Herstellen und Trennen der Verbindung eines externen Schlüsselspeichers

Neue externe Schlüsselspeicher sind nicht verbunden. Um AWS KMS keys in Ihrem externen Schlüsselspeicher zu erstellen und zu verwenden, müssen Sie Ihren externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden. Sie können Ihren externen Schlüsselspeicher jederzeit verbinden und trennen und seinen Verbindungsstatus anzeigen.

Wenn Ihr externer Schlüsselspeicher nicht verbunden ist, kann AWS KMS nicht mit dem Proxy Ihres externen Schlüsselspeichers kommunizieren. Daher können Sie Ihren externen Schlüsselspeicher und seine vorhandenen KMS-Schlüssel anzeigen und verwalten. Sie können jedoch keine KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen oder dessen KMS-Schlüssel in kryptografischen Vorgängen verwenden. Es kann sein, dass Sie die Verbindung Ihres externen Schlüsselspeichers irgendwann trennen müssen, z. B. wenn Sie seine Eigenschaften bearbeiten. Durch das Trennen des Schlüsselspeichers kann der Betrieb von AWS-Services unterbrochen werden, die seine KMS-Schlüssel verwenden.

Sie müssen Ihren externen Schlüsselspeicher nicht verbinden. Sie können die Verbindung eines externen Schlüsselspeichers auf unbestimmte Zeit getrennt lassen und die Verbindung nur herstellen, wenn Sie den Schlüsselspeicher verwenden müssen. Möglicherweise möchten Sie die Verbindung jedoch von Zeit zu Zeit testen, um zu prüfen, ob die Einstellungen korrekt sind und eine Verbindungsherstellung möglich ist.

Wenn Sie die Verbindung zu einem benutzerdefinierten Schlüsselspeicher trennen, werden die KMS-Schlüssel im Schlüsselspeicher sofort unbrauchbar (je nach letztendlicher Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel.

Anmerkung

Externe Schlüsselspeicher haben nur dann den Status DISCONNECTED, wenn der Schlüsselspeicher noch nie verbunden wurde oder Sie ihn explizit trennen. Der Status CONNECTED bedeutet nicht, dass der externe Schlüsselspeicher oder seine unterstützenden Komponenten effizient funktionieren. Informationen über die Leistung der Komponenten Ihres externen Schlüsselspeichers finden Sie in den Diagrammen im Abschnitt Monitoring (Überwachung) auf der Detailseite für jeden externen Schlüsselspeicher. Details hierzu finden Sie unter Überwachung eines externen Schlüsselspeichers.

Ihr externer Schlüsselmanager bietet möglicherweise zusätzliche Methoden zum Stoppen und Neustarten der Kommunikation zwischen Ihrem externen AWS KMS-Schlüsselspeicher und Ihrem externen Schlüsselspeicher-Proxy oder zwischen Ihrem externen Schlüsselspeicher-Proxy und dem externen Schlüsselmanager. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Verbinden eines externen Schlüsselspeichers

Wenn Ihr externer Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist, können Sie KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen und seine vorhandenen KMS-Schlüssel in kryptografischen Vorgängen verwenden.

Der Prozess, der einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbindet, unterscheidet sich je nach der Konnektivität des externen Schlüsselspeichers.

• Wenn Sie einen externen Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts verbinden, AWS KMS sendet eine GetHealthStatus Anforderung an den externen Schlüsselspeicher-Proxy, um den Proxy-URI-Endpunkt, den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformationen zu validieren. Eine erfolgreiche Antwort vom Proxy bestätigt, dass der Proxy-URI-Endpunkt und der Proxy-URI-Pfad korrekt und zugänglich sind und dass der Proxy die mit der Proxy-Authentifizierungsanmeldeinformation für den externen Schlüsselspeicher signierte Anforderung authentifiziert hat.

• Wenn Sie einen externen Schlüsselspeicher mit Konnektivität eines VPC-Endpunkt-Service mit seinem externen Schlüsselspeicher-Proxy verbinden, führt AWS KMS die folgenden Schritte aus:

  • Bestätigt, dass die Domain für den im Proxy-URI-Endpunkt angegebenen privaten DNS-Namen verifiziert ist.

  • Erstellt einen Schnittstellen-Endpunkt von einer AWS KMS-VPC zu Ihrem VPC-Endpunkt-Service.

  • Erstellt eine private gehostete Zone für den im Proxy-URI-Endpunkt angegebenen privaten DNS-Namen.

  • Sendet eine GetHealthStatus Anforderung an den externen Schlüsselspeicher-Proxy. Eine erfolgreiche Antwort vom Proxy bestätigt, dass der Proxy-URI-Endpunkt und der Proxy-URI-Pfad korrekt und zugänglich sind und dass der Proxy die mit der Proxy-Authentifizierungsanmeldeinformation für den externen Schlüsselspeicher signierte Anforderung authentifiziert hat.

Der Verbindungsvorgang beginnt mit der Verbindung Ihres benutzerdefinierten Schlüsselspeichers, die Verbindung eines externen Schlüsselspeichers mit seinem externen Proxy dauert jedoch etwa fünf Minuten. Eine Erfolgsmeldung des Verbindungsvorgangs bedeutet nicht, dass der externe Schlüsselspeicher verbunden ist. Um zu bestätigen, dass die Verbindung erfolgreich war, verwenden Sie die -AWS KMSKonsole oder die -DescribeCustomKeyStoresOperation, um den Verbindungsstatus Ihres externen Schlüsselspeichers anzuzeigen.

Wenn der Verbindungsstatus FAILED ist, wird in der AWS KMS-Konsole ein Verbindungsfehlercode angezeigt und der DescribeCustomKeyStore-Antwort hinzugefügt. Hilfe zur Interpretation von Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.

Trennen eines externen Schlüsselspeichers

Wenn Sie einen externen Schlüsselspeicher mit Konnektivität eines VPC-Endpunkt-Service von seinem externen Schlüsselspeicher-Proxy trennen, löscht AWS KMS seinen Schnittstellen-Endpunkt zum VPC-Endpunkt-Service und entfernt die Netzwerkinfrastruktur, die zur Unterstützung der Verbindung erstellt wurde. Für externe Schlüsselspeicher mit öffentlicher Endpunktkonnektivität ist kein entsprechender Prozess erforderlich. Diese Aktion wirkt sich weder auf den VPC-Endpunkt-Service oder eine seiner unterstützenden Komponenten noch auf den externen Schlüsselspeicher-Proxy oder externe Komponenten aus.

Während der externe Schlüsselspeicher getrennt ist, sendet AWS KMS keine Anforderungen an den Proxy des externen Schlüsselspeichers. Der Verbindungsstatus des externen Schlüsselspeichers ist DISCONNECTED. Die KMS-Schlüssel im getrennten externen Schlüsselspeicher befinden sich in einem UNAVAILABLE-Schlüsselzustand (es sei denn, sie sind zum Löschen vorgesehen), was bedeutet, dass sie nicht für kryptografische Vorgänge verwendet werden können. Sie können Ihren externen Schlüsselspeicher und die vorhandenen KMS-Schlüssel jedoch weiterhin anzeigen und verwalten.

Der getrennte Zustand ist als vorübergehend und umkehrbar konzipiert. Sie können die Verbindung Ihres externen Schlüsselspeichers jederzeit wieder herstellen. Normalerweise ist keine Neukonfiguration erforderlich. Wenn sich jedoch Eigenschaften des zugehörigen externen Schlüsselspeicher-Proxys geändert haben, während die Verbindung getrennt war, z. B. die Rotation der Anmeldeinformation für die Proxy-Authentifizierung, müssen Sie die Einstellungen des externen Schlüsselspeichers vor der erneuten Verbindung bearbeiten.

Anmerkung

Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.

Um die Auswirkung einer Trennung der Verbindung Ihres externen Schlüsselspeichers besser beurteilen zu können, ermitteln Sie die KMS-Schlüssel im externen Schlüsselspeicher und ihre bisherige Verwendung.

Die Verbindung eines externen Schlüsselspeichers könnte beispielsweise aus folgenden Gründen getrennt werden:

• Zum Bearbeiten seiner Eigenschaften. Sie können den Namen des benutzerdefinierten Schlüsselspeichers, den Proxy-URI-Pfad und die Anmeldeinformation für die Proxy-Authentifizierung bearbeiten, während der externe Schlüsselspeicher verbunden ist. Um jedoch den Typ der Proxy-Konnektivität, den Proxy-URI-Endpunkt oder den Namen des VPC-Endpunkt-Services zu bearbeiten, müssen Sie zunächst die Verbindung des externen Schlüsselspeichers trennen. Details hierzu finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers.

• Zum Beenden der gesamten Kommunikation zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy. Sie können die Kommunikation zwischen AWS KMS und Ihrem Proxy auch beenden, indem Sie Ihren Endpunkt oder VPC-Endpunkt-Service deaktivieren. Darüber hinaus bietet Ihr externer Schlüsselspeicher-Proxy oder Ihre Software zur Schlüsselverwaltungs möglicherweise zusätzliche Mechanismen, um zu verhindern, dass AWS KMS mit dem Proxy kommuniziert oder dass der Proxy auf Ihren externen Schlüsselmanager zugreift.

• Zum Deaktivieren aller KMS-Schlüssel im externen Schlüsselspeicher. Sie können KMS-Schlüssel in einem externen Schlüsselspeicher mithilfe der Konsole oder der -Operation deaktivieren und wieder aktivieren. AWS KMS DisableKey Diese Vorgänge werden schnell abgeschlossen (vorbehaltlich einer letztendlichen Konsistenz), beziehen sich jedoch immer nur auf jeweils einen KMS-Schlüssel. Wenn die Verbindung zum externen Schlüsselspeicher unterbrochen wird, ändert sich der Schlüsselstatus aller KMS-Schlüssel im externen Schlüsselspeicher in Unavailable, sodass sie in keinem kryptografischen Vorgang verwendet werden können.

• Zur Behebung eines fehlgeschlagenen Verbindungsversuchs. Wenn ein Versuch, eine Verbindung für einen externen Schlüsselspeicher herzustellen, fehlschlägt (Verbindungsstatus des benutzerdefinierten Schlüsselspeichers ist FAILED), müssen Sie die Verbindung des externen Schlüsselspeichers trennen, bevor Sie erneut versuchen, eine Verbindung herzustellen.

Verbindungsstatus

Beim Verbinden und Trennen der Verbindung wird der Verbindungsstatus Ihres benutzerdefinierten Schlüsselspeichers geändert. Die Verbindungsstatuswerte sind für AWS CloudHSM-Schlüsselspeicher und externe Schlüsselspeicher identisch.

Um den Verbindungsstatus Ihres benutzerdefinierten Schlüsselspeichers anzuzeigen, verwenden Sie die -DescribeCustomKeyStoresOperation oder die -AWS KMSKonsole. Der Verbindungsstatus wird in jeder Tabelle des benutzerdefinierten Schlüsselspeichers, im Abschnitt General configuration (Allgemeine Konfiguration) der Detailseite jedes benutzerdefinierten Schlüsselspeichers und auf der Registerkarte Cryptographic configuration (Kryptografische Konfiguration) der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher angezeigt. Details dazu finden Sie unter Anzeigen eines AWS CloudHSM-Schlüsselspeichers und Anzeigen eines externen Schlüsselspeichers.

Ein benutzerdefinierter Schlüsselspeicher kann einen der folgenden Verbindungsstatus haben:

• CONNECTED: Der benutzerdefinierte Schlüsselspeicher ist mit seinem Unterstützungsschlüsselspeicher verbunden. Sie können KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher erstellen und verwenden.

  Der Unterstützungsschlüsselspeicher für einen AWS CloudHSM-Schlüsselspeicher ist der zugehörige AWS CloudHSM-Cluster. Der Unterstützungsschlüsselspeicher für einen externen Schlüsselspeicher ist der externe Schlüsselspeicher-Proxy und der externe Schlüsselmanager, den er unterstützt.

  Der Status „CONNECTED“ (VERBUNDEN) bedeutet, dass eine Verbindung erfolgreich war und der benutzerdefinierte Schlüsselspeicher nicht absichtlich getrennt wurde. Er bedeutet nicht, dass die Verbindung ordnungsgemäß funktioniert. Informationen zum Status des AWS CloudHSM Clusters, der Ihrem -AWS CloudHSMSchlüsselspeicher zugeordnet ist, finden Sie unter Abrufen von CloudWatch Metriken für AWS CloudHSM im AWS CloudHSM-Benutzerhandbuch. Informationen zum Status und Betrieb Ihres externen Schlüsselspeichers finden Sie in den Diagrammen im Abschnitt Überwachung auf der Detailseite für jeden externen Schlüsselspeicher. Details hierzu finden Sie unter Überwachung eines externen Schlüsselspeichers.

• CONNECTING: Der Prozess der Verbindung eines benutzerdefinierten Schlüsselspeichers ist im Gange. Dies ist ein vorübergehender Zustand.

• DISCONNECTED: Der benutzerdefinierte Schlüsselspeicher wurde noch nie mit seiner Unterstützung verbunden oder er wurde absichtlich mithilfe der AWS KMS Konsole oder der -DisconnectCustomKeyStoreOperation getrennt.

• DISCONNECTING: Der Prozess der Trennung eines benutzerdefinierten Schlüsselspeichers ist im Gange. Dies ist ein vorübergehender Zustand.

• FAILED: Ein Versuch, den benutzerdefinierten Schlüsselspeicher zu verbinden, ist fehlgeschlagen. Der ConnectionErrorCode in der DescribeCustomKeyStores Antwort weist auf das Problem hin.

Um einen benutzerdefinierten Schlüsselspeicher zu verbinden, muss sein Verbindungsstatus DISCONNECTED sein. Wenn der Verbindungsstatus FAILED lautet, identifizieren und lösen Sie das Problem anhand des ConnectionErrorCode. Trennen Sie dann den benutzerdefinierten Schlüsselspeicher, bevor Sie versuchen, die Verbindung wieder herzustellen. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.

Anzeigen des Verbindungsfehlercodes:

• Zeigen Sie in der DescribeCustomKeyStores Antwort den Wert des -ConnectionErrorCodeElements an. Die DescribeCustomKeyStores-Antwort enthält dieses Element nur, wenn der ConnectionState FAILED ist.

• Zum Anzeigen des Verbindungsfehlercodes in der AWS KMS-Konsole gehen Sie auf die Detailseite des externen Schlüsselspeichers und bewegen Sie den Mauszeiger über den Wert Failed (Fehlgeschlagen.

  

Verbinden eines externen Schlüsselspeichers (Konsole)

Sie können die AWS KMS-Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden.

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

4. Wählen Sie die Zeile des externen Schlüsselspeichers aus, den Sie verbinden möchten.

   Wenn der Verbindungsstatus des externen Schlüsselspeichers FAILED (FEHLGESCHLAGEN) ist, müssen Sie die Verbindung des externen Schlüsselspeichers trennen, bevor Sie ihn verbinden.

5. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Connect (Verbinden) aus.

Der Verbindungsvorgang dauert in der Regel etwa fünf Minuten. Wenn der Vorgang abgeschlossen ist, ändert sich der Verbindungsstatus in CONNECTED (VERBUNDEN).

Wenn der Verbindungsstatus Failed (Fehlgeschlagen) ist, bewegen Sie den Mauszeiger über den Verbindungsstatus, um den Verbindungsfehlercode zu sehen, der die Ursache des Fehlers erklärt. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher. Um einen externen Schlüsselspeicher mit dem Verbindungsstatus Failed (Fehlgeschlagen) zu verbinden, müssen Sie zuerst den benutzerdefinierten Schlüsselspeicher trennen.

Verbinden eines externen Schlüsselspeichers (API)

Um eine Verbindung zu einem getrennten externen Schlüsselspeicher herzustellen, verwenden Sie die -ConnectCustomKeyStoreOperation.

Vor der Verbindung muss der Verbindungsstatus des externen Schlüsselspeichers DISCONNECTED sein. Wenn der Verbindungsstatus FAILED lautet, trennen Sie den externen Schlüsselspeicher und stellen Sie anschließend die Verbindung her.

Der Verbindungsvorgang dauert etwa fünf Minuten. Wenn er nicht schnell fehlschlägt, gibt ConnectCustomKeyStore eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den Verbindungsstatus in der DescribeCustomKeyStores Antwort an.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

Identifizieren Sie den externen Schlüsselspeicher anhand der ID des benutzerdefinierten Schlüsselspeichers. Sie finden die ID auf der Seite Benutzerdefinierte Schlüsselspeicher in der -Konsole oder mithilfe der -DescribeCustomKeyStoresOperation. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Der ConnectCustomKeyStore-Vorgang gibt den ConnectionState nicht in seiner Antwort zurück. Um zu überprüfen, ob der externe Schlüsselspeicher verbunden ist, verwenden Sie die -DescribeCustomKeyStoresOperation. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der ConnectionState-Wert CONNECTED bedeutet, dass der externe Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}

Wenn der ConnectionState-Wert in der DescribeCustomKeyStores-Antwort FAILED lautet, gibt das ConnectionErrorCode-Element den Grund für den Fehler an.

Im folgenden Beispiel bedeutet der Wert XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND für den ConnectionErrorCode, dass AWS KMS den VPC-Endpunkt-Service nicht finden kann, den es für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet. Stellen Sie sicher, dass der XksProxyVpcEndpointServiceName korrekt ist, dass der AWS KMS-Service-Prinzipal ein zulässiger Prinzipal für den VPC-Endpunkt-Service von Amazon ist und dass der VPC-Endpunkt-Service die Annahme von Verbindungsanforderungen nicht erfordert. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}

Trennen eines externen Schlüsselspeichers (Konsole)

Sie können die AWS KMS-Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden. Dieser Vorgang dauert etwa 5 Minuten.

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.

2. Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.

3. Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.

4. Wählen Sie die Zeile des externen Schlüsselspeichers aus, mit dem Sie die Verbindung trennen möchten.

5. Wählen Sie im Menü Key store actions (Schlüsselspeicheraktionen) die Option Disconnect (Verbindung trennen) aus.

Nach Abschluss der Produktion ändert sich der Verbindungsstatus von DISCONNECTING (VERBINDUNG WIRD GETRENNT) in DISCONNECTED (VERBINDUNG GETRENNT). Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt Fehler bei der Verbindung mit dem externen Schlüsselspeicher.

Trennen eines externen Schlüsselspeichers (API)

Um die Verbindung eines verbundenen externen Schlüsselspeichers zu trennen, verwenden Sie die -DisconnectCustomKeyStoreOperation. Wenn die Produktion erfolgreich ausgeführt wurde, gibt AWS KMS eine HTTP-200-Antwort und ein JSON-Objekt ohne Eigenschaften zurück. Der Vorgang dauert etwa fünf Minuten. Verwenden Sie die Operation , um den Verbindungsstatus des externen Schlüsselspeichers zu ermittelnDescribeCustomKeyStores.

Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.

In diesem Beispiel wird die Verbindung eines externen Schlüsselspeichers mit Konnektivität eines VPC-Endpunkt-Service getrennt. Vor der Ausführung dieses Beispiels müssen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine gültige ID ersetzen.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Um zu überprüfen, ob der externe Schlüsselspeicher getrennt ist, verwenden Sie die -DescribeCustomKeyStoresOperation. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der ConnectionState-Wert DISCONNECTED bedeutet, dass in diesem Beispiel der externe Schlüsselspeicher nicht mehr mit seinem externen Schlüsselspeicher-Proxy verbunden ist.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}