Solución de problemas de almacenes de claves externos - AWS Key Management Service
Herramientas de solución de problemasErrores de configuraciónErrores de conexión del almacén de claves externoErrores de latencia y tiempo de esperaErrores en las credenciales de autenticaciónErrores de estados de las clavesErrores de descifradoErrores de clave externaProblemas con el proxyProblemas de autorización de proxy

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de almacenes de claves externos

La solución de la mayoría de los problemas con los almacenes de claves externos se indica mediante el mensaje de error que AWS KMS aparece con cada excepción o mediante el código de error de conexión que AWS KMS aparece cuando se produce un error al intentar conectar el almacén de claves externo a su proxy de almacén de claves externo. Sin embargo, algunos problemas son un poco más complejos.

Al diagnosticar un problema con un almacén de claves externo, localice primero la causa. Esto reducirá la gama de soluciones y hará que la solución de problemas sea más eficiente.

  • AWS KMS — El problema puede estar dentro AWS KMS, por ejemplo, un valor incorrecto en la configuración del almacén de claves externo.

  • Externo: el problema puede originarse fuera de AWS KMS, incluidos los problemas con la configuración o el funcionamiento del proxy del almacén de claves externo, el administrador de claves externo, las claves externas o el servicio de punto final de la VPC.

  • Redes: puede tratarse de un problema de conectividad o de red, como un problema con el punto de conexión del proxy, el puerto o el dominio o nombre DNS privado.

nota

Cuando las operaciones de administración en almacenes de claves externos fallan, se generan varias excepciones diferentes. Sin embargo, las operaciones AWS KMS criptográficas se KMSInvalidStateException repiten cuando se producen errores relacionados con la configuración externa o el estado de conexión del almacén de claves externo. Para identificar el problema, utilice el texto del mensaje de error adjunto.

La ConnectCustomKeyStoreoperación se realiza rápidamente antes de que se complete el proceso de conexión. Para determinar si el proceso de conexión se ha realizado correctamente, consulte el estado de conexión del almacén de claves externo. Si el proceso de conexión falla, AWS KMS devuelve un código de error de conexión que explica la causa y sugiere una solución.

Herramientas de solución de problemas para almacenes de claves externos

AWS KMS proporciona varias herramientas para ayudarle a identificar y resolver problemas con el almacén de claves externo y sus claves. Utilice estas herramientas junto con las herramientas proporcionadas con su proxy del almacén de claves externo y su administrador de claves externo.

nota

El proxy del almacén de claves externo y el administrador de claves externo pueden proporcionar métodos más sencillos para crear y mantener el almacén de claves externo y sus claves de KMS. Para obtener más detalles, consulte la documentación de sus herramientas externas.

AWS KMS excepciones y mensajes de error

AWS KMS proporciona un mensaje de error detallado sobre cualquier problema que encuentre. Puedes encontrar información adicional sobre AWS KMS las excepciones en la referencia de la AWS Key Management Service API y en AWS los SDK. Incluso si utilizas la AWS KMS consola, estas referencias pueden resultarte útiles. Por ejemplo, consulte la lista de errores de la operación CreateCustomKeyStores.

Para optimizar el rendimiento del proxy del almacén de claves externo, AWS KMS devuelve las excepciones en función de la fiabilidad del proxy dentro de un período de agregación determinado de 5 minutos. En caso de que se produzca un error interno de 500 puntos en el servidor, 503 del servicio no disponible o se agote el tiempo de espera de la conexión, un proxy de alta fiabilidad vuelve a KMSInternalException funcionar y activa un reintento automático para garantizar que las solicitudes se realicen correctamente. Sin embargo, vuelve a aparecer un proxy de baja fiabilidad. KMSInvalidStateException Para obtener más información, consulte Supervisión de un almacén de claves externo.

Si el problema surge en otro AWS servicio, por ejemplo, cuando utiliza una clave KMS en su almacén de claves externo para proteger un recurso de otro AWS servicio, es posible que el AWS servicio proporcione información adicional que le ayude a identificar el problema. Si el AWS servicio no proporciona el mensaje, puedes ver el mensaje de error en los CloudTrail registros que registran el uso de tu clave KMS.

CloudTrail registros

Todas las operaciones de la AWS KMS API, incluidas las acciones de la AWS KMS consola, se registran en AWS CloudTrail los registros. AWS KMS registra una entrada de registro para las operaciones correctas y fallidas. Para las operaciones fallidas, la entrada del registro incluye el nombre de la excepción de AWS KMS (errorCode) y el mensaje de error (errorMessage). Puede utilizar esta información como ayuda para identificar y resolver el error. Para ver un ejemplo, consulte Error de descifrado con una clave de KMS en un almacén de claves externo.

La entrada de registro también incluye el ID de la solicitud. Si la solicitud llegó a su proxy del almacén de claves externo, puede utilizar el ID de solicitud de la entrada de registro para buscar la solicitud correspondiente en sus registros de proxy, si su proxy los proporciona.

CloudWatch métricas

AWS KMS registra CloudWatch estadísticas detalladas de Amazon sobre el funcionamiento y el rendimiento de tu almacén de claves externo, como la latencia, la limitación, los errores de proxy, el estado del administrador de claves externo, el número de días que faltan para que caduque tu certificado TLS y la antigüedad declarada de tus credenciales de autenticación de proxy. Puede utilizar estas métricas para desarrollar modelos de datos para el funcionamiento de su almacén de claves externo y CloudWatch alarmas que le avisen de problemas inminentes antes de que se produzcan.

importante

AWS KMS recomienda crear CloudWatch alarmas para supervisar las métricas del almacén de claves externo. Estas alarmas le avisarán de las señales tempranas de problemas antes de que se presenten.

Gráficos de monitorización

AWS KMS muestra gráficos de las CloudWatch métricas del almacén de claves externo en la página de detalles de cada almacén de claves externo de la AWS KMS consola. Puede utilizar los datos de los gráficos para localizar el origen de los errores, detectar problemas inminentes, establecer líneas de base y refinar los umbrales de alarma. CloudWatch Para obtener más detalles sobre la interpretación de los gráficos de monitoreo y el uso de sus datos, consulte Monitoreo de un almacén de claves externo.

Visualización de almacenes de claves externos y claves de KMS

AWS KMS muestra información detallada sobre los almacenes de claves externos y las claves de KMS del almacén de claves externo de la AWS KMS consola y sobre la respuesta a las operaciones y. DescribeCustomKeyStoresDescribeKey Estas pantallas incluyen campos especiales para almacenes de claves externos y claves de KMS con información que puede utilizar para solucionar problemas, como el estado de conexión del almacén de claves externo y el ID de clave externa asociada a la clave de KMS. Para más detalles, consulte Visualización de un almacén de claves externo y Visualización de claves de KMS en un almacén de claves externo.

XKS Proxy Test Client

AWS KMS proporciona un cliente de prueba de código abierto que verifica que el proxy del almacén de claves externo cumpla con la especificación de la API de proxy del almacén de claves AWS KMS externo. Puede utilizar este cliente de prueba para identificar y resolver problemas con su proxy del almacén de claves externo.

Errores de configuración

Al crear un almacén de claves externo, especifica los valores de propiedades que comprenden la configuración del almacén de claves externo, como la credencial de autenticación del proxy, el punto de conexión URI del proxy, la ruta URI del proxy y el nombre del servicio de punto de conexión de VPC. Cuando AWS KMS detecta un error en el valor de una propiedad, la operación falla y devuelve un error que indica el valor defectuoso.

Muchos problemas de configuración se pueden resolver al corregir el valor incorrecto. Puede corregir una ruta URI del proxy o una credencial de autenticación del proxy no válidas sin desconectar el almacén de claves externo. Para obtener las definiciones de estos valores, incluidos los requisitos de exclusividad, consulte Cumplir los requisitos previos. Para obtener instrucciones sobre cómo actualizar estos valores, consulte Edición de propiedades del almacén de claves externo.

Para evitar errores con la ruta URI del proxy y los valores de la credencial de autenticación del proxy, al crear o actualizar el almacén de claves externo, cargue un archivo de configuración del proxy en la consola de AWS KMS . Se trata de un archivo basado en JSON con la ruta URI del proxy y los valores de la credencial de autenticación del proxy que proporciona el proxy del almacén de claves externo o el administrador de claves externo. No puedes usar un archivo de configuración de proxy con las operaciones de la AWS KMS API, pero puedes usar los valores del archivo para ayudarte a proporcionar valores de parámetros para tus solicitudes de API que coincidan con los valores de tu proxy.

Errores de configuración general

Excepciones: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), XksProxyInvalidConfigurationException (operaciones de administración, excepto CreateKey)

Códigos de error de conexión: XKS_PROXY_INVALID_CONFIGURATION, XKS_PROXY_INVALID_TLS_CONFIGURATION

En el caso de los almacenes de claves externos con conectividad de punto final público, AWS KMS comprueba los valores de las propiedades al crear y actualizar el almacén de claves externo. En el caso de los almacenes de claves externos con conectividad al servicio de punto de conexión de VPC, AWS KMS prueba los valores de propiedades al conectar y actualizar el almacén de claves externo.

nota

La operación ConnectCustomKeyStore, que es asincrónica, puede realizarse correctamente aunque falle el intento de conectar el almacén de claves externo a su proxy del almacén de claves externo. En ese caso, no hay ninguna excepción, pero el estado de conexión del almacén de claves externo es Failed (Error) y aparece un código de error de conexión que explica el mensaje de error. Para obtener más información, consulte Errores de conexión del almacén de claves externo.

Si AWS KMS detecta un error en el valor de una propiedad, se produce un error en la operación y se devuelve XksProxyInvalidConfigurationException con uno de los siguientes mensajes de error.

El proxy del almacén de claves externo rechazó la solicitud porque la ruta URI no era válida. Verifique la ruta URI del almacén de claves externo y actualícela si es necesario.

  • La ruta URI del proxy es la ruta base para AWS KMS las solicitudes a las API del proxy. Si esta ruta es incorrecta, fallarán todas las solicitudes al proxy. Para ver la ruta URI del proxy actual del almacén de claves externo, utilice la consola de AWS KMS o la operación DescribeCustomKeyStores. Para encontrar la ruta URI del proxy correcta, consulte la documentación del proxy del almacén de claves externo. Para obtener ayuda para corregir el valor de la ruta URI del proxy, consulte Edición de propiedades del almacén de claves externo.

  • La ruta URI del proxy del almacén de claves externo puede cambiar con las actualizaciones del proxy del almacén de claves externo o del administrador de claves externo. Para obtener información sobre estos cambios, consulte la documentación del proxy del almacén de claves externo o administrador de claves externo.

XKS_PROXY_INVALID_TLS_CONFIGURATION

AWS KMS no puede establecer una conexión TLS con el proxy del almacén de claves externo. Verifique la configuración de TLS, incluido su certificado.

  • Todos los proxy del almacén de claves externo requieren un certificado TLS. El certificado TLS debe ser emitido por una autoridad de certificación (CA) pública que sea compatible con almacenes de claves externos. Para obtener una lista de las CA compatibles, consulte Autoridades de certificación de confianza en la Especificación de la API de proxy del almacén de claves externo de AWS KMS .

  • Para la conectividad a puntos de conexión públicos, el nombre común (CN) del asunto del certificado TLS debe coincidir con el nombre de dominio del punto de conexión URI del proxy del proxy del almacén de claves externo. Por ejemplo, si el punto de conexión público es https://myproxy.xks.example.com, el TLS, el CN del certificado TLS debe ser myproxy.xks.example.com o *.xks.example.com.

  • Para la conectividad al servicio de punto de conexión de VPC, el nombre común (CN) del asunto del certificado TLS debe coincidir con el nombre DNS privado del servicio de punto de conexión de VPC. Por ejemplo, si el nombre DNS privado es myproxy-private.xks.example.com, el CN del certificado TLS debe ser myproxy-private.xks.example.com o *.xks.example.com.

  • El certificado TLS no puede estar caducado. Para obtener la fecha de caducidad de un certificado TLS, utilice herramientas SSL, como OpenSSL. Para supervisar la fecha de caducidad de un certificado TLS asociado a un almacén de claves externo, usa la XksProxyCertificateDaysToExpire CloudWatch métrica. El número de días que faltan para la fecha de caducidad de la certificación TLS también aparece en la sección Supervisión de la AWS KMS consola.

  • Si utiliza una conectividad a puntos de conexión públicos, utilice las herramientas de prueba de SSL para probar la configuración de SSL. Los errores de conexión TLS pueden deberse a un encadenamiento incorrecto de certificados.

Errores de configuración de conectividad al servicio de punto de conexión de VPC

Excepciones: XksProxyVpcEndpointServiceNotFoundException, XksProxyVpcEndpointServiceInvalidConfigurationException

Además de los problemas de conectividad generales, es posible que se produzcan los siguientes problemas al crear, conectar o actualizar un almacén de claves externo con la conectividad del servicio de punto final de VPC. AWS KMS prueba los valores de las propiedades de un almacén de claves externo con la conectividad del servicio de punto final de VPC al crear, conectar y actualizar el almacén de claves externo. Cuando las operaciones de administración fallan debido a errores de configuración, generan las siguientes excepciones:

XksProxyVpcEndpointServiceNotFoundException

Esto podría deberse a una de las siguientes causas:

  • Un nombre del servicio de punto de conexión de VPC incorrecto. Compruebe que el nombre del servicio de punto de conexión de VPC del almacén de claves externo sea correcto y que coincida con el valor del punto de conexión URI del proxy del almacén de claves externo. Para encontrar el nombre del servicio de punto final de la VPC, utilice la consola de Amazon VPC o la operación. DescribeVpcEndpointServices Para encontrar el nombre del servicio de punto final de la VPC y el extremo URI del proxy de un almacén de claves externo existente, utilice la AWS KMS consola o la DescribeCustomKeyStoresoperación. Para obtener más detalles, consulte Visualización de un almacén de claves externo.

  • El servicio de punto final de la VPC puede estar en un almacén de claves Región de AWS diferente al externo. Verifique que el servicio de punto de conexión de VPC y el almacén de claves externo estén en la misma región. (El nombre externo del nombre de la región, por ejemplo, forma parte del nombre del servicio de punto final de la VPCus-east-1, como com.amazonaws.vpce.us-east-1. vpce-svc-example.) Para obtener una lista de los requisitos del servicio de punto de conexión de VPC para un almacén de claves externo, consulte Servicio de punto de conexión de VPC. No puede mover un servicio de punto de conexión de VPC ni un almacén de claves externo a otra región. Sin embargo, puede crear un nuevo almacén de claves externo en la misma región que el servicio de punto de conexión de VPC. Para más detalles, consulte Configurar la conectividad del servicio de punto de conexión de VPC y Creación de un almacén de claves externo.

  • AWS KMS no es un principal permitido para el servicio de punto final de la VPC. La lista de Entidades principales permitidas para el servicio de punto de conexión de VPC debe incluir el valor cks.kms.<region>.amazonaws.com, por ejemplo cks.kms.eu-west-3.amazonaws.com. Para obtener instrucciones sobre cómo agregar este valor, consulte Administrar permisos en la Guía de AWS PrivateLink .

XksProxyVpcEndpointServiceInvalidConfigurationException

Este error se produce cuando el servicio de punto de conexión de VPC no cumple uno de los siguientes requisitos:

  • La VPC requiere al menos dos subredes privadas, cada una en una zona de disponibilidad diferente. Para agregar una subred a la VPC, consulte Crear una subred en la VPC en la Guía del usuario de Amazon VPC.

  • El tipo de servicio de punto de conexión de VPC debe usar un equilibrador de carga de red, no un equilibrador de carga de puerta de enlace.

  • No debe exigirse la aceptación del servicio de punto de conexión de VPC (la aceptación obligatoria debe ser falsa). Si se requiere la aceptación manual de cada solicitud de conexión, AWS KMS no podrá utilizar el servicio de punto final de la VPC para conectarse al proxy del almacén de claves externo. Para obtener más información, consulte Aceptar o rechazar solicitudes de conexión en la Guía de AWS PrivateLink .

  • El servicio de punto de conexión de VPC debe tener un nombre DNS privado que sea un subdominio de un dominio público. Por ejemplo, si el nombre DNS privado es https://myproxy-private.xks.example.com, los dominios xks.example.com o example.com deben tener un servidor de DNS público. Para ver o cambiar el nombre DNS privado del servicio de punto de conexión de VPC, consulte Administrar nombres DNS de los servicios de punto de conexión de VPC en la Guía de AWS PrivateLink .

  • El estado de verificación de dominio del dominio de su nombre DNS privado debe ser verified. Para ver y actualizar el estado de verificación del dominio de nombre DNS privado, consulte Verificación del dominio de su nombre DNS privado. Es posible que el estado de verificación actualizado tarde unos minutos en aparecer después de agregar el registro de texto requerido.

    nota

    Un dominio DNS privado solo se puede verificar si es el subdominio de un dominio público. De lo contrario, el estado de verificación del dominio de DNS privado no cambiará, incluso después de agregar el registro TXT requerido.

  • El nombre DNS privado del servicio de punto de conexión de VPC debe coincidir con el valor del punto de conexión URI del proxy para el almacén de claves externo. Para un almacén de claves externo con conectividad al servicio de punto de conexión de VPC, el punto de conexión URI del proxy debe ser https:// seguido del nombre DNS privado del servicio de punto de conexión de VPC. Para ver el valor del punto de conexión URI del proxy, consulte Visualización de un almacén de claves externo. Para cambiar el valor del punto de conexión URI del proxy, consulte Edición de propiedades del almacén de claves externo.

Errores de conexión del almacén de claves externo

El proceso de conexión de un almacén de claves externo a su proxy de almacén de claves externo tarda unos cinco minutos en completarse. A menos que el error sea rápido, la operación ConnectCustomKeyStore devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar si el almacén de claves externo está conectado, consulte su estado de conexión. Si la conexión falla, el estado de conexión del almacén de claves externo cambia FAILED y AWS KMS devuelve un código de error de conexión que explica la causa del error.

nota

Si el estado de conexión de un almacén de claves personalizado es FAILED, deberá desconectar el almacén de claves personalizado antes de conectarlo de nuevo. No puede conectar un almacén de claves personalizado que tenga el estado de conexión FAILED.

Para ver el estado de conexión de un almacén de claves externo:

  • En la DescribeCustomKeyStoresrespuesta, vea el valor del ConnectionState elemento.

  • En la AWS KMS consola, el estado de la conexión aparece en la tabla del almacén de claves externo. Además, en la página de detalles de cada almacén de claves externo, aparece el estado de conexión en la sección Configuración general.

Cuando el estado de la conexión es FAILED, el código de error de conexión ayuda a explicar el error.

Para ver el código de error de conexión:

  • En la DescribeCustomKeyStoresrespuesta, vea el valor del ConnectionErrorCode elemento. Este elemento aparece en la respuesta DescribeCustomKeyStores solo cuando el ConnectionState es FAILED.

  • Para ver el código de error de conexión en la AWS KMS consola, vaya a la página de detalles del almacén de claves externo y coloque el cursor sobre el valor de error.

    Código de error de conexión en la página de detalles del almacén de claves personalizado

Códigos de error de conexión para almacenes de claves externos

Los siguientes códigos de error de conexión aplican a los almacenes de claves externos

INTERNAL_ERROR

AWS KMS no se pudo completar la solicitud debido a un error interno. Intente realizar de nuevo la solicitud . Para las solicitudesConnectCustomKeyStore, desconecte el almacén de claves personalizado antes de intentar conectarse de nuevo.

INVALID_CREDENTIALS

Uno o ambos valores de XksProxyAuthenticationCredential no son válidos en el proxy del almacén de claves externo especificado.

NETWORK_ERRORS

Los errores de red AWS KMS impiden conectar el almacén de claves personalizado al almacén de claves secundario.

XKS_PROXY_ACCESS_DENIED

AWS KMS a las solicitudes se les deniega el acceso al proxy del almacén de claves externo. Si el proxy del almacén de claves externo tiene reglas de autorización, compruebe que permitan a AWS KMS comunicarse con el proxy en su nombre.

XKS_PROXY_INVALID_CONFIGURATION

Un error de configuración impide que el almacén de claves externo se conecte a su proxy. Compruebe el valor de XksProxyUriPath.

XKS_PROXY_INVALID_RESPONSE

AWS KMS no puede interpretar la respuesta del proxy del almacén de claves externo. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo.

XKS_PROXY_INVALID_TLS_CONFIGURATION

AWS KMS no puede conectarse al proxy del almacén de claves externo porque la configuración de TLS no es válida. Compruebe que el proxy del almacén de claves externo sea compatible con TLS 1.2 o 1.3. Además, compruebe que el certificado TLS no esté caducado, que coincida con el nombre de host en el valor XksProxyUriEndpoint y que esté firmado por una autoridad de certificación de confianza incluida en la lista de Autoridades de certificación de confianza.

XKS_PROXY_NOT_REACHABLE

AWS KMS no puede comunicarse con el proxy del almacén de claves externo. Compruebe que XksProxyUriEndpoint y XksProxyUriPath sean correctos. Utilice las herramientas de su proxy del almacén de claves externo para comprobar que el proxy esté activo y disponible en su red. Además, compruebe que las instancias del administrador de claves externo funcionen correctamente. Los intentos de conexión fallan con este código de error de conexión si el proxy informa que todas las instancias del administrador de claves externo no están disponibles.

XKS_PROXY_TIMED_OUT

AWS KMS puede conectarse al proxy del almacén de claves externo, pero el proxy no responde AWS KMS en el tiempo asignado. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo.

XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION

La configuración del servicio de puntos finales de Amazon VPC no cumple con los requisitos de un almacén de claves AWS KMS externo.

  • El servicio de punto de conexión de VPC debe ser un servicio de punto de conexión para los puntos de conexión de la interfaz de la Cuenta de AWS de la persona que llama.

  • Debe tener un equilibrador de carga de red (NLB) conectado a al menos dos subredes, cada una en una zona de disponibilidad diferente.

  • La Allow principals lista debe incluir el principal AWS KMS de servicio de la regióncks.kms.<region>.amazonaws.com, por ejemplocks.kms.us-east-1.amazonaws.com.

  • No debe requerir la aceptación de las solicitudes de conexión.

  • Debe tener un nombre DNS privado. El nombre DNS privado de un almacén de claves externo con conectividad VPC_ENDPOINT_SERVICE debe ser único en su Región de AWS.

  • El dominio del nombre DNS privado debe tener un estado de verificación verified.

  • El certificado TLS especifica el nombre de host DNS privado en el que se puede acceder al punto de conexión.

XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND

AWS KMS no encuentra el servicio de punto final de la VPC que utiliza para comunicarse con el proxy del almacén de claves externo. Compruebe que XksProxyVpcEndpointServiceName es correcto y que la entidad principal del servicio de AWS KMS tiene permisos de consumidor del servicio en el servicio de punto de conexión de VPC de Amazon.

Errores de latencia y tiempo de espera

Excepciones: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), XksProxyUriUnreachableException (operaciones de administración)

Códigos de error de conexión: XKS_PROXY_NOT_REACHABLE, XKS_PROXY_TIMED_OUT

Si no AWS KMS puede contactar con el proxy dentro del intervalo de tiempo de espera de 250 milisegundos, devuelve una excepción. CreateCustomKeyStorey UpdateCustomKeyStore volver. XksProxyUriUnreachableException Las operaciones criptográficas generan la KMSInvalidStateException estándar con un mensaje de error que describe el problema. Si ConnectCustomKeyStore falla, AWS KMS devuelve un código de error de conexión que describe el problema.

Los errores de tiempo de espera pueden ser problemas transitorios que se pueden resolver volviendo a intentar la solicitud. Si el problema persiste, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red. Además, compruebe que el punto de conexión URI del proxy, la ruta URI del proxy y el nombre del servicio de punto de conexión de VPC (si lo hubiera) sean correctos en el almacén de claves externo. Compruebe también que el administrador de claves externo esté cerca del almacén Región de AWS de claves externo. Si necesita actualizar alguno de estos valores, consulte Edición de propiedades del almacén de claves externo.

Para realizar un seguimiento de los patrones de latencia, utiliza la XksProxyLatency CloudWatch métrica y el gráfico de latencia media (basado en esa métrica) de la sección Supervisión de la AWS KMS consola. El proxy de su almacén de claves externo también puede generar registros y métricas que rastreen la latencia y los tiempos de espera.

XksProxyUriUnreachableException

AWS KMS no se puede comunicar con el proxy del almacén de claves externo. Esto puede ser un problema de red transitorio. Si aparece este error varias veces, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red, y que el URI del punto de conexión sea correcto en el almacén de claves externo.

  • El proxy del almacén de claves externo no respondió a una solicitud de API de AWS KMS proxy dentro del intervalo de espera de 250 milisegundos. Esto puede indicar un problema de red transitorio o un problema operativo o de rendimiento con el proxy. Si volver a intentarlo no resuelve el problema, notifíquelo al administrador de proxy del almacén de claves externo.

Los errores de latencia y tiempo de espera suelen manifestarse como errores de conexión. Cuando se produce un error en la ConnectCustomKeyStoreoperación, el estado de conexión del almacén de claves externo cambia FAILED y AWS KMS devuelve un código de error de conexión que explica el error. Para obtener una lista de los códigos de error de conexión y sugerencias para resolverlos, consulte Códigos de error de conexión para almacenes de claves externos. Las listas de códigos de conexión de Todos los almacenes de claves personalizados y Almacenes de claves externos aplican a los almacenes de claves externos. Los siguientes errores de conexión están relacionados con la latencia y los tiempos de espera.

XKS_PROXY_NOT_REACHABLE

-o bien-

CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException

AWS KMS no se puede comunicar con el proxy del almacén de claves externo. Compruebe que el proxy del almacén de claves externo esté activo y conectado a la red y que su ruta URI y su nombre del servicio de VPC o URI de punto de conexión sean correctos en su almacén de claves externo.

Este error puede producirse por las siguientes razones:

  • El proxy del almacén de claves externo no está activo o no está conectado a la red.

  • Hay un error en los valores del punto de conexión URI del proxy, la ruta URI del proxy o el nombre del servicio de punto de conexión de VPC (si corresponde) en la configuración del almacén de claves externo. Para ver la configuración del almacén de claves externo, utilice la DescribeCustomKeyStoresoperación o consulte la página de detalles del almacén de claves externo en la AWS KMS consola.

  • Es posible que haya un error de configuración de red, como un error de puerto, en la ruta de red entre AWS KMS y el proxy del almacén de claves externo. AWS KMS se comunica con el proxy del almacén de claves externo en el puerto 443. Este valor no se puede configurar.

  • Cuando el proxy del almacén de claves externo informa (en una GetHealthStatusrespuesta) de que todas las instancias del administrador de claves externo UNAVAILABLE lo están, la ConnectCustomKeyStoreoperación falla con un ConnectionErrorCode deXKS_PROXY_NOT_REACHABLE. Para obtener ayuda, consulte la documentación del administrador de claves externo.

  • Este error puede deberse a una gran distancia física entre el administrador de claves externo y el Región de AWS almacén de claves externo. La latencia del ping (tiempo de ida y vuelta de la red (RTT)) entre el administrador de claves externo Región de AWS y el administrador de claves externo no debe ser superior a 35 milisegundos. Puede que tenga que crear un almacén de claves externo en uno Región de AWS que esté más cerca del administrador de claves externo o mover el administrador de claves externo a un centro de datos que esté más cerca del Región de AWS.

XKS_PROXY_TIMED_OUT

-o bien-

CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException

AWS KMS rechazó la solicitud porque el proxy del almacén de claves externo no respondió a tiempo. Intente realizar de nuevo la solicitud . Si ve este error varias veces, infórmelo al administrador de proxy del almacén de claves externo.

Este error puede producirse por las siguientes razones:

  • Este error puede deberse a una gran distancia física entre el administrador de claves externo y el proxy del almacén de claves externo. Si es posible, acerque el proxy del almacén de claves externo al administrador de claves externo.

  • Los errores de tiempo de espera pueden producirse cuando el proxy no está diseñado para gestionar el volumen y la frecuencia de las solicitudes procedentes AWS KMS de él. Si tus CloudWatch métricas indican un problema persistente, notifícalo al administrador del proxy externo del almacén de claves.

  • Se pueden producir errores de tiempo de espera cuando la conexión entre el administrador de claves externo y Amazon VPC para el almacén de claves externo no funciona correctamente. Si lo está utilizando AWS Direct Connect, compruebe que la VPC y el administrador de claves externo se puedan comunicar de forma eficaz. Para obtener ayuda para resolver cualquier problema, consulte Solución de problemas AWS Direct Connect en la Guía del AWS Direct Connect usuario.

XKS_PROXY_TIMED_OUT

-o bien-

CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException

El proxy del almacén de claves externo no respondió a la solicitud en el tiempo establecido. Intente realizar de nuevo la solicitud . Si ve este error varias veces, infórmelo al administrador de proxy del almacén de claves externo.

  • Este error puede deberse a una gran distancia física entre el administrador de claves externo y el proxy del almacén de claves externo. Si es posible, acerque el proxy del almacén de claves externo al administrador de claves externo.

Errores en las credenciales de autenticación

Excepciones: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), XksProxyIncorrectAuthenticationCredentialException (operaciones de administración distintas de CreateKey)

Debe establecer y mantener una credencial de autenticación para su proxy AWS KMS de almacén de claves externo. A continuación, indica AWS KMS los valores de las credenciales al crear un almacén de claves externo. Para cambiar la credencial de autenticación, realice el cambio en el proxy del almacén de claves externo. A continuación, actualice la credencial del almacén de claves externo. Si su proxy rota la credencial, debe actualizar la credencial del almacén de claves externo.

Si el proxy del almacén de claves externo no autentica una solicitud firmada con la credencial de autenticación de proxy del almacén de claves externo, el efecto depende de la solicitud:

  • CreateCustomKeyStore y UpdateCustomKeyStore fallan con una XksProxyIncorrectAuthenticationCredentialException.

  • ConnectCustomKeyStore se realiza correctamente, pero se produce un error en la conexión. El estado de la conexión es FAILED y el código de error de conexión es INVALID_CREDENTIALS. Para obtener más detalles, consulte Errores de conexión del almacén de claves externo.

  • Las operaciones criptográficas devuelven KMSInvalidStateException para todos los errores de configuración y estado de conexión externos de un almacén de claves externo. El mensaje de error adjunto describe el problema.

El proxy del almacén de claves externo rechazó la solicitud porque no pudo autenticar AWS KMS. Compruebe las credenciales del almacén de claves externo y actualícelas si es necesario.

Este error puede producirse por las siguientes razones:

  • El ID de clave de acceso o la clave de acceso secreta del almacén de claves externo no coincide con los valores establecidos en el proxy del almacén de claves externo.

    Para corregir este error, actualice la credencial de autenticación de proxy del almacén de claves externo. Puede realizar este cambio sin desconectar el almacén de claves externo.

  • Un proxy inverso entre AWS KMS y el proxy del almacén de claves externo podría manipular los encabezados HTTP de forma que se invalidaran las firmas de SiGv4. Para corregir este error, notifique al administrador de proxy.

Errores de estados de las claves

Excepciones: KMSInvalidStateException

KMSInvalidStateException se utiliza para dos propósitos distintos para las claves de KMS en almacenes de claves personalizados.

  • Cuando una operación de administración, como CancelKeyDeletion, falla y devuelve esta excepción, indica que el estado de la clave de la clave de KMS no es compatible con la operación.

  • Cuando se produce un error con KMSInvalidStateException en una operación criptográfica en una clave de KMS de un almacén de claves personalizado, puede indicar un problema con el estado de la clave de KMS. Sin embargo, la operación AWS KMS criptográfica se devuelve KMSInvalidStateException para todos los errores de configuración externa y de estado de conexión en un almacén de claves externo. Para identificar el problema, utilice el mensaje de error que acompaña a la excepción.

Para encontrar el estado clave necesario para las operaciones de una AWS KMS API, consulteEstados clave de AWS KMS las claves. Para buscar el estado de clave de una clave KMS en la página Customer managed keys (Claves administradas por el cliente) consulte el campo Status (Estado) de la clave KMS. O bien, utilice la DescribeKeyoperación y visualice el KeyState elemento en la respuesta. Para obtener más detalles, consulte Consultar claves.

nota

El estado de clave de una clave de KMS en un almacén de claves externo no indica nada sobre el estado de la clave externa asociada. Para obtener información sobre el estado de la clave externa, utilice el administrador de claves externo y las herramientas de proxy del almacén de claves externo.

CustomKeyStoreInvalidStateException se refiere al estado de conexión del almacén de claves externo, no al estado de clave de una clave de KMS.

Una operación criptográfica en una clave KMS de un almacén de claves personalizado puede producir un error porque el estado de la clave KMS es Unavailable o PendingDeletion. (Las teclas deshabilitadas devuelven DisabledException).

  • Una clave de KMS tiene un estado de Disabled clave solo cuando se deshabilita intencionadamente la clave de KMS en la AWS KMS consola o mediante esta DisableKeyoperación. Mientras una clave de KMS esté deshabilitada, puede consultarla y administrarla, pero no puede usarla en operaciones criptográficas. Para solucionar este problema, habilite la clave. Para obtener más detalles, consulte Habilitación y deshabilitación de claves.

  • Una clave de KMS tiene un estado de clave Unavailable cuando el almacén de claves externo se desconecta de su proxy del almacén de claves externo. Para arreglar una clave de KMS no disponible, vuelva a conectar el almacén de claves externo. Después de volver a conectar el almacén de claves externo, el estado de clave de las claves de KMS en el almacén de claves externo se restaura automáticamente al estado anterior, como Enabled o Disabled.

    Una clave de KMS tiene un estado de clave PendingDeletion cuando se ha programado su eliminación y se encuentra en su periodo de espera. Un error de estado de clave en una clave de KMS que está pendiente de eliminación indica que la clave no se debe eliminar, ya sea porque se utiliza para el cifrado o porque es necesaria para el descifrado. Para volver a habilitar la clave de KMS, cancele la eliminación programada y, a continuación, habilite la clave. Para obtener más detalles, consulte Programación y cancelación de la eliminación de claves.

Errores de descifrado

Excepciones: KMSInvalidStateException

Cuando se produce un error en una operación de descifrado con una clave KMS de un almacén de claves externo, AWS KMS devuelve el estándar KMSInvalidStateException que utilizan las operaciones criptográficas para todos los errores de configuración externa y de estado de conexión en un almacén de claves externo. El mensaje de error indica el problema.

Para descifrar un texto cifrado que fue cifrado mediante doble cifrado, el administrador de claves externo utiliza primero la clave externa para descifrar la capa exterior del texto cifrado. A continuación, AWS KMS utiliza el material AWS KMS clave de la clave KMS para descifrar la capa interna del texto cifrado. AWS KMS o un administrador de claves externo puede rechazar un texto cifrado no válido o dañado.

Cuando se produce un error en el descifrado, aparecen los siguientes mensajes de error junto a KMSInvalidStateException. Indica un problema con el texto cifrado o el contexto de cifrado opcional de la solicitud.

El proxy del almacén de claves externo rechazó la solicitud porque el texto cifrado especificado o los datos autenticados adicionales están dañados, faltan o no son válidos por algún motivo.

  • Cuando el proxy del almacén de claves externo o el administrador de claves externo informan que un texto cifrado o su contexto de cifrado no son válidos, normalmente indica que hay un problema con el texto cifrado o el contexto de cifrado de la solicitud enviada a. Decrypt AWS KMS Para Decrypt las operaciones, AWS KMS envía al proxy el mismo texto cifrado y el mismo contexto de cifrado que recibe en la solicitud. Decrypt

    Este error puede deberse a un problema de red durante el transporte, como un bit invertido. Intente realizar de nuevo la solicitud Decrypt. Si el problema persiste, compruebe que el texto cifrado no esté alterado ni dañado. Además, compruebe que el contexto de cifrado de la Decrypt solicitud AWS KMS coincide con el contexto de cifrado de la solicitud que cifró los datos.

El texto cifrado que el proxy del almacén de claves externo envió para su descifrado, o el contexto de cifrado, está dañado, falta o no es válido por algún motivo.

  • Cuando AWS KMS rechaza el texto cifrado que recibió del proxy, indica que el administrador de claves externo o el proxy devolvieron un texto cifrado no válido o dañado. AWS KMS

    Este error puede deberse a un problema de red durante el transporte, como un bit invertido. Intente realizar de nuevo la solicitud Decrypt. Si el problema persiste, compruebe que el administrador de claves externo funciona correctamente y que el proxy del almacén de claves externo no altera el texto cifrado que recibe del administrador de claves externo antes de devolverlo a. AWS KMS

Errores de clave externa

Una clave externa es una clave criptográfica del administrador de claves externo que sirve como material de clave externa para una clave de KMS. AWS KMS no puede acceder directamente a la clave externa. Debe solicitar al administrador de claves externo (a través del proxy del almacén de claves externo) que utilice la clave externa para cifrar datos o descifrar un texto cifrado.

Especifica el ID de clave externa en su administrador de claves externo cuando crea una clave de KMS en su almacén de claves externo. No se puede cambiar el ID de clave externa después de crear la clave de KMS. Para evitar problemas con la clave de KMS, la operación CreateKey solicita al proxy del almacén de claves externo que verifique el ID y la configuración de la clave externa. Si la clave externa no cumple los requisitos para su uso con una clave de KMS, se produce un error en la operación CreateKey y aparece un mensaje de excepción y error que identifica el problema.

Sin embargo, pueden producirse problemas después de que se crea la clave de KMS. Si una operación criptográfica falla debido a un problema con la clave externa, se produce un error y se genera una KMSInvalidStateException con un mensaje de error que indica el problema.

CreateKey errores en la clave externa

Excepciones: XksKeyAlreadyInUseException, XksKeyNotFoundException, XksKeyInvalidConfigurationException

La CreateKeyoperación intenta comprobar el identificador y las propiedades de la clave externa que se proporciona en el parámetro ID de clave externa (consola) o XksKeyId (API). Esta práctica está diseñada para detectar errores de forma temprana antes de intentar utilizar la clave externa con la clave de KMS.

Clave externa en uso

Cada clave de KMS de un almacén de claves externo debe usar una clave externa diferente. Cuando CreateKey reconoce que el identificador de clave externa (XksKeyId) de una clave de KMS no es único en el almacén de claves externo, se produce un error con unXksKeyAlreadyInUseException.

Si utiliza varios ID para la misma clave externa, CreateKey no reconocerá el duplicado. Sin embargo, las claves de KMS con la misma clave externa no son interoperables porque tienen diferentes metadatos y materiales de AWS KMS claves.

No se encontró la clave externa

Cuando el proxy del almacén de claves externo informa que no puede encontrar la clave externa utilizando el identificador de clave externa (XksKeyId) de la clave KMS, la CreateKey operación falla y vuelve XksKeyNotFoundException con el siguiente mensaje de error.

El proxy del almacén de claves externo rechazó la solicitud porque no pudo encontrar la clave externa.

Este error puede producirse por las siguientes razones:

  • Es posible que el ID de la clave externa (XksKeyId) de la clave de KMS no sea válido. Para encontrar el ID que su proxy de clave externa utiliza para identificar la clave externa, consulte la documentación sobre el proxy del almacén de claves externo o el administrador de claves externo.

  • Puede que se haya eliminado la clave externa de su administrador de claves externo. Para investigar, utilice sus herramientas de administrador de claves externo. Si la clave externa se elimina permanentemente, utilice una clave externa diferente con la clave de KMS. Para obtener una lista de los requisitos de la clave externa, consulte Requisitos para una clave de KMS en un almacén de claves externo.

No se cumplen los requisitos de clave externa

Cuando el proxy del almacén de claves externo informa que la clave externa no cumple con los requisitos para su uso con una clave KMS, la operación CreateKey falla y genera una XksKeyInvalidConfigurationException con uno de los siguientes mensajes de error.

La especificación de clave de la clave externa debe ser AES_256. La especificación de clave de la clave externa especificada es <key-spec>.

  • La clave externa debe ser una clave de cifrado simétrica de 256 bits con una especificación de clave de AES_256. Si la clave externa especificada es de otro tipo, especifique el ID de una clave externa que cumpla este requisito.

El estado de la clave externa debe ser ENABLED (HABILITADA). El estado de la clave externa especificada es <status>.

  • La clave externa debe estar habilitada en el administrador de claves externo. Si la clave externa especificada no está habilitada, utilice las herramientas del administrador de claves externo para habilitarla o especifique una clave externa habilitada.

El uso de clave de la clave externa debe incluir ENCRYPT (CIFRAR) y DECRYPT (DESCIFRAR). El uso de clave de la clave externa especificada es <key-usage>.

  • La clave externa debe configurarse para el cifrado y el descifrado en el administrador de claves externo. Si la clave externa especificada no incluye estas operaciones, utilice las herramientas del administrador de claves externo para cambiar las operaciones o especifique una clave externa diferente.

Errores de operación criptográfica para la clave externa

Excepciones: KMSInvalidStateException

Cuando el proxy del almacén de claves externo no puede encontrar la clave externa asociada a la clave de KMS o la clave externa no cumple los requisitos para su uso con una clave de KMS, se produce un error en la operación criptográfica.

Los problemas de clave externa que se detectan durante una operación criptográfica son más difíciles de resolver que los problemas de clave externa detectados antes de crear la clave de KMS. No se puede cambiar el ID de clave externa después de crear la clave de KMS. Si la clave de KMS aún no ha cifrado ningún dato, puede eliminarla y crear una nueva con un ID de clave externa diferente. Sin embargo, el texto cifrado generado con la clave KMS no se puede descifrar con ninguna otra clave KMS, ni siquiera con la misma clave externa, ya que las claves tendrán metadatos y materiales clave diferentes AWS KMS . En su lugar, en la medida de lo posible, utilice las herramientas de administración de claves externas para resolver el problema con la clave externa.

Cuando el proxy del almacén de claves externo informa un problema con la clave externa, las operaciones criptográficas devuelven una KMSInvalidStateException con un mensaje de error que identifica el problema.

No se encontró la clave externa

Cuando el proxy del almacén de claves externo informa que no puede encontrar la clave externa utilizando el identificador de clave externa (XksKeyId) de la clave KMS, las operaciones criptográficas devuelven un mensaje de error KMSInvalidStateException con el siguiente mensaje de error.

El proxy del almacén de claves externo rechazó la solicitud porque no pudo encontrar la clave externa.

Este error puede producirse por las siguientes razones:

  • El ID de la clave externa (XksKeyId) de la clave de KMS ya no es válido.

    Para encontrar el ID de clave externa asociado a su clave de KMS, consulte los detalles de la clave de KMS. Para encontrar el ID que su proxy de clave externa utiliza para identificar la clave externa, consulte la documentación sobre el proxy del almacén de claves externo o el administrador de claves externo.

    AWS KMS verifica el ID de clave externa cuando crea una clave KMS en un almacén de claves externo. Sin embargo, el ID puede dejar de ser válido, especialmente si el valor del ID de clave externa es un alias o un nombre mutable. No puede cambiar el ID de clave externa asociado a una clave de KMS existente. Para descifrar cualquier texto cifrado con la clave de KMS, debe volver a asociar la clave externa con el ID de clave externa existente.

    Si aún no ha utilizado la clave de KMS para cifrar datos, puede crear una nueva clave de KMS con un ID de clave externa válido. Sin embargo, si ha generado texto cifrado con la clave de KMS, no puede usar ninguna otra clave de KMS para descifrar el texto cifrado, incluso si usa la misma clave externa.

  • Puede que se haya eliminado la clave externa de su administrador de claves externo. Para investigar, utilice sus herramientas de administrador de claves externo. Si es posible, intente recuperar el material de clave de una copia o respaldo de su administrador de claves externo. Si la clave externa se elimina de forma permanente, cualquier texto cifrado con la clave de KMS asociada será irrecuperable.

Errores de configuración de claves externas

Cuando el proxy del almacén de claves externo informa que la clave externa no cumple con los requisitos para su uso con una clave KMS, la operación criptográfica genera una KMSInvalidStateException con uno de los siguientes mensajes de error.

El proxy del almacén de claves externo rechazó la solicitud porque la clave externa no admite la operación solicitada.

  • La clave externa debe admitir tanto el cifrado como el descifrado. Si el uso de la clave no incluye el cifrado y el descifrado, utilice las herramientas de administración de claves externas para cambiar el uso de la clave.

El proxy del almacén de claves externo rechazó la solicitud porque la clave externa no está habilitada en el administrador de claves externo.

  • La clave externa debe estar habilitada y disponible para su uso en el administrador de claves externo. Si el estado de la clave externa no es Enabled, utilice las herramientas del administrador de claves externo para habilitarla.

Problemas con el proxy

Excepciones:

CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), UnsupportedOperationException, XksProxyUriUnreachableException, XksProxyInvalidResponseException (operaciones de administración distintas de CreateKey)

El proxy del almacén de claves externo interviene en todas las comunicaciones entre AWS KMS y el administrador de claves externo. Traduce AWS KMS las solicitudes genéricas a un formato que su administrador de claves externo pueda entender. Si el proxy del almacén de claves externo no cumple con la especificación de la API de proxy del almacén de claves AWS KMS externo, o si no funciona correctamente o no se puede comunicar con él AWS KMS, no podrás crear ni usar claves de KMS en tu almacén de claves externo.

Si bien muchos errores mencionan el proxy del almacén de claves externo debido a su papel fundamental en la arquitectura del almacén de claves externo, esos problemas pueden originarse en el administrador de claves externo o en la clave externa.

Los problemas de esta sección se refieren a problemas con el diseño o el funcionamiento del proxy del almacén de claves externo. La resolución de estos problemas puede requerir un cambio en el software de proxy. Consulte a su administrador de proxy. Para ayudar a diagnosticar problemas con el proxy, AWS KMS proporciona XKS Proxy Text Client, un cliente de prueba de código abierto que comprueba que el proxy del almacén de claves externo cumple con la Especificación de la API de proxy del almacén de claves externo de AWS KMS.

CustomKeyStoreInvalidStateException, KMSInvalidStateException o XksProxyUriUnreachableException

El proxy del almacén de claves externo se encuentra en mal estado. Si ve este mensaje varias veces, notifíquelo al administrador de proxy del almacén de claves externo.

  • Este error puede indicar un problema operativo o un error de software en el proxy del almacén de claves externo. Puedes encontrar las entradas de CloudTrail registro de la operación de AWS KMS API que generó cada error. Este error puede resolverse si vuelve a intentar la operación. Sin embargo, si persiste, notifíquelo al administrador de proxy del almacén de claves externo.

  • Cuando el proxy del almacén de claves externo informa (en una GetHealthStatusrespuesta) de que todas las instancias del administrador de claves externo lo estánUNAVAILABLE, los intentos de crear o actualizar un almacén de claves externo fallan, con esta excepción. Si el error persiste, consulte la documentación del administrador de claves externo.

CustomKeyStoreInvalidStateException, KMSInvalidStateException o XksProxyInvalidResponseException

AWS KMS no puede interpretar la respuesta del proxy del almacén de claves externo. Si ve este error varias veces, consulte con el administrador de proxy del almacén de claves externo.

  • AWS KMS las operaciones generan esta excepción cuando el proxy devuelve una respuesta indefinida que AWS KMS no se puede analizar ni interpretar. Este error puede producirse ocasionalmente debido a problemas externos temporales o a errores de red esporádicos. Sin embargo, si persiste, podría indicar que el proxy del almacén de claves externo no cumple con la Especificación de la API de proxy del almacén de claves externo de AWS KMS. Notifique a su proveedor o administrador del almacén de claves externo.

CustomKeyStoreInvalidStateException, KMSInvalidStateException o UnsupportedOperationException

El proxy del almacén de claves externo rechazó la solicitud porque no admite la operación criptográfica solicitada.

Problemas de autorización de proxy

Excepciones: CustomKeyStoreInvalidStateException, KMSInvalidStateException

Algunos proxy del almacén de claves externo implementan requisitos de autorización para el uso de sus claves externas. Se permite, pero no es obligatorio, utilizar un proxy de almacén de claves externo para diseñar e implementar un esquema de autorización que permita a determinados usuarios solicitar ciertas operaciones en determinadas condiciones. Por ejemplo, un proxy puede permitir al usuario cifrar con una clave externa determinada, pero no descifrar con ella. Para obtener más información, consulte Autorización del proxy del almacén de claves externo (opcional).

La autorización del proxy se basa en los metadatos que AWS KMS incluye en sus solicitudes al proxy. Los campos awsSourceVpc y awsSourceVpce se incluyen en los metadatos solo cuando la solicitud proviene de un punto de conexión de VPC y solo cuando la persona que llama está en la misma cuenta que la clave de KMS. 

"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}

Cuando el proxy rechaza una solicitud debido a un error de autorización, se produce un error en la AWS KMS operación relacionada. CreateKeydevuelveCustomKeyStoreInvalidStateException. AWS KMS las operaciones criptográficas regresanKMSInvalidStateException. Ambos utilizan el siguiente mensaje de error:

El proxy del almacén de claves externo denegó el acceso a la operación. Compruebe que el usuario y la clave externa estén autorizados para esta operación e intente realizar la solicitud de nuevo.

  • Para resolver el error, utilice el administrador de claves externo o las herramientas de proxy del almacén de claves externo para determinar por qué falló la autorización. A continuación, actualice el procedimiento que provocó la solicitud no autorizada o utilice las herramientas de proxy del almacén de claves externo para actualizar la política de autorización. No puede resolver este error en AWS KMS.