Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Lihat toko kunci eksternal
Anda dapat melihat toko kunci eksternal di setiap akun dan Wilayah dengan menggunakan AWS KMS konsol atau dengan menggunakan DescribeCustomKeyStoresoperasi.
Ketika Anda melihat penyimpanan kunci eksternal, Anda dapat melihat yang berikut:
-
Informasi dasar tentang toko kunci, termasuk nama ramah, ID, jenis toko kunci, dan tanggal pembuatannya.
-
Informasi konfigurasi untuk proxy penyimpanan kunci eksternal, termasuk jenis konektivitas, URItitik akhir dan jalur proxy, dan ID kunci akses kredensi otentikasi proxy Anda saat ini.
-
Jika proxy penyimpanan kunci eksternal menggunakan konektivitas layanan VPC titik akhir, konsol akan menampilkan nama layanan VPC titik akhir.
-
Keadaan koneksi saat ini.
catatan
Nilai status koneksi Terputus menunjukkan bahwa penyimpanan kunci eksternal tidak pernah terhubung, atau sengaja terputus dari proxy penyimpanan kunci eksternalnya. Namun, jika upaya Anda untuk menggunakan KMS kunci di penyimpanan kunci eksternal yang terhubung gagal, itu mungkin menunjukkan masalah dengan penyimpanan kunci eksternal atau proksi. Untuk bantuan, lihat Kesalahan koneksi penyimpanan kunci eksternal.
Bagian Pemantauan dengan grafik CloudWatch metrik Amazon yang dirancang untuk membantu Anda mendeteksi dan menyelesaikan masalah dengan penyimpanan kunci eksternal Anda. Untuk bantuan menafsirkan grafik, menggunakannya dalam perencanaan dan pemecahan masalah, dan membuat CloudWatch alarm berdasarkan metrik dalam grafik, lihat. Pantau toko kunci eksternal
Properti penyimpanan kunci eksternal
Properti berikut dari penyimpanan kunci eksternal terlihat di AWS KMS konsol dan DescribeCustomKeyStoresresponsnya.
Properti toko kunci kustom
Nilai berikut muncul di bagian konfigurasi umum halaman detail untuk setiap toko kunci kustom. Properti ini berlaku untuk semua toko kunci kustom, termasuk toko kunci dan toko AWS CloudHSM kunci eksternal.
- ID penyimpanan kunci kustom
-
ID unik yang ditetapkan AWS KMS ke toko kunci kustom.
- Nama penyimpanan kunci kustom
-
Nama ramah yang Anda tetapkan ke toko kunci kustom saat Anda membuatnya. Anda dapat mengubah nilai ini kapan saja.
- Jenis toko kunci khusus
-
Jenis toko kunci khusus. Nilai yang valid adalah AWS CloudHSM (
AWS_CLOUDHSM) atau External key store (EXTERNAL_KEY_STORE). Anda tidak dapat mengubah jenis setelah Anda membuat toko kunci kustom. - Tanggal pembuatan
-
Tanggal penyimpanan kunci khusus dibuat. Tanggal ini ditampilkan dalam waktu setempat untuk Wilayah AWS.
- Status koneksi
-
Menunjukkan apakah toko kunci khusus terhubung ke toko kunci pendukungnya. Status koneksi
DISCONNECTEDhanya jika toko kunci khusus tidak pernah terhubung ke toko kunci pendukungnya, atau sengaja terputus. Untuk detailnya, lihat Status koneksi.
Properti konfigurasi penyimpanan kunci eksternal
Nilai-nilai berikut muncul di bagian konfigurasi proxy penyimpanan kunci eksternal dari halaman detail untuk setiap penyimpanan kunci eksternal dan dalam XksProxyConfiguration elemen DescribeCustomKeyStoresrespons. Untuk penjelasan rinci tentang setiap bidang, termasuk persyaratan keunikan dan bantuan menentukan nilai yang benar untuk setiap bidang, lihat Memasang prasyarat di topik Membuat penyimpanan kunci eksternal.
- Konektivitas proxy
Menunjukkan apakah penyimpanan kunci eksternal menggunakan konektivitas titik akhir publik atau konektivitas layanan VPC titik akhir.
- Titik URI akhir proxy
-
Titik akhir yang AWS KMS digunakan untuk terhubung ke proxy penyimpanan kunci eksternal Anda.
- URIJalur proxy
-
Jalur dari URI titik akhir proxy tempat AWS KMS mengirim APIpermintaan proxy.
- Kredensi proxy: ID kunci akses
-
Bagian dari kredensi otentikasi proxy yang Anda buat di proxy penyimpanan kunci eksternal Anda. ID kunci akses mengidentifikasi kunci akses rahasia dalam kredensi.
AWS KMS menggunakan proses penandatanganan SiGv4 dan kredensi otentikasi proxy untuk menandatangani permintaannya ke proxy penyimpanan kunci eksternal Anda. Kredensi dalam tanda tangan memungkinkan proxy penyimpanan kunci eksternal untuk mengautentikasi permintaan atas nama Anda dari. AWS KMS
- VPCnama layanan titik akhir
-
Nama layanan VPC endpoint Amazon yang mendukung toko kunci eksternal Anda. Nilai ini hanya muncul ketika penyimpanan kunci eksternal menggunakan konektivitas layanan VPC titik akhir. Anda dapat menemukan proxy penyimpanan kunci eksternal Anda di VPC atau menggunakan layanan VPC endpoint untuk berkomunikasi secara aman dengan proxy penyimpanan kunci eksternal Anda.
Melihat properti penyimpanan kunci eksternal Anda
Anda dapat melihat penyimpanan kunci eksternal dan properti terkaitnya di AWS KMS konsol atau dengan menggunakan DescribeCustomKeyStoresoperasi.
Untuk melihat penyimpanan kunci eksternal di akun dan Wilayah tertentu, gunakan prosedur berikut.
-
Masuk ke AWS Management Console dan buka konsol AWS Key Management Service (AWS KMS) di https://console.aws.amazon.com/kms
. -
Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
Di panel navigasi, pilih Toko kunci khusus, Toko kunci eksternal.
-
Untuk melihat informasi rinci tentang toko kunci eksternal, pilih nama toko kunci.
Untuk melihat toko kunci eksternal Anda, gunakan DescribeCustomKeyStoresoperasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Namun Anda dapat menggunakan parameter CustomKeyStoreId atau CustomKeyStoreName (tetapi tidak keduanya) untuk membatasi output ke penyimpanan kunci kustom tertentu.
Untuk penyimpanan kunci khusus, output terdiri dari ID penyimpanan kunci kustom, nama, dan jenis, dan status koneksi penyimpanan kunci. Jika status koneksiFAILED, output juga menyertakan a ConnectionErrorCode yang menjelaskan alasan kesalahan. Untuk bantuan menafsirkan ConnectionErrorCode untuk penyimpanan kunci eksternal, lihatKode kesalahan koneksi untuk penyimpanan kunci eksternal.
Untuk penyimpanan kunci eksternal, output juga mencakup XksProxyConfiguration elemen. Elemen ini mencakup jenis konektivitas, URItitik akhir proxy, URIjalur proxy, dan ID kunci akses dari kredensi otentikasi proxy.
Contoh dalam bagian ini menggunakan AWS Command Line Interface
(AWS CLI)
Misalnya, perintah berikut mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Anda dapat menggunakan parameter Limit dan Marker ke halaman melalui penyimpanan kunci kustom dalam output.
$aws kms describe-custom-key-stores
Perintah berikut menggunakan CustomKeyStoreName parameter untuk mendapatkan hanya contoh penyimpanan kunci eksternal dengan nama ExampleXksPublic ramah. Toko kunci contoh ini menggunakan konektivitas titik akhir publik. Ini terhubung ke proxy penyimpanan kunci eksternal.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksPublic{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
Perintah berikut mendapatkan contoh penyimpanan kunci eksternal dengan konektivitas layanan VPC endpoint. Dalam contoh ini, penyimpanan kunci eksternal terhubung ke proxy penyimpanan kunci eksternal.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
A ConnectionStateDisconnectedmenunjukkan bahwa penyimpanan kunci eksternal tidak pernah terhubung atau sengaja terputus dari proxy penyimpanan kunci eksternalnya. Namun, jika upaya untuk menggunakan KMS kunci di penyimpanan kunci eksternal yang terhubung gagal, itu mungkin menunjukkan masalah dengan proxy penyimpanan kunci eksternal atau komponen eksternal lainnya.
Jika ConnectionState penyimpanan kunci eksternal adalahFAILED, DescribeCustomKeyStores responsnya mencakup ConnectionErrorCode elemen yang menjelaskan alasan kesalahan.
Misalnya, dalam output berikut, XKS_PROXY_TIMED_OUT nilai menunjukkan AWS KMS dapat terhubung ke proxy penyimpanan kunci eksternal, tetapi koneksi gagal karena proxy penyimpanan kunci eksternal tidak merespons AWS KMS dalam waktu yang ditentukan. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda. Untuk bantuan dengan hal ini dan kegagalan kesalahan koneksi lainnya, lihat Memecahkan masalah toko kunci eksternal.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
