Externe Schlüsselspeicher anzeigen - AWS Key Management Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Externe Schlüsselspeicher anzeigen

Sie können externe Schlüsselspeicher für jedes Konto und jede Region mithilfe der AWS KMS Konsole oder mithilfe des DescribeCustomKeyStoresVorgangs anzeigen.

Beim Anzeigen eines externen Schlüsselspeichers können Sie folgende Informationen sehen:

Eigenschaften des externen Schlüsselspeichers

Die folgenden Eigenschaften eines externen Schlüsselspeichers sind in der AWS KMS Konsole und in der DescribeCustomKeyStoresAntwort sichtbar.

Eigenschaften eines benutzerdefinierten Schlüsselspeichers

Die folgenden Werte werden im Abschnitt Allgemeine Konfiguration der Detailseite für jeden benutzerdefinierten Schlüsselspeicher angezeigt. Diese Eigenschaften gelten für alle benutzerdefinierten Schlüsselspeicher, einschließlich AWS CloudHSM Schlüsselspeicher und externer Schlüsselspeicher.

ID des benutzerdefinierten Schlüsselspeichers

Eine eindeutige ID, die AWS KMS dem benutzerdefinierten Schlüsselspeicher zugewiesen wird.

Name des benutzerdefinierten Schlüsselspeichers

Ein Anzeigename, den Sie dem benutzerdefinierten Schlüsselspeicher bei dessen Erstellung zuweisen. Sie können diesen Wert jederzeit ändern.

Typ des benutzerdefinierten Schlüsselspeichers

Der Typ des benutzerdefinierten Schlüsselspeichers. Gültige Werte sind AWS CloudHSM (AWS_CLOUDHSM) oder „Externer Schlüsselspeicher“ (EXTERNAL_KEY_STORE). Der Typ kann nach der Erstellung des benutzerdefinierten Schlüsselspeichers nicht mehr geändert werden.

Erstellungsdatum

Das Datum, an dem der benutzerdefinierte Schlüsselspeicher erstellt wurde. Dieses Datum wird in Ortszeit für die AWS-Region angezeigt.

Verbindungsstatus

Zeigt an, ob der benutzerdefinierte Schlüsselspeicher mit dem Unterstützungsschlüsselspeicher verbunden ist. Der Verbindungsstatus ist nur dann DISCONNECTED, wenn der benutzerdefinierte Schlüsselspeicher noch nie mit dem Unterstützungsschlüsselspeicher verbunden war oder die Verbindung absichtlich getrennt wurde. Details hierzu finden Sie unter Verbindungsstatus.

Konfigurationseigenschaften des externen Schlüsselspeichers

Die folgenden Werte werden im Abschnitt Konfiguration des externen Schlüsselspeichers auf der Detailseite für jeden externen Schlüsselspeicher und im XksProxyConfiguration Element der DescribeCustomKeyStoresAntwort angezeigt. Eine ausführliche Beschreibung der einzelnen Felder, einschließlich der Anforderungen an die Eindeutigkeit und Hilfe bei der Bestimmung des richtigen Werts für jedes Feld, finden Sie unter Erfüllen der Voraussetzungen im Thema Erstellen eines externen Schlüsselspeichers.

Proxy-Konnektivität

Gibt an, ob der externe Schlüsselspeicher öffentliche Endpunktkonnektivität oder VPCEndpunktdienstkonnektivität verwendet.

URIProxy-Endpunkt

Der Endpunkt, über AWS KMS den eine Verbindung zu Ihrem externen Schlüsselspeicher-Proxy hergestellt wird.

URIProxy-Pfad

Der Pfad vom URI Proxy-Endpunkt, an den APIProxy-Anfragen AWS KMS gesendet werden.

Proxy-Anmeldeinformation: Zugriffsschlüssel-ID

Teil der Anmeldeinformation für die Proxy-Authentifizierung, die Sie für den Proxy Ihres externen Schlüsselspeichers einrichten. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel in der Anmeldeinformation.

AWS KMS verwendet den SigV4-Signaturprozess und die Anmeldeinformationen für die Proxyauthentifizierung, um seine Anfragen an Ihren externen Schlüsselspeicher-Proxy zu signieren. Die Anmeldeinformationen in der Signatur ermöglichen es dem externen Schlüsselspeicher-Proxy, Anfragen in Ihrem Namen von zu authentifizieren. AWS KMS

VPCName des Endpunkt-Dienstes

Der Name des VPC Amazon-Endpunktdienstes, der Ihren externen Schlüsselspeicher unterstützt. Dieser Wert wird nur angezeigt, wenn der externe Schlüsselspeicher VPCEndpoint Service-Konnektivität verwendet. Sie können Ihren externen Schlüsselspeicher-Proxy im finden VPC oder den VPC Endpunktdienst verwenden, um sicher mit Ihrem externen Schlüsselspeicher-Proxy zu kommunizieren.

Sehen Sie sich die Eigenschaften Ihres externen Schlüsselspeichers an

Sie können Ihren externen Schlüsselspeicher und die zugehörigen Eigenschaften in der AWS KMS Konsole oder mithilfe des DescribeCustomKeyStoresVorgangs anzeigen.

Gehen Sie wie folgt vor, um die externen Schlüsselspeicher in einem bestimmten Konto und einer bestimmten Region anzuzeigen:

  1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS Management Console und öffnen Sie sie unter https://console.aws.amazon.com/kms.

  2. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

  3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

  4. Zum Anzeigen von detaillierten Informationen über einen externen Schlüsselspeicher wählen Sie den Namen des Schlüsselspeichers aus.

Verwenden Sie den DescribeCustomKeyStoresVorgang, um Ihre externen Schlüsselspeicher anzuzeigen. Standardmäßig gibt diese Operation alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Ausgabe auf einen bestimmten benutzerdefinierten Schlüsselspeicher zu begrenzen.

Bei benutzerdefinierten Schlüsselspeichern besteht die Ausgabe aus der ID, dem Namen und dem Typ des benutzerdefinierten Schlüsselspeichers sowie dem Verbindungsstatus des Schlüsselspeichers. Wenn der Verbindungsstatus FAILED ist, enthält die Ausgabe auch einen ConnectionErrorCode, der den Grund für den Fehler beschreibt. Hilfe bei der Interpretation des ConnectionErrorCode für einen externen Schlüsselspeicher finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.

Für externe Schlüsselspeicher enthält die Ausgabe auch das XksProxyConfiguration-Element. Dieses Element umfasst den Konnektivitätstyp, den URIProxyendpunkt, den URIProxypfad und die Zugriffsschlüssel-ID der Proxyauthentifizierungsdaten.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Beispielsweise gibt der folgende Befehl alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können die Parameter Marker und Limit verwenden, um durch die benutzerdefinierten Schlüsselspeicher in der Ausgabe zu blättern.

$ aws kms describe-custom-key-stores

Der folgende Befehl verwendet den Parameter CustomKeyStoreName, um nur den externen Beispiel-Schlüsselspeicher mit dem Anzeigenamen ExampleXksPublic abzurufen. Dieser Beispiel-Schlüsselspeicher verwendet Konnektivität eines öffentlichen Endpunkts. Er ist mit dem Proxy seines externen Schlüsselspeichers verbunden.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }

Mit dem folgenden Befehl wird ein Beispiel für einen externen Schlüsselspeicher mit VPC Endpunktdienstkonnektivität abgerufen. In diesem Beispiel ist der externe Schlüsselspeicher mit dem Proxy seines externen Schlüsselspeichers verbunden.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }

Der ConnectionState Disconnected bedeutet, dass ein externer Schlüsselspeicher nie verbunden war oder dass er absichtlich vom Proxy seines externen Schlüsselspeichers getrennt wurde. Wenn jedoch Versuche, einen KMS Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, fehlschlagen, kann dies auf ein Problem mit dem externen Schlüsselspeicher-Proxy oder anderen externen Komponenten hinweisen.

Wenn der ConnectionState des externen Schlüsselspeichers FAILED lautet, enthält die DescribeCustomKeyStores-Antwort ein ConnectionErrorCode-Element, das den Grund für den Fehler angibt.

In der folgenden Ausgabe gibt der XKS_PROXY_TIMED_OUT Wert beispielsweise an, dass eine Verbindung zum externen Schlüsselspeicher-Proxy hergestellt werden AWS KMS kann, die Verbindung jedoch fehlgeschlagen ist, weil der externe Schlüsselspeicher-Proxy nicht innerhalb AWS KMS der vorgesehenen Zeit reagiert hat. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers. Weitere Informationen zu diesem und anderen Verbindungsfehlern finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc { "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }