Fehlerbehebung bei externen Schlüsselspeichern

Die Lösung der meisten Probleme mit externen Schlüsselspeichern wird durch die Fehlermeldung angezeigt, die bei jeder Ausnahme AWS KMS angezeigt wird, oder durch den Verbindungsfehlercode, der AWS KMS zurückgegeben wird, wenn ein Versuch, den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden, fehlschlägt. Einige Probleme sind jedoch etwas komplexer.

Wenn Sie ein Problem mit einem externen Schlüsselspeicher diagnostizieren, ermitteln Sie zunächst die Ursache. Dadurch wird die Bandbreite der potenziellen Abhilfemaßnahmen eingeschränkt und Ihre Fehlersuche wird effizienter.

• AWS KMS — Das Problem liegt möglicherweise darin AWS KMS, z. B. ein falscher Wert in der Konfiguration Ihres externen Schlüsselspeichers.

• Extern — Das Problem kann außerhalb von liegen AWS KMS, einschließlich Problemen mit der Konfiguration oder dem Betrieb des externen Schlüsselspeicher-Proxys, des externen Schlüsselmanagers, der externen Schlüssel oder des VPC-Endpunktdienstes.

• Netzwerk – Es könnte sich um ein Problem mit der Konnektivität oder dem Netzwerk handeln, z. B. um ein Problem mit Ihrem Proxy-Endpunkt, dem Port oder Ihrem privaten DNS-Namen oder Ihrer Domain.

Anmerkung

Wenn Verwaltungsoperationen für externe Schlüsselspeicher fehlschlagen, generieren sie verschiedene Ausnahmen. AWS KMS Kryptografische Operationen kehren jedoch KMSInvalidStateException bei allen Fehlern zurück, die mit der externen Konfiguration oder dem Verbindungsstatus des externen Schlüsselspeichers zusammenhängen. Identifizieren Sie das Problem anhand des zugehörigen Fehlermeldungstexts.

Der ConnectCustomKeyStoreVorgang ist schnell erfolgreich, bevor der Verbindungsvorgang abgeschlossen ist. Um festzustellen, ob der Verbindungsvorgang erfolgreich ausgeführt wird, sehen Sie sich den Verbindungsstatus des externen Schlüsselspeichers an. Wenn der Verbindungsvorgang fehlschlägt, gibt AWS KMS einen Verbindungsfehlercode zurück, der Aufschluss über die Ursache gibt und Abhilfemaßnahmen vorschlägt.

Tools zur Fehlerbehebung bei externen Schlüsselspeichern

AWS KMS stellt mehrere Tools bereit, mit denen Sie Probleme mit Ihrem externen Schlüsselspeicher und seinen Schlüsseln identifizieren und lösen können. Verwenden Sie diese Tools zusammen mit den Tools, die mit Ihrem externen Schlüsselspeicher-Proxy und Ihrem externen Schlüsselmanager bereitgestellt werden.

Anmerkung

Ihr externer Schlüsselspeicher-Proxy und Ihr externer Schlüsselmanager bieten möglicherweise einfachere Methoden zum Erstellen und Verwalten Ihres externen Schlüsselspeichers und seiner KMS-Schlüssel. Weitere Informationen finden Sie in der Dokumentation Ihrer externen Tools.

AWS KMS Ausnahmen und Fehlermeldungen

AWS KMS bietet eine detaillierte Fehlermeldung zu allen auftretenden Problemen. Weitere Informationen zu AWS KMS Ausnahmen finden Sie in der AWS Key Management Service API-Referenz und in den AWS SDKs. Auch wenn Sie die AWS KMS Konsole verwenden, könnten diese Verweise für Sie hilfreich sein. Sehen Sie sich zum Beispiel die Fehlerliste für die CreateCustomKeyStores-Operation an.

Wenn das Problem in einem anderen AWS Dienst auftritt, z. B. wenn Sie einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, um eine Ressource in einem anderen AWS Dienst zu schützen, stellt der AWS Dienst möglicherweise zusätzliche Informationen zur Verfügung, mit denen Sie das Problem identifizieren können. Wenn der AWS Dienst die Meldung nicht bereitstellt, können Sie die Fehlermeldung in den CloudTrail Protokollen einsehen, in denen die Verwendung Ihres KMS-Schlüssels aufgezeichnet wird.

CloudTrail Logs

Jeder AWS KMS API-Vorgang, einschließlich Aktionen in der AWS KMS Konsole, wird in AWS CloudTrail Protokollen aufgezeichnet. AWS KMS zeichnet einen Protokolleintrag für erfolgreiche und fehlgeschlagene Operationen auf. Bei fehlgeschlagenen Operationen enthält der Protokolleintrag den Namen der AWS KMS -Ausnahme (errorCode) und die Fehlermeldung (errorMessage). Sie können diese Informationen verwenden, um den Fehler zu identifizieren und zu beheben. Ein Beispiel finden Sie unter Fehler bei der Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher.

Der Protokolleintrag enthält auch die Anfrage-ID. Wenn die Anfrage Ihren externen Schlüsselspeicher-Proxy erreicht hat, können Sie mithilfe der Anfrage-ID im Protokolleintrag die entsprechende Anfrage in Ihren Proxy-Protokollen finden, sofern Ihr Proxy sie bereitstellt.

CloudWatch Metriken

AWS KMS zeichnet detaillierte CloudWatch Amazon-Metriken über den Betrieb und die Leistung Ihres externen Schlüsselspeichers auf, darunter Latenz, Drosselung, Proxyfehler, den Status des externen Schlüsselmanagers, die Anzahl der Tage bis zum Ablauf Ihres TLS-Zertifikats und das gemeldete Alter Ihrer Proxy-Authentifizierungsdaten. Sie können diese Metriken verwenden, um Datenmodelle für den Betrieb Ihres externen Schlüsselspeichers und CloudWatch Alarme zu entwickeln, die Sie vor drohenden Problemen warnen, bevor sie auftreten.

Wichtig

AWS KMS empfiehlt, dass Sie CloudWatch Alarme erstellen, um die Messwerte des externen Schlüsselspeichers zu überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Problemen, bevor sie auftreten.

Überwachungsdiagramme

AWS KMS zeigt auf der Detailseite für jeden externen Schlüsselspeicher in der AWS KMS Konsole Diagramme der CloudWatch Messwerte für externe Schlüsselspeicher an. Sie können die Daten in den Diagrammen verwenden, um die Fehlerquelle zu lokalisieren, drohende Probleme zu erkennen, Ausgangswerte festzulegen und Ihre CloudWatch Alarmschwellenwerte zu verfeinern. Einzelheiten zur Interpretation der Überwachungsdiagramme und zur Verwendung der darin enthaltenen Daten finden Sie unter Überwachung eines externen Schlüsselspeichers.

Anzeigen von externen Schlüsselspeichern und KMS-Schlüsseln

AWS KMS zeigt detaillierte Informationen zu Ihren externen Schlüsselspeichern und den KMS-Schlüsseln im externen Schlüsselspeicher in der AWS KMS Konsole sowie in der Antwort auf die AND-Operationen an. DescribeCustomKeyStoresDescribeKey Diese Anzeigen enthalten spezielle Felder für externe Schlüsselspeicher und KMS-Schlüssel mit Informationen, die Sie für die Problembehandlung verwenden können, z. B. den Verbindungsstatus des externen Schlüsselspeichers und die ID des externen Schlüssels, der dem KMS-Schlüssel zugeordnet ist. Details dazu finden Sie unter Anzeigen eines externen Schlüsselspeichers und Anzeigen von KMS-Schlüsseln in einem externen Schlüsselspeicher.

XKS-Proxy-Testclient

AWS KMS stellt einen Open-Source-Testclient bereit, der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der API-Spezifikation für den AWS KMS externen Schlüsselspeicher-Proxy entspricht. Sie können diesen Testclient verwenden, um Probleme mit Ihrem externen Schlüsselspeicher-Proxy zu identifizieren und zu beheben.

Konfigurationsfehler

Wenn Sie einen externen Schlüsselspeicher erstellen, geben Sie Eigenschaftswerte an, die die Konfiguration Ihres externen Schlüsselspeichers umfassen. Dazu zählen beispielsweise die Proxy-Authentifizierungsanmeldeinformation, der Proxy-URI-Endpunkt, der Proxy-URI-Pfad und der Name des VPC-Endpunktservice. Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl und es wird ein Fehler zurückgegeben, der auf den fehlerhaften Wert hinweist.

Viele Konfigurationsprobleme lassen sich beheben, indem der falsche Wert korrigiert wird. Sie können einen ungültigen Proxy-URI-Pfad oder eine ungültige Proxy-Authentifizierungsanmeldeinformation korrigieren, ohne den externen Schlüsselspeicher zu trennen. Definitionen dieser Werte, einschließlich der Anforderungen hinsichtlich der Eindeutigkeit, finden Sie unter Erfüllen der Voraussetzungen. Anweisungen zum Aktualisieren dieser Werte finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers.

Laden Sie beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eine Proxy-Konfigurationsdatei in die AWS KMS -Konsole hoch, um Fehler bei den Werten für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation zu vermeiden. Dies ist eine JSON-basierte Datei mit den Werten für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation, die von Ihrem externen Schlüsselspeicher-Proxy oder vom externen Schlüsselmanager bereitgestellt werden. Sie können keine Proxy-Konfigurationsdatei für AWS KMS API-Operationen verwenden, aber Sie können die Werte in der Datei verwenden, um Parameterwerte für Ihre API-Anfragen bereitzustellen, die den Werten in Ihrem Proxy entsprechen.

Allgemeine Konfigurationsfehler

Ausnahmen: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (kryptografische Operationen), XksProxyInvalidConfigurationException (Verwaltungsoperationen, außer CreateKey)

Verbindungsfehlercodes: XKS_PROXY_INVALID_CONFIGURATION, XKS_PROXY_INVALID_TLS_CONFIGURATION

AWS KMS Testet bei externen Schlüsselspeichern mit öffentlicher Endpunktkonnektivität die Eigenschaftswerte, wenn Sie den externen Schlüsselspeicher erstellen und aktualisieren. Für externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunktservice testet AWS KMS die Eigenschaftswerte, wenn Sie den externen Schlüsselspeicher verbinden und aktualisieren.

Anmerkung

Die ConnectCustomKeyStore-Operation ist asynchron und kann auch dann erfolgreich ausgeführt werden, wenn sich der externe Schlüsselspeicher nicht mit seinem externen Schlüsselspeicher-Proxy verbinden lässt. In diesem Fall gibt es keine Ausnahme, aber der Verbindungsstatus des externen Schlüsselspeichers ist fehlgeschlagen und ein Verbindungsfehlercode erklärt die Fehlermeldung. Weitere Informationen finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher.

Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl XksProxyInvalidConfigurationException und es wird eine der folgenden Fehlermeldungen angezeigt.

Der externe Schlüsselspeicher-Proxy hat die Anfrage aufgrund eines ungültigen URI-Pfads abgelehnt. Überprüfen Sie den URI-Pfad für Ihren externen Schlüsselspeicher und aktualisieren Sie ihn gegebenenfalls.

• Der Proxy-URI-Pfad ist der Basispfad für AWS KMS Anfragen an die Proxy-APIs. Wenn dieser Pfad falsch ist, schlagen alle Anfragen an den Proxy fehl. Verwenden Sie die AWS KMS -Konsole oder die DescribeCustomKeyStores-Operation, um den aktuellen Proxy-URI-Pfad für Ihren externen Schlüsselspeicher anzuzeigen. Wie Sie den richtigen Proxy-URI-Pfad finden, erfahren Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy. Informationen zum Korrigieren des Werts für den Proxy-URI-Pfad finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers.

• Der Proxy-URI-Pfad für Ihren externen Schlüsselspeicher-Proxy kann sich ändern, wenn Ihr externer Schlüsselspeicher-Proxy oder der externe Schlüsselmanager aktualisiert wird. Informationen zu diesen Änderungen finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.

XKS_PROXY_INVALID_TLS_CONFIGURATION AWS KMS kann keine TLS-Verbindung zum externen Schlüsselspeicher-Proxy herstellen. Überprüfen Sie die TLS-Konfiguration, einschließlich des Zertifikats.

• Für alle externen Schlüsselspeicher-Proxys ist ein TLS-Zertifikat erforderlich. Das TLS-Zertifikat muss von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, die für externe Schlüsselspeicher unterstützt wird. Eine Liste der unterstützten Zertifizierungsstellen finden Sie unter Vertrauenswürdige Zertifizierungsstellen in der API-Spezifikation von AWS KMS für externe Schlüsselspeicher-Proxys.

• Für die Konnektivität eines öffentlichen Endpunkts muss der Subject Common Name (CN) auf dem TLS-Zertifikat mit dem Domainnamen im Proxy-URI-Endpunkt für den externen Schlüsselspeicher-Proxy identisch sein. Ist der öffentliche Endpunkt beispielsweise https://myproxy.xks.example.com, muss der CN auf dem TLS-Zertifikat myproxy.xks.example.com oder *.xks.example.com lauten.

• Für die Konnektivität eines VPC-Endpunktservice muss der Subject Common Name (CN) auf dem TLS-Zertifikat mit dem privaten DNS-Namen für Ihren VPC-Endpunktservice übereinstimmen. Wenn der private DNS-Name beispielsweise myproxy-private.xks.example.com ist, muss der CN auf dem TLS-Zertifikat myproxy-private.xks.example.com oder *.xks.example.com lauten.

• Das TLS-Zertifikat darf nicht abgelaufen sein. Verwenden Sie SSL-Tools wie OpenSSL, um das Ablaufdatum eines TLS-Zertifikats zu ermitteln. Verwenden Sie die XksProxyCertificateDaysToExpire CloudWatch Metrik, um das Ablaufdatum eines TLS-Zertifikats zu überwachen, das einem externen Schlüsselspeicher zugeordnet ist. Die Anzahl der Tage bis zum Ablaufdatum Ihrer TLS-Zertifizierung wird auch im Bereich Überwachung der AWS KMS Konsole angezeigt.

• Wenn Sie die Konnektivität eines öffentlichen Endpunkts verwenden, testen Sie Ihre SSL-Konfiguration mithilfe von SSL-Testtools. TLS-Verbindungsfehler können durch eine falsche Zertifikatverkettung verursacht werden.

Konfigurationsfehler bei der Konnektivität eines VPC-Endpunktservice

Ausnahmen: XksProxyVpcEndpointServiceNotFoundException, XksProxyVpcEndpointServiceInvalidConfigurationException

Zusätzlich zu allgemeinen Verbindungsproblemen können beim Erstellen, Verbinden oder Aktualisieren eines externen Schlüsselspeichers mit VPC-Endpunktdienst-Konnektivität die folgenden Probleme auftreten. AWS KMS testet die Eigenschaftswerte eines externen Schlüsselspeichers mit VPC-Endpunktdienst-Konnektivität, während der externe Schlüsselspeicher erstellt, verbunden und aktualisiert wird. Wenn Verwaltungsoperationen aufgrund von Konfigurationsfehlern fehlschlagen, werden die folgenden Ausnahmen generiert:

XksProxyVpcEndpointServiceNotFoundException

Dies kann folgende Ursachen haben:

• Ein falscher Name des VPC-Endpunktservice. Stellen Sie sicher, dass der Name des VPC-Endpunktservice für den externen Schlüsselspeicher korrekt ist und mit dem Wert des Proxy-URI-Endpunkts für den externen Schlüsselspeicher übereinstimmt. Um den VPC-Endpunkt-Servicenamen zu finden, verwenden Sie die Amazon VPC-Konsole oder den DescribeVpcEndpointServicesVorgang. Verwenden Sie die AWS KMS Konsole oder den DescribeCustomKeyStoresVorgang, um den VPC-Endpunktdienstnamen und den Proxy-URI-Endpunkt eines vorhandenen externen Schlüsselspeichers zu ermitteln. Details hierzu finden Sie unter Anzeigen eines externen Schlüsselspeichers.

• Der VPC-Endpunktdienst befindet sich möglicherweise in einem anderen AWS-Region als dem externen Schlüsselspeicher. Stellen Sie sicher, dass sich der VPC-Endpunktservice und der externe Schlüsselspeicher in derselben Region befinden. (Der externe Name des Regionsnamens, z. B.us-east-1, ist Teil des VPC-Endpunktdienstnamens, z. B. com.amazonaws.vpce.us-east-1. vpce-svc-example.) Eine Liste der Anforderungen für den VPC-Endpunktservice für einen externen Schlüsselspeicher finden Sie unter VPC-Endpunktservice. Ein VPC-Endpunktservice oder ein externer Schlüsselspeicher lässt sich nicht in eine andere Region verschieben. Sie können jedoch einen neuen externen Schlüsselspeicher in derselben Region wie der VPC-Endpunktservice erstellen. Details dazu finden Sie unter Konfigurieren der Konnektivität eines VPC-Endpunktservice und Erstellen eines externen Schlüsselspeichers.

• AWS KMS ist kein zulässiger Principal für den VPC-Endpunktdienst. Die Liste der zulässigen Prinzipale für den VPC-Endpunktservice muss den cks.kms.<region>.amazonaws.com-Wert enthalten, etwa cks.kms.eu-west-3.amazonaws.com. Anweisungen zum Hinzufügen dieses Werts finden Sie unter Verwalten von Berechtigungen im AWS PrivateLink -Handbuch.

XksProxyVpcEndpointServiceInvalidConfigurationException

Dieser Fehler tritt auf, wenn der VPC-Endpunktservice eine der folgenden Anforderungen nicht erfüllt:

• Die VPC muss über mindestens zwei private Subnetze verfügen, die in verschiedenen Availability Zones sind. Weitere Informationen zum Hinzufügen eines Subnetzes zu Ihrer VPC finden Sie unter Erstellen eines Subnetzes in der VPC im Amazon VPC-Benutzerhandbuch.

• Der Typ es VPC-Endpunktservice muss einen Network Load Balancer verwenden, keinen Gateway Load Balancer.

• Für den VPC-Endpunktservice darf keine Akzeptanz erforderlich sein (Akzeptanz erforderlich muss auf falsch gesetzt sein.). Wenn jede Verbindungsanforderung manuell akzeptiert werden muss, AWS KMS kann der VPC-Endpunktdienst nicht verwendet werden, um eine Verbindung zum externen Schlüsselspeicher-Proxy herzustellen. Einzelheiten hierzu finden Sie unter Annehmen oder Ablehnen von Verbindungsanforderungen im AWS PrivateLink -Handbuch.

• Der VPC-Endpunktservice muss einen privaten DNS-Namen haben, der eine Subdomain einer öffentlichen Domain ist. Lautet der private DNS-Name beispielsweise https://myproxy-private.xks.example.com, müssen die Domains xks.example.com und example.com über einen öffentlichen DNS-Server verfügen. Informationen zum Anzeigen oder Ändern des privaten DNS-Namens für Ihren VPC-Endpunktservice finden Sie unter Verwalten von DNS-Namen für VPC-Endpunktservices im AWS PrivateLink -Handbuch.

• Der Domain-Verifizierungsstatus der Domain für Ihren privaten DNS-Namen muss verified lauten. Informationen zum Anzeigen und Aktualisieren des Verifizierungsstatus der Domain für Ihren privaten DNS-Namen finden Sie unter Verifizieren der Domain Ihres privaten DNS-Namens. Nachdem Sie den erforderlichen Textdatensatz hinzugefügt haben, kann es einige Minuten dauern, bis der aktualisierte Verifizierungsstatus angezeigt wird.

  Anmerkung

  Eine private DNS-Domain kann nur verifiziert werden, wenn es sich um die Subdomain einer öffentlichen Domain handelt. Andernfalls ändert sich der Verifizierungsstatus der privaten DNS-Domain nicht, auch wenn Sie den erforderlichen TXT-Datensatz hinzugefügt haben.

• Der private DNS-Name des VPC-Endpunktservice muss mit dem Wert des Proxy-URI-Endpunkts für den externen Schlüsselspeicher übereinstimmen. Für einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunktservice muss der Proxy-URI-Endpunkt https:// gefolgt vom privaten DNS-Namen des VPC-Endpunktservice sein. Informationen zum Anzeigen des Werts für den Proxy-URI-Endpunkt finden Sie unter Anzeigen eines externen Schlüsselspeichers. Informationen zum Ändern des Werts für den Proxy-URI-Endpunkt finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers.

Fehler bei der Verbindung mit dem externen Schlüsselspeicher

Das Verbinden eines externen Schlüsselspeichers mit seinem externen Schlüsselspeicher-Proxy dauert etwa fünf Minuten. Sofern sie nicht schnell fehlschlägt, gibt die ConnectCustomKeyStore-Operation eine HTTP-Antwort 200 und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den Verbindungsstatus an. Wenn die Verbindung fehlschlägt, ändert sich der Verbindungsstatus des externen Schlüsselspeichers in einen Verbindungsfehlercode, der die Ursache des Fehlers erklärt, FAILED und es wird ein Verbindungsfehlercode AWS KMS zurückgegeben.

Anmerkung

Wenn der Verbindungsstatus eines benutzerdefinierten Schlüsselspeichers FAILED ist, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, bevor Sie versuchen, ihn wieder zu verbinden. Ein benutzerdefinierter Schlüsselspeicher mit dem Verbindungsstatus FAILED kann nicht verbunden werden.

Anzeigen des Verbindungsstatus eines externen Schlüsselspeichers:

• Sehen Sie sich in der DescribeCustomKeyStoresAntwort den Wert des ConnectionState Elements an.

• In der AWS KMS Konsole wird der Verbindungsstatus in der Tabelle mit dem externen Schlüsselspeicher angezeigt. Außerdem wird auf der Detailseite für jeden externen Schlüsselspeicher der Verbindungsstatus im Abschnitt Allgemeine Konfiguration angezeigt.

Wenn der Verbindungsstatus FAILED lautet, lässt sich mithilfe des Verbindungsfehlercodes der Fehler erklären.

Anzeigen des Verbindungsfehlercodes:

• Sehen Sie sich in der DescribeCustomKeyStoresAntwort den Wert des ConnectionErrorCode Elements an. Die DescribeCustomKeyStores-Antwort enthält dieses Element nur, wenn der ConnectionState FAILED ist.

• Um den Verbindungsfehlercode in der AWS KMS Konsole auf der Detailseite für den externen Schlüsselspeicher anzuzeigen, zeigen Sie mit der Maus auf den Wert Fehlgeschlagen.

  

Verbindungsfehlercodes für externe Schlüsselspeicher

Die folgenden Verbindungsfehlercodes gelten für externe Schlüsselspeicher

INTERNAL_ERROR

AWS KMS konnte die Anfrage aufgrund eines internen Fehlers nicht abschließen. Wiederholen Sie die Anforderung. Trennen Sie bei ConnectCustomKeyStore-Anforderungen den benutzerdefinierten Schlüsselspeicher, bevor Sie die Verbindung wiederherstellen.

INVALID_CREDENTIALS

Einer oder beide XksProxyAuthenticationCredential-Werte sind auf dem angegebenen externen Schlüsselspeicher-Proxy ungültig.

NETWORK_ERRORS

Netzwerkfehler AWS KMS verhindern, dass der benutzerdefinierte Schlüsselspeicher mit seinem Backing-Schlüsselspeicher verbunden werden kann.

XKS_PROXY_ACCESS_DENIED

AWS KMS Anfragen wird der Zugriff auf den externen Schlüsselspeicher-Proxy verweigert. Wenn es für den externen Schlüsselspeicher-Proxy Autorisierungsregeln gibt, stellen Sie sicher, dass diese zulassen, dass AWS KMS in Ihrem Namen mit dem Proxy kommuniziert.

XKS_PROXY_INVALID_CONFIGURATION

Ein Konfigurationsfehler verhindert, dass der externe Schlüsselspeicher eine Verbindung zu seinem Proxy herstellt. Überprüfen Sie den Wert von XksProxyUriPath.

XKS_PROXY_INVALID_RESPONSE

AWS KMS kann die Antwort des externen Schlüsselspeicher-Proxys nicht interpretieren. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.

XKS_PROXY_INVALID_TLS_CONFIGURATION

AWS KMS kann keine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, da die TLS-Konfiguration ungültig ist. Stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy TLS 1.2 oder 1.3 unterstützt. Stellen Sie außerdem sicher, dass das TLS-Zertifikat nicht abgelaufen ist, dass es mit dem Hostnamen im XksProxyUriEndpoint-Wert übereinstimmt und dass es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, die in der Liste der vertrauenswürdigen Zertifizierungsstellen enthalten ist.

XKS_PROXY_NOT_REACHABLE

AWS KMS kann nicht mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Stellen Sie sicher, dass der XksProxyUriEndpoint und der XksProxyUriPath korrekt sind. Überprüfen Sie mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, ob der Proxy aktiv und in seinem Netzwerk verfügbar ist. Stellen Sie außerdem sicher, dass die Instances Ihres externen Schlüsselmanagers ordnungsgemäß funktionieren. Verbindungsversuche schlagen mit diesem Verbindungsfehlercode fehl, wenn der Proxy meldet, dass keine Instance von externen Schlüsselmanagern verfügbar ist.

XKS_PROXY_TIMED_OUT

AWS KMS kann eine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, aber der Proxy reagiert nicht AWS KMS innerhalb der zugewiesenen Zeit. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.

XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION

Die Konfiguration des Amazon VPC-Endpunktdienstes entspricht nicht den Anforderungen für einen AWS KMS externen Schlüsselspeicher.

• Der VPC-Endpunktservice muss ein Endpunktservice für Schnittstellen-Endpunkte im AWS-Konto des Aufrufers sein.

• Er muss über einen Network Load Balancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die jeweils in einer anderen Availability Zone liegen.

• Die Allow principals Liste muss den AWS KMS Service Principal für die Region enthaltencks.kms.<region>.amazonaws.com, z. B. cks.kms.us-east-1.amazonaws.com

• Er darf keine Annahme von Verbindungsanforderungen verlangen.

• Er muss einen privaten DNS-Namen haben. Der private DNS-Name für einen externen Schlüsselspeicher mit VPC_ENDPOINT_SERVICE-Konnektivität muss in seiner AWS-Region eindeutig sein.

• Der Verifizierungsstatus der Domain des privaten DNS-Namens muss verified lauten.

• Das TLS-Zertifikat gibt den privaten DNS-Hostnamen an, unter dem der Endpunkt erreichbar ist.

XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND

AWS KMS kann den VPC-Endpunktdienst, den er für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht finden. Stellen Sie sicher, dass der XksProxyVpcEndpointServiceName korrekt ist und der AWS KMS -Service-Prinzipal über Service-Verbraucher-Berechtigungen für den Amazon VPC-Endpunktservice verfügt.

Latenz- und Zeitüberschreitungsfehler

Ausnahmen: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (kryptografische Operationen), XksProxyUriUnreachableException (Verwaltungsoperationen)

Verbindungsfehlercodes: XKS_PROXY_NOT_REACHABLE, XKS_PROXY_TIMED_OUT

Wenn der Proxy innerhalb des Timeout-Intervalls von 250 Millisekunden nicht kontaktiert werden AWS KMS kann, wird eine Ausnahme zurückgegeben. CreateCustomKeyStoreund UpdateCustomKeyStore kehre zurück. XksProxyUriUnreachableException Kryptografische Operationen geben die Standard-KMSInvalidStateException mit einer Fehlermeldung zurück, die das Problem beschreibt. Falls dies ConnectCustomKeyStore fehlschlägt, wird ein Verbindungsfehlercode AWS KMS zurückgegeben, der das Problem beschreibt.

Zeitüberschreitungsfehler können vorübergehende Probleme sein, die sich durch das Wiederholen der Anforderung beheben lassen. Wenn dieses Problem weiterhin auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein Proxy-URI-Endpunkt, der Proxy-URI-Pfad und der Name des VPC-Endpunktservice (sofern vorhanden) in Ihrem externen Schlüsselspeicher korrekt sind. Stellen Sie außerdem sicher, dass sich Ihr externer Schlüsselmanager in der Nähe des AWS-Region für Ihren externen Schlüsselspeicher befindet. Wenn Sie einen dieser Werte aktualisieren müssen, finden Sie unter Bearbeiten der Eigenschaften eines externen Schlüsselspeichers weitere Informationen.

Um Latenzmuster zu verfolgen, verwenden Sie die XksProxyLatency CloudWatch Metrik und das Diagramm mit der durchschnittlichen Latenz (basierend auf dieser Metrik) im Bereich Überwachung der AWS KMS Konsole. Ihr externer Schlüsselspeicher-Proxy generiert möglicherweise ebenfalls Protokolle und Metriken, die Latenz und Zeitüberschreitungen erfassen.

XksProxyUriUnreachableException AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein Endpunkt-URI in Ihrem externen Schlüsselspeicher korrekt sind.

• Der externe Schlüsselspeicher-Proxy hat innerhalb des Timeout-Intervalls von 250 Millisekunden nicht auf eine AWS KMS Proxy-API-Anfrage geantwortet. Dies kann auf ein vorübergehendes Netzwerkproblem oder ein Betriebs- oder Leistungsproblem mit dem Proxy hinweisen. Wenn ein erneuter Versuch das Problem nicht löst, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.

Latenz- und Zeitüberschreitungsfehler äußern sich häufig als Verbindungsfehler. Wenn der ConnectCustomKeyStoreVorgang fehlschlägt, ändert sich der Verbindungsstatus des externen Schlüsselspeichers in einen Verbindungsfehlercode, der den Fehler FAILED erklärt, und es wird ein Verbindungsfehlercode AWS KMS zurückgegeben. Eine Liste der Verbindungsfehlercodes und Vorschläge zur Behebung der Fehler finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher. Die Verbindungscodelisten für alle benutzerdefinierten Schlüsselspeicher und externe Schlüsselspeicher gelten für externe Schlüsselspeicher. Die folgenden Verbindungsfehler stehen im Zusammenhang mit der Latenz und Zeitüberschreitungen.

XKS_PROXY_NOT_REACHABLE –oder– CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommunizieren. Überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein URI-Pfad und Endpunkt-URI oder der Name des VPC-Service in Ihrem externen Schlüsselspeicher korrekt sind.

Dieser Fehler kann aus folgenden Gründen auftreten:

• Der externe Schlüsselspeicher-Proxy ist nicht aktiv bzw. nicht mit dem Netzwerk verbunden.

• Bei den Werten für den Proxy-URI-Endpunkt, den Proxy-URI-Pfad oder den Namen des VPC-Endpunktservice (sofern zutreffend) in der Konfiguration des externen Schlüsselspeichers ist ein Fehler aufgetreten. Um die Konfiguration des externen Schlüsselspeichers anzuzeigen, verwenden Sie den DescribeCustomKeyStoresVorgang oder rufen Sie die Detailseite für den externen Schlüsselspeicher in der AWS KMS Konsole auf.

• Möglicherweise liegt ein Netzwerkkonfigurationsfehler, z. B. ein Portfehler, auf dem Netzwerkpfad zwischen dem externen Schlüsselspeicher-Proxy AWS KMS und dem externen Schlüsselspeicher-Proxy vor. AWS KMS kommuniziert mit dem externen Schlüsselspeicher-Proxy auf Port 443. Dieser Wert kann nicht konfiguriert werden.

• Wenn der externe Schlüsselspeicher-Proxy (in einer GetHealthStatusAntwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sindUNAVAILABLE, schlägt der ConnectCustomKeyStoreVorgang mit einem ConnectionErrorCode von XKS_PROXY_NOT_REACHABLE fehl. Weitere Informationen hierzu finden Sie in der Dokumentation Ihres externen Schlüsselmanagers.

• Dieser Fehler kann auf eine große physische Entfernung zwischen dem externen Schlüsselmanager und AWS-Region dem externen Schlüsselspeicher zurückzuführen sein. Die Ping-Latenz (Network Round-Trip Time (RTT)) zwischen dem AWS-Region und dem externen Schlüsselmanager darf nicht mehr als 35 Millisekunden betragen. Möglicherweise müssen Sie einen externen Schlüsselspeicher in einem Bereich einrichten AWS-Region , der sich näher am externen Schlüsselmanager befindet, oder den externen Schlüsselmanager in ein Rechenzentrum verschieben, das näher am. AWS-Region

XKS_PROXY_TIMED_OUT –oder– CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException AWS KMS hat die Anforderung abgelehnt, da der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat. Wiederholen Sie die Anforderung. Wenn Sie diesen Fehler wiederholt sehen, melden Sie ihn dem Administrator für Ihren externen Schlüsselspeicher-Proxy.

Dieser Fehler kann aus folgenden Gründen auftreten:

• Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.

• Timeoutfehler können auftreten, wenn der Proxy nicht darauf ausgelegt ist, das Volumen und die Häufigkeit der Anfragen von AWS KMS zu verarbeiten. Wenn Ihre CloudWatch Messwerte auf ein anhaltendes Problem hinweisen, benachrichtigen Sie Ihren Proxyadministrator für den externen Schlüsselspeicher.

• Zeitüberschreitungsfehler können auftreten, wenn die Verbindung zwischen dem externen Schlüsselmanager und der Amazon VPC für den externen Schlüsselspeicher nicht ordnungsgemäß funktioniert. Wenn Sie verwenden AWS Direct Connect, stellen Sie sicher, dass Ihre VPC und der externe Schlüsselmanager effektiv kommunizieren können. Hilfe zur Lösung von Problemen finden Sie AWS Direct Connect im AWS Direct Connect Benutzerhandbuch unter Problembehandlung.

XKS_PROXY_TIMED_OUT –oder– CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException Der externe Schlüsselspeicher-Proxy hat nicht in der vorgesehenen Zeit auf die Anforderung geantwortet. Wiederholen Sie die Anforderung. Wenn Sie diesen Fehler wiederholt sehen, melden Sie ihn dem Administrator für Ihren externen Schlüsselspeicher-Proxy.

• Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.

Fehler mit der Anmeldeinformation für die Authentifizierung

Ausnahmen: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (kryptografische Operationen), XksProxyIncorrectAuthenticationCredentialException (Verwaltungsoperationen außer CreateKey)

Sie richten Anmeldeinformationen für die Authentifizierung AWS KMS auf Ihrem externen Schlüsselspeicher-Proxy ein und verwalten diese. Anschließend geben Sie die Werte AWS KMS der Anmeldeinformationen an, wenn Sie einen externen Schlüsselspeicher erstellen. Wenn Sie die Anmeldeinformation für die Authentifizierung ändern möchten, nehmen Sie diese Änderung auf Ihrem externen Schlüsselspeicher-Proxy vor. Aktualisieren Sie danach die Anmeldeinformation für Ihren externen Schlüsselspeicher. Wenn Ihr Proxy die Anmeldeinformation rotiert, müssen Sie sie für Ihren externen Schlüsselspeicher aktualisieren.

Wenn der externe Schlüsselspeicher-Proxy eine mit der Proxy-Authentifizierungsanmeldeinformation für Ihren externen Schlüsselspeicher signierte Anforderung nicht authentifiziert, hängt es von der Anforderung ab, was geschieht:

• CreateCustomKeyStore und UpdateCustomKeyStore schlagen mit einem XksProxyIncorrectAuthenticationCredentialException fehl.

• ConnectCustomKeyStore wird erfolgreich ausgeführt, aber die Verbindung schlägt fehl. Der Verbindungsstatus ist FAILED und der Verbindungsfehlercode lautet INVALID_CREDENTIALS. Details hierzu finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher.

• Kryptografische Operationen geben KMSInvalidStateException für alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher zurück. Die zugehörige Fehlermeldung beschreibt das Problem.

Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er AWS KMS nicht authentifizieren konnte. Überprüfen Sie die Anmeldeinformationen für Ihren externen Schlüsselspeicher und aktualisieren Sie sie gegebenenfalls.

Dieser Fehler kann aus folgenden Gründen auftreten:

• Die Zugriffsschlüssel-ID oder der geheime Zugriffsschlüssel für den externen Schlüsselspeicher stimmt nicht mit den Werten überein, die auf dem externen Schlüsselspeicher-Proxy festgelegt wurden.

  Um diesen Fehler zu beheben, aktualisieren Sie die Proxy-Authentifizierungsanmeldeinformation für Ihren externen Schlüsselspeicher. Sie können diese Änderung vornehmen, ohne Ihren externen Schlüsselspeicher zu trennen.

• Ein Reverse-Proxy zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy könnte HTTP-Header so manipulieren, dass die SigV4-Signaturen ungültig werden. Um diesen Fehler zu beheben, benachrichtigen Sie den Administrator für Ihren Proxy.

Fehler mit dem Schlüsselstatus

Ausnahmen: KMSInvalidStateException

KMSInvalidStateException wird für zwei verschiedene Zwecke für KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern verwendet.

• Wenn ein Verwaltungsvorgang (z. B. CancelKeyDeletion) fehlschlägt und diese Ausnahme zurückgibt, bedeutet dies, dass der Schlüsselstatus des KMS-Schlüssels nicht mit der Operation kompatibel ist.

• Wenn eine kryptografische Operation für einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher mit KMSInvalidStateException fehlschlägt, kann dies auf ein Problem mit dem Schlüsselstatus des KMS-Schlüssels hindeuten. KMSInvalidStateExceptionBei allen externen Konfigurationsfehlern und Verbindungsstatusfehlern in einem externen Schlüsselspeicher wird jedoch ein AWS KMS kryptografischer Vorgang zurückgegeben. Identifizieren Sie das Problem anhand der Fehlermeldung, die zusammen mit der Ausnahme angezeigt wird.

Informationen zum erforderlichen Schlüsselstatus für AWS KMS API-Operationen finden Sie unterWichtige Zustände von AWS KMS Schlüsseln. Um den Schlüsselstatus eines KMS-Schlüssels zu ermitteln, zeigen Sie auf der Seite Customer managed keys (Kundenverwaltete Schlüssel) das Feld Status des KMS-Schlüssels an. Oder verwenden Sie die DescribeKeyOperation und sehen Sie sich das KeyState Element in der Antwort an. Details hierzu finden Sie unter Anzeigen von Schlüsseln.

Anmerkung

Der Schlüsselstatus eines KMS-Schlüssels in einem externen Schlüsselspeicher sagt nichts über den Status des zugehörigen externen Schlüssels aus. Informationen zum Status des externen Schlüssels finden Sie mithilfe Ihres externen Schlüsselmanagers und der Tools für den externen Schlüsselspeicher-Proxy.

Die CustomKeyStoreInvalidStateException bezieht sich auf den Verbindungsstatus des externen Schlüsselspeichers, nicht auf den Schlüsselstatus eines KMS-Schlüssels.

Eine kryptografische Operation für einen KMS-Schlüssel in einem benutzerdefinierten Speicher schlägt möglicherweise fehl, weil der Schlüsselstatus des KMS-Schlüssels Unavailable oder PendingDeletion lautet. (Deaktivierte Schlüssel geben DisabledException zurück.)

• Ein KMS-Schlüssel hat nur dann einen Disabled Schlüsselstatus, wenn Sie den KMS-Schlüssel in der AWS KMS Konsole oder mithilfe des DisableKeyVorgangs absichtlich deaktivieren. Wenn ein KMS-Schlüssel deaktiviert ist, können Sie ihn anzeigen und verwalten, ihn jedoch nicht für kryptographische Operationen verwenden. Um dieses Problem zu beheben, aktivieren Sie den Schlüssel. Details hierzu finden Sie unter Aktivieren und Deaktivieren von Schlüsseln.

• Ein KMS-Schlüssel hat den Schlüsselstatus Unavailable, wenn der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt ist. Um die Nichtverfügbarkeit eines KMS-Schlüssels zu beheben, verbinden Sie den externen Schlüsselspeicher wieder. Wenn der externe Schlüsselspeicher wieder verbunden ist, wechselt der Schlüsselstatus der KMS-Schlüssel im externen Schlüsselspeicher automatisch wieder zum vorherigen Status, etwa zu Enabled oder Disabled.

  Ein KMS-Schlüssel hat den Schlüsselstatus PendingDeletion, wenn seine Löschung geplant ist und er darauf wartet. Ein Schlüsselstatusfehler bei einem KMS-Schlüssel, dessen Löschung aussteht, bedeutet, dass der Schlüssel nicht gelöscht werden sollte – entweder, weil er für die Verschlüsselung verwendet wird oder weil er für die Entschlüsselung erforderlich ist. Um den KMS-Schlüssel erneut zu aktivieren, brechen Sie den geplanten Löschvorgang ab und aktivieren Sie dann den Schlüssel. Details hierzu finden Sie unter Planen und Abbrechen der Löschung eines Schlüssels.

Entschlüsselungsfehler

Ausnahmen: KMSInvalidStateException

Wenn ein Entschlüsselungsvorgang mit einem KMS-Schlüssel in einem externen Schlüsselspeicher fehlschlägt, wird der Standard AWS KMS KMSInvalidStateException zurückgegeben, den kryptografische Operationen für alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher verwenden. Die Fehlermeldung, die das Problem angibt.

Zum Entschlüsseln eines Geheimtexts, der mit doppelter Verschlüsselung verschlüsselt wurde, verwendet der externe Schlüsselmanager zunächst den externen Schlüssel, um die äußere Geheimtextschicht zu entschlüsseln. AWS KMS Verwendet dann das AWS KMS Schlüsselmaterial im KMS-Schlüssel, um die innere Chiffretextschicht zu entschlüsseln. Ein ungültiger oder beschädigter Geheimtext kann vom externen Schlüsselmanager oder von AWS KMS abgelehnt werden.

Die folgenden Fehlermeldungen werden zusammen mit der KMSInvalidStateException angezeigt, wenn die Entschlüsselung fehlschlägt. Sie deuten auf ein Problem mit dem Geheimtext oder dem optionalen Verschlüsselungskontext in der Anfrage hin.

Der externe Schlüsselspeicher-Proxy hat die Anforderung, da der angegebene Geheimtext oder zusätzliche authentifizierte Daten beschädigt sind, fehlen oder anderweitig ungültig sind.

• Wenn der externe Schlüsselspeicher-Proxy oder der externe Schlüsselmanager meldet, dass ein Chiffretext oder sein Verschlüsselungskontext ungültig ist, deutet dies in der Regel auf ein Problem mit dem Chiffretext oder dem Verschlüsselungskontext in der Anforderung hin, an die gesendet wurde. Decrypt AWS KMS Bei Decrypt Vorgängen AWS KMS sendet der Proxy denselben Chiffretext und denselben Verschlüsselungskontext, den er in der Anfrage empfängt. Decrypt

  Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die Decrypt-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der Geheimtext nicht geändert oder beschädigt wurde. Stellen Sie außerdem sicher, dass der Verschlüsselungskontext in der Decrypt Anfrage mit dem Verschlüsselungskontext in der Anfrage AWS KMS übereinstimmt, mit der die Daten verschlüsselt wurden.

Der Geheimtext, den der externe Schlüsselspeicher-Proxy zur Entschlüsselung übermittelt hat, oder der Verschlüsselungskontext ist beschädigt, fehlt oder ist anderweitig ungültig.

• Wenn der vom Proxy empfangene AWS KMS Chiffretext zurückgewiesen wird, bedeutet dies, dass der externe Schlüsselmanager oder der Proxy einen ungültigen oder beschädigten Chiffretext zurückgegeben hat. AWS KMS

  Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die Decrypt-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der externe Schlüsselmanager ordnungsgemäß funktioniert und dass der externe Schlüsselspeicher-Proxy den Chiffretext, den er vom externen Schlüsselmanager empfängt, nicht ändert, bevor er ihn zurückgibt. AWS KMS

Fehler mit externen Schlüsseln

Ein externer Schlüssel ist ein kryptografischer Schlüssel im externen Schlüsselmanager, der als externes Schlüsselmaterial für einen KMS-Schlüssel dient. AWS KMS kann nicht direkt auf den externen Schlüssel zugreifen. Es muss den externen Schlüsselmanager über den externen Schlüsselspeicher-Proxy bitten, den externen Schlüssel zum Verschlüsseln von Daten oder zum Entschlüsseln eines Geheimtextes zu verwenden.

Sie geben die ID des externen Schlüssels in seinem externen Schlüsselmanager an, wenn Sie einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem der KMS-Schlüssel erstellt wurde. Um Probleme mit dem KMS-Schlüssel zu vermeiden, fordert die CreateKey-Operation den externen Schlüsselspeicher-Proxy auf, die ID und Konfiguration des externen Schlüssels zu verifizieren. Wenn der externe Schlüssel nicht den Anforderungen für die Verwendung mit einem KMS-Schlüssel entspricht, schlägt die CreateKey-Operation mit einer Ausnahme und einer Fehlermeldung fehl, die Aufschluss über das Problem gibt.

Aber auch nach der Erstellung des KMS-Schlüssels können Probleme auftreten. Wenn eine kryptografische Operation aufgrund eines Problems mit dem externen Schlüssel fehlschlägt, schlägt die Operation fehl und gibt eine KMSInvalidStateException mit einer Fehlermeldung zurück, die das Problem angibt.

CreateKey Fehler für den externen Schlüssel

Ausnahmen: XksKeyAlreadyInUseException, XksKeyNotFoundException, XksKeyInvalidConfigurationException

Der CreateKeyVorgang versucht, die ID und die Eigenschaften des externen Schlüssels zu überprüfen, den Sie im Parameter Externe Schlüssel-ID (Konsole) oder XksKeyId (API) angeben. Dies dient dazu, Fehler frühzeitig zu erkennen, bevor Sie versuchen, den externen Schlüssel zusammen mit dem KMS-Schlüssel zu verwenden.

Externer Schlüssel wird verwendet

Jeder KMS-Schlüssel in einem externen Schlüsselspeicher muss einen anderen externen Schlüssel verwenden. Wenn CreateKey erkannt wird, dass die externe Schlüssel-ID (XksKeyId) für einen KMS-Schlüssel im externen Schlüsselspeicher nicht eindeutig ist, schlägt der Vorgang mit einer fehlXksKeyAlreadyInUseException.

Wenn Sie mehrere IDs für denselben externen Schlüssel verwenden, erkennt CreateKey das Duplikat nicht. KMS-Schlüssel mit demselben externen Schlüssel sind jedoch nicht interoperabel, da sie unterschiedliche AWS KMS Schlüsselmaterialien und Metadaten haben.

Externer Schlüssel nicht gefunden

Wenn der Proxy für den externen Schlüsselspeicher meldet, dass er den externen Schlüssel mithilfe der externen Schlüssel-ID (XksKeyId) für den KMS-Schlüssel nicht finden kann, schlägt der CreateKey Vorgang fehl und es wird die folgende Fehlermeldung angezeigt. XksKeyNotFoundException

Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte.

Dieser Fehler kann aus folgenden Gründen auftreten:

• Die ID des externen Schlüssels (XksKeyId) für den KMS-Schlüssel ist möglicherweise ungültig. Die ID Ihres externen Schlüssels, den der Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager.

• Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Wenn der externe Schlüssel dauerhaft gelöscht wird, verwenden Sie einen anderen externen Schlüssel zusammen mit dem KMS-Schlüssel. Eine Liste der Anforderungen für den externen Schlüssel finden Sie unter Anforderungen an einen KMS-Schlüssel in einem externen Schlüsselspeicher.

Anforderungen an externe Schlüssel nicht erfüllt

Wenn der externe Schlüsselspeicher-Proxy meldet, dass der externe Schlüssel die Anforderungen für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, schlägt die CreateKey-Operation fehl und gibteine XksKeyInvalidConfigurationException mit einer der folgenden Fehlermeldungen zurück.

Die Schlüsselspezifikation des externen Schlüssels muss AES_256 sein. Die Schlüsselspezifikation des angegebenen externen Schlüssels lautet <key-spec>.

• Der externe Schlüssel muss ein symmetrischer 256-Bit-Verschlüsselungsschlüssel mit der Schlüsselspezifikation AES_256 sein. Wenn es sich bei dem angegebenen externen Schlüssel um einen anderen Typ handelt, geben Sie die ID eines externen Schlüssels an, der diese Anforderung erfüllt.

Der Status des externen Schlüssels muss ENABLED (AKTIVIERT) sein. Der Status des angegebenen externen Schlüssels ist <status>.

• Der externe Schlüssel muss im externen Schlüsselmanager aktiviert sein. Wenn der angegebene externe Schlüssel nicht aktiviert ist, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um ihn zu aktivieren, oder geben Sie einen aktivierten externen Schlüssel an.

Die Schlüsselnutzung des externen Schlüssels muss ENCRYPT (VERSCHLÜSSELN) und DECRYPT (ENTSCHLÜSSELN) beinhalten. Die Schlüsselnutzung des angegebenen externen Schlüssels ist <key-usage>.

• Der externe Schlüssel muss für die Verschlüsselung und Entschlüsselung im externen Schlüsselmanager konfiguriert sein. Wenn der angegebene externe Schlüssel diese Operationen nicht beinhaltet, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um die Operationen zu ändern, oder geben Sie einen anderen externen Schlüssel an.

Kryptografische Operationsfehler für den externen Schlüssel

Ausnahmen: KMSInvalidStateException

Wenn der externe Schlüsselspeicher-Proxy den mit dem KMS-Schlüssel verknüpften externen Schlüssel nicht finden kann oder der externe Schlüssel die Anforderungen für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, schlägt die kryptografische Operation fehl.

Probleme mit externen Schlüsseln, die bei einer kryptografischen Operation erkannt werden, sind schwieriger zu beheben als Probleme mit externen Schlüsseln, die vor der Erstellung des KMS-Schlüssels erkannt wurden. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem der KMS-Schlüssel erstellt wurde. Wenn mit dem KMS-Schlüssel noch keine Daten verschlüsselt wurden, können Sie ihn löschen und einen neuen KMS-Schlüssel mit einer anderen ID für den externen Schlüssel erstellen. Der mit dem KMS-Schlüssel generierte Chiffretext kann jedoch nicht mit einem anderen KMS-Schlüssel entschlüsselt werden, auch nicht mit einem mit demselben externen Schlüssel, da Schlüssel unterschiedliche Schlüsselmetadaten und anderes Schlüsselmaterial haben. AWS KMS Verwenden Sie stattdessen nach Möglichkeit die Tools Ihres externen Schlüsselmanagers, um das Problem mit dem externen Schlüssel zu beheben.

Wenn der externe Schlüsselspeicher-Proxy ein Problem mit dem externen Schlüssel meldet, geben kryptografische Operationen eine KMSInvalidStateException mit einer Fehlermeldung zurück, die das Problem identifiziert.

Externer Schlüssel nicht gefunden

Wenn der externe Schlüsselspeicher-Proxy meldet, dass er den externen Schlüssel mithilfe der externen Schlüssel-ID (XksKeyId) für den KMS-Schlüssel nicht finden kann, geben kryptografische Operationen a KMSInvalidStateException mit der folgenden Fehlermeldung zurück.

Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte.

Dieser Fehler kann aus folgenden Gründen auftreten:

• Die ID des externen Schlüssels (XksKeyId) für den KMS-Schlüssel ist nicht mehr gültig.

  Die ID des externen Schlüssels, der Ihrem KMS-Schlüssel zugeordnet ist, finden Sie in den Details des KMS-Schlüssels. Die ID, die Ihr externer Schlüssel-Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager.

  AWS KMS überprüft die externe Schlüssel-ID, wenn ein KMS-Schlüssel in einem externen Schlüsselspeicher erstellt wird. Die ID kann jedoch ungültig werden, insbesondere wenn der Wert der ID des externen Schlüssels ein Alias oder ein veränderbarer Name ist. Sie können die einem vorhandenen KMS-Schlüssel zugeordnete ID des externen Schlüssels nicht ändern. Um einen Geheimtext zu entschlüsseln, der unter dem KMS-Schlüssel verschlüsselt wurde, müssen Sie den externen Schlüssel erneut der vorhandenen ID des externen Schlüssels zuordnen.

  Wenn Sie den KMS-Schlüssel noch nicht zum Verschlüsseln von Daten verwendet haben, können Sie einen neuen KMS-Schlüssel mit einer gültigen ID des externen Schlüssels erstellen. Haben Sie jedoch mit dem KMS-Schlüssel Geheimtext generiert, können Sie diesen Geheimtext mit keinem anderen KMS-Schlüssel entschlüsseln, selbst wenn derselbe externe Schlüssel verwendet wird.

• Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Versuchen Sie nach Möglichkeit, das Schlüsselmaterial aus einer Kopie oder einem Backup Ihres externen Schlüsselmanagers wiederherzustellen. Wenn der externe Schlüssel dauerhaft gelöscht wird, kann der unter dem zugehörigen KMS-Schlüssel verschlüsselte Geheimtext nicht wiederhergestellt werden.

Fehler bei der Konfiguration externer Schlüssel

Wenn der externe Schlüsselspeicher-Proxy meldet, dass der externe Schlüssel die Anforderungen für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, gibt die kryptografische Operation eine KMSInvalidStateException mit einer der folgenden Fehlermeldungen zurück.

Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da der externe Schlüssel die angeforderte Operation nicht unterstützt.

• Der externe Schlüssel muss sowohl die Verschlüsselung als auch die Entschlüsselung unterstützen. Wenn die Schlüsselnutzung keine Verschlüsselung und Entschlüsselung beinhaltet, ändern Sie die Schlüsselnutzung mithilfe der Tools Ihres externen Schlüsselmanagers.

Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da der externe Schlüssel im externen Schlüsselmanager nicht aktiviert ist.

• Der externe Schlüssel muss im externen Schlüsselmanager aktiviert und für die Verwendung verfügbar sein. Wenn der Status des externen Schlüssels nicht Enabled lautet, aktivieren Sie ihn mithilfe der Tools Ihres externen Schlüsselmanagers.

Proxy-Probleme

Ausnahmen:

CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (kryptografische Operationen), UnsupportedOperationException, XksProxyUriUnreachableException, XksProxyInvalidResponseException (Verwaltungsoperationen außer CreateKey)

Der externe Schlüsselspeicher-Proxy vermittelt die gesamte Kommunikation zwischen AWS KMS und dem externen Schlüsselmanager. Er übersetzt generische AWS KMS Anfragen in ein Format, das Ihr externer Schlüsselmanager verstehen kann. Wenn der externe Schlüsselspeicher-Proxy nicht der API-Spezifikation für den AWS KMS externen Schlüsselspeicher-Proxy entspricht oder wenn er nicht ordnungsgemäß funktioniert oder nicht mit ihm kommunizieren kann AWS KMS, können Sie in Ihrem externen Schlüsselspeicher keine KMS-Schlüssel erstellen oder verwenden.

In vielen Fehlermeldungen wird der externe Schlüsselspeicher-Proxy erwähnt, weil er eine wichtige Rolle in der Architektur des externen Schlüsselspeichers spielt. Diese Probleme können ihren Ursprung aber im externen Schlüsselmanager oder im externen Schlüssel haben.

Die Probleme in diesem Abschnitt beziehen sich auf Probleme beim Design oder Betrieb des externen Schlüsselspeicher-Proxys. Zum Beheben dieser Probleme ist möglicherweise eine Änderung an der Proxysoftware erforderlich. Wenden Sie sich an den Administrator für Ihren Proxy. Um Sie bei der Diagnose von Proxy-Problemen zu unterstützen, stellt AWS KMS einen Open-Source-Testclient bereit (XKS-Proxy-Textclient), der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der API-Spezifikation von AWS KMS für externe Schlüsselspeicher-Proxys entspricht.

CustomKeyStoreInvalidStateException, KMSInvalidStateException oder XksProxyUriUnreachableException Der externe Schlüsselspeicher-Proxy hat einen fehlerhaften Status. Wenn Sie diese Meldung wiederholt sehen, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.

• Dieser Fehler kann auf ein Betriebsproblem oder einen Softwarefehler im externen Schlüsselspeicher-Proxy hindeuten. Sie können CloudTrail Protokolleinträge für den AWS KMS API-Vorgang finden, der die einzelnen Fehler generiert hat. Dieser Fehler kann möglicherweise durch das erneute Ausführen der Operation behoben werden. Sollte er jedoch weiterhin bestehen, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.

• Wenn der externe Schlüsselspeicher-Proxy (in einer GetHealthStatusAntwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sindUNAVAILABLE, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen oder zu aktualisieren, mit dieser Ausnahme fehl. Wenn dieser Fehler weiterhin besteht, lesen Sie in der Dokumentation Ihres externen Schlüsselmanagers nach.

CustomKeyStoreInvalidStateException, KMSInvalidStateException oder XksProxyInvalidResponseException AWS KMS kann die Antwort des externen Schlüsselspeicher-Proxys nicht interpretieren. Wenn Sie diesen Fehler wiederholt sehen, ziehen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy zurate.

• AWS KMS Operationen erzeugen diese Ausnahme, wenn der Proxy eine undefinierte Antwort zurückgibt, die AWS KMS nicht analysiert oder interpretiert werden kann. Dieser Fehler kann gelegentlich aufgrund vorübergehender externer Probleme oder sporadischer Netzwerkfehler auftreten. Wenn das Problem jedoch weiterhin besteht, kann dies darauf hindeuten, dass der externe Schlüsselspeicher-Proxy nicht der API-Spezifikation von AWS KMS für den externen Schlüsselspeicher-Proxy entspricht. Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.

CustomKeyStoreInvalidStateException, KMSInvalidStateException oder UnsupportedOperationException Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da er die angeforderte kryptografische Operation nicht unterstützt.

• Der externe Schlüsselspeicher-Proxy sollte alle Proxy-APIs unterstützen, die in der API-Spezifikation von AWS KMS für den externen Schlüsselspeicher-Proxy definiert sind. Dieser Fehler deutet darauf hin, dass der Proxy die Operation, die mit der Anforderung zusammenhängt, nicht unterstützt. Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.

Probleme mit der Proxy-Autorisierung

Ausnahmen: CustomKeyStoreInvalidStateException, KMSInvalidStateException

Einige externe Schlüsselspeicher-Proxys implementieren Autorisierungsanforderungen für die Verwendung ihrer externen Schlüssel. Ein externer Schlüsselspeicher-Proxy ist berechtigt, aber nicht verpflichtet, ein Autorisierungsschema zu entwerfen und zu implementieren, das es bestimmten Benutzern erlaubt, bestimmte Operationen unter bestimmten Bedingungen anzufordern. Beispielsweise könnte ein Proxy zulassen, dass ein:e Benutzer:in die Verschlüsselung mit einem bestimmten externen Schlüssel durchführt, aber nicht die Entschlüsselung mit diesem Schlüssel. Weitere Informationen finden Sie unter Proxy-Autorisierung für externen Schlüsselspeicher (optional).

Die Proxyautorisierung basiert auf Metadaten, die in den Anfragen an den Proxy AWS KMS enthalten sind. Die Felder awsSourceVpc und awsSourceVpce sind nur dann in den Metadaten enthalten, wenn die Anforderung von einem VPC-Endpunkt stammt – und auch nur, wenn der Aufrufer im selben Konto wie der KMS-Schlüssel ist.

"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}

Wenn der Proxy eine Anforderung aufgrund eines Autorisierungsfehlers ablehnt, schlägt die zugehörige AWS KMS -Operation fehl. CreateKey gibt dann eine CustomKeyStoreInvalidStateException zurück. Kryptografische AWS KMS -Operationen geben eine KMSInvalidStateException zurück. Beide verwenden die folgende Fehlermeldung:

Der externe Schlüsselspeicher-Proxy hat den Zugriff auf die Operation verweigert. Stellen Sie sicher, dass sowohl der:die Benutzer:in als auch der externe Schlüssel für diese Operation autorisiert ist, und führen Sie die Anforderung erneut aus.

• Um den Fehler zu beheben, ermitteln Sie mithilfe Ihres externen Schlüsselmanagers oder mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, warum die Autorisierung fehlgeschlagen ist. Aktualisieren Sie anschließend das Verfahren, das zur unbefugten Anforderung geführt hat, oder verwenden Sie die Tools für Ihren externen Schlüsselspeicher-Proxy, um die Autorisierungsrichtlinie zu aktualisieren. Dieser Fehler lässt sich in AWS KMS nicht beheben.