Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Fehlerbehebung bei externen Schlüsselspeichern
Die Lösung der meisten Probleme mit externen Schlüsselspeichern wird durch die Fehlermeldung angezeigt, die bei jeder Ausnahme AWS KMS angezeigt wird, oder durch den Verbindungsfehlercode, der AWS KMS zurückgegeben wird, wenn ein Versuch, den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden, fehlschlägt. Einige Probleme sind jedoch etwas komplexer.
Wenn Sie ein Problem mit einem externen Schlüsselspeicher diagnostizieren, ermitteln Sie zunächst die Ursache. Dadurch wird die Bandbreite der potenziellen Abhilfemaßnahmen eingeschränkt und Ihre Fehlersuche wird effizienter.
-
AWS KMS — Das Problem liegt möglicherweise darin AWS KMS, z. B. ein falscher Wert in der Konfiguration Ihres externen Schlüsselspeichers.
-
Extern — Das Problem kann außerhalb von liegen AWS KMS, einschließlich Problemen mit der Konfiguration oder dem Betrieb des externen Schlüsselspeicher-Proxys, des externen Schlüsselmanagers, der externen Schlüssel oder des VPC Endpunktdienstes.
-
Netzwerk — Möglicherweise handelt es sich um ein Verbindungs- oder Netzwerkproblem, z. B. ein Problem mit Ihrem Proxyendpunkt, Port oder Ihrem privaten DNS Namen oder Ihrer Domain.
Anmerkung
Wenn Verwaltungsoperationen für externe Schlüsselspeicher fehlschlagen, generieren sie verschiedene Ausnahmen. AWS KMS Kryptografische Operationen kehren jedoch KMSInvalidStateException
bei allen Fehlern zurück, die mit der externen Konfiguration oder dem Verbindungsstatus des externen Schlüsselspeichers zusammenhängen. Identifizieren Sie das Problem anhand des zugehörigen Fehlermeldungstexts.
Der ConnectCustomKeyStoreVorgang ist schnell erfolgreich, bevor der Verbindungsvorgang abgeschlossen ist. Um festzustellen, ob der Verbindungsvorgang erfolgreich ausgeführt wird, sehen Sie sich den Verbindungsstatus des externen Schlüsselspeichers an. Wenn der Verbindungsvorgang fehlschlägt, gibt AWS KMS einen Verbindungsfehlercode zurück, der Aufschluss über die Ursache gibt und Abhilfemaßnahmen vorschlägt.
Themen
- Tools zur Fehlerbehebung bei externen Schlüsselspeichern
- Konfigurationsfehler
- Fehler bei der Verbindung mit dem externen Schlüsselspeicher
- Latenz- und Zeitüberschreitungsfehler
- Fehler mit der Anmeldeinformation für die Authentifizierung
- Fehler mit dem Schlüsselstatus
- Entschlüsselungsfehler
- Fehler mit externen Schlüsseln
- Proxy-Probleme
- Probleme mit der Proxy-Autorisierung
Tools zur Fehlerbehebung bei externen Schlüsselspeichern
AWS KMS stellt mehrere Tools bereit, mit denen Sie Probleme mit Ihrem externen Schlüsselspeicher und seinen Schlüsseln identifizieren und lösen können. Verwenden Sie diese Tools zusammen mit den Tools, die mit Ihrem externen Schlüsselspeicher-Proxy und Ihrem externen Schlüsselmanager bereitgestellt werden.
Anmerkung
Ihr externer Schlüsselspeicher-Proxy und Ihr externer Schlüsselmanager bieten möglicherweise einfachere Methoden zum Erstellen und Verwalten Ihres externen Schlüsselspeichers und seiner KMS Schlüssel. Weitere Informationen finden Sie in der Dokumentation Ihrer externen Tools.
- AWS KMS Ausnahmen und Fehlermeldungen
-
AWS KMS bietet eine detaillierte Fehlermeldung zu allen auftretenden Problemen. Weitere Informationen zu AWS KMS Ausnahmen finden Sie in der AWS Key Management Service APIReferenz und AWS SDKs. Auch wenn Sie die AWS KMS Konsole verwenden, könnten diese Verweise für Sie hilfreich sein. Sehen Sie sich zum Beispiel die Fehlerliste für die
CreateCustomKeyStores
-Operation an.Um die Leistung Ihres externen Schlüsselspeicher-Proxys zu optimieren, AWS KMS gibt es Ausnahmen auf der Grundlage der Zuverlässigkeit Ihres Proxys innerhalb eines bestimmten Aggregationszeitraums von 5 Minuten zurück. Bei einem internen Serverfehler vom Typ 500, 503 Service Unavailable oder einem Verbindungstimeout kehrt ein Proxy mit hoher Zuverlässigkeit zurück
KMSInternalException
und löst einen automatischen Wiederholungsversuch aus, um sicherzustellen, dass Anfragen letztendlich erfolgreich sind. Ein Proxy mit niedriger Zuverlässigkeit kehrt jedoch zurück.KMSInvalidStateException
Weitere Informationen finden Sie unter Überwachen eines externen Schlüsselspeichers.Wenn das Problem in einem anderen AWS Dienst auftritt, z. B. wenn Sie einen KMS Schlüssel in Ihrem externen Schlüsselspeicher verwenden, um eine Ressource in einem anderen AWS Dienst zu schützen, stellt der AWS Dienst möglicherweise zusätzliche Informationen zur Verfügung, mit denen Sie das Problem identifizieren können. Wenn der AWS Dienst die Meldung nicht bereitstellt, können Sie die Fehlermeldung in den CloudTrail Protokollen einsehen, die die Verwendung Ihres KMS Schlüssels aufzeichnen.
- CloudTrail Logs
-
Jeder AWS KMS API Vorgang, einschließlich Aktionen in der AWS KMS Konsole, wird in AWS CloudTrail Protokollen aufgezeichnet. AWS KMS zeichnet einen Protokolleintrag für erfolgreiche und fehlgeschlagene Operationen auf. Bei fehlgeschlagenen Operationen enthält der Protokolleintrag den Namen der AWS KMS -Ausnahme (
errorCode
) und die Fehlermeldung (errorMessage
). Sie können diese Informationen verwenden, um den Fehler zu identifizieren und zu beheben. Ein Beispiel finden Sie unter Fehler beim Entschlüsseln mit einem KMS Schlüssel in einem externen Schlüsselspeicher.Der Protokolleintrag enthält auch die Anfrage-ID. Wenn die Anfrage Ihren externen Schlüsselspeicher-Proxy erreicht hat, können Sie mithilfe der Anfrage-ID im Protokolleintrag die entsprechende Anfrage in Ihren Proxy-Protokollen finden, sofern Ihr Proxy sie bereitstellt.
- CloudWatch Metriken
-
AWS KMS zeichnet detaillierte CloudWatch Amazon-Metriken über den Betrieb und die Leistung Ihres externen Schlüsselspeichers auf, darunter Latenz, Drosselung, Proxyfehler, den Status des externen Schlüsselmanagers, die Anzahl der Tage bis zum Ablauf Ihres TLS Zertifikats und das gemeldete Alter Ihrer Proxy-Authentifizierungsdaten. Sie können diese Kennzahlen verwenden, um Datenmodelle für den Betrieb Ihres externen Schlüsselspeichers und CloudWatch Alarme zu entwickeln, die Sie vor drohenden Problemen warnen, bevor sie auftreten.
Wichtig
AWS KMS empfiehlt, dass Sie CloudWatch Alarme erstellen, um die Messwerte des externen Schlüsselspeichers zu überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Problemen, bevor sie auftreten.
- Überwachungsdiagramme
-
AWS KMS zeigt auf der Detailseite für jeden externen Schlüsselspeicher in der AWS KMS Konsole Diagramme der CloudWatch Messwerte für externe Schlüsselspeicher an. Sie können die Daten in den Diagrammen verwenden, um die Fehlerquelle zu lokalisieren, drohende Probleme zu erkennen, Ausgangswerte festzulegen und Ihre CloudWatch Alarmschwellenwerte zu verfeinern. Einzelheiten zur Interpretation der Überwachungsdiagramme und zur Verwendung der darin enthaltenen Daten finden Sie unter Überwachen Sie externe Schlüsselspeicher.
- Anzeigen von externen Schlüsselspeichern und Schlüsseln KMS
-
AWS KMS zeigt detaillierte Informationen zu Ihren externen Schlüsselspeichern und den KMS Schlüsseln im externen Schlüsselspeicher in der AWS KMS Konsole sowie in der Antwort auf die DescribeKeyOperationen DescribeCustomKeyStoresund an. Diese Anzeigen enthalten spezielle Felder für externe Schlüsselspeicher und KMS Schlüssel mit Informationen, die Sie zur Problembehandlung verwenden können, z. B. den Verbindungsstatus des externen Schlüsselspeichers und die ID des externen Schlüssels, der dem KMS Schlüssel zugeordnet ist. Details hierzu finden Sie unter Externe Schlüsselspeicher anzeigen.
- XKSProxy-Testclient
-
AWS KMS stellt einen Open-Source-Testclient bereit, der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der Proxy-Spezifikation für AWS KMS externe Schlüsselspeicher
entspricht. API Sie können diesen Testclient verwenden, um Probleme mit Ihrem externen Schlüsselspeicher-Proxy zu identifizieren und zu beheben.
Konfigurationsfehler
Wenn Sie einen externen Schlüsselspeicher erstellen, geben Sie Eigenschaftswerte an, die die Konfiguration Ihres externen Schlüsselspeichers ausmachen, z. B. die Anmeldeinformationen für die Proxyauthentifizierung, den URI Proxyendpunkt, den URIProxypfad und den Namen des VPCEndpunktdienstes. Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl und es wird ein Fehler zurückgegeben, der auf den fehlerhaften Wert hinweist.
Viele Konfigurationsprobleme lassen sich beheben, indem der falsche Wert korrigiert wird. Sie können einen ungültigen URI Proxypfad oder ungültige Anmeldeinformationen für die Proxyauthentifizierung korrigieren, ohne die Verbindung zum externen Schlüsselspeicher zu trennen. Definitionen dieser Werte, einschließlich der Anforderungen hinsichtlich der Eindeutigkeit, finden Sie unter Erfüllen der Voraussetzungen. Anweisungen zum Aktualisieren dieser Werte finden Sie unter Eigenschaften des externen Schlüsselspeichers bearbeiten.
Um Fehler mit Ihrem URI Proxypfad und Ihren Proxyauthentifizierungsdaten zu vermeiden, laden Sie beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eine Proxykonfigurationsdatei auf die Konsole hoch. AWS KMS Dabei handelt es sich um JSON eine Datei mit Werten für URI den Proxypfad und die Anmeldeinformationen für die Proxyauthentifizierung, die von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager bereitgestellt wird. Sie können keine Proxykonfigurationsdatei für AWS KMS API Operationen verwenden, aber Sie können die Werte in der Datei verwenden, um Parameterwerte für Ihre API Anfragen bereitzustellen, die den Werten in Ihrem Proxy entsprechen.
Allgemeine Konfigurationsfehler
Ausnahmen: CustomKeyStoreInvalidStateException
(CreateKey
), KMSInvalidStateException
(kryptografische Operationen), XksProxyInvalidConfigurationException
(Verwaltungsoperationen, außer CreateKey
)
Verbindungsfehlercodes: XKS_PROXY_INVALID_CONFIGURATION
, XKS_PROXY_INVALID_TLS_CONFIGURATION
AWS KMS Testet bei externen Schlüsselspeichern mit öffentlicher Endpunktkonnektivität die Eigenschaftswerte, wenn Sie den externen Schlüsselspeicher erstellen und aktualisieren. AWS KMS Testet bei externen Schlüsselspeichern mit VPCEndpunktdienst-Konnektivität die Eigenschaftswerte, wenn Sie eine Verbindung herstellen und den externen Schlüsselspeicher aktualisieren.
Anmerkung
Die ConnectCustomKeyStore
-Operation ist asynchron und kann auch dann erfolgreich ausgeführt werden, wenn sich der externe Schlüsselspeicher nicht mit seinem externen Schlüsselspeicher-Proxy verbinden lässt. In diesem Fall gibt es keine Ausnahme, aber der Verbindungsstatus des externen Schlüsselspeichers ist fehlgeschlagen und ein Verbindungsfehlercode erklärt die Fehlermeldung. Weitere Informationen finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher.
Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl XksProxyInvalidConfigurationException
und es wird eine der folgenden Fehlermeldungen angezeigt.
Der externe Schlüsselspeicher-Proxy hat die Anforderung aufgrund eines ungültigen URI Pfads abgelehnt. Überprüfen Sie den URI Pfad für Ihren externen Schlüsselspeicher und aktualisieren Sie ihn gegebenenfalls. |
-
Der URIProxypfad ist der Basispfad für AWS KMS Anfragen an den ProxyAPIs. Wenn dieser Pfad falsch ist, schlagen alle Anfragen an den Proxy fehl. Um den aktuellen URI Proxypfad für Ihren externen Schlüsselspeicher anzuzeigen, verwenden Sie die AWS KMS Konsole oder den
DescribeCustomKeyStores
Vorgang. Den richtigen URI Proxypfad finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy. Hilfe zur Korrektur Ihres URI Proxy-Pfadwerts finden Sie unterEigenschaften des externen Schlüsselspeichers bearbeiten. -
Der URI Proxypfad für Ihren externen Schlüsselspeicher-Proxy kann sich mit Aktualisierungen Ihres externen Schlüsselspeicher-Proxys oder Ihres externen Schlüsselmanagers ändern. Informationen zu diesen Änderungen finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
|
-
Alle externen Schlüsselspeicher-Proxys benötigen ein TLS Zertifikat. Das TLS Zertifikat muss von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, die für externe Schlüsselspeicher unterstützt wird. Eine Liste der unterstützten CAs Zertifizierungsstellen finden Sie unter Vertrauenswürdige Zertifizierungsstellen
in der API Proxy-Spezifikation für AWS KMS externe Schlüsselspeicher. -
Für Verbindungen mit öffentlichen Endpunkten muss der allgemeine Name (Subject Common Name, CN) auf dem TLS Zertifikat mit dem Domänennamen auf dem URIProxyendpunkt für den externen Schlüsselspeicher-Proxy übereinstimmen. Wenn der öffentliche Endpunkt beispielsweise, der https://myproxy.xks.example.com, lautetTLS, muss der CN auf dem TLS Zertifikat
myproxy.xks.example.com
oder lauten*.xks.example.com
. -
Für VPC Endpunktdienst-Konnektivität muss der allgemeine Name (CN) des Antragstellers auf dem TLS Zertifikat mit dem privaten DNS Namen für Ihren VPCEndpunktdienst übereinstimmen. Wenn der private DNS Name beispielsweise myproxy-private.xks.example.com lautet, muss der CN auf dem Zertifikat oder lauten. TLS
myproxy-private.xks.example.com
*.xks.example.com
-
Das Zertifikat darf nicht abgelaufen sein. TLS Verwenden Sie SSL Tools wie Öffnen, um das Ablaufdatum eines TLS Zertifikats zu ermitteln SSL
. Verwenden Sie die XksProxyCertificateDaysToExpire CloudWatch Metrik, um das Ablaufdatum eines TLS Zertifikats zu überwachen, das einem externen Schlüsselspeicher zugeordnet ist. Die Anzahl der Tage bis zum Ablaufdatum Ihrer TLS Zertifizierung wird auch im Bereich Überwachung der AWS KMS Konsole angezeigt. -
Wenn Sie die Konnektivität öffentlicher Endgeräte verwenden, verwenden Sie SSL Testtools, um Ihre SSL Konfiguration zu testen. TLSVerbindungsfehler können auf eine falsche Zertifikatsverkettung zurückzuführen sein.
VPCFehler bei der Konfiguration der Endpunktdienst-Konnektivität
Ausnahmen: XksProxyVpcEndpointServiceNotFoundException
, XksProxyVpcEndpointServiceInvalidConfigurationException
Zusätzlich zu allgemeinen Verbindungsproblemen können beim Erstellen, Verbinden oder Aktualisieren eines externen Schlüsselspeichers mit VPC Endpoint Service-Konnektivität die folgenden Probleme auftreten. AWS KMS testet die Eigenschaftswerte eines externen Schlüsselspeichers mit VPC Endpoint Service-Konnektivität, während der externe Schlüsselspeicher erstellt, verbunden und aktualisiert wird. Wenn Verwaltungsoperationen aufgrund von Konfigurationsfehlern fehlschlagen, werden die folgenden Ausnahmen generiert:
XksProxyVpcEndpointServiceNotFoundException |
Dies kann folgende Ursachen haben:
-
Ein falscher VPC Endpunktdienstname. Stellen Sie sicher, dass der VPC Endpunktdienstname für den externen Schlüsselspeicher korrekt ist und mit dem URI Proxy-Endpunktwert für den externen Schlüsselspeicher übereinstimmt. Um den Namen des VPC Endpunktdienstes zu finden, verwenden Sie die VPCAmazon-Konsole
oder den DescribeVpcEndpointServicesVorgang. Um den VPC Endpunkt-Servicenamen und den URI Proxy-Endpunkt eines vorhandenen externen Schlüsselspeichers zu finden, verwenden Sie die AWS KMS Konsole oder den DescribeCustomKeyStoresVorgang. Details hierzu finden Sie unter Externe Schlüsselspeicher anzeigen. -
Der VPC Endpunktdienst befindet sich möglicherweise in einem anderen AWS-Region als der externe Schlüsselspeicher. Stellen Sie sicher, dass sich der VPC Endpunktdienst und der externe Schlüsselspeicher in derselben Region befinden. (Der externe Name des Regionsnamens, z. B., ist Teil des VPC Endpunktdienstnamens
us-east-1
, z. B. com.amazonaws.vpce.us-east-1. vpce-svc-example.) Eine Liste der Anforderungen für den VPC Endpunktdienst für einen externen Schlüsselspeicher finden Sie unterVPCEndpunktdienst. Sie können einen VPC Endpunktdienst oder einen externen Schlüsselspeicher nicht in eine andere Region verschieben. Sie können jedoch einen neuen externen Schlüsselspeicher in derselben Region wie der VPC Endpunktdienst erstellen. Details dazu finden Sie unter Konfigurieren Sie die Konnektivität von VPC Endpoint Services und Erstellen Sie einen externen Schlüsselspeicher. -
AWS KMS ist kein zulässiger Prinzipal für den VPC Endpunktdienst. Die Liste der erlaubten Prinzipale für den VPC Endpunktdienst muss den
cks.kms.
Wert enthalten, z. B.<region>
.amazonaws.comcks.kms.
Anweisungen zum Hinzufügen dieses Werts finden Sie unter Verwalten von Berechtigungen im AWS PrivateLink -Handbuch.eu-west-3
.amazonaws.com
XksProxyVpcEndpointServiceInvalidConfigurationException |
Dieser Fehler tritt auf, wenn der VPC Endpunktdienst eine der folgenden Anforderungen nicht erfüllt:
-
Das VPC erfordert mindestens zwei private Subnetze, jedes in einer anderen Availability Zone. Hilfe beim Hinzufügen eines Subnetzes zu Ihrem VPC finden Sie unter Create a subnet in your VPC im VPCAmazon-Benutzerhandbuch.
-
Ihr VPCEndpunkt-Servicetyp muss einen Netzwerk-Loadbalancer verwenden, keinen Gateway-Load Balancer.
-
Für den VPC Endpunktdienst darf keine Akzeptanz erforderlich sein (Acceptance required muss falsch sein.) Wenn die manuelle Annahme jeder Verbindungsanforderung erforderlich ist, AWS KMS kann der VPC Endpunktdienst nicht verwendet werden, um eine Verbindung zum externen Schlüsselspeicher-Proxy herzustellen. Einzelheiten hierzu finden Sie unter Annehmen oder Ablehnen von Verbindungsanforderungen im AWS PrivateLink -Handbuch.
-
Der VPC Endpunktdienst muss einen privaten DNS Namen haben, der eine Subdomain einer öffentlichen Domain ist. Wenn der private DNS Name beispielsweise lautet
https://myproxy-private.xks.example.com
, müssen dieexample.com
Domänenxks.example.com
oder über einen öffentlichen DNS Server verfügen. Informationen zum Anzeigen oder Ändern des privaten DNS Namens für Ihren VPC Endpunktdienst finden Sie im AWS PrivateLink Handbuch unter DNSNamen für VPC Endpunktdienste verwalten. -
Der Domain-Bestätigungsstatus der Domain für Ihren privaten DNS Namen muss lauten
verified
. Informationen zum Anzeigen und Aktualisieren des Bestätigungsstatus der privaten DNS Namen-Domain finden Sie unterSchritt 5: Verifizieren Sie Ihre private DNS Namensdomäne. Nachdem Sie den erforderlichen Textdatensatz hinzugefügt haben, kann es einige Minuten dauern, bis der aktualisierte Verifizierungsstatus angezeigt wird.Anmerkung
Eine private DNS Domain kann nur verifiziert werden, wenn es sich um die Subdomain einer öffentlichen Domain handelt. Andernfalls ändert sich der Bestätigungsstatus der privaten DNS Domain nicht, auch wenn Sie den erforderlichen TXT Datensatz hinzugefügt haben.
-
Der private DNS Name des VPC Endpunktdienstes muss mit dem URIProxy-Endpunktwert für den externen Schlüsselspeicher übereinstimmen. Bei einem externen Schlüsselspeicher mit VPC Endpunktdienstkonnektivität muss auf den URI Proxyendpunkt der private DNS Name des VPC Endpunktdienstes
https://
folgen. Informationen zum Anzeigen des URI Proxy-Endpunkts finden Sie unterExterne Schlüsselspeicher anzeigen. Informationen zum Ändern des URI Proxy-Endpunkts finden Sie unterEigenschaften des externen Schlüsselspeichers bearbeiten.
Fehler bei der Verbindung mit dem externen Schlüsselspeicher
Das Verbinden eines externen Schlüsselspeichers mit seinem externen Schlüsselspeicher-Proxy dauert etwa fünf Minuten. Sofern der ConnectCustomKeyStore
Vorgang nicht schnell fehlschlägt, gibt er eine Antwort von HTTP 200 und ein JSON Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den Verbindungsstatus an. Wenn die Verbindung fehlschlägt, ändert sich der Verbindungsstatus des externen Schlüsselspeichers in einen Verbindungsfehlercode, der die Ursache des Fehlers erklärt, FAILED
und es wird ein Verbindungsfehlercode AWS KMS zurückgegeben.
Anmerkung
Wenn der Verbindungsstatus eines benutzerdefinierten Schlüsselspeichers FAILED
ist, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, bevor Sie versuchen, ihn wieder zu verbinden. Ein benutzerdefinierter Schlüsselspeicher mit dem Verbindungsstatus FAILED
kann nicht verbunden werden.
Anzeigen des Verbindungsstatus eines externen Schlüsselspeichers:
-
Sehen Sie sich in der DescribeCustomKeyStoresAntwort den Wert des
ConnectionState
Elements an. -
In der AWS KMS Konsole wird der Verbindungsstatus in der Tabelle mit dem externen Schlüsselspeicher angezeigt. Außerdem wird auf der Detailseite für jeden externen Schlüsselspeicher der Verbindungsstatus im Abschnitt Allgemeine Konfiguration angezeigt.
Wenn der Verbindungsstatus FAILED
lautet, lässt sich mithilfe des Verbindungsfehlercodes der Fehler erklären.
Anzeigen des Verbindungsfehlercodes:
-
Sehen Sie sich in der DescribeCustomKeyStoresAntwort den Wert des
ConnectionErrorCode
Elements an. DieDescribeCustomKeyStores
-Antwort enthält dieses Element nur, wenn derConnectionState
FAILED
ist. -
Um den Verbindungsfehlercode in der AWS KMS Konsole auf der Detailseite für den externen Schlüsselspeicher anzuzeigen, zeigen Sie mit der Maus auf den Wert Fehlgeschlagen.
Verbindungsfehlercodes für externe Schlüsselspeicher
Die folgenden Verbindungsfehlercodes gelten für externe Schlüsselspeicher
INTERNAL_ERROR
-
AWS KMS konnte die Anfrage aufgrund eines internen Fehlers nicht abschließen. Wiederholen Sie die Anforderung. Trennen Sie bei
ConnectCustomKeyStore
-Anforderungen den benutzerdefinierten Schlüsselspeicher, bevor Sie die Verbindung wiederherstellen. INVALID_CREDENTIALS
-
Einer oder beide
XksProxyAuthenticationCredential
-Werte sind auf dem angegebenen externen Schlüsselspeicher-Proxy ungültig. NETWORK_ERRORS
-
Netzwerkfehler AWS KMS verhindern, dass der benutzerdefinierte Schlüsselspeicher mit seinem Backing-Schlüsselspeicher verbunden werden kann.
XKS_PROXY_ACCESS_DENIED
-
AWS KMS Anfragen wird der Zugriff auf den externen Schlüsselspeicher-Proxy verweigert. Wenn es für den externen Schlüsselspeicher-Proxy Autorisierungsregeln gibt, stellen Sie sicher, dass diese zulassen, dass AWS KMS in Ihrem Namen mit dem Proxy kommuniziert.
XKS_PROXY_INVALID_CONFIGURATION
-
Ein Konfigurationsfehler verhindert, dass der externe Schlüsselspeicher eine Verbindung zu seinem Proxy herstellt. Überprüfen Sie den Wert von
XksProxyUriPath
. XKS_PROXY_INVALID_RESPONSE
-
AWS KMS kann die Antwort des externen Schlüsselspeicher-Proxys nicht interpretieren. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.
XKS_PROXY_INVALID_TLS_CONFIGURATION
-
AWS KMS kann keine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, da die TLS Konfiguration ungültig ist. Stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy TLS 1.2 oder 1.3 unterstützt. Stellen Sie außerdem sicher, dass das TLS Zertifikat nicht abgelaufen ist, dass es mit dem Hostnamen im
XksProxyUriEndpoint
Wert übereinstimmt und dass es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, die in der Liste der vertrauenswürdigen Zertifizierungsstellenaufgeführt ist. XKS_PROXY_NOT_REACHABLE
-
AWS KMS kann nicht mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Stellen Sie sicher, dass der
XksProxyUriEndpoint
und derXksProxyUriPath
korrekt sind. Überprüfen Sie mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, ob der Proxy aktiv und in seinem Netzwerk verfügbar ist. Stellen Sie außerdem sicher, dass die Instances Ihres externen Schlüsselmanagers ordnungsgemäß funktionieren. Verbindungsversuche schlagen mit diesem Verbindungsfehlercode fehl, wenn der Proxy meldet, dass keine Instance von externen Schlüsselmanagern verfügbar ist. XKS_PROXY_TIMED_OUT
-
AWS KMS kann eine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, aber der Proxy reagiert nicht AWS KMS innerhalb der zugewiesenen Zeit. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.
XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION
-
Die Amazon VPC Endpoint Service-Konfiguration entspricht nicht den Anforderungen für einen AWS KMS externen Schlüsselspeicher.
-
Der VPC Endpunktdienst muss ein Endpunktdienst für Schnittstellenendpunkte im Anrufer sein. AWS-Konto
-
Er muss über einen Network Load Balancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die sich jeweils in einer anderen Availability Zone befinden.
-
Die
Allow principals
Liste muss den AWS KMS Dienstprinzipal für die Region enthaltencks.kms.<region>.amazonaws.com
, z. B.cks.kms.us-east-1.amazonaws.com
-
Er darf keine Annahme von Verbindungsanforderungen verlangen.
-
Es muss einen privaten DNS Namen haben. Der private DNS Name für einen externen Schlüsselspeicher mit
VPC_ENDPOINT_SERVICE
Konnektivität muss in seiner Form eindeutig sein AWS-Region. -
Die Domain des privaten DNS Namens muss den Bestätigungsstatus haben
verified
. -
Das TLSZertifikat gibt den privaten DNS Hostnamen an, unter dem der Endpunkt erreichbar ist.
-
XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND
AWS KMS kann den VPC Endpunktdienst, den es für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht finden. Stellen Sie sicher, dass das korrekt
XksProxyVpcEndpointServiceName
ist und der AWS KMS Service Principal über Service-Consumer-Berechtigungen für den VPC Amazon-Endpunktservice verfügt.
Latenz- und Zeitüberschreitungsfehler
Ausnahmen: CustomKeyStoreInvalidStateException
(CreateKey
), KMSInvalidStateException
(kryptografische Operationen), XksProxyUriUnreachableException
(Verwaltungsoperationen)
Verbindungsfehlercodes: XKS_PROXY_NOT_REACHABLE
, XKS_PROXY_TIMED_OUT
Wenn der Proxy innerhalb des Timeout-Intervalls von 250 Millisekunden nicht kontaktiert werden AWS KMS kann, wird eine Ausnahme zurückgegeben. CreateCustomKeyStore
und UpdateCustomKeyStore
zurück. XksProxyUriUnreachableException
Kryptografische Operationen geben den Standard KMSInvalidStateException
mit einer Fehlermeldung zurück, die das Problem beschreibt. Schlägt das Problem ConnectCustomKeyStore
fehl, wird ein Verbindungsfehlercode AWS KMS zurückgegeben, der das Problem beschreibt.
Zeitüberschreitungsfehler können vorübergehende Probleme sein, die sich durch das Wiederholen der Anforderung beheben lassen. Wenn das Problem weiterhin besteht, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob der URI Proxyendpunkt, der URI Proxypfad und der VPC Endpunktdienstname (falls vorhanden) in Ihrem externen Schlüsselspeicher korrekt sind. Stellen Sie außerdem sicher, dass sich Ihr externer Schlüsselmanager in der Nähe des AWS-Region für Ihren externen Schlüsselspeicher befindet. Wenn Sie einen dieser Werte aktualisieren müssen, finden Sie unter Eigenschaften des externen Schlüsselspeichers bearbeiten weitere Informationen.
Um Latenzmuster zu verfolgen, verwenden Sie die XksProxyLatency CloudWatch Metrik und das Diagramm mit der durchschnittlichen Latenz (basierend auf dieser Metrik) im Bereich Überwachung der AWS KMS Konsole. Ihr externer Schlüsselspeicher-Proxy generiert möglicherweise ebenfalls Protokolle und Metriken, die Latenz und Zeitüberschreitungen erfassen.
|
-
Der externe Schlüsselspeicher-Proxy hat innerhalb des Timeout-Intervalls von 250 Millisekunden nicht auf eine AWS KMS API Proxyanfrage geantwortet. Dies kann auf ein vorübergehendes Netzwerkproblem oder ein Betriebs- oder Leistungsproblem mit dem Proxy hinweisen. Wenn ein erneuter Versuch das Problem nicht löst, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.
Latenz- und Zeitüberschreitungsfehler äußern sich häufig als Verbindungsfehler. Wenn der ConnectCustomKeyStoreVorgang fehlschlägt, ändert sich der Verbindungsstatus des externen Schlüsselspeichers in einen Verbindungsfehlercode, der den Fehler FAILED
erklärt, und es wird ein Verbindungsfehlercode AWS KMS zurückgegeben. Eine Liste der Verbindungsfehlercodes und Vorschläge zur Behebung der Fehler finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher. Die Verbindungscodelisten für alle benutzerdefinierten Schlüsselspeicher und externe Schlüsselspeicher gelten für externe Schlüsselspeicher. Die folgenden Verbindungsfehler stehen im Zusammenhang mit der Latenz und Zeitüberschreitungen.
–oder–
|
Dieser Fehler kann aus folgenden Gründen auftreten:
-
Der externe Schlüsselspeicher-Proxy ist nicht aktiv bzw. nicht mit dem Netzwerk verbunden.
-
Bei den Werten für den URIProxyendpunkt, den URIProxypfad oder den VPCEndpunktdienstnamen (falls zutreffend) in der Konfiguration des externen Schlüsselspeichers ist ein Fehler aufgetreten. Um die Konfiguration des externen Schlüsselspeichers anzuzeigen, verwenden Sie den DescribeCustomKeyStoresVorgang oder rufen Sie die Detailseite für den externen Schlüsselspeicher in der AWS KMS Konsole auf.
-
Möglicherweise liegt ein Netzwerkkonfigurationsfehler, z. B. ein Portfehler, auf dem Netzwerkpfad zwischen dem externen Schlüsselspeicher-Proxy AWS KMS und dem externen Schlüsselspeicher-Proxy vor. AWS KMS kommuniziert mit dem externen Schlüsselspeicher-Proxy auf Port 443. Dieser Wert kann nicht konfiguriert werden.
-
Wenn der externe Schlüsselspeicher-Proxy (in einer GetHealthStatusAntwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sind
UNAVAILABLE
, schlägt der ConnectCustomKeyStoreVorgang mit einemConnectionErrorCode
vonXKS_PROXY_NOT_REACHABLE
fehl. Weitere Informationen hierzu finden Sie in der Dokumentation Ihres externen Schlüsselmanagers. -
Dieser Fehler kann auf eine große physische Entfernung zwischen dem externen Schlüsselmanager und AWS-Region dem externen Schlüsselspeicher zurückzuführen sein. Die Ping-Latenz (RTTNetzwerk-Round-Trip-Zeit ()) zwischen dem AWS-Region und dem externen Schlüsselmanager darf nicht mehr als 35 Millisekunden betragen. Möglicherweise müssen Sie einen externen Schlüsselspeicher in einem Bereich einrichten AWS-Region , der sich näher am externen Schlüsselmanager befindet, oder den externen Schlüsselmanager in ein Rechenzentrum verschieben, das näher am. AWS-Region
–oder–
|
Dieser Fehler kann aus folgenden Gründen auftreten:
-
Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.
-
Timeoutfehler können auftreten, wenn der Proxy nicht darauf ausgelegt ist, das Volumen und die Häufigkeit der Anfragen von AWS KMS zu verarbeiten. Wenn Ihre CloudWatch Messwerte auf ein anhaltendes Problem hinweisen, benachrichtigen Sie Ihren Proxyadministrator für den externen Schlüsselspeicher.
-
Timeout-Fehler können auftreten, wenn die Verbindung zwischen dem externen Schlüsselmanager und Amazon VPC für den externen Schlüsselspeicher nicht ordnungsgemäß funktioniert. Wenn Sie den Key Manager verwenden AWS Direct Connect, stellen Sie sicher, dass Ihr VPC und der externe Schlüsselmanager effektiv kommunizieren können. Hilfe zur Lösung von Problemen finden Sie AWS Direct Connect im AWS Direct Connect Benutzerhandbuch unter Problembehandlung.
–oder–
|
-
Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.
Fehler mit der Anmeldeinformation für die Authentifizierung
Ausnahmen: CustomKeyStoreInvalidStateException
(CreateKey
), KMSInvalidStateException
(kryptografische Operationen), XksProxyIncorrectAuthenticationCredentialException
(Verwaltungsoperationen außer CreateKey
)
Sie richten Authentifizierungsdaten für AWS KMS auf Ihrem externen Schlüsselspeicher-Proxy ein und verwalten diese. Anschließend geben Sie die Werte AWS KMS der Anmeldeinformationen an, wenn Sie einen externen Schlüsselspeicher erstellen. Wenn Sie die Anmeldeinformation für die Authentifizierung ändern möchten, nehmen Sie diese Änderung auf Ihrem externen Schlüsselspeicher-Proxy vor. Aktualisieren Sie danach die Anmeldeinformation für Ihren externen Schlüsselspeicher. Wenn Ihr Proxy die Anmeldeinformation rotiert, müssen Sie sie für Ihren externen Schlüsselspeicher aktualisieren.
Wenn der externe Schlüsselspeicher-Proxy eine mit der Proxy-Authentifizierungsanmeldeinformation für Ihren externen Schlüsselspeicher signierte Anforderung nicht authentifiziert, hängt es von der Anforderung ab, was geschieht:
-
CreateCustomKeyStore
undUpdateCustomKeyStore
schlagen mit einemXksProxyIncorrectAuthenticationCredentialException
fehl. -
ConnectCustomKeyStore
wird erfolgreich ausgeführt, aber die Verbindung schlägt fehl. Der Verbindungsstatus istFAILED
und der Verbindungsfehlercode lautetINVALID_CREDENTIALS
. Details hierzu finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher. -
KMSInvalidStateException
Bei kryptografischen Vorgängen werden alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher zurückgegeben. Die zugehörige Fehlermeldung beschreibt das Problem.
Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er AWS KMS nicht authentifizieren konnte. Überprüfen Sie die Anmeldeinformationen für Ihren externen Schlüsselspeicher und aktualisieren Sie sie gegebenenfalls. |
Dieser Fehler kann aus folgenden Gründen auftreten:
-
Die Zugriffsschlüssel-ID oder der geheime Zugriffsschlüssel für den externen Schlüsselspeicher stimmt nicht mit den Werten überein, die auf dem externen Schlüsselspeicher-Proxy festgelegt wurden.
Um diesen Fehler zu beheben, aktualisieren Sie die Proxy-Authentifizierungsanmeldeinformation für Ihren externen Schlüsselspeicher. Sie können diese Änderung vornehmen, ohne Ihren externen Schlüsselspeicher zu trennen.
-
Ein Reverse-Proxy zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy könnte HTTP Header so manipulieren, dass die SigV4-Signaturen ungültig werden. Um diesen Fehler zu beheben, benachrichtigen Sie den Administrator für Ihren Proxy.
Fehler mit dem Schlüsselstatus
Ausnahmen: KMSInvalidStateException
KMSInvalidStateException
wird für zwei unterschiedliche Zwecke für KMS Schlüssel in benutzerdefinierten Schlüsselspeichern verwendet.
-
Wenn ein Verwaltungsvorgang fehlschlägt und diese Ausnahme zurückgibt, bedeutet dies, dass der Schlüsselstatus des KMS Schlüssels nicht mit dem Vorgang kompatibel ist.
CancelKeyDeletion
-
Wenn ein kryptografischer Vorgang mit einem KMS Schlüssel in einem benutzerdefinierten Schlüsselspeicher fehlschlägt
KMSInvalidStateException
, kann dies auf ein Problem mit dem Schlüsselstatus des KMS Schlüssels hinweisen.KMSInvalidStateException
Bei allen externen Konfigurationsfehlern und Verbindungsstatusfehlern in einem externen Schlüsselspeicher wird jedoch ein AWS KMS kryptografischer Vorgang zurückgegeben. Identifizieren Sie das Problem anhand der Fehlermeldung, die zusammen mit der Ausnahme angezeigt wird.
Informationen zum erforderlichen Schlüsselstatus für einen Vorgang finden AWS KMS API Sie unterWichtige Zustände von AWS KMS Schlüsseln. Den Schlüsselstatus eines KMS Schlüssels finden Sie auf der Seite „Vom Kunden verwaltete Schlüssel“ im Feld Status des KMS Schlüssels. Oder verwenden Sie die DescribeKeyOperation und sehen Sie sich das KeyState
Element in der Antwort an. Details hierzu finden Sie unter Schlüssel identifizieren und anzeigen.
Anmerkung
Der Schlüsselstatus eines KMS Schlüssels in einem externen Schlüsselspeicher sagt nichts über den Status des zugehörigen externen Schlüssels aus. Informationen zum Status des externen Schlüssels finden Sie mithilfe Ihres externen Schlüsselmanagers und der Tools für den externen Schlüsselspeicher-Proxy.
Der CustomKeyStoreInvalidStateException
bezieht sich auf den Verbindungsstatus des externen Schlüsselspeichers, nicht auf den Schlüsselstatus eines KMS Schlüssels.
Ein kryptografischer Vorgang für einen KMS Schlüssel in einem benutzerdefinierten Speicher kann fehlschlagen, weil der Schlüsselstatus des KMS Schlüssels Unavailable
oder PendingDeletion
ist. (Deaktivierte Schlüssel geben DisabledException
zurück.)
-
Ein KMS Schlüssel hat nur dann einen
Disabled
Schlüsselstatus, wenn Sie den KMS Schlüssel in der AWS KMS Konsole absichtlich deaktivieren oder den DisableKeyVorgang verwenden. Solange ein KMS Schlüssel deaktiviert ist, können Sie ihn anzeigen und verwalten, aber Sie können ihn nicht für kryptografische Operationen verwenden. Um dieses Problem zu beheben, aktivieren Sie den Schlüssel. Details hierzu finden Sie unter Tasten aktivieren und deaktivieren. -
Ein KMS Schlüssel hat einen
Unavailable
Schlüsselstatus, wenn der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt wird. Um einen nicht verfügbaren KMS Schlüssel zu korrigieren, stellen Sie erneut eine Verbindung zum externen Schlüsselspeicher her. Nachdem der externe Schlüsselspeicher wieder verbunden wurde, wird der Schlüsselstatus der KMS Schlüssel im externen Schlüsselspeicher automatisch auf den vorherigen Zustand zurückgesetzt, z. B.Enabled
oder.Disabled
Ein KMS Schlüssel hat einen
PendingDeletion
Schlüsselstatus, wenn er gelöscht werden soll und sich in seiner Wartezeit befindet. Ein Schlüsselstatusfehler bei einem KMS Schlüssel, dessen Löschung noch aussteht, weist darauf hin, dass der Schlüssel nicht gelöscht werden sollte, entweder weil er für die Verschlüsselung verwendet wird oder weil er für die Entschlüsselung erforderlich ist. Um den KMS Schlüssel wieder zu aktivieren, brechen Sie den geplanten Löschvorgang ab und aktivieren Sie dann den Schlüssel. Details hierzu finden Sie unter Das Löschen des Schlüssels planen.
Entschlüsselungsfehler
Ausnahmen: KMSInvalidStateException
Wenn ein Entschlüsselungsvorgang mit einem KMS Schlüssel in einem externen Schlüsselspeicher fehlschlägt, wird der Standard AWS KMS KMSInvalidStateException
zurückgegeben, den kryptografische Operationen für alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher verwenden. Die Fehlermeldung, die das Problem angibt.
Zum Entschlüsseln eines Geheimtexts, der mit doppelter Verschlüsselung verschlüsselt wurde, verwendet der externe Schlüsselmanager zunächst den externen Schlüssel, um die äußere Geheimtextschicht zu entschlüsseln. AWS KMS Verwendet dann das AWS KMS Schlüsselmaterial im KMS Schlüssel, um die innere Chiffretextschicht zu entschlüsseln. Ein ungültiger oder beschädigter Geheimtext kann vom externen Schlüsselmanager oder von AWS KMS abgelehnt werden.
Die folgenden Fehlermeldungen werden zusammen mit der KMSInvalidStateException
angezeigt, wenn die Entschlüsselung fehlschlägt. Sie deuten auf ein Problem mit dem Geheimtext oder dem optionalen Verschlüsselungskontext in der Anfrage hin.
Der externe Schlüsselspeicher-Proxy hat die Anforderung, da der angegebene Geheimtext oder zusätzliche authentifizierte Daten beschädigt sind, fehlen oder anderweitig ungültig sind. |
-
Wenn der externe Schlüsselspeicher-Proxy oder der externe Schlüsselmanager meldet, dass ein Chiffretext oder sein Verschlüsselungskontext ungültig ist, deutet dies in der Regel auf ein Problem mit dem Chiffretext oder dem Verschlüsselungskontext in der Anforderung hin, an die gesendet wurde.
Decrypt
AWS KMS BeiDecrypt
Vorgängen AWS KMS sendet der Proxy denselben Chiffretext und denselben Verschlüsselungskontext, den er in der Anfrage empfängt.Decrypt
Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die
Decrypt
-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der Geheimtext nicht geändert oder beschädigt wurde. Stellen Sie außerdem sicher, dass der Verschlüsselungskontext in derDecrypt
Anfrage mit dem Verschlüsselungskontext in der Anfrage AWS KMS übereinstimmt, mit der die Daten verschlüsselt wurden.
Der Geheimtext, den der externe Schlüsselspeicher-Proxy zur Entschlüsselung übermittelt hat, oder der Verschlüsselungskontext ist beschädigt, fehlt oder ist anderweitig ungültig. |
-
Wenn der vom Proxy empfangene AWS KMS Chiffretext zurückgewiesen wird, bedeutet dies, dass der externe Schlüsselmanager oder der Proxy einen ungültigen oder beschädigten Chiffretext zurückgegeben hat. AWS KMS
Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die
Decrypt
-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der externe Schlüsselmanager ordnungsgemäß funktioniert und dass der externe Schlüsselspeicher-Proxy den Chiffretext, den er vom externen Schlüsselmanager empfängt, nicht ändert, bevor er ihn zurückgibt. AWS KMS
Fehler mit externen Schlüsseln
Ein externer Schlüssel ist ein kryptografischer Schlüssel im externen Schlüsselmanager, der als externes Schlüsselmaterial für einen Schlüssel dient. KMS AWS KMS kann nicht direkt auf den externen Schlüssel zugreifen. Es muss den externen Schlüsselmanager über den externen Schlüsselspeicher-Proxy bitten, den externen Schlüssel zum Verschlüsseln von Daten oder zum Entschlüsseln eines Geheimtextes zu verwenden.
Sie geben die ID des externen Schlüssels in seinem externen Schlüsselmanager an, wenn Sie einen KMS Schlüssel in Ihrem externen Schlüsselspeicher erstellen. Sie können die ID des externen Schlüssels nicht ändern, nachdem der KMS Schlüssel erstellt wurde. Um Probleme mit dem KMS Schlüssel zu vermeiden, fordert der CreateKey
Vorgang den Proxy für den externen Schlüsselspeicher auf, die ID und Konfiguration des externen Schlüssels zu überprüfen. Wenn der externe Schlüssel die Anforderungen für die Verwendung mit einem KMS Schlüssel nicht erfüllt, schlägt der CreateKey
Vorgang fehl und es werden eine Ausnahme und eine Fehlermeldung angezeigt, die das Problem identifiziert.
Nach der Erstellung des KMS Schlüssels können jedoch Probleme auftreten. Wenn eine kryptografische Operation aufgrund eines Problems mit dem externen Schlüssel fehlschlägt, schlägt die Operation fehl und gibt eine KMSInvalidStateException
mit einer Fehlermeldung zurück, die das Problem angibt.
CreateKey Fehler für den externen Schlüssel
Ausnahmen: XksKeyAlreadyInUseException
, XksKeyNotFoundException
, XksKeyInvalidConfigurationException
Der CreateKeyVorgang versucht, die ID und die Eigenschaften des externen Schlüssels zu überprüfen, den Sie im Parameter Externe Schlüssel-ID (Konsole) oder XksKeyId
(API) angeben. Diese Vorgehensweise dient dazu, Fehler frühzeitig zu erkennen, bevor Sie versuchen, den externen Schlüssel zusammen mit dem KMS Schlüssel zu verwenden.
Externer Schlüssel wird verwendet
Jeder KMS Schlüssel in einem externen Schlüsselspeicher muss einen anderen externen Schlüssel verwenden. Wenn CreateKey
erkannt wird, dass die externe Schlüssel-ID (XksKeyId) für einen KMS Schlüssel im externen Schlüsselspeicher nicht eindeutig ist, schlägt der Vorgang mit einer fehlXksKeyAlreadyInUseException
.
Wenn Sie mehrere IDs für denselben externen Schlüssel verwenden, CreateKey
wird das Duplikat nicht erkannt. KMSSchlüssel mit demselben externen Schlüssel sind jedoch nicht interoperabel, da sie unterschiedliche AWS KMS Schlüsselmaterialien und Metadaten haben.
Externer Schlüssel nicht gefunden
Wenn der Proxy für den externen Schlüsselspeicher meldet, dass er den externen Schlüssel anhand der externen Schlüssel-ID (XksKeyId) für den KMS Schlüssel nicht finden kann, schlägt der CreateKey
Vorgang fehl und es wird die folgende Fehlermeldung angezeigt. XksKeyNotFoundException
Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte. |
Dieser Fehler kann aus folgenden Gründen auftreten:
-
Die ID des externen Schlüssels (
XksKeyId
) für den KMS Schlüssel ist möglicherweise ungültig. Die ID Ihres externen Schlüssels, den der Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager. -
Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Wenn der externe Schlüssel dauerhaft gelöscht wurde, verwenden Sie einen anderen externen Schlüssel für den KMS Schlüssel. Eine Liste der Anforderungen für den externen Schlüssel finden Sie unter Anforderungen für einen KMS Schlüssel in einem externen Schlüsselspeicher.
Anforderungen an externe Schlüssel nicht erfüllt
Wenn der Proxy für den externen Schlüsselspeicher meldet, dass der externe Schlüssel die Anforderungen für die Verwendung mit einem KMS Schlüssel nicht erfüllt, schlägt der CreateKey
Vorgang fehl und es wird eine der folgenden Fehlermeldungen angezeigt. XksKeyInvalidConfigurationException
Die Schlüsselspezifikation des externen Schlüssels muss AES _256 sein. Die Schlüsselspezifikation des angegebenen externen Schlüssels lautet <key-spec> . |
-
Der externe Schlüssel muss ein symmetrischer 256-Bit-Verschlüsselungsschlüssel mit der Schlüsselspezifikation _256 sein. AES Wenn es sich bei dem angegebenen externen Schlüssel um einen anderen Typ handelt, geben Sie die ID eines externen Schlüssels an, der diese Anforderung erfüllt.
Der Status des externen Schlüssels muss sein. ENABLED Der Status des angegebenen externen Schlüssels ist <status> . |
-
Der externe Schlüssel muss im externen Schlüsselmanager aktiviert sein. Wenn der angegebene externe Schlüssel nicht aktiviert ist, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um ihn zu aktivieren, oder geben Sie einen aktivierten externen Schlüssel an.
Die Schlüsselverwendung des externen Schlüssels muss ENCRYPT und beinhaltenDECRYPT. Die Schlüsselverwendung des angegebenen externen Schlüssels ist <key-usage >. |
-
Der externe Schlüssel muss für die Verschlüsselung und Entschlüsselung im externen Schlüsselmanager konfiguriert sein. Wenn der angegebene externe Schlüssel diese Operationen nicht beinhaltet, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um die Operationen zu ändern, oder geben Sie einen anderen externen Schlüssel an.
Kryptografische Operationsfehler für den externen Schlüssel
Ausnahmen: KMSInvalidStateException
Wenn der externe Schlüsselspeicher-Proxy den externen Schlüssel, der dem Schlüssel zugeordnet ist, nicht finden kann oder wenn der externe Schlüssel die Anforderungen für die Verwendung mit einem KMS Schlüssel nicht erfüllt, schlägt der kryptografische Vorgang fehl. KMS
Probleme mit externen Schlüsseln, die während eines kryptografischen Vorgangs erkannt werden, sind schwieriger zu lösen als Probleme mit externen Schlüsseln, die vor der Erstellung des KMS Schlüssels erkannt wurden. Sie können die ID des externen Schlüssels nicht ändern, nachdem der KMS Schlüssel erstellt wurde. Wenn der KMS Schlüssel noch keine Daten verschlüsselt hat, können Sie den KMS Schlüssel löschen und einen neuen Schlüssel mit einer anderen externen Schlüssel-ID erstellen. Der mit dem KMS Schlüssel generierte Chiffretext kann jedoch nicht mit einem anderen KMS Schlüssel entschlüsselt werden, auch nicht mit einem Schlüssel mit demselben externen Schlüssel, da Schlüssel unterschiedliche Schlüsselmetadaten und anderes Schlüsselmaterial haben. AWS KMS Verwenden Sie stattdessen nach Möglichkeit die Tools Ihres externen Schlüsselmanagers, um das Problem mit dem externen Schlüssel zu beheben.
Wenn der externe Schlüsselspeicher-Proxy ein Problem mit dem externen Schlüssel meldet, geben kryptografische Operationen eine KMSInvalidStateException
mit einer Fehlermeldung zurück, die das Problem identifiziert.
Externer Schlüssel nicht gefunden
Wenn der Proxy für den externen Schlüsselspeicher meldet, dass er den externen Schlüssel anhand der externen Schlüssel-ID (XksKeyId) für den KMS Schlüssel nicht finden kann, geben kryptografische Operationen a KMSInvalidStateException
mit der folgenden Fehlermeldung zurück.
Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte. |
Dieser Fehler kann aus folgenden Gründen auftreten:
-
Die ID des externen Schlüssels (
XksKeyId
) für den KMS Schlüssel ist nicht mehr gültig.Um die mit Ihrem KMS Schlüssel verknüpfte externe Schlüssel-ID zu finden, sehen Sie sich die Details des KMS Schlüssels an. Die ID, die Ihr externer Schlüssel-Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager.
AWS KMS überprüft die externe Schlüssel-ID, wenn ein KMS Schlüssel in einem externen Schlüsselspeicher erstellt wird. Die ID kann jedoch ungültig werden, insbesondere wenn der Wert der ID des externen Schlüssels ein Alias oder ein veränderbarer Name ist. Sie können die externe Schlüssel-ID, die einem vorhandenen KMS Schlüssel zugeordnet ist, nicht ändern. Um den unter dem KMS Schlüssel verschlüsselten Chiffretext zu entschlüsseln, müssen Sie den externen Schlüssel erneut der vorhandenen externen Schlüssel-ID zuordnen.
Wenn Sie den KMS Schlüssel noch nicht zum Verschlüsseln von Daten verwendet haben, können Sie einen neuen KMS Schlüssel mit einer gültigen externen Schlüssel-ID erstellen. Wenn Sie jedoch Chiffretext mit dem KMS Schlüssel generiert haben, können Sie keinen anderen KMS Schlüssel zum Entschlüsseln des Chiffretextes verwenden, selbst wenn derselbe externe Schlüssel verwendet wird.
-
Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Versuchen Sie nach Möglichkeit, das Schlüsselmaterial aus einer Kopie oder einem Backup Ihres externen Schlüsselmanagers wiederherzustellen. Wenn der externe Schlüssel dauerhaft gelöscht wird, kann jeglicher Chiffretext, der unter dem zugehörigen Schlüssel verschlüsselt wurde, nicht wiederhergestellt werden. KMS
Fehler bei der Konfiguration externer Schlüssel
Wenn der Proxy für den externen Schlüsselspeicher meldet, dass der externe Schlüssel die Anforderungen für die Verwendung mit einem KMS Schlüssel nicht erfüllt, kehrt der kryptografische Vorgang KMSInvalidStateException
mit einer der folgenden Fehlermeldungen zurück.
Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da der externe Schlüssel die angeforderte Operation nicht unterstützt. |
-
Der externe Schlüssel muss sowohl die Verschlüsselung als auch die Entschlüsselung unterstützen. Wenn die Schlüsselnutzung keine Verschlüsselung und Entschlüsselung beinhaltet, ändern Sie die Schlüsselnutzung mithilfe der Tools Ihres externen Schlüsselmanagers.
Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da der externe Schlüssel im externen Schlüsselmanager nicht aktiviert ist. |
-
Der externe Schlüssel muss im externen Schlüsselmanager aktiviert und für die Verwendung verfügbar sein. Wenn der Status des externen Schlüssels nicht
Enabled
lautet, aktivieren Sie ihn mithilfe der Tools Ihres externen Schlüsselmanagers.
Proxy-Probleme
Ausnahmen:
CustomKeyStoreInvalidStateException
(CreateKey
), KMSInvalidStateException
(kryptografische Operationen), UnsupportedOperationException
, XksProxyUriUnreachableException
, XksProxyInvalidResponseException
(Verwaltungsoperationen außer CreateKey
)
Der externe Schlüsselspeicher-Proxy vermittelt die gesamte Kommunikation zwischen AWS KMS und dem externen Schlüsselmanager. Er übersetzt generische AWS KMS Anfragen in ein Format, das Ihr externer Schlüsselmanager verstehen kann. Wenn der externe Schlüsselspeicher-Proxy nicht der APISpezifikation für den AWS KMS externen Schlüsselspeicher-Proxy entspricht
In vielen Fehlermeldungen wird der externe Schlüsselspeicher-Proxy erwähnt, weil er eine wichtige Rolle in der Architektur des externen Schlüsselspeichers spielt. Diese Probleme können ihren Ursprung aber im externen Schlüsselmanager oder im externen Schlüssel haben.
Die Probleme in diesem Abschnitt beziehen sich auf Probleme beim Design oder Betrieb des externen Schlüsselspeicher-Proxys. Zum Beheben dieser Probleme ist möglicherweise eine Änderung an der Proxysoftware erforderlich. Wenden Sie sich an den Administrator für Ihren Proxy. Um bei der Diagnose von Proxyproblemen zu helfen, AWS KMS
bietet XKSProxy Text Client
|
-
Dieser Fehler kann auf ein Betriebsproblem oder einen Softwarefehler im externen Schlüsselspeicher-Proxy hindeuten. Sie können CloudTrail Protokolleinträge für den AWS KMS API Vorgang finden, der die einzelnen Fehler generiert hat. Dieser Fehler kann möglicherweise durch das erneute Ausführen der Operation behoben werden. Sollte er jedoch weiterhin bestehen, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.
-
Wenn der externe Schlüsselspeicher-Proxy (in einer GetHealthStatusAntwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sind
UNAVAILABLE
, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen oder zu aktualisieren, mit dieser Ausnahme fehl. Wenn dieser Fehler weiterhin besteht, lesen Sie in der Dokumentation Ihres externen Schlüsselmanagers nach.
|
-
AWS KMS Operationen erzeugen diese Ausnahme, wenn der Proxy eine undefinierte Antwort zurückgibt, die AWS KMS nicht analysiert oder interpretiert werden kann. Dieser Fehler kann gelegentlich aufgrund vorübergehender externer Probleme oder sporadischer Netzwerkfehler auftreten. Wenn sie jedoch weiterhin besteht, kann dies darauf hinweisen, dass der externe Schlüsselspeicher-Proxy nicht der Proxy-Spezifikation für AWS KMS externe Schlüsselspeicher
entspricht. API Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.
Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da er die angeforderte kryptografische Operation nicht unterstützt. |
-
Der externe Schlüsselspeicher-Proxy sollte alle in der AWS KMS External Key Store-Proxy-Spezifikation APIs definierten API Proxys
unterstützen. Dieser Fehler deutet darauf hin, dass der Proxy die Operation, die mit der Anforderung zusammenhängt, nicht unterstützt. Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.
Probleme mit der Proxy-Autorisierung
Ausnahmen: CustomKeyStoreInvalidStateException
, KMSInvalidStateException
Einige externe Schlüsselspeicher-Proxys implementieren Autorisierungsanforderungen für die Verwendung ihrer externen Schlüssel. Ein externer Schlüsselspeicher-Proxy ist berechtigt, aber nicht verpflichtet, ein Autorisierungsschema zu entwerfen und zu implementieren, das es bestimmten Benutzern erlaubt, bestimmte Operationen unter bestimmten Bedingungen anzufordern. Beispielsweise könnte ein Proxy zulassen, dass ein:e Benutzer:in die Verschlüsselung mit einem bestimmten externen Schlüssel durchführt, aber nicht die Entschlüsselung mit diesem Schlüssel. Weitere Informationen finden Sie unter Proxy-Autorisierung für externen Schlüsselspeicher (optional).
Die Proxyautorisierung basiert auf Metadaten, die in den Anfragen an den Proxy AWS KMS enthalten sind. Die awsSourceVpce
Felder awsSourceVpc
und sind nur dann in den Metadaten enthalten, wenn die Anfrage von einem VPC Endpunkt stammt und nur, wenn sich der Anrufer im selben Konto wie der KMS Schlüssel befindet.
"requestMetadata": { "awsPrincipalArn": string, "awsSourceVpc": string, // optional "awsSourceVpce": string, // optional "kmsKeyArn": string, "kmsOperation": string, "kmsRequestId": string, "kmsViaService": string // optional }
Wenn der Proxy eine Anfrage aufgrund eines Autorisierungsfehlers ablehnt, schlägt der entsprechende AWS KMS
Vorgang fehl. CreateKey
kehrt zurückCustomKeyStoreInvalidStateException
. AWS KMS kryptografische Operationen kehren zurückKMSInvalidStateException
. Beide verwenden die folgende Fehlermeldung:
Der externe Schlüsselspeicher-Proxy hat den Zugriff auf die Operation verweigert. Stellen Sie sicher, dass sowohl der:die Benutzer:in als auch der externe Schlüssel für diese Operation autorisiert ist, und führen Sie die Anforderung erneut aus. |
-
Um den Fehler zu beheben, ermitteln Sie mithilfe Ihres externen Schlüsselmanagers oder mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, warum die Autorisierung fehlgeschlagen ist. Aktualisieren Sie anschließend das Verfahren, das zur unbefugten Anforderung geführt hat, oder verwenden Sie die Tools für Ihren externen Schlüsselspeicher-Proxy, um die Autorisierungsrichtlinie zu aktualisieren. Dieser Fehler lässt sich in AWS KMS nicht beheben.