Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Visualizza gli archivi di chiavi esterni
È possibile visualizzare gli archivi di chiavi esterni in ogni account e regione utilizzando la AWS KMS console o utilizzando l'DescribeCustomKeyStoresoperazione.
Quando visualizzi un archivio delle chiavi esterne, hai accesso alle seguenti informazioni:
-
Informazioni di base sull'archivio delle chiavi, tra cui nome descrittivo, ID, tipo di archivio e data di creazione.
-
Informazioni di configurazione per il proxy dell'archivio chiavi esterno, inclusi il tipo di connettività, l'URIendpoint e il percorso del proxy e l'ID della chiave di accesso della credenziale di autenticazione proxy corrente.
-
Se il proxy dell'archivio chiavi esterno utilizza la connettività del servizio VPC endpoint, la console visualizza il nome del VPC servizio endpoint.
-
Lo stato di connessione corrente.
Nota
Il valore Disconnected (Disconnesso) dello stato di connessione indica che l'archivio delle chiavi esterne non è mai stato connesso oppure che è stato intenzionalmente disconnesso dal relativo proxy. Tuttavia, se i tentativi di utilizzare una KMS chiave in un archivio di chiavi esterno connesso falliscono, ciò potrebbe indicare un problema con l'archivio chiavi esterno o il relativo proxy. Per assistenza, consulta Errori di connessione all'archivio delle chiavi esterne.
Una sezione di monitoraggio con grafici delle CloudWatch metriche di Amazon progettati per aiutarti a rilevare e risolvere problemi con il tuo archivio di chiavi esterno. Per informazioni sull'interpretazione dei grafici, sul loro utilizzo nella pianificazione e risoluzione dei problemi e sulla creazione di CloudWatch allarmi in base alle metriche dei grafici, consulta. Monitora gli archivi di chiavi esterni
Proprietà dell'archivio delle chiavi esterne
Le seguenti proprietà di un archivio di chiavi esterno sono visibili nella console e nella AWS KMS risposta. DescribeCustomKeyStores
Proprietà dell'archivio delle chiavi personalizzate
I seguenti valori vengono visualizzati nella sezione Configurazione generale della pagina di dettaglio di ogni archivio di chiavi personalizzato. Queste proprietà si applicano a tutti gli archivi di chiavi personalizzati, inclusi gli archivi di AWS CloudHSM chiavi e gli archivi di chiavi esterni.
- ID dello store delle chiavi personalizzate
-
Un ID univoco che viene AWS KMS assegnato all'archivio chiavi personalizzato.
- Il nome dello store delle chiavi personalizzate
-
Nome descrittivo assegnato all'archivio delle chiavi personalizzate durante la sua creazione. Puoi modificare questo valore in qualsiasi momento.
- Tipo di archivio delle chiavi personalizzate
-
Il tipo di archivio delle chiavi personalizzate. I valori validi sono AWS CloudHSM (
AWS_CLOUDHSM) o External key store (Archivio delle chiavi esterne) (EXTERNAL_KEY_STORE). Il tipo di archivio non può essere modificato dopo la creazione. - Data di creazione
-
La data in cui è stato creato l'archivio delle chiavi personalizzate. Questa data viene visualizzata nell'ora locale per la Regione AWS.
- Stato connessione
-
Indica se l'archivio delle chiavi personalizzate è connesso al relativo archivio del materiale della chiave. Lo stato della connessione è
DISCONNECTEDsolo se l'archivio delle chiavi personalizzate non è mai stato collegato al relativo archivio del materiale della chiave o se è stato disconnesso intenzionalmente. Per informazioni dettagliate, consultare Stato connessione.
Proprietà di configurazione dell'archivio delle chiavi esterne
I seguenti valori vengono visualizzati nella sezione di configurazione del proxy dell'archivio chiavi esterno della pagina di dettaglio per ogni archivio di chiavi esterno e nell'XksProxyConfigurationelemento della DescribeCustomKeyStoresrisposta. Per una descrizione dettagliata di ogni campo, inclusi i requisiti di unicità e le informazioni utili per determinare il valore corretto per ogni campo, consulta Assemblare i prerequisiti nell'argomento Creazione di un archivio delle chiavi esterne.
- Connettività proxy
Indica se l'archivio di chiavi esterno utilizza la connettività degli endpoint pubblici o la connettività dei servizi VPC endpoint.
- Endpoint proxy URI
-
L'endpoint AWS KMS utilizzato per connettersi al proxy di archiviazione delle chiavi esterno.
- Percorso del proxy URI
-
Il percorso dall'URIendpoint proxy a cui AWS KMS invia APIle richieste proxy.
- Credenziali proxy: ID chiave di accesso
-
Parte delle credenziali di autenticazione proxy che stabilisci nel proxy dell'archivio delle chiavi esterne. L'ID della chiave di accesso identifica la chiave di accesso segreta nelle credenziali.
AWS KMS utilizza il processo di firma SigV4 e la credenziale di autenticazione del proxy per firmare le sue richieste al proxy di archiviazione delle chiavi esterno. La credenziale contenuta nella firma consente al proxy dell'archivio chiavi esterno di autenticare le richieste per conto dell'utente da. AWS KMS
- VPCnome del servizio endpoint
-
Il nome del servizio VPC endpoint Amazon che supporta l'archivio di chiavi esterno. Questo valore viene visualizzato solo quando l'archivio di chiavi esterno utilizza la connettività del servizio VPC endpoint. È possibile individuare il proxy dell'archivio chiavi esterno in VPC oppure utilizzare il servizio VPC endpoint per comunicare in modo sicuro con il proxy dell'archivio chiavi esterno.
Visualizza le proprietà del tuo archivio di chiavi esterno
È possibile visualizzare l'archivio di chiavi esterno e le proprietà associate nella AWS KMS console o utilizzando l'DescribeCustomKeyStoresoperazione.
Per visualizzare gli archivi delle chiavi esterne in determinati account e regioni, utilizza la procedura seguente.
-
Accedi AWS Management Console e apri la console AWS Key Management Service (AWS KMS) in https://console.aws.amazon.com/kms
. -
Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
Nel pannello di navigazione, scegli Custom key stores (Archivi delle chiavi personalizzate), External key stores (Archivi delle chiavi esterne).
-
Per visualizzare le informazioni dettagliate su un archivio delle chiavi esterne, scegli il nome dell'archivio delle chiavi.
Per visualizzare gli archivi di chiavi esterni, utilizzare l'DescribeCustomKeyStoresoperazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Puoi tuttavia utilizzare il parametro CustomKeyStoreName o CustomKeyStoreId (ma non entrambi) per limitare l'output a un determinato store delle chiavi personalizzate.
Per quanto riguarda gli archivi delle chiavi personalizzate, l'output include l'ID, il nome e il tipo dell'archivio delle chiavi personalizzate, oltre allo lo stato di connessione dell'archivio delle chiavi. Se lo stato della connessione è FAILED, l'output include un ConnectionErrorCode che descrive il motivo dell'errore. Per informazioni sull'interpretazione di ConnectionErrorCode per un archivio delle chiavi esterne, consulta Codici di errore di connessione per archivi delle chiavi esterne.
Per gli archivi delle chiavi esterne, l'output include anche l'elemento XksProxyConfiguration. Questo elemento include il tipo di connettività, l'URIendpoint proxy, il URIpercorso del proxy e l'ID della chiave di accesso della credenziale di autenticazione del proxy.
Gli esempi in questa sezione utilizzano AWS Command Line Interface
(AWS CLI)
Ad esempio, il comando seguente restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Per scorrere gli store delle chiavi personalizzate nell'output puoi utilizzare i parametri Limit e Marker.
$aws kms describe-custom-key-stores
Il comando seguente utilizza il parametro CustomKeyStoreName per ottenere solo l'archivio delle chiavi esterne di esempio con il nome descrittivo ExampleXksPublic. Tale archivio delle chiavi utilizza la connettività dell'endpoint pubblico ed è collegato al relativo proxy dell'archivio delle chiavi esterne.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksPublic{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
Il comando seguente ottiene un esempio di archivio di chiavi esterno con connettività al servizio VPC endpoint. In questo esempio, l'archivio delle chiavi esterne è connesso al relativo proxy.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Se ConnectionState è Disconnected, indica che un archivio delle chiavi esterne non è mai stato connesso oppure è stato intenzionalmente disconnesso dal relativo proxy. Tuttavia, se i tentativi di utilizzare una KMS chiave in un key store esterno connesso falliscono, ciò potrebbe indicare un problema con il proxy dell'archivio chiavi esterno o con altri componenti esterni.
Se il campo ConnectionState dell'archivio delle chiavi esterne è FAILED, la risposta DescribeCustomKeyStores include un elemento ConnectionErrorCode che descrive il motivo dell'errore.
Ad esempio, nell'output seguente, il XKS_PROXY_TIMED_OUT valore indica che AWS KMS può connettersi al proxy dell'archivio chiavi esterno, ma la connessione è fallita perché il proxy dell'archivio chiavi esterno non ha risposto AWS KMS nel tempo assegnato. Se visualizzi ripetutamente questo codice di errore di connessione, informa il fornitore del proxy dell'archivio delle chiavi esterne. Per informazioni su questo e altri errori di connessione, consulta Risoluzione dei problemi relativi all'archivio delle chiavi esterne.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
