach der Erstellung des benutzerdefinierten Schlüsselspeichers nicht mehr geändert werden. - Erstellungsdatum
-
Das Datum, an dem der benutzerdefinierte Schlüsselspeicher erstellt wurde. Dieses Datum wird in Ortszeit für die AWS-Region angezeigt.
- Verbindungsstatus
-
Zeigt an, ob der benutzerdefinierte Schlüsselspeicher mit dem Unterstützungsschlüsselspeicher verbunden ist. Der Verbindungsstatus ist nur dann
DISCONNECTED
, wenn der benutzerdefinierte Schlüsselspeicher noch nie mit dem Unterstützungsschlüsselspeicher verbunden war oder die Verbindung absichtlich getrennt wurde. Details hierzu finden Sie unter Verbindungsstatus.
Konfigurationseigenschaften des externen Schlüsselspeichers
Die folgenden Werte werden im Abschnitt Konfiguration des externen Schlüsselspeichers auf der Detailseite für jeden externen Schlüsselspeicher und im XksProxyConfiguration
Element der DescribeCustomKeyStoresAntwort angezeigt. Eine ausführliche Beschreibung der einzelnen Felder, einschließlich der Anforderungen an die Eindeutigkeit und Hilfe bei der Bestimmung des richtigen Werts für jedes Feld, finden Sie unter Erfüllen der Voraussetzungen im Thema Erstellen eines externen Schlüsselspeichers.
- Proxy-Konnektivität
Gibt an, ob der externe Schlüsselspeicher öffentliche Endpunktkonnektivität oder VPCEndpunktdienstkonnektivität verwendet.
- URIProxy-Endpunkt
-
Der Endpunkt, über AWS KMS den eine Verbindung zu Ihrem externen Schlüsselspeicher-Proxy hergestellt wird.
- URIProxy-Pfad
-
Der Pfad vom URI Proxy-Endpunkt, an den APIProxy-Anfragen AWS KMS gesendet werden.
- Proxy-Anmeldeinformation: Zugriffsschlüssel-ID
-
Teil der Anmeldeinformation für die Proxy-Authentifizierung, die Sie für den Proxy Ihres externen Schlüsselspeichers einrichten. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel in der Anmeldeinformation.
AWS KMS verwendet den SigV4-Signaturprozess und die Anmeldeinformationen für die Proxyauthentifizierung, um seine Anfragen an Ihren externen Schlüsselspeicher-Proxy zu signieren. Die Anmeldeinformationen in der Signatur ermöglichen es dem externen Schlüsselspeicher-Proxy, Anfragen in Ihrem Namen von zu authentifizieren. AWS KMS
- VPCName des Endpunkt-Dienstes
-
Der Name des VPC Amazon-Endpunktdienstes, der Ihren externen Schlüsselspeicher unterstützt. Dieser Wert wird nur angezeigt, wenn der externe Schlüsselspeicher VPCEndpoint Service-Konnektivität verwendet. Sie können Ihren externen Schlüsselspeicher-Proxy im finden VPC oder den VPC Endpunktdienst verwenden, um sicher mit Ihrem externen Schlüsselspeicher-Proxy zu kommunizieren.
Sehen Sie sich die Eigenschaften Ihres externen Schlüsselspeichers an
Sie können Ihren externen Schlüsselspeicher und die zugehörigen Eigenschaften in der AWS KMS Konsole oder mithilfe des DescribeCustomKeyStoresVorgangs anzeigen.
Gehen Sie wie folgt vor, um die externen Schlüsselspeicher in einem bestimmten Konto und einer bestimmten Region anzuzeigen:
-
Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms
. -
Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.
-
Zum Anzeigen von detaillierten Informationen über einen externen Schlüsselspeicher wählen Sie den Namen des Schlüsselspeichers aus.
Verwenden Sie den DescribeCustomKeyStoresVorgang, um Ihre externen Schlüsselspeicher anzuzeigen. Standardmäßig gibt diese Operation alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId
oder CustomKeyStoreName
(aber nicht beide) verwenden, um die Ausgabe auf einen bestimmten benutzerdefinierten Schlüsselspeicher zu begrenzen.
Bei benutzerdefinierten Schlüsselspeichern besteht die Ausgabe aus der ID, dem Namen und dem Typ des benutzerdefinierten Schlüsselspeichers sowie dem Verbindungsstatus des Schlüsselspeichers. Wenn der Verbindungsstatus FAILED
ist, enthält die Ausgabe auch einen ConnectionErrorCode
, der den Grund für den Fehler beschreibt. Hilfe bei der Interpretation des ConnectionErrorCode
für einen externen Schlüsselspeicher finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.
Für externe Schlüsselspeicher enthält die Ausgabe auch das XksProxyConfiguration
-Element. Dieses Element umfasst den Konnektivitätstyp, den URIProxyendpunkt, den URIProxypfad und die Zugriffsschlüssel-ID der Proxyauthentifizierungsdaten.
Für diese Beispiele wird die AWS Command Line Interface
(AWS CLI)
Beispielsweise gibt der folgende Befehl alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können die Parameter Marker
und Limit
verwenden, um durch die benutzerdefinierten Schlüsselspeicher in der Ausgabe zu blättern.
$
aws kms describe-custom-key-stores
Der folgende Befehl verwendet den Parameter CustomKeyStoreName
, um nur den externen Beispiel-Schlüsselspeicher mit dem Anzeigenamen ExampleXksPublic
abzurufen. Dieser Beispiel-Schlüsselspeicher verwendet Konnektivität eines öffentlichen Endpunkts. Er ist mit dem Proxy seines externen Schlüsselspeichers verbunden.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksPublic
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
Mit dem folgenden Befehl wird ein Beispiel für einen externen Schlüsselspeicher mit VPC Endpunktdienstkonnektivität abgerufen. In diesem Beispiel ist der externe Schlüsselspeicher mit dem Proxy seines externen Schlüsselspeichers verbunden.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksVpc
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Der ConnectionState Disconnected
bedeutet, dass ein externer Schlüsselspeicher nie verbunden war oder dass er absichtlich vom Proxy seines externen Schlüsselspeichers getrennt wurde. Wenn jedoch Versuche, einen KMS Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, fehlschlagen, kann dies auf ein Problem mit dem externen Schlüsselspeicher-Proxy oder anderen externen Komponenten hinweisen.
Wenn der ConnectionState
des externen Schlüsselspeichers FAILED
lautet, enthält die DescribeCustomKeyStores
-Antwort ein ConnectionErrorCode
-Element, das den Grund für den Fehler angibt.
In der folgenden Ausgabe gibt der XKS_PROXY_TIMED_OUT
Wert beispielsweise an, dass eine Verbindung zum externen Schlüsselspeicher-Proxy hergestellt werden AWS KMS kann, die Verbindung jedoch fehlgeschlagen ist, weil der externe Schlüsselspeicher-Proxy nicht innerhalb AWS KMS der vorgesehenen Zeit reagiert hat. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers. Weitere Informationen zu diesem und anderen Verbindungsfehlern finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.
$
aws kms describe-custom-key-stores --custom-key-store-name
ExampleXksVpc
{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }