Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Wichtige Geschäfte
Ein *Schlüsselspeicher* ist ein sicherer Ort für die Speicherung und Verwendung kryptografischer Schlüssel. Der Standardschlüsselspeicher in unterstützt AWS KMS auch Methoden zum Generieren und Verwalten der Schlüssel, die er speichert. Standardmäßig wird das kryptografische Schlüsselmaterial für das, in dem Sie es erstellen AWS KMS keys , in Hardware-Sicherheitsmodulen (HSMs) generiert und durch diese geschützt. Dabei AWS KMS handelt es sich um das [FIPS 140-3 Cryptographic](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) Module Validation Program. Das Schlüsselmaterial für Ihre KMS-Schlüssel wird niemals unverschlüsselt verlassen. HSMs
AWS KMS unterstützt verschiedene Arten von Schlüsselspeichern zum Schutz Ihres Schlüsselmaterials bei der Erstellung und Verwaltung Ihrer Verschlüsselungsschlüssel. AWS KMS Alle von bereitgestellten Schlüsselspeicheroptionen AWS KMS werden kontinuierlich gemäß FIPS 140-3 auf Sicherheitsstufe 3 validiert und sollen verhindern, dass Dritte, auch AWS Bediener, auf Ihre Klartext-Schlüssel zugreifen oder sie ohne Ihre Zustimmung verwenden.
## AWS KMS Standard-Schlüsselspeicher
Standardmäßig wird ein KMS-Schlüssel mithilfe des AWS KMS Standard-HSM erstellt. Dieser HSM-Typ kann als eine Flotte mit mehreren Mandanten betrachtet werden HSMs , die aus Ihrer Sicht den skalierbarsten, kostengünstigsten und am einfachsten zu verwaltenden Schlüsselspeicher ermöglicht. Wenn Sie einen KMS-Schlüssel zur Verwendung innerhalb eines oder mehrerer Schlüssel erstellen, AWS-Services sodass der Service Ihre Daten in Ihrem Namen verschlüsseln kann, erstellen Sie einen symmetrischen Schlüssel. Wenn Sie einen KMS-Schlüssel für Ihr eigenes Anwendungsdesign verwenden, können Sie wählen, ob Sie einen symmetrischen Verschlüsselungsschlüssel, einen asymmetrischen Schlüssel oder einen HMAC-Schlüssel erstellen möchten.
AWS KMS Erstellt in der Standardoption für den Schlüsselspeicher Ihren Schlüssel und verschlüsselt ihn dann unter Schlüsseln, die der Dienst intern verwaltet. Mehrere Kopien verschlüsselter Versionen Ihrer Schlüssel werden dann in Systemen gespeichert, die auf Langlebigkeit ausgelegt sind. Durch die Generierung und den Schutz Ihres Schlüsselmaterials im Standard-Schlüsselspeichertyp können Sie die Skalierbarkeit, Verfügbarkeit und Haltbarkeit von AWS Schlüsselspeichern AWS KMS bei geringstem Betriebsaufwand und geringsten Kosten voll ausschöpfen.
## AWS KMS Standard-Schlüsselspeicher mit importiertem Schlüsselmaterial
Anstatt AWS KMS zu verlangen, dass die einzigen Kopien eines bestimmten Schlüssels sowohl generiert als auch gespeichert werden, können Sie Schlüsselmaterial in importieren. So können Sie Ihren eigenen symmetrischen 256-Bit-Verschlüsselungsschlüssel AWS KMS, RSA- oder ECC-Schlüssel (Elliptic Curve) oder HMAC-Schlüssel (Hash-Based Message Authentication Code) generieren und ihn auf eine KMS-Schlüssel-ID (KeyID) anwenden. *Dies wird manchmal als Bring Your Own Key (BYOK) bezeichnet.* Importiertes Schlüsselmaterial aus Ihrem lokalen Schlüsselverwaltungssystem muss mithilfe eines von ausgegebenen öffentlichen Schlüssels AWS KMS, eines unterstützten kryptografischen Wrapping-Algorithmus und eines zeitbasierten Import-Tokens geschützt werden, das von bereitgestellt wird. AWS KMS Durch diesen Vorgang wird überprüft, ob Ihr verschlüsselter, importierter Schlüssel immer nur dann von einem AWS KMS HSM entschlüsselt werden kann, wenn er Ihre Umgebung verlassen hat.
Importiertes Schlüsselmaterial kann nützlich sein, wenn Sie spezielle Anforderungen an das System haben, das Schlüssel generiert, oder wenn Sie eine Kopie Ihres Schlüssels außerhalb AWS als Backup benötigen. Beachten Sie, dass Sie für die allgemeine Verfügbarkeit und Haltbarkeit eines importierten Schlüsselmaterials verantwortlich sind. AWS KMS Hat zwar eine Kopie Ihres importierten Schlüssels und bleibt hochverfügbar, solange Sie ihn benötigen, aber importierte Schlüssel bieten eine spezielle API zum Löschen — DeleteImportedKeyMaterial. Diese API löscht sofort alle Kopien des importierten Schlüsselmaterials, ohne dass AWS KMS der AWS Schlüssel wiederhergestellt werden kann. Darüber hinaus können Sie für einen importierten Schlüssel eine Ablaufzeit festlegen, nach deren Ablauf der Schlüssel unbrauchbar ist. Damit der Schlüssel wieder nützlich ist AWS KMS, müssen Sie das Schlüsselmaterial erneut importieren und es derselben KeyID zuweisen. Diese Löschaktion für importierte Schlüssel unterscheidet sich von Standardschlüsseln, die in Ihrem Namen für Sie AWS KMS generiert und gespeichert werden. Im Standardfall gibt es beim Löschen von Schlüsseln eine obligatorische Wartezeit, in der ein Schlüssel, der gelöscht werden soll, zunächst für die Nutzung gesperrt wird. Mit dieser Aktion können Sie in den Protokollen aller Anwendungen oder AWS Dienste, die diesen Schlüssel möglicherweise für den Zugriff auf Daten benötigen, Fehler im Zusammenhang mit der Zugriffsverweigerung anzeigen. Wenn Sie solche Zugriffsanfragen sehen, können Sie das geplante Löschen abbrechen und den Schlüssel erneut aktivieren. Erst nach einer konfigurierbaren Wartezeit (zwischen 7 und 30 Tagen) löscht KMS das Schlüsselmaterial, die KeyID und alle mit dem Schlüssel verknüpften Metadaten. Weitere Informationen zu Verfügbarkeit und Haltbarkeit finden Sie im *AWS KMS Entwicklerhandbuch* unter [Schutz von importiertem Schlüsselmaterial](import-keys-protect.md).
Beachten Sie bei importiertem Schlüsselmaterial einige zusätzliche Einschränkungen. Da AWS KMS kein neues Schlüsselmaterial generiert werden kann, gibt es keine Möglichkeit, die automatische Rotation importierter Schlüssel zu konfigurieren. Sie müssen einen neuen KMS-Schlüssel mit einer neuen KeyID erstellen und anschließend neues Schlüsselmaterial importieren, um eine effektive Rotation zu erreichen. Außerdem können Chiffretexte, die AWS KMS unter einem importierten symmetrischen Schlüssel erstellt wurden, nicht einfach mit Ihrer lokalen Kopie des Schlüssels außerhalb von entschlüsselt werden. AWS Dies liegt daran, dass das von verwendete authentifizierte Verschlüsselungsformat zusätzliche Metadaten an den Chiffretext AWS KMS anhängt, um während des Entschlüsselungsvorgangs sicherzustellen, dass der Chiffretext mit dem erwarteten KMS-Schlüssel im Rahmen eines früheren Verschlüsselungsvorgangs erstellt wurde. Die meisten externen kryptografischen Systeme verstehen nicht, wie diese Metadaten analysiert werden müssen, um Zugriff auf den rohen Chiffretext zu erhalten und ihre Kopie eines symmetrischen Schlüssels verwenden zu können. Chiffretexte, die unter importierten asymmetrischen Schlüsseln (z. B. RSA oder ECC) erstellt wurden, können außerhalb des entsprechenden (öffentlichen oder privaten) Teils des AWS KMS Schlüssels verwendet werden, da dem Chiffretext keine zusätzlichen Metadaten hinzugefügt werden. AWS KMS
## AWS KMS benutzerdefinierte Schlüsselspeicher
Wenn Sie jedoch noch mehr Kontrolle über benötigen HSMs, können Sie einen benutzerdefinierten Schlüsselspeicher erstellen.
Ein *benutzerdefinierter Schlüsselspeicher* ist ein Schlüsselspeicher innerhalb AWS KMS , der von einem externen Schlüsselmanager unterstützt wird AWS KMS, den Sie besitzen und verwalten. Benutzerdefinierte Schlüsselspeicher kombinieren die praktische und umfassende Schlüsselverwaltungsoberfläche von AWS KMS mit der Möglichkeit, das Schlüsselmaterial und die kryptografischen Operationen zu besitzen und zu kontrollieren. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die kryptografischen Vorgänge tatsächlich von Ihrem Schlüsselmanager unter Verwendung Ihrer kryptografischen Schlüssel durchgeführt. Dadurch übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit kryptografischer Schlüssel sowie für den Betrieb der. HSMs
Ihr Eigentum HSMs kann nützlich sein, um bestimmte gesetzliche Anforderungen zu erfüllen, die es noch nicht zulassen, dass mehrinstanzenfähige Webdienste wie der standardmäßige KMS-Schlüsselspeicher Ihre kryptografischen Schlüssel speichern. Benutzerdefinierte Schlüsselspeicher sind nicht sicherer als KMS-Schlüsselspeicher, die AWS-managed verwenden HSMs, aber sie haben andere (und höhere) Verwaltungs- und Kostenauswirkungen. Daher übernehmen Sie mehr Verantwortung für die Verfügbarkeit und Haltbarkeit kryptografischer Schlüssel und für den Betrieb der. HSMs Unabhängig davon, ob Sie den Standard-Schlüsselspeicher mit AWS KMS HSMs oder einen benutzerdefinierten Schlüsselspeicher verwenden, ist der Dienst so konzipiert, dass niemand, auch keine AWS Mitarbeiter, Ihre Klartext-Schlüssel abrufen oder ohne Ihre Zustimmung verwenden kann. AWS KMS unterstützt zwei Arten von benutzerdefinierten Schlüsselspeichern: AWS CloudHSM Schlüsselspeicher und externe Schlüsselspeicher.
**Nicht unterstützte Funktionen**
AWS KMS unterstützt die folgenden Funktionen in benutzerdefinierten Schlüsselspeichern nicht.
+ [Asymmetrische KMS-Schlüssel](symmetric-asymmetric.md)
+ [HMAC-KMS-Schlüssel](hmac.md)
+ [KMS-Schlüssel mit importiertem Schlüsselmaterial](importing-keys.md)
+ [Automatische Schlüsselrotation](rotate-keys.md)
+ [Multiregionale Schlüssel](multi-region-keys-overview.md)
### AWS CloudHSM Schlüsselspeicher
Sie können einen KMS-Schlüssel in einem [AWS CloudHSM](https://aws.amazon.com/kms/pricing/)Schlüsselspeicher erstellen, in dem Root-Benutzerschlüssel in einem AWS CloudHSM Cluster generiert, gespeichert und verwendet werden, den Sie besitzen und verwalten. Anfragen AWS KMS zur Verwendung eines Schlüssels für einen kryptografischen Vorgang werden zur Ausführung des Vorgangs an Ihren AWS CloudHSM Cluster weitergeleitet. Ein AWS CloudHSM Cluster wird zwar von gehostet AWS, es handelt sich jedoch um eine Single-Tenant-Lösung, die direkt von Ihnen verwaltet und betrieben wird. Sie besitzen einen Großteil der Verfügbarkeit und Leistung der KMS-Schlüssel in einem AWS CloudHSM Cluster. Um herauszufinden, ob ein AWS CloudHSM benutzerdefinierter Schlüsselspeicher für Ihre Anforderungen geeignet ist, lesen Sie den Artikel [Sind AWS KMS benutzerdefinierte Schlüsselspeicher das Richtige für Sie?](https://aws.amazon.com/blogs/security/are-kms-custom-key-stores-right-for-you/) im AWS Sicherheits-Blog.
### Externer Schlüsselspeicher
Sie können AWS KMS die Verwendung eines externen Schlüsselspeichers (XKS) konfigurieren, in dem Root-Benutzerschlüssel generiert, gespeichert und in einem Schlüsselverwaltungssystem außerhalb von verwendet werden. AWS Cloud Anfragen AWS KMS zur Verwendung eines Schlüssels für einen kryptografischen Vorgang werden zur Ausführung des Vorgangs an Ihr extern gehostetes System weitergeleitet. Insbesondere werden Anfragen an einen XKS-Proxy in Ihrem Netzwerk weitergeleitet, der die Anfrage dann an das von Ihnen verwendete kryptografische System weiterleitet. Der XKS Proxy ist eine Open-Source-Spezifikation, in die sich jeder integrieren kann. Viele kommerzielle Anbieter von Key-Management-Systemen unterstützen die XKS Proxy-Spezifikation. Da ein externer Schlüsselspeicher von Ihnen oder einem Drittanbieter gehostet wird, besitzen Sie die gesamte Verfügbarkeit, Haltbarkeit und Leistung der Schlüssel im System. Um herauszufinden, ob ein externer Schlüsselspeicher Ihren Anforderungen entspricht, lesen Sie im AWS News-Blog den [Artikel Ankündigung eines AWS KMS externen Schlüsselspeichers (XKS)](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/).
# AWS CloudHSM wichtige Geschäfte
Ein AWS CloudHSM Schlüsselspeicher ist ein [benutzerdefinierter Schlüsselspeicher](key-store-overview.md#custom-key-store-overview), der von einem [AWS CloudHSM Cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/) unterstützt wird. Wenn Sie einen AWS KMS key in einem benutzerdefinierten Schlüsselspeicher erstellen, AWS KMS generiert und speichert er nicht extrahierbares Schlüsselmaterial für den KMS-Schlüssel in einem AWS CloudHSM Cluster, den Sie besitzen und verwalten. Wenn Sie einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden, werden die [kryptografischen Operationen](manage-cmk-keystore.md#use-cmk-keystore) HSMs im Cluster ausgeführt. Diese Funktion kombiniert den Komfort und die umfassende Integration von AWS KMS mit der zusätzlichen Steuerung eines AWS CloudHSM Clusters in Ihrem AWS-Konto.
AWS KMS bietet vollständige Konsolen- und API-Unterstützung für die Erstellung, Verwendung und Verwaltung Ihrer benutzerdefinierten Schlüsselspeicher. Verwenden Sie die KMS-Schlüssel in Ihrem benutzerdefinierten Schlüsselspeicher auf die gleiche Weise, wie Sie jeden KMS-Schlüssel verwenden. Sie können KMS-Schlüssel beispielsweise zum Generieren von Datenschlüsseln und zum Verschlüsseln von Daten verwenden. Sie können die KMS-Schlüssel auch in Ihrem benutzerdefinierten Schlüsselspeicher mit AWS Diensten verwenden, die vom Kunden verwaltete Schlüssel unterstützen.
**Brauche ich einen benutzerdefinierten Schlüsselspeicher?**
Für die meisten Benutzer erfüllt der AWS KMS Standard-Schlüsselspeicher, der durch [FIPS 140-3-validierte kryptografische Module geschützt ist, ihre Sicherheitsanforderungen](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Es gibt keinen besonderen Grund, eine zusätzliche Ebene von Wartungsverantwortlichkeit und eine Abhängigkeit zu einem weiteren Service zu schaffen.
Es könnte jedoch für Sie sinnvoll sein, einen benutzerdefinierten Schlüsselspeicher zu erstellen, wenn für Sie eine der folgenden Anforderungen gilt:
+ Sie haben Schlüssel, die ausdrücklich geschützt werden müssen, in einem Einzelmandanten-HSM oder in einem HSM, über das Sie direkte Kontrolle haben.
+ Sie müssen in der Lage sein, Schlüsselmaterial sofort von zu entfernen. AWS KMS
+ Sie müssen in der Lage sein, die gesamte Verwendung Ihrer Schlüssel unabhängig von AWS KMS oder zu überprüfen AWS CloudTrail.
**Wie funktionieren benutzerdefinierten Schlüsselspeicher?**
Jeder benutzerdefinierte Schlüsselspeicher ist einem AWS CloudHSM Cluster in Ihrem zugeordnet AWS-Konto. Wenn Sie den benutzerdefinierten Schlüsselspeicher mit seinem Cluster verbinden, AWS KMS wird die Netzwerkinfrastruktur zur Unterstützung der Verbindung erstellt. Anschließend meldet es sich mit den Anmeldeinformationen eines [dedizierten Krypto-Benutzers](#concept-kmsuser) im Cluster beim AWS CloudHSM Key-Client im Cluster an.
Sie erstellen und verwalten Ihre benutzerdefinierten Schlüsselspeicher AWS KMS und erstellen und verwalten Ihre HSM-Cluster in AWS CloudHSM. Wenn Sie einen AWS KMS benutzerdefinierten Schlüsselspeicher erstellen AWS KMS keys , können Sie die KMS-Schlüssel in AWS KMS anzeigen und verwalten. Sie können jedoch das Schlüsselmaterial der KMS-Schlüssel wie bei anderen Schlüsseln in dem Cluster auch in AWS CloudHSM anzeigen und verwalten.
![\[Verwalten von KMS-Schlüsseln in einem benutzerdefinierten Schlüsselspeicher\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/kms-hsm-view.png)
Sie können [KMS-Schlüssel mit symmetrischer Verschlüsselung mit Schlüsselmaterial erstellen](create-cmk-keystore.md), das AWS KMS in Ihrem benutzerdefinierten Schlüsselspeicher generiert wurde. Verwenden Sie dann dieselben Techniken, um die KMS-Schlüssel in Ihrem benutzerdefinierten Schlüsselspeicher anzuzeigen und zu verwalten, die Sie für KMS-Schlüssel im AWS KMS Schlüsselspeicher verwenden. Sie können den Zugriff über IAM und Schlüsselrichtlinien steuern, Tags und Aliasse erstellen, die KMS-Schlüssel aktivieren und deaktivieren und die Löschung von Schlüsseln planen. Sie können die KMS-Schlüssel für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) verwenden und sie mit AWS Diensten verwenden, die sich in integrieren lassen. AWS KMS
Darüber hinaus haben Sie die volle Kontrolle über den AWS CloudHSM Cluster, einschließlich der Erstellung HSMs und Löschung sowie der Verwaltung von Backups. Sie können den AWS CloudHSM Client und die unterstützten Softwarebibliotheken verwenden, um das Schlüsselmaterial für Ihre KMS-Schlüssel einzusehen, zu prüfen und zu verwalten. Solange der benutzerdefinierte Schlüsselspeicher getrennt ist, AWS KMS kann er nicht darauf zugreifen, und Benutzer können die KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher nicht für kryptografische Operationen verwenden. Diese zusätzliche Kontrollebene macht benutzerdefinierte Schlüsselspeicher zu einer leistungsstarken Lösung für Unternehmen mit entsprechenden Anforderungen.
**Wo fange ich an?**
Um einen AWS CloudHSM Schlüsselspeicher zu erstellen und zu verwalten, verwenden Sie die Funktionen von AWS KMS und. AWS CloudHSM
1. Fangen Sie an AWS CloudHSM. [Erstellen Sie einen aktiven AWS CloudHSM -Cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) oder wählen Sie einen bestehenden aus. Auf dem Cluster müssen mindestens zwei aktive Mitglieder HSMs in unterschiedlichen Availability Zones vorhanden sein. Erstellen Sie dann ein [dediziertes Krypto-Benutzerkonto (CU-Konto)](#concept-kmsuser) für AWS KMS in diesem Cluster.
1. [Erstellen Sie unter einen benutzerdefinierten Schlüsselspeicher](create-keystore.md), der Ihrem ausgewählten AWS CloudHSM Cluster zugeordnet ist. AWS KMS AWS KMS bietet eine vollständige Verwaltungsoberfläche, mit der Sie Ihre benutzerdefinierten Schlüsselspeicher erstellen, anzeigen, bearbeiten und löschen können.
1. Wenn Sie bereit sind, Ihren benutzerdefinierten Schlüsselspeicher zu verwenden, [verbinden Sie ihn mit dem zugehörigen AWS CloudHSM Cluster](connect-keystore.md). AWS KMS erstellt die Netzwerkinfrastruktur, die zur Unterstützung der Verbindung benötigt wird. Anschließend meldet sich KMS mit den Anmeldeinformationen des dedizierten Krypto-Benutzers an dem Cluster an, um das Schlüsselmaterial in dem Cluster zu generieren und zu verwalten.
1. Jetzt können Sie [KMS-Schlüssel mit symmetrischer Verschlüsselung in Ihrem benutzerdefinierten Schlüsselspeicher erstellen](create-cmk-keystore.md). Sie brauchen dazu lediglich bei der Erstellung eines KMS-Schlüssels Ihren benutzerdefinierten Schlüsselspeicher anzugeben.
Falls Sie bei dem Prozess Hilfe benötigen, schlagen Sie im Thema [Fehlerbehebung für einen Custom Key Store](fix-keystore.md) nach. Wenn Sie dort keine Antwort oder Lösung finden, Verwenden Sie den Feedback-Link unten auf der Seite in diesem Handbuch, oder posten Sie eine Frage im [AWS Key Management Service -Diskussionsforum](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).
**Kontingente**
AWS KMS ermöglicht bis zu [10 benutzerdefinierte Schlüsselspeicher](resource-limits.md) in jeder AWS-Konto Region, einschließlich sowohl [AWS CloudHSM Schlüsselspeichern](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) als auch [externer Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), unabhängig von deren Verbindungsstatus. Darüber hinaus gibt es AWS KMS Anforderungskontingente für die [Verwendung von KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher](requests-per-second.md#rps-key-stores).
**Preise**
Informationen zu den Kosten für AWS KMS benutzerdefinierte Schlüsselspeicher und vom Kunden verwaltete Schlüssel in einem benutzerdefinierten Schlüsselspeicher finden Sie unter [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/). Informationen zu den Kosten von AWS CloudHSM Clustern und HSMs finden Sie unter [AWS CloudHSM Preise](https://aws.amazon.com/cloudhsm/pricing/).
**Regionen**
AWS KMS unterstützt AWS CloudHSM wichtige Geschäfte in allen Ländern, in AWS-Regionen denen dies unterstützt AWS KMS wird, mit Ausnahme von Asien-Pazifik (Melbourne), China (Peking), China (Ningxia) und Europa (Spanien).
**Nicht unterstützte Funktionen**
AWS KMS unterstützt die folgenden Funktionen in benutzerdefinierten Schlüsselspeichern nicht.
+ [Asymmetrische KMS-Schlüssel](symmetric-asymmetric.md)
+ [HMAC-KMS-Schlüssel](hmac.md)
+ [KMS-Schlüssel mit importiertem Schlüsselmaterial](importing-keys.md)
+ [Automatische Schlüsselrotation](rotate-keys.md)
+ [Multiregionale Schlüssel](multi-region-keys-overview.md)
## AWS CloudHSM Konzepte für Schlüsselspeicher
In diesem Thema werden einige der Begriffe und Konzepte erklärt, die in AWS CloudHSM Schlüsselspeichern verwendet werden.
### AWS CloudHSM Schlüsselspeicher
Ein *AWS CloudHSM Schlüsselspeicher* ist ein [benutzerdefinierter Schlüsselspeicher](key-store-overview.md#custom-key-store-overview), der einem AWS CloudHSM Cluster zugeordnet ist, den Sie besitzen und verwalten. AWS CloudHSM Cluster werden durch Hardware-Sicherheitsmodule (HSMs) unterstützt, die nach [FIPS 140-2 oder FIPS 140-3 Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html) zertifiziert sind.
Wenn Sie einen KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS generiert dieser im zugehörigen Cluster einen persistenten, nicht exportierbaren symmetrischen AES-Schlüssel (Advanced Encryption Standard) mit 256 Bit. AWS CloudHSM Dieses Schlüsselmaterial verlässt Ihren Computer niemals unverschlüsselt. HSMs Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher verwenden, werden die kryptografischen Operationen HSMs im Cluster ausgeführt.
AWS CloudHSM Schlüsselspeicher kombinieren die praktische und umfassende Schlüsselverwaltungsoberfläche von AWS KMS mit den zusätzlichen Steuerelementen, die ein AWS CloudHSM Cluster in Ihrem AWS-Konto bietet. Mit dieser integrierten Funktion können Sie KMS-Schlüssel erstellen, verwalten und verwenden und AWS KMS gleichzeitig die volle Kontrolle über die Schlüssel behalten HSMs , die ihr Schlüsselmaterial speichern, einschließlich der Verwaltung von Clustern und Backups. HSMs Sie können die AWS KMS Konsole verwenden und APIs den AWS CloudHSM Schlüsselspeicher und die zugehörigen KMS-Schlüssel verwalten. Sie können auch die AWS CloudHSM Konsole APIs, die Clientsoftware und die zugehörigen Softwarebibliotheken verwenden, um den zugehörigen Cluster zu verwalten.
Sie können Ihren AWS CloudHSM Schlüsselspeicher [anzeigen und verwalten](view-keystore.md), [seine Eigenschaften bearbeiten](update-keystore.md) und ihn mit dem zugehörigen AWS CloudHSM Cluster [verbinden](connect-keystore.md) und die Verbindung zu diesem [trennen](disconnect-keystore.md). Wenn Sie [einen AWS CloudHSM Schlüsselspeicher löschen](delete-keystore.md#delete-keystore-console) müssen, müssen Sie zuerst die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher löschen, indem Sie deren Löschung planen und warten, bis die Kulanzzeit abgelaufen ist. Durch das Löschen des AWS CloudHSM Schlüsselspeichers wird die Ressource aus dem Cluster entfernt AWS KMS, was sich jedoch nicht auf Ihren AWS CloudHSM Cluster auswirkt.
### AWS CloudHSM Cluster
Jeder AWS CloudHSM Schlüsselspeicher ist einem *AWS CloudHSM Cluster* zugeordnet. Wenn Sie einen AWS KMS key in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS erstellt das zugehörige Schlüsselmaterial im zugehörigen Cluster. Wenn Sie einen KMS-Schlüssel in Ihrem AWS CloudHSM -Schlüsselspeicher verwenden, wird die kryptographische Produktion in dem zugehörigen Cluster ausgeführt.
Jeder AWS CloudHSM Cluster kann nur einem AWS CloudHSM Schlüsselspeicher zugeordnet werden. Der Cluster, den Sie auswählen, kann nicht mit einem anderen AWS CloudHSM Schlüsselspeicher verknüpft werden oder einen gemeinsamen Backup-Verlauf mit einem Cluster teilen, der einem anderen AWS CloudHSM Schlüsselspeicher zugeordnet ist. Der Cluster muss initialisiert und aktiv sein und sich in derselben AWS-Konto Region wie der AWS CloudHSM Schlüsselspeicher befinden. Sie können einen neuen Cluster erstellen oder einen vorhandenen verwenden. AWS KMS benötigt keine ausschließliche Nutzung des Clusters. Um KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher und dem zugehörigen Cluster zu erstellen, muss er mindestens zwei aktive Schlüssel enthalten HSMs. Alle anderen Operationen erfordern nur ein HSM.
Sie geben den AWS CloudHSM Cluster an, wenn Sie den AWS CloudHSM Schlüsselspeicher erstellen, und Sie können ihn nicht ändern. Sie können jedoch eine Cluster als Ersatz verwenden, der den gleichen Sicherungsverlauf wie der ursprüngliche Cluster hat. So können Sie bei Bedarf den Cluster löschen und ihn durch einen aus einer seiner Sicherungen erstellten Cluster ersetzen. Sie behalten die volle Kontrolle über den zugehörigen AWS CloudHSM Cluster, sodass Sie Benutzer und Schlüssel verwalten, Backups erstellen und löschen HSMs sowie verwenden und verwalten können.
Wenn Sie bereit sind, Ihren AWS CloudHSM Schlüsselspeicher zu verwenden, verbinden Sie ihn mit dem zugehörigen AWS CloudHSM Cluster. Sie können Ihren Custom Key Store jederzeit verbinden oder trennen. Wenn ein benutzerdefinierten Schlüsselspeicher verbunden ist, können Sie seine KMS-Schlüssel erstellen und verwenden. Wenn die Verbindung unterbrochen wird, können Sie den AWS CloudHSM Schlüsselspeicher und die zugehörigen KMS-Schlüssel anzeigen und verwalten. Sie können jedoch keine neuen KMS-Schlüssel erstellen oder die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher für kryptografische Operationen verwenden.
### `kmsuser`-Kryptobenutzer
Um in Ihrem Namen Schlüsselmaterial im zugehörigen AWS CloudHSM Cluster zu erstellen und zu verwalten, AWS KMS verwendet einen dedizierten *AWS CloudHSM [Crypto-Benutzer](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) (CU)* im genannten `kmsuser` Cluster. Das `kmsuser` CU ist ein Standard-CU-Konto, das automatisch mit allen Mitgliedern des Clusters synchronisiert und HSMs in Cluster-Backups gespeichert wird.
Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen, [erstellen Sie mit dem Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) in der CloudHSM-CLI ein `kmsuser` CU-Konto](create-keystore.md#before-keystore) in Ihrem AWS CloudHSM Cluster. Wenn Sie dann [den AWS CloudHSM Schlüsselspeicher erstellen](create-keystore.md), geben Sie das `kmsuser` Kontopasswort für an. AWS KMS Wenn Sie [den benutzerdefinierten Schlüsselspeicher verbinden](connect-keystore.md), AWS KMS meldet er sich als `kmsuser` CU beim Cluster an und wechselt das zugehörige Passwort. AWS KMS verschlüsselt Ihr `kmsuser` Passwort, bevor es sicher gespeichert wird. Wenn das Passwort rotiert wird, wird das neue Passwort verschlüsselt und auf die gleiche Weise gespeichert.
AWS KMS bleibt angemeldet, `kmsuser` solange der AWS CloudHSM Schlüsselspeicher verbunden ist. Sie sollten dieses CU-Konto nicht für andere Zwecke verwenden. Sie behalten jedoch die letztendliche Kontrolle des `kmsuser`-CU-Kontos. Sie können jederzeit [die Schlüssel finden, die](find-key-material.md) Ihnen `kmsuser` gehören. Bei Bedarf können Sie den [benutzerdefinierten Schlüsselspeicher trennen](disconnect-keystore.md), das `kmsuser`-Passwort ändern, [sich bei dem Cluster als `kmsuser`](fix-keystore.md#fix-login-as-kmsuser) anmelden sowie die Schlüssel, über die `kmsuser` verfügt, anzeigen und verwalten.
Für Anweisungen zum Erstellen Ihres `kmsuser`-CU-Kontos vgl. [Erstellen des `kmsuser`-Crypto-Benutzers](create-keystore.md#before-keystore).
### KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher
Sie können die AWS KMS API AWS KMS oder verwenden, um einen AWS KMS keys in einem AWS CloudHSM Schlüsselspeicher zu erstellen. Sie verwenden die gleiche Methode wie bei jedem KMS-Schlüssel. Der einzige Unterschied besteht darin, dass Sie den AWS CloudHSM Schlüsselspeicher identifizieren und angeben müssen, dass der Ursprung des Schlüsselmaterials der AWS CloudHSM Cluster ist.
Wenn Sie [einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen](create-cmk-keystore.md), AWS KMS erstellt er den KMS-Schlüssel in AWS KMS und generiert ein persistentes, nicht exportierbares symmetrisches 256-Bit-Schlüsselmaterial (Advanced Encryption Standard, AES) im zugehörigen Cluster. Wenn Sie den AWS KMS Schlüssel in einem kryptografischen Vorgang verwenden, wird der Vorgang im AWS CloudHSM Cluster unter Verwendung des clusterbasierten AES-Schlüssels ausgeführt. Obwohl symmetrische und asymmetrische Schlüssel verschiedener Typen AWS CloudHSM unterstützt werden, unterstützen AWS CloudHSM Schlüsselspeicher nur symmetrische AES-Verschlüsselungsschlüssel.
Sie können die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole anzeigen und mithilfe der Konsolenoptionen die benutzerdefinierte Schlüsselspeicher-ID anzeigen. Sie können den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang auch verwenden, um die AWS CloudHSM Schlüsselspeicher-ID und die AWS CloudHSM Cluster-ID zu finden.
Die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher funktionieren genauso wie alle KMS-Schlüssel in AWS KMS. Autorisierte Benutzer benötigen die gleichen Berechtigungen zum Verwenden und Verwalten der KMS-Schlüssel. Sie verwenden dieselben Konsolenprozeduren und API-Operationen, um die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher anzuzeigen und zu verwalten. Dazu gehören das Aktivieren und Deaktivieren von KMS-Schlüsseln, das Erstellen und Verwenden von Tags und Aliasen sowie das Festlegen und Ändern von IAM- und Schlüsselrichtlinien. Sie können die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher für kryptografische Operationen verwenden und sie mit [integrierten AWS Diensten](service-integration.md) verwenden, die die Verwendung von kundenverwalteten Schlüsseln unterstützen. Sie können jedoch weder die [automatische Schlüsselrotation](rotate-keys.md) aktivieren noch [Schlüsselmaterial in einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher importieren](importing-keys.md).
Sie verwenden dasselbe Verfahren auch, um das [Löschen eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher zu planen](deleting-keys.md#delete-cmk-keystore). AWS KMS Löscht nach Ablauf der Wartezeit den KMS-Schlüssel aus KMS. Anschließend wird nach besten Kräften versucht, das Schlüsselmaterial für den KMS-Schlüssel aus dem zugehörigen AWS CloudHSM Cluster zu löschen. Möglicherweise müssen Sie jedoch [das verwaiste Schlüsselmaterial manuell](fix-keystore.md#fix-keystore-orphaned-key) aus dem Cluster und seinen Backups löschen.
# Kontrollieren Sie den Zugang zu Ihrem AWS CloudHSM Schlüsselspeicher
Sie verwenden IAM-Richtlinien, um den Zugriff auf Ihren AWS CloudHSM Schlüsselspeicher und Ihren AWS CloudHSM Cluster zu kontrollieren. Sie können Schlüsselrichtlinien, IAM-Richtlinien und Zuweisungen verwenden, um den Zugriff auf den Schlüsselspeicher AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher zu kontrollieren. Sie sollten Benutzern, Gruppen und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.
Um Ihre AWS CloudHSM Schlüsselspeicher zu unterstützen, AWS KMS ist eine Genehmigung zum Abrufen von Informationen über Ihre AWS CloudHSM Cluster erforderlich. Außerdem benötigt es die Erlaubnis, die Netzwerkinfrastruktur zu erstellen, die Ihren AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster verbindet. Um diese Berechtigungen zu erhalten, AWS KMS erstellt die **AWSServiceRoleForKeyManagementServiceCustomKeyStores**dienstbezogene Rolle in Ihrem AWS-Konto. Weitere Informationen finden Sie unter [Autorisierung AWS KMS zur Verwaltung AWS CloudHSM und Amazon EC2 EC2-Ressourcen](authorize-kms.md).
Achten Sie beim Entwerfen Ihres AWS CloudHSM Schlüsselspeichers darauf, dass die Prinzipale, die ihn verwenden und verwalten, nur über die erforderlichen Berechtigungen verfügen. In der folgenden Liste werden die Mindestberechtigungen beschrieben, die für Manager und Benutzer von AWS CloudHSM Schlüsselspeichern erforderlich sind.
+ Principals, die Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwalten, benötigen die folgenden Berechtigungen, um die AWS CloudHSM Key-Store-API-Operationen verwenden zu können.
+ `cloudhsm:DescribeClusters`
+ `kms:CreateCustomKeyStore`
+ `kms:ConnectCustomKeyStore`
+ `kms:DeleteCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `iam:CreateServiceLinkedRole`
+ Principals, die den AWS CloudHSM Cluster erstellen und verwalten, der Ihrem AWS CloudHSM Schlüsselspeicher zugeordnet ist, benötigen die Erlaubnis, einen Cluster zu erstellen und zu initialisieren. AWS CloudHSM Dies beinhaltet die Erlaubnis, eine Amazon Virtual Private Cloud (VPC) zu erstellen oder zu verwenden, Subnetze zu erstellen und eine EC2 Amazon-Instance zu erstellen. Möglicherweise müssen sie auch Backups erstellen HSMs, löschen und verwalten. Eine Liste der erforderlichen Berechtigungen finden Sie unter [Identitäts- und Zugriffsverwaltung für AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) im *AWS CloudHSM Benutzerhandbuch*.
+ Prinzipale, die AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher etwas erstellen und verwalten, benötigen [dieselben Berechtigungen](create-keys.md#create-key-permissions) wie diejenigen, die alle KMS-Schlüssel in AWS KMS erstellen und verwalten. Die [Standard-Schlüsselrichtlinie](key-policy-default.md) für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher ist identisch mit der Standard-Schlüsselrichtlinie für KMS-Schlüssel in AWS KMS. Die [attributebasierte Zugriffskontrolle](abac.md) (ABAC), die Tags und Aliase verwendet, um den Zugriff auf KMS-Schlüssel zu steuern, ist auch für KMS-Schlüssel in Schlüsselspeichern wirksam. AWS CloudHSM
+ [Principals, die die KMS-Schlüssel in Ihrem AWS CloudHSM Schlüsselspeicher für [kryptografische Operationen verwenden, benötigen eine Genehmigung, um den kryptografischen](manage-cmk-keystore.md#use-cmk-keystore) Vorgang mit dem KMS-Schlüssel auszuführen, z. B. kms:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Sie können diese Berechtigungen in einer Schlüsselrichtlinie oder einer IAM-Richtlinie bereitstellen. Sie benötigen jedoch keine zusätzlichen Berechtigungen, um einen KMS-Schlüssel in einem Schlüsselspeicher zu verwenden. AWS CloudHSM
# Erstellen Sie einen AWS CloudHSM Schlüsselspeicher
Sie können einen oder mehrere AWS CloudHSM Schlüsselspeicher in Ihrem Konto erstellen. Jeder AWS CloudHSM Schlüsselspeicher ist einem AWS CloudHSM Cluster in derselben AWS-Konto Region zugeordnet. Vor dem Erstellen des AWS CloudHSM -Schlüsselspeichers müssen Sie [einige Voraussetzungen erfüllen](#before-keystore). Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher verwenden können, müssen Sie [ihn dann mit seinem AWS CloudHSM Cluster verbinden](connect-keystore.md).
**Hinweise**
KMS kann nicht IPv6 mit AWS CloudHSM Schlüsselspeichern kommunizieren.
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne *Verbindung* zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück.
Sie müssen Ihren AWS CloudHSM Schlüsselspeicher nicht sofort verbinden. Sie können die Verbindung getrennt lassen, bis Sie zur Verwendung bereit sind. Wenn Sie jedoch prüfen möchten, ob die Konfiguration ordnungsgemäß erfolgt ist, können Sie [eine Verbindung herstellen](connect-keystore.md),[ den Verbindungsstatus anzeigen](view-keystore.md) und anschließend [die Verbindung wieder trennen](disconnect-keystore.md).
**Topics**
+ [
## Erfüllen der Voraussetzungen
](#before-keystore)
+ [
## Erstellen Sie einen neuen AWS CloudHSM Schlüsselspeicher
](#create-hsm-keystore)
## Erfüllen der Voraussetzungen
Jeder AWS CloudHSM Schlüsselspeicher wird von einem AWS CloudHSM Cluster unterstützt. Um einen AWS CloudHSM Schlüsselspeicher zu erstellen, müssen Sie einen aktiven AWS CloudHSM Cluster angeben, der noch keinem anderen Schlüsselspeicher zugeordnet ist. Sie müssen außerdem einen dedizierten Crypto-Benutzer (CU) in den Clustern einrichten HSMs , mit dem Sie Schlüssel in Ihrem Namen erstellen und verwalten AWS KMS können.
Bevor Sie einen AWS CloudHSM Schlüsselspeicher erstellen, gehen Sie wie folgt vor:
**Wählen Sie einen AWS CloudHSM Cluster**
Jeder AWS CloudHSM Schlüsselspeicher ist [genau einem AWS CloudHSM Cluster zugeordnet](keystore-cloudhsm.md#concept-cluster). Wenn Sie AWS KMS keys in Ihrem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS erstellt die KMS-Schlüsselmetadaten, z. B. eine ID und einen Amazon-Ressourcennamen (ARN) in AWS KMS. Anschließend erstellt es das Schlüsselmaterial im HSMs des zugehörigen Clusters. Sie können [einen neuen AWS CloudHSM Cluster erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) oder einen vorhandenen verwenden. AWS KMS erfordert keinen exklusiven Zugriff auf den Cluster.
Der AWS CloudHSM Cluster, den Sie auswählen, ist dauerhaft mit dem AWS CloudHSM Schlüsselspeicher verknüpft. Nachdem Sie den AWS CloudHSM Schlüsselspeicher erstellt haben, können Sie [die Cluster-ID des zugehörigen Clusters ändern](update-keystore.md). Der von Ihnen angegebene Cluster muss jedoch einen Backup-Verlauf mit dem ursprünglichen Cluster gemeinsam nutzen. Um einen Cluster zu verwenden, der nichts miteinander zu tun hat, müssen Sie einen neuen AWS CloudHSM Schlüsselspeicher erstellen.
Der AWS CloudHSM Cluster, den Sie auswählen, muss die folgenden Eigenschaften aufweisen:
+ **Der Cluster muss aktiv sein**.
Sie müssen den Cluster erstellen, initialisieren, die AWS CloudHSM Client-Software für Ihre Plattform installieren und dann den Cluster aktivieren. Ausführliche Anweisungen finden Sie im Abschnitt [Erste Schritte AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) im *AWS CloudHSM -Benutzerhandbuch*.
+ **Mutual TLS (mTLS) ist nicht aktiviert.**
KMS unterstützt mTLS für Cluster nicht. Diese Einstellung darf nicht aktiviert sein.
+ **Der Cluster muss sich im selben Konto und in derselben Region** wie der AWS CloudHSM Schlüsselspeicher befinden. Sie können einen AWS CloudHSM Schlüsselspeicher in einer Region nicht einem Cluster in einer anderen Region zuordnen. Um eine Schlüsselinfrastruktur in mehreren Regionen zu erstellen, müssen Sie in jeder Region AWS CloudHSM Schlüsselspeicher und Cluster erstellen.
+ **Der Cluster kann nicht mit einem anderen benutzerdefinierten Schlüsselspeicher** desselben Kontos und derselben Region verknüpft werden. Jeder AWS CloudHSM Schlüsselspeicher im Konto und in der Region muss einem anderen AWS CloudHSM Cluster zugeordnet sein. Sie können keinen Cluster angeben, der bereits einem benutzerdefinierten Schlüsselspeicher zugeordnet ist, und auch keinen Cluster, der einen gemeinsamen Sicherungsverlauf mit einem zugeordneten Cluster hat. Cluster mit einem gemeinsamen Sicherungsverlauf haben dasselbe Cluster-Zertifikat. Um das Clusterzertifikat eines Clusters anzuzeigen, verwenden Sie die AWS CloudHSM Konsole oder den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang.
Wenn Sie [einen AWS CloudHSM -Cluster in einer anderen Region sichern](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), wird er als anderer Cluster betrachtet, und Sie können die Sicherung mit einem benutzerdefinierten Schlüsselspeicher in seiner Region verknüpfen. Die KMS-Schlüssel in den beiden benutzerdefinierten Schlüsselspeichern sind jedoch nicht interoperabel, selbst wenn sie denselben Backing-Schlüssel haben. AWS KMS bindet Metadaten an den Chiffretext, sodass dieser nur mit dem KMS-Schlüssel entschlüsselt werden kann, mit dem er verschlüsselt wurde.
+ Der Cluster muss mit [privaten Subnetzen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) in **mindestens zwei Availability Zones** in der Region konfiguriert werden. Da AWS CloudHSM dies nicht in allen Availability Zones unterstützt wird, empfehlen wir, private Subnetze in allen Availability Zones in der Region zu erstellen. Sie können die Subnetze für einen vorhandenen Cluster nicht neu konfigurieren, haben jedoch die Möglichkeit, einen [Cluster von einer Sicherung zu erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), mit anderen Subnetzen in der Cluster-Konfiguration.
**Wichtig**
Nachdem Sie Ihren AWS CloudHSM Schlüsselspeicher erstellt haben, löschen Sie keines der für den Cluster konfigurierten privaten Subnetze. AWS CloudHSM Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche, eine [Verbindung zum benutzerdefinierten Schlüsselspeicher](connect-keystore.md) herzustellen, fehl und es wird ein `SUBNET_NOT_FOUND` Verbindungsfehler angezeigt. Details hierzu finden Sie unter [Beheben eines Verbindungsfehlers](fix-keystore.md#fix-keystore-failed).
+ Die [Sicherheitsgruppe für den Cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster--sg`) muss Regeln für eingehenden und ausgehenden Datenverkehr enthalten, die TCP-Verkehr über die Ports 2223-2225 IPv4 zulassen. Die Angabe für **Source (Quelle)** in den eingehenden Regeln und für **Destination (Ziel)** in den ausgehenden Regeln muss mit der Sicherheitsgruppen-ID übereinstimmen. Diese Regeln werden standardmäßig festgelegt, wenn Sie den Cluster erstellen. Sie dürfen nicht gelöscht oder geändert werden.
+ **Der Cluster muss mindestens zwei aktive HSMs Mitglieder in unterschiedlichen Availability Zones enthalten**. Verwenden Sie die AWS CloudHSM Konsole oder den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang HSMs, um die Anzahl von zu überprüfen. Falls erforderlich, können Sie ein [HSM hinzufügen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).
**Finden des Trust Anchor-Zertifikats**
Wenn Sie einen benutzerdefinierten Schlüsselspeicher erstellen, müssen Sie das Trust Anchor-Zertifikat für den AWS CloudHSM Cluster hochladen AWS KMS. AWS KMS benötigt das Trust Anchor-Zertifikat, um den AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster zu verbinden.
Jeder aktive AWS CloudHSM Cluster verfügt über ein *Trust Anchor-Zertifikat*. Wenn Sie den [Cluster initialisieren](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), generieren Sie dieses Zertifikat, speichern es in der Datei `customerCA.crt` und kopieren es auf Hosts, die eine Verbindung zu dem Cluster herstellen.
**Erstellen Sie den `kmsuser` Crypto-Benutzer für AWS KMS**
Um Ihren AWS CloudHSM Schlüsselspeicher zu verwalten, melden Sie AWS KMS sich beim [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) -Konto im ausgewählten Cluster an. Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen, müssen Sie die `kmsuser` CU erstellen. Wenn Sie dann Ihren AWS CloudHSM Schlüsselspeicher erstellen, geben Sie das Passwort für `kmsuser` to ein AWS KMS. Immer wenn Sie den AWS CloudHSM Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbinden, AWS KMS meldet sich das Passwort als an `kmsuser` und wechselt das Passwort `kmsuser`
Geben Sie nicht die Option `2FA` beim Erstellen des `kmsuser`-CU an. Wenn Sie dies tun, AWS KMS können Sie sich nicht anmelden und Ihr AWS CloudHSM Schlüsselspeicher kann nicht mit diesem AWS CloudHSM Cluster verbunden werden. Wenn Sie 2FA angeben, können Sie dies nicht rückgängig machen. Sie müssen dann den CU löschen und neu erstellen.
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
1. Folgen Sie den Anleitungen für die ersten Schritte, wie [sie im Abschnitt Erste Schritte mit CloudHSM Command Line Interface (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) im *AWS CloudHSM Benutzerhandbuch* beschrieben sind.
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html), um eine CU mit dem Namen zu erstellen. `kmsuser`
Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig.
Der folgende Beispielbefehl erstellt eine `kmsuser` CU.
```
aws-cloudhsm > user create --username kmsuser --role crypto-user
Enter password:
Confirm password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
## Erstellen Sie einen neuen AWS CloudHSM Schlüsselspeicher
Nachdem Sie [die Voraussetzungen zusammengestellt](#before-keystore) haben, können Sie in der AWS KMS Konsole oder mithilfe des [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgangs einen neuen AWS CloudHSM Schlüsselspeicher erstellen.
### Verwenden der Konsole AWS KMS
Wenn Sie in der einen AWS CloudHSM Schlüsselspeicher erstellen AWS-Managementkonsole, können Sie die [erforderlichen Komponenten](#before-keystore) als Teil Ihres Workflows hinzufügen und erstellen. Der Prozess ist jedoch schneller, wenn Sie die Voraussetzungen schon vorab erfüllt haben.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.
1. Wählen Sie **Einen Schlüsselspeicher erstellen** aus.
1. Geben Sie einen Anzeigenamen für den benutzerdefinierten Schlüsselspeicher ein. Der Name muss unter allen beutzerdefinierten Schlüsselspeichern in Ihrem Konto eindeutig sein.
**Wichtig**
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
1. Wählen Sie [einen AWS CloudHSM Cluster](keystore-cloudhsm.md#concept-cluster) für den AWS CloudHSM Schlüsselspeicher aus. Oder, um einen neuen AWS CloudHSM Cluster zu erstellen, wählen Sie den Link ** AWS CloudHSM Cluster erstellen**.
Im Menü werden die AWS CloudHSM Cluster in Ihrem Konto und Ihrer Region angezeigt, die noch keinem AWS CloudHSM Schlüsselspeicher zugeordnet sind. Der Cluster muss [die Anforderungen](#before-keystore) für die Zuordnung zu einem benutzerdefinierten Schlüsselspeicher erfüllen.
1. **Wählen Sie Datei auswählen** und laden Sie dann das Trust Anchor-Zertifikat für den ausgewählten AWS CloudHSM Cluster hoch. Dies ist die Datei `customerCA.crt`, die Sie bei der [Initialisierung des Clusters](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr) erstellt haben.
1. Geben Sie das Passwort des [`kmsuser`-Kryptobenutzers](keystore-cloudhsm.md#concept-kmsuser) (CU) ein, den Sie in dem ausgewählten Cluster erstellt haben.
1. Wählen Sie **Erstellen** aus.
Wenn das Verfahren erfolgreich ist, wird der neue AWS CloudHSM Schlüsselspeicher in der Liste der AWS CloudHSM Schlüsselspeicher im Konto und in der Region angezeigt. Bei nicht erfolgreicher Ausführung wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne *Verbindung* zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück.
**Weiter**: Neue AWS CloudHSM Schlüsselspeicher werden nicht automatisch verbunden. Bevor Sie AWS KMS keys im AWS CloudHSM Schlüsselspeicher etwas erstellen können, müssen Sie [den benutzerdefinierten Schlüsselspeicher mit dem zugehörigen AWS CloudHSM Cluster verbinden](connect-keystore.md).
### Verwenden der AWS KMS API
Sie können den [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgang verwenden, um einen neuen AWS CloudHSM Schlüsselspeicher zu erstellen, der einem AWS CloudHSM Cluster im Konto und in der Region zugeordnet ist. Für diese Beispiele wird die AWS Command Line Interface (AWS CLI) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Für die Produktion `CreateCustomKeyStore` sind folgende Parameterwerte erforderlich.
+ CustomKeyStoreName — Ein benutzerfreundlicher Name für den benutzerdefinierten Schlüsselspeicher, der für das Konto eindeutig ist.
**Wichtig**
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
+ CloudHsmClusterId — Die Cluster-ID eines AWS CloudHSM Clusters, [der die Anforderungen für einen AWS CloudHSM Schlüsselspeicher erfüllt](#before-keystore).
+ KeyStorePassword — Das Passwort des `kmsuser` CU-Kontos im angegebenen Cluster.
+ TrustAnchorCertificate — Der Inhalt der `customerCA.crt` Datei, die Sie bei der [Initialisierung des Clusters](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html) erstellt haben.
Im folgenden Beispiel wird eine fiktive Cluster-ID verwendet. Ersetzen Sie diese vor Ausführung des Befehls durch eine gültige Cluster-ID.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleCloudHSMKeyStore \
--cloud-hsm-cluster-id cluster-1a23b4cdefg \
--key-store-password kmsPswd \
--trust-anchor-certificate
```
Wenn Sie die verwenden AWS CLI, können Sie die Trust-Anker-Zertifikatsdatei anstelle ihres Inhalts angeben. Im folgenden Beispiel befindet sich die Datei `customerCA.crt` im Stammverzeichnis.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleCloudHSMKeyStore \
--cloud-hsm-cluster-id cluster-1a23b4cdefg \
--key-store-password kmsPswd \
--trust-anchor-certificate file://customerCA.crt
```
Bei einer erfolgreichen Produktion gibt `CreateCustomKeyStore` die ID des benutzerdefinierten Schlüsselspeichers zurück, wie in der folgenden Beispielantwort dargestellt.
```
{
"CustomKeyStoreId": cks-1234567890abcdef0
}
```
Wenn die Produktion fehlschlägt, korrigieren Sie den in der Ausnahme angegebenen Fehler und versuchen Sie es erneut. Weitere Informationen finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
Wenn Sie versuchen, einen AWS CloudHSM Schlüsselspeicher mit denselben Eigenschaftswerten wie ein vorhandener AWS CloudHSM Schlüsselspeicher ohne *Verbindung* zu erstellen, AWS KMS wird kein neuer AWS CloudHSM Schlüsselspeicher erstellt und es wird keine Ausnahme ausgelöst oder ein Fehler angezeigt. AWS KMS Erkennt das Duplikat stattdessen als wahrscheinliche Folge eines erneuten Versuchs und gibt die ID des vorhandenen AWS CloudHSM Schlüsselspeichers zurück.
**Weiter**: Um den AWS CloudHSM Schlüsselspeicher zu verwenden, [verbinden Sie ihn mit seinem AWS CloudHSM Cluster](connect-keystore.md).
# Sehen Sie sich einen AWS CloudHSM Schlüsselspeicher an
Sie können die AWS CloudHSM Schlüsselspeicher für jedes Konto und jede Region mithilfe der AWS KMS Konsole oder der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Operation anzeigen.
## Mithilfe der AWS KMS Konsole
Wenn Sie sich die AWS CloudHSM Schlüsselspeicher in der ansehen AWS-Managementkonsole, können Sie Folgendes sehen:
+ Name und ID des benutzerdefinierten Schlüsselspeichers
+ Die ID des zugehörigen AWS CloudHSM Clusters
+ Die Nummer von HSMs im Cluster
+ Der aktuelle Verbindungsstatus
Der Wert **Disconnected** für den **Verbindungsstatus (Status**) gibt an, dass der benutzerdefinierte Schlüsselspeicher neu ist und noch nie verbunden wurde oder dass er absichtlich [vom Cluster getrennt](disconnect-keystore.md) wurde. AWS CloudHSM Wenn Ihre Versuche, einen KMS-Schlüssel in einem verbundenen benutzerdefinierten Schlüsselspeicher zu verwenden, fehlschlagen, kann dies auf ein Problem mit dem benutzerdefinierten Schlüsselspeicher oder seinem AWS CloudHSM Cluster hinweisen. Weitere Informationen dazu finden Sie unter [Beheben eines fehlerhaften KMS-Schlüssels](fix-keystore.md#fix-cmk-failed).
Gehen Sie wie folgt vor, um die AWS CloudHSM Schlüsselspeicher in einem bestimmten Konto und einer bestimmten Region anzuzeigen.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.
Klicken Sie auf das Zahnradsymbol unter der Schaltfläche **Create key store (Schlüsselspeicher erstellen)**, um die Anzeige anzupassen.
## Verwenden der API AWS KMS
Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um Ihre AWS CloudHSM wichtigsten Speicher anzuzeigen. Standardmäßig gibt diese Operation alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Ausgabe auf einen bestimmten benutzerdefinierten Schlüsselspeicher zu begrenzen. Bei AWS CloudHSM Schlüsselspeichern besteht die Ausgabe aus der ID und dem Namen des benutzerdefinierten Schlüsselspeichers, dem Typ des benutzerdefinierten Schlüsselspeichers, der ID des zugehörigen AWS CloudHSM Clusters und dem Verbindungsstatus. Wenn der Verbindungsstatus auf einen Fehler hinweist, enthält die Ausgabe außerdem einen Fehlercode, der die Ursache angibt.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Beispielsweise gibt der folgende Befehl alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können die Parameter `Marker` und `Limit` verwenden, um durch die benutzerdefinierten Schlüsselspeicher in der Ausgabe zu blättern.
```
$ aws kms describe-custom-key-stores
```
Der folgende Beispielbefehl verwendet den Parameter `CustomKeyStoreName`, um nur den benutzerdefinierten Schlüsselspeicher mit dem Anzeigenamen `ExampleCloudHSMKeyStore` abzurufen. In jedem Befehl können Sie entweder den Parameter `CustomKeyStoreName` oder `CustomKeyStoreId` (aber nicht beide) verwenden.
Die folgende Beispielausgabe stellt einen AWS CloudHSM Schlüsselspeicher dar, der mit seinem AWS CloudHSM Cluster verbunden ist.
**Anmerkung**
Das `CustomKeyStoreType` Feld wurde der `DescribeCustomKeyStores` Antwort hinzugefügt, um AWS CloudHSM Schlüsselspeicher von externen Schlüsselspeichern zu unterscheiden.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
"CustomKeyStores": [
{
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "CONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
}
]
}
```
Ein `Disconnected` Wert `ConnectionState` von gibt an, dass mit einem benutzerdefinierten Schlüsselspeicher noch nie eine Verbindung hergestellt wurde oder dass die Verbindung zu [seinem AWS CloudHSM Cluster absichtlich getrennt](disconnect-keystore.md) wurde. Wenn jedoch Versuche, einen KMS-Schlüssel in einem verbundenen AWS CloudHSM Schlüsselspeicher zu verwenden, fehlschlagen, kann dies auf ein Problem mit dem AWS CloudHSM Schlüsselspeicher oder seinem AWS CloudHSM Cluster hinweisen. Weitere Informationen dazu finden Sie unter [Beheben eines fehlerhaften KMS-Schlüssels](fix-keystore.md#fix-cmk-failed).
Wenn der `ConnectionState` des benutzerdefinierten Schlüsselspeichers `FAILED` lautet, enthält die `DescribeCustomKeyStores`-Antwort ein `ConnectionErrorCode`-Element, das den Grund für den Fehler angibt.
In der folgenden Ausgabe deutet der Wert `INVALID_CREDENTIALS` beispielsweise darauf hin, dass die Verbindung des benutzerdefinierten Schlüsselspeichers fehlgeschlagen ist, da das [`kmsuser`-Passwort ungültig ist](fix-keystore.md#fix-keystore-password). Weitere Informationen zu diesem und anderen Verbindungsfehlern finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
{
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS",
"ConnectionState": "FAILED",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"CreationDate": "1.499288695918E9",
"TrustAnchorCertificate": ""
}
]
}
```
**Weitere Informationen:**
+ [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md)
+ [Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern](identify-key-types.md#identify-key-hsm-keystore)
+ [AWS KMS API-Aufrufe protokollieren mit AWS CloudTrail](logging-using-cloudtrail.md)
# Einstellungen AWS CloudHSM für den Schlüsselspeicher bearbeiten
Sie können die Einstellungen eines vorhandenen AWS CloudHSM Schlüsselspeichers ändern. Der benutzerdefinierte Schlüsselspeicher muss vom AWS CloudHSM Cluster getrennt werden.
Um die Einstellungen für AWS CloudHSM den Schlüsselspeicher zu bearbeiten:
1. [Trennen Sie den benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md) von dessen AWS CloudHSM -Cluster.
Solange der benutzerdefinierte Schlüsselspeicher getrennt ist, können Sie im benutzerdefinierten Schlüsselspeicher keine AWS KMS keys (KMS-Schlüssel) erstellen und die darin enthaltenen KMS-Schlüssel nicht für [kryptografische](manage-cmk-keystore.md#use-cmk-keystore) Operationen verwenden.
1. Bearbeiten Sie eine oder mehrere Einstellungen für den AWS CloudHSM Schlüsselspeicher.
Sie können in einem benutzerdefinierten Schlüsselspeicher die folgenden Einstellungen ändern:
Anzeigename des benutzerdefinierten Schlüsselspeichers.
Geben Sie einen neuen Anzeigenamen ein. Der neue Name muss unter allen benutzerdefinierten Schlüsselspeichern in Ihrem eindeutig sein AWS-Konto.
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
Die Cluster-ID des zugehörigen AWS CloudHSM Clusters.
Bearbeiten Sie diesen Wert, um den ursprünglichen AWS CloudHSM Cluster durch einen verwandten Cluster zu ersetzen. Sie können diese Funktion verwenden, um einen benutzerdefinierten Schlüsselspeicher zu reparieren, falls sein AWS CloudHSM Cluster beschädigt oder gelöscht wird.
Geben Sie einen AWS CloudHSM Cluster an, der den Backup-Verlauf mit dem ursprünglichen Cluster teilt und [der die Anforderungen für die Zuordnung zu einem benutzerdefinierten Schlüsselspeicher erfüllt](create-keystore.md#before-keystore), einschließlich zweier, die HSMs in unterschiedlichen Availability Zones aktiv sind. Cluster mit einem gemeinsamen Sicherungsverlauf haben dasselbe Cluster-Zertifikat. Verwenden Sie den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang, um das Clusterzertifikat eines Clusters anzuzeigen. Sie können das Bearbeitungs-Feature nicht verwenden, um den benutzerdefinierten Schlüsselspeicher mit einem nicht verwandten AWS CloudHSM -Cluster zu verknüpfen.
Das aktuelle Passwort des [`kmsuser` Kryptobenutzers](keystore-cloudhsm.md#concept-kmsuser) (Crypto User, CU).
Gibt AWS KMS das aktuelle Passwort der `kmsuser` CU im AWS CloudHSM Cluster an. Durch diese Aktion wird das Passwort der `kmsuser` CU im AWS CloudHSM Cluster nicht geändert.
Wenn Sie das Passwort der `kmsuser` CU im AWS CloudHSM Cluster ändern, verwenden Sie diese Funktion, um AWS KMS das neue `kmsuser` Passwort mitzuteilen. Andernfalls kann sich AWS KMS nicht am Cluster anmelden und jeder Versuch, den benutzerdefinierten Schlüsselspeicher mit dem Cluster zu verbinden, schlägt fehl.
1. [Verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder](connect-keystore.md) mit dessen AWS CloudHSM -Cluster.
## Bearbeiten Sie Ihre Key-Store-Einstellungen
Sie können Ihre AWS CloudHSM Key-Store-Einstellungen in der AWS KMS Konsole oder mithilfe des [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgangs bearbeiten.
### Mithilfe der AWS KMS Konsole
Wenn Sie einen AWS CloudHSM Schlüsselspeicher bearbeiten, können Sie einen oder mehrere der konfigurierbaren Werte ändern.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.
1. Wählen Sie die Zeile des AWS CloudHSM Schlüsselspeichers aus, den Sie bearbeiten möchten.
Wenn der Wert in der Spalte **Verbindungsstatus** nicht **Getrennt** lautet, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, um ihn bearbeiten zu können. (Wählen Sie im Menü **Key store actions**(Key Store-Aktionen) die Option **Disconnect** (Trennen) aus.)
Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine KMS-Schlüssel verwalten, aber Sie können im AWS CloudHSM Schlüsselspeicher keine KMS-Schlüssel erstellen oder verwenden.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Edit** (Bearbeiten) aus.
1. Führen Sie eine oder mehrere der folgenden Aktionen aus.
+ Geben Sie einen neuen Anzeigenamen für den benutzerdefinierten Schlüsselspeicher ein.
+ Geben Sie die Cluster-ID eines zugehörigen AWS CloudHSM Clusters ein.
+ Geben Sie das aktuelle Passwort des `kmsuser` Krypto-Benutzers im zugehörigen AWS CloudHSM Cluster ein.
1. Wählen Sie **Speichern**.
Wenn der Vorgang erfolgreich ist, wird Ihnen eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Einstellungen angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
1. [Stellen Sie die Verbindung des benutzerdefinierten Schlüsselspeichers wieder her.](connect-keystore.md)
Um den AWS CloudHSM Schlüsselspeicher verwenden zu können, müssen Sie ihn nach der Bearbeitung erneut verbinden. Sie können den AWS CloudHSM -Schlüsselspeicher getrennt lassen. Solange die Verbindung unterbrochen ist, können Sie jedoch keine KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder die KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher für [kryptografische](manage-cmk-keystore.md#use-cmk-keystore) Operationen verwenden.
### Verwenden der API AWS KMS
Verwenden Sie den [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgang, um die Eigenschaften eines AWS CloudHSM Schlüsselspeichers zu ändern. Sie können im selben Befehl mehrere Eigenschaften eines benutzerdefinierten Schlüsselspeichers ändern. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob die Änderungen wirksam sind.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Verwenden Sie zunächst [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html), um [den benutzerdefinierten Schlüsselspeicher von seinem AWS CloudHSM Cluster zu trennen](disconnect-keystore.md). Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers, cks-1234567890abcdef0, durch eine tatsächliche ID.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Im ersten Beispiel wird [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)der Anzeigename des AWS CloudHSM Schlüsselspeichers in geändert`DevelopmentKeys`. Der Befehl verwendet den `CustomKeyStoreId` Parameter, um den AWS CloudHSM Schlüsselspeicher `CustomKeyStoreName` zu identifizieren und dann den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```
Im folgenden Beispiel wird der Cluster, der einem AWS CloudHSM Schlüsselspeicher zugeordnet ist, in ein anderes Backup desselben Clusters geändert. Der Befehl verwendet den `CustomKeyStoreId` Parameter, um den AWS CloudHSM Schlüsselspeicher zu identifizieren, und den `CloudHsmClusterId` Parameter, um die neue Cluster-ID anzugeben.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```
Das folgende Beispiel zeigt AWS KMS , dass das aktuelle `kmsuser` Passwort lautet`ExamplePassword`. Der Befehl verwendet den `CustomKeyStoreId` Parameter, um den AWS CloudHSM Schlüsselspeicher zu identifizieren, und den `KeyStorePassword` Parameter, um das aktuelle Passwort anzugeben.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```
Der letzte Befehl verbindet den AWS CloudHSM Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Sie können den benutzerdefinierten Schlüsselspeicher im getrennten Status belassen. Sie müssen die Verbindung jedoch wiederherstellen, bevor Sie neue KMS-Schlüssel erstellen oder vorhandene KMS-Schlüssel für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) verwenden können. Ersetzen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine tatsächliche ID.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
# Einen AWS CloudHSM Schlüsselspeicher Connect
Neue AWS CloudHSM Schlüsselspeicher sind nicht verbunden. Bevor Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen und verwenden AWS KMS keys können, müssen Sie ihn mit dem zugehörigen AWS CloudHSM Cluster verbinden. Sie können Ihren AWS CloudHSM Schlüsselspeicher jederzeit verbinden und die Verbindung trennen und [seinen Verbindungsstatus einsehen](view-keystore.md#view-keystore-console).
Sie müssen Ihren AWS CloudHSM Schlüsselspeicher nicht verbinden. Sie können einen AWS CloudHSM Schlüsselspeicher auf unbestimmte Zeit in einem getrennten Zustand belassen und ihn nur dann verbinden, wenn Sie ihn benötigen. Möglicherweise möchten Sie die Verbindung jedoch von Zeit zu Zeit testen, um zu prüfen, ob die Einstellungen korrekt sind und eine Verbindungsherstellung möglich ist.
**Anmerkung**
AWS CloudHSM Schlüsselspeicher haben nur dann einen `DISCONNECTED` Verbindungsstatus, wenn der Schlüsselspeicher noch nie verbunden war oder wenn Sie die Verbindung explizit trennen. Wenn Ihr AWS CloudHSM Schlüsselspeicher-Verbindungsstatus lautet, Sie `CONNECTED` aber Probleme bei der Verwendung haben, stellen Sie sicher, dass der zugehörige AWS CloudHSM Cluster aktiv ist und mindestens einen aktiven enthält HSMs. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
Wenn Sie eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herstellen AWS KMS , wird der zugehörige AWS CloudHSM Cluster gefunden, eine Verbindung zu diesem hergestellt, sich als [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) beim AWS CloudHSM Client angemeldet und dann das `kmsuser` Passwort rotiert. AWS KMS bleibt beim AWS CloudHSM Client angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist.
Um die Verbindung herzustellen, AWS KMS erstellt eine [Sicherheitsgruppe](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html), die `kms-` in der Virtual Private Cloud (VPC) des Clusters benannt ist. Die Sicherheitsgruppe hat eine einzige Regel, die eingehenden Datenverkehr von der Cluster-Sicherheitsgruppe zulässt. AWS KMS erstellt außerdem ein [elastic network interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) in jeder Availability Zone des privaten Subnetzes für den Cluster. AWS KMS fügt der ENIs `kms-` Sicherheitsgruppe und der Sicherheitsgruppe für den Cluster hinzu. Die Beschreibung der einzelnen ENIs lautet `KMS managed ENI for cluster `.
Der Verbindungsvorgang kann einige Zeit – bis zu 20 Minuten – in Anspruch nehmen.
Bevor Sie eine Verbindung zum AWS CloudHSM Schlüsselspeicher herstellen, stellen Sie sicher, dass er die Anforderungen erfüllt.
+ Der zugehörige AWS CloudHSM Cluster muss mindestens ein aktives HSM enthalten. Um die Anzahl von HSMs im Cluster zu ermitteln, zeigen Sie den Cluster in der AWS CloudHSM Konsole an oder verwenden Sie den [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgang. Falls erforderlich, können Sie ein [HSM hinzufügen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Der Cluster muss über ein [`kmsuser`Crypto-Benutzerkonto](create-keystore.md#kmsuser-concept) (CU) verfügen, aber dieses CU kann nicht beim Cluster angemeldet werden, wenn Sie eine Verbindung zum AWS CloudHSM Schlüsselspeicher herstellen. Hilfe zum Abmelden finden Sie unter [Abmelden und erneutes Verbinden](fix-keystore.md#login-kmsuser-2).
+ Der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers kann nicht `DISCONNECTING` oder sein`FAILED`. Verwenden Sie die AWS KMS Konsole oder die [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort, um den Verbindungsstatus anzuzeigen. Wenn der Verbindungsstatus `FAILED` lautet, trennen Sie den benutzerdefinierten Schlüsselspeicher, lösen Sie das Problem und stellen Sie anschließend die Verbindung her.
Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter [Beheben eines Verbindungsfehlers](fix-keystore.md#fix-keystore-failed).
Wenn Ihr AWS CloudHSM Schlüsselspeicher verbunden ist, können Sie [darin KMS-Schlüssel erstellen](create-cmk-keystore.md) und vorhandene KMS-Schlüssel für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) verwenden.
## Connect zu Ihrem AWS CloudHSM Schlüsselspeicher her und stellen Sie erneut eine Verbindung her
Sie können in der AWS KMS Konsole oder mithilfe des Vorgangs eine Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher herstellen oder die Verbindung erneut herstellen. [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)
### Mithilfe der Konsole AWS KMS
Um einen AWS CloudHSM Schlüsselspeicher in der zu verbinden AWS-Managementkonsole, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite **Benutzerdefinierte Schlüsselspeicher** aus. Der Verbindungsvorgang kann bis zu 20 Minuten dauern.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.
1. Wählen Sie die Zeile des AWS CloudHSM Schlüsselspeichers aus, den Sie verbinden möchten.
Wenn der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers „**Fehlgeschlagen**“ lautet, müssen Sie [die Verbindung zum benutzerdefinierten Schlüsselspeicher trennen](disconnect-keystore.md#disconnect-keystore-console), bevor Sie eine Verbindung herstellen.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Connect** (Verbinden) aus.
AWS KMS beginnt mit dem Verbindungsaufbau Ihres benutzerdefinierten Schlüsselspeichers. Der Service findet den zugehörigen AWS CloudHSM -Cluster, schafft die erforderlichen Netzwerkinfrastruktur, stellt eine Verbindung her, meldet sich beim AWS CloudHSM -Cluster als `kmsuser`-CU an und rotiert das `kmsuser`-Passwort. Wenn die Produktion abgeschlossen ist, ändert sich der Verbindungsstatus in **Verbunden**.
Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung der Fehlerursache angezeigt. Bevor Sie erneut versuchen, eine Verbindung herzustellen, [überprüfen Sie den Verbindungsstatus](view-keystore.md) Ihres AWS CloudHSM Schlüsselspeichers. Wenn dieser **Fehlgeschlagen** lautet, müssen Sie die [Verbindung des benutzerdefinierten Schlüsselspeichers trennen](disconnect-keystore.md#disconnect-keystore-console), bevor Sie erneut eine Verbindung herstellen. Wenn Sie Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
**Danach:** [Einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen](create-cmk-keystore.md).
### Verwenden der AWS KMS API
Verwenden Sie den [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang, um einen getrennten AWS CloudHSM Schlüsselspeicher zu verbinden. Der zugehörige AWS CloudHSM Cluster muss mindestens ein aktives HSM enthalten, und der Verbindungsstatus darf nicht sein. `FAILED`
Der Verbindungsvorgang nimmt einige Zeit – bis zu 20 Minuten – in Anspruch. Sofern sie nicht schnell fehlschlägt, gibt die Produktion eine HTTP-Antwort 200 und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Informationen zum Ermitteln des Verbindungsstatus des benutzerdefinierten Schlüsselspeichers finden Sie in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Um den AWS CloudHSM Schlüsselspeicher zu identifizieren, verwenden Sie seine benutzerdefinierte Schlüsselspeicher-ID. Sie finden die ID auf der Seite **Benutzerdefinierte Schlüsselspeicher** in der Konsole oder indem Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang ohne Parameter verwenden. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der `ConnectionState`-Wert `CONNECTED` gibt an, dass der benutzerdefinierte Schlüsselspeicher mit seinem AWS CloudHSM -Cluster verbunden ist.
**Anmerkung**
Das `CustomKeyStoreType` Feld wurde der `DescribeCustomKeyStores` Antwort hinzugefügt, um AWS CloudHSM Schlüsselspeicher von externen Schlüsselspeichern zu unterscheiden.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleCloudHSMKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```
Wenn der `ConnectionState`-Wert „Failed (Fehlgeschlagen)” lautet, ist im Element `ConnectionErrorCode` die Fehlerursache angegeben. In diesem Fall AWS KMS konnte in Ihrem Konto kein AWS CloudHSM Cluster mit der Cluster-ID gefunden `cluster-1a23b4cdefg` werden. Wenn Sie den Cluster gelöscht haben, können Sie ihn [von einer Sicherung des ursprünglichen Clusters wiederherstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) und dann die [Cluster-ID für den benutzerdefinierten Schlüsselspeicher bearbeiten](update-keystore.md). Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter [Beheben eines Verbindungsfehlers](fix-keystore.md#fix-keystore-failed).
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
"ConnectionErrorCode": "CLUSTER_NOT_FOUND"
],
}
```
# Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen
Wenn Sie die Verbindung zu einem AWS CloudHSM Schlüsselspeicher trennen, AWS KMS meldet sich der AWS CloudHSM Client ab, trennt die Verbindung zum zugehörigen AWS CloudHSM Cluster und entfernt die Netzwerkinfrastruktur, die zur Unterstützung der Verbindung erstellt wurde.
Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine KMS-Schlüssel verwalten, aber Sie können keine KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder verwenden. Der Verbindungsstatus des Schlüsselspeichers lautet `DISCONNECTED` und der [Schlüsselstatus](key-state.md) der KMS-Schlüssel in dem benutzerdefinierten Schlüsselspeicher `Unavailable`, sofern er nicht `PendingDeletion` lautet. Sie können den AWS CloudHSM Schlüsselspeicher jederzeit wieder verbinden.
**Anmerkung**
AWS CloudHSM Schlüsselspeicher haben nur dann einen `DISCONNECTED` Verbindungsstatus, wenn der Schlüsselspeicher noch nie verbunden war oder wenn Sie die Verbindung explizit trennen. Wenn Ihr AWS CloudHSM Schlüsselspeicher-Verbindungsstatus lautet, Sie `CONNECTED` aber Probleme bei der Verwendung haben, stellen Sie sicher, dass der zugehörige AWS CloudHSM Cluster aktiv ist und mindestens einen aktiven enthält HSMs. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
Wenn Sie die Verbindung zu einem benutzerdefinierten Schlüsselspeicher trennen, werden die KMS-Schlüssel im Schlüsselspeicher sofort unbrauchbar (je nach letztendlicher Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten [Datenschlüsseln](data-keys.md) verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
Um die Auswirkung einer Trennung der Verbindung Ihres benutzerdefinierten Schlüsselspeichers besser beurteilen zu können, [ermitteln Sie die KMS-Schlüssel](find-cmk-in-keystore.md) im benutzerdefinierten Schlüsselspeicher und [ihre bisherige Verwendung](deleting-keys-determining-usage.md).
Sie können die Verbindung zu einem AWS CloudHSM Schlüsselspeicher aus folgenden Gründen trennen:
+ **Zum Rotieren des `kmsuser`-Passworts.** AWS KMS ändert das `kmsuser`-Passwort jedes Mal, wenn eine Verbindung zu dem AWS CloudHSM -Cluster hergestellt wird. Um eine Passwort-Rotation zu erzwingen, trennen Sie einfach die Verbindung und stellen Sie sie wieder her.
+ **Um das Schlüsselmaterial für die KMS-Schlüssel im AWS CloudHSM Cluster zu prüfen**. Wenn Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher trennen, AWS KMS meldet es sich vom [`kmsuser`Krypto-Benutzerkonto](keystore-cloudhsm.md#concept-kmsuser) im AWS CloudHSM Client ab. So können Sie sich als `kmsuser`-CU beim Cluster anmelden und das Schlüsselmaterial für den KMS-Schlüssel prüfen und verwalten.
+ **Zum sofortigen Deaktivieren aller KMS-Schlüssel** im AWS CloudHSM Schlüsselspeicher. Sie können [KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren und erneut aktivieren](enabling-keys.md), indem Sie die [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)Operation AWS-Managementkonsole oder verwenden. Diese Produktionen werden schnell ausgeführt, beziehen sich jedoch immer nur auf jeweils einen KMS-Schlüssel. Wenn Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, ändert sich der Schlüsselstatus aller KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher sofort auf`Unavailable`, sodass sie nicht für kryptografische Operationen verwendet werden können.
+ **Zur Behebung eines fehlgeschlagenen Verbindungsversuchs**. Wenn der Versuch, eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher herzustellen, fehlschlägt (der Verbindungsstatus des benutzerdefinierten Schlüsselspeichers ist`FAILED`), müssen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, bevor Sie erneut versuchen, eine Verbindung herzustellen.
## Trennen Sie die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher
Sie können die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgangs trennen.
### Trennen Sie die Verbindung über die AWS KMS Konsole
Um die Verbindung zu einem verbundenen AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole zu trennen, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite **Benutzerdefinierte Schlüsselspeicher** aus.
1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.
1. Wählen Sie die Zeile des externen Schlüsselspeichers aus, mit dem Sie die Verbindung trennen möchten.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Disconnect** (Verbindung trennen) aus.
Nach Abschluss der Produktion ändert sich der Verbindungsstatus von **Verbindung wird getrennt** in **Verbindung wird getrennt**. Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
### Trennen Sie die Verbindung mithilfe der API AWS KMS
Verwenden Sie den [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgang, um die Verbindung zu einem verbundenen AWS CloudHSM Schlüsselspeicher zu trennen. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
In diesem Beispiel wird die Verbindung zu einem AWS CloudHSM Schlüsselspeicher getrennt. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Verwenden Sie den Vorgang, um zu überprüfen, ob der AWS CloudHSM [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Schlüsselspeicher getrennt ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der `ConnectionState` Wert von `DISCONNECTED` gibt an, dass dieser AWS CloudHSM Beispielschlüsselspeicher nicht mit seinem AWS CloudHSM Cluster verbunden ist.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionState": "DISCONNECTED",
"CreationDate": "1.499288695918E9",
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CustomKeyStoreType": "AWS_CLOUDHSM",
"TrustAnchorCertificate": ""
],
}
```
# Einen AWS CloudHSM Schlüsselspeicher löschen
Wenn Sie einen AWS CloudHSM Schlüsselspeicher AWS KMS löschen, werden alle Metadaten über den AWS CloudHSM Schlüsselspeicher aus KMS gelöscht, einschließlich Informationen zu seiner Zuordnung zu einem AWS CloudHSM Cluster. Dieser Vorgang hat keine Auswirkungen auf den AWS CloudHSM Cluster HSMs, seine oder seine Benutzer. Sie können einen neuen AWS CloudHSM Schlüsselspeicher erstellen, der demselben AWS CloudHSM Cluster zugeordnet ist, aber Sie können den Löschvorgang nicht rückgängig machen.
Sie können nur einen AWS CloudHSM Schlüsselspeicher löschen, der nicht mit seinem AWS CloudHSM Cluster verbunden ist und keinen Schlüsselspeicher enthält. AWS KMS keys Vor dem Löschen eines benutzerdefinierten Schlüsselspeichers müssen Sie folgende Schritte ausführen.
+ Stellen Sie sicher, dass Sie keinen der KMS-Schlüssel in dem Schlüsselspeicher für [kryptografische Produktionen](manage-cmk-keystore.md#use-cmk-keystore) benötigen. Anschließend [planen Sie die Löschung](deleting-keys.md#delete-cmk-keystore) aller KMS-Schlüssel aus dem Schlüsselspeicher. Hilfe bei der Suche nach den KMS-Schlüsseln in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Suchen Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher](find-cmk-in-keystore.md).
+ Überprüfen Sie, ob alle KMS-Schlüssel gelöscht wurden. Informationen zum Anzeigen der KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher finden Sie unter[Identifizieren Sie KMS-Schlüssel in AWS CloudHSM Schlüsselspeichern](identify-key-types.md#identify-key-hsm-keystore).
+ [Trennen Sie den AWS CloudHSM Schlüsselspeicher](disconnect-keystore.md) von seinem AWS CloudHSM Cluster.
Anstatt den AWS CloudHSM Schlüsselspeicher zu löschen, sollten Sie erwägen, [ihn vom zugehörigen AWS CloudHSM Cluster zu trennen](disconnect-keystore.md). Solange ein AWS CloudHSM Schlüsselspeicher getrennt ist, können Sie den AWS CloudHSM Schlüsselspeicher und seine Daten verwalten. AWS KMS keys Sie können jedoch keine KMS-Schlüssel im AWS CloudHSM Schlüsselspeicher erstellen oder verwenden. Sie können den AWS CloudHSM Schlüsselspeicher jederzeit wieder verbinden.
## Löschen Sie Ihren AWS CloudHSM Schlüsselspeicher
Sie können Ihren AWS CloudHSM Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgangs löschen.
### Mithilfe der AWS KMS Konsole
Um einen AWS CloudHSM Schlüsselspeicher in der zu löschen AWS-Managementkonsole, wählen Sie zunächst den AWS CloudHSM Schlüsselspeicher auf der Seite **Benutzerdefinierte Schlüsselspeicher** aus.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (benutzerdefinierte Schlüsselspeicher) **AWS CloudHSM -Schlüsselspeicher** aus.
1. Suchen Sie die Zeile, die den AWS CloudHSM Schlüsselspeicher darstellt, den Sie löschen möchten. **Wenn der **Verbindungsstatus** des AWS CloudHSM Schlüsselspeichers nicht Getrennt lautet, müssen Sie [die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), bevor Sie ihn löschen.**
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Delete** (Löschen) aus.
Wenn der Vorgang abgeschlossen ist, wird eine Erfolgsmeldung angezeigt und der AWS CloudHSM Schlüsselspeicher wird nicht mehr in der Liste der Schlüsselspeicher angezeigt. Wenn die Produktion nicht erfolgreich ist, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung für einen Custom Key Store](fix-keystore.md).
### Verwenden der AWS KMS API
Verwenden Sie den [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgang, um einen AWS CloudHSM Schlüsselspeicher zu löschen. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben.
Stellen Sie zunächst sicher, dass der AWS CloudHSM Schlüsselspeicher keine enthält AWS KMS keys. Sie können benutzerdefinierte Schlüsselspeicher, die KMS-Schlüssel enthalten, nicht löschen. Der erste Beispielbefehl verwendet [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)und [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html), um AWS KMS keys im AWS CloudHSM Schlüsselspeicher mit der *cks-1234567890abcdef0* benutzerdefinierten Schlüsselspeicher-ID zu suchen. In diesem Fall gibt der Befehl keine KMS-Schlüssel zurück. Ist dies der Fall, verwenden Sie den [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)Vorgang, um das Löschen der einzelnen KMS-Schlüssel zu planen.
------
#### [ Bash ]
```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ;
do aws kms describe-key --key-id $key |
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```
------
#### [ PowerShell ]
```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```
------
Trennen Sie als Nächstes die Verbindung AWS CloudHSM zum Schlüsselspeicher. In diesem Beispielbefehl wird der [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgang verwendet, um einen AWS CloudHSM Schlüsselspeicher von seinem AWS CloudHSM Cluster zu trennen. Vor der Ausführung dieses Befehls müssen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine gültige ID ersetzen.
------
#### [ Bash ]
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
------
#### [ PowerShell ]
```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```
------
Nachdem der benutzerdefinierte Schlüsselspeicher getrennt wurde, können Sie ihn mithilfe des [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgangs löschen.
------
#### [ Bash ]
```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
------
#### [ PowerShell ]
```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```
------
# Fehlerbehebung für einen Custom Key Store
AWS CloudHSM Key Stores sind so konzipiert, dass sie verfügbar und belastbar sind. Es gibt jedoch einige Fehlerbedingungen, die Sie möglicherweise beheben müssen, um Ihren AWS CloudHSM Schlüsselspeicher betriebsbereit zu halten.
**Topics**
+ [
## So reparieren Sie nicht-verfügbare KMS-Schlüssel
](#fix-unavailable-cmks)
+ [
## Beheben eines fehlerhaften KMS-Schlüssels
](#fix-cmk-failed)
+ [
## Beheben eines Verbindungsfehlers
](#fix-keystore-failed)
+ [
## Wie man auf Fehler bei kryptografischen Produktionen reagiert
](#fix-keystore-communication)
+ [
## Reparieren ungültiger `kmsuser`-Anmeldeinformationen
](#fix-keystore-password)
+ [
## Löschen von verwaistem Schlüsselmaterial
](#fix-keystore-orphaned-key)
+ [
## Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel
](#fix-keystore-recover-backing-key)
+ [
## Anmeldung als `kmsuser`
](#fix-login-as-kmsuser)
## So reparieren Sie nicht-verfügbare KMS-Schlüssel
Der [Schlüsselstatus](key-state.md) von AWS KMS keys in einem AWS CloudHSM Schlüsselspeicher ist in der Regel`Enabled`. Wie bei allen KMS-Schlüsseln ändert sich der Schlüsselstatus, wenn Sie die KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher deaktivieren oder ihre Löschung planen. Im Gegensatz zu anderen KMS-Schlüsseln können die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher aber auch den [Schlüsselstatus](key-state.md) `Unavailable` haben.
Der Schlüsselstatus `Unavailable` gibt an, dass sich der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher befindet, der absichtlich [getrennt](disconnect-keystore.md) wurde und eventuelle Versuche, die Verbindung wiederherzustellen, fehlgeschlagen sind. Wenn ein KMS-Schlüssel nicht verfügbar ist, können Sie ihn anzeigen und verwalten, ihn jedoch nicht für [kryptographische Produktionen](manage-cmk-keystore.md#use-cmk-keystore) verwenden.
Um den Schlüsselstatus eines KMS-Schlüssels zu ermitteln, zeigen Sie auf der Seite **Customer managed keys (kundenverwaltete Schlüssel)** das Feld **Status** des KMS-Schlüssels an. Oder verwenden Sie den [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Vorgang und sehen Sie sich das `KeyState` Element in der Antwort an. Details hierzu finden Sie unter [Schlüssel identifizieren und anzeigen](viewing-keys.md).
Die KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher haben den Schlüsselstatus `Unavailable` oder `PendingDeletion`. KMS-Schlüssel, die zur Löschung aus einem benutzerdefinierten Schlüsselspeicher geplant sind, haben den Schlüsselstatus `Pending Deletion`, auch wenn der benutzerdefinierten Schlüsselspeicher getrennt ist. Auf diese Weise können Sie die geplante Löschung des Schlüssels stornieren, ohne dass Sie erneut eine Verbindung mit dem Custom Key Store herstellen müssen.
Um die Nichtverfügbarkeit eines KMS-Schlüssels zu beheben, [verbinden Sie den benutzerdefinierten Schlüsselspeicher wieder](disconnect-keystore.md). Wenn der benutzerdefinierten Schlüsselspeicher wieder verbunden ist, wechselt der Schlüsselstatus der KMS-Schlüssels im benutzerdefinierten Schlüsselspeicher automatisch wieder zum vorherigen Zustand, etwa zu `Enabled` oder `Disabled`. KMS-Schlüssel, die zur Löschung ausstehen, bleiben im Status `PendingDeletion`. Während das Problem bestehen bleibt, ändert das [Aktivieren und Deaktivieren eines nicht-verfügbaren KMS-Schlüssels](enabling-keys.md) dessen Schlüsselstatus nicht. Das Aktivieren und Deaktivieren wirkt sich erst aus, wenn der Schlüssel wieder verfügbar ist.
Für Hilfe bei fehlgeschlagenen Verbindungen vgl. [Beheben eines Verbindungsfehlers](#fix-keystore-failed).
## Beheben eines fehlerhaften KMS-Schlüssels
Probleme bei der Erstellung und Verwendung von KMS-Schlüsseln in AWS CloudHSM Schlüsselspeichern können durch ein Problem mit Ihrem AWS CloudHSM Schlüsselspeicher, dem zugehörigen AWS CloudHSM Cluster, dem KMS-Schlüssel oder dem zugehörigen Schlüsselmaterial verursacht werden.
Wenn ein AWS CloudHSM Schlüsselspeicher von seinem AWS CloudHSM Cluster getrennt wird, lautet der Schlüsselstatus der KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher. `Unavailable` Alle Anfragen zur Erstellung von KMS-Schlüsseln in einem getrennten AWS CloudHSM Schlüsselspeicher geben eine `CustomKeyStoreInvalidStateException` Ausnahme zurück. Alle Anforderungen zum Verschlüsseln, erneuten Verschlüsseln oder zum Generieren von Datenschlüsseln führen zu der Ausnahme `KMSInvalidStateException`. Um das Problem zu beheben, stellen Sie die [Verbindung zum AWS CloudHSM Schlüsselspeicher erneut her](connect-keystore.md).
Ihre Versuche, einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) zu verwenden, können jedoch fehlschlagen, selbst wenn sein Schlüsselstatus `Enabled` und der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers ist. `Connected` Dies kann durch eine der folgenden Ursachen bedingt sein.
+ Möglicherweise wurde das Schlüsselmaterial für den KMS-Schlüssel von dem zugehörigen AWS CloudHSM -Cluster gelöscht. [Suchen Sie zur Untersuchung nach der Schlüssel-ID](find-handle-for-cmk-id.md) des Schlüsselmaterials für einen KMS-Schlüssel und versuchen Sie gegebenenfalls, [das Schlüsselmaterial wiederherzustellen](#fix-keystore-recover-backing-key).
+ Alle HSMs wurden aus dem AWS CloudHSM Cluster gelöscht, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist. Um einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher in einem kryptografischen Vorgang verwenden zu können, muss der zugehörige AWS CloudHSM Cluster mindestens ein aktives HSM enthalten. [Verwenden Sie die AWS CloudHSM Konsole oder den Vorgang, um die Anzahl und den](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) Status von HSMs in einem AWS CloudHSM Cluster zu überprüfen. [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) Verwenden Sie die AWS CloudHSM Konsole oder den [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)Vorgang, um dem Cluster ein HSM hinzuzufügen.
+ Der dem AWS CloudHSM Schlüsselspeicher zugeordnete AWS CloudHSM Cluster wurde gelöscht. Um das Problem zu beheben, [erstellen Sie einen Cluster aus einer Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), die mit dem ursprünglichen Cluster verbunden ist, oder aus einer Sicherung, die zur Erstellung des ursprünglichen Clusters verwendet wurde. Bearbeiten Sie [dann die Cluster-ID](update-keystore.md) in den Einstellungen für den Custom Key Store. Detaillierte Anweisungen finden Sie unter [Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel](#fix-keystore-recover-backing-key).
+ Für den AWS CloudHSM Cluster, der dem benutzerdefinierten Schlüsselspeicher zugeordnet war, waren keine PKCS \$111 -Sitzungen verfügbar. Dies tritt normalerweise in Zeiten mit hohem Burst-Verkehr auf, wenn zusätzliche Sitzungen erforderlich sind, um den Datenverkehr zu bedienen. Um auf eine `KMSInternalException` mit einer Fehlermeldung über PKCS\$111-Sitzungen zu antworten, gehen Sie zurück und wiederholen Sie die Anfrage.
## Beheben eines Verbindungsfehlers
Wenn Sie versuchen, [einen AWS CloudHSM Schlüsselspeicher mit seinem AWS CloudHSM Cluster zu verbinden](connect-keystore.md), der Vorgang jedoch fehlschlägt, ändert sich der Verbindungsstatus des AWS CloudHSM Schlüsselspeichers auf`FAILED`. Um den Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers zu ermitteln, verwenden Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang.
Alternativ können einige Verbindungsversuche aufgrund leicht zu erkennender Cluster-Konfigurationsfehler fehlschlagen. In diesem Fall lautet der Verbindungsstatus immer noch `DISCONNECTED`. Diese Fehler geben eine Fehlermeldung oder [Ausnahme](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) mit einer Begründung für den fehlgeschlagenen Verbindungsversuch zurück. Lesen Sie die Beschreibung der Ausnahme und die [Clusteranforderungen](create-keystore.md#before-keystore), beheben Sie das Problem, [aktualisieren Sie gegebenenfalls den AWS CloudHSM Schlüsselspeicher](update-keystore.md) und versuchen Sie erneut, eine Verbindung herzustellen.
Wenn der Verbindungsstatus lautet`FAILED`, führen Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang aus und sehen Sie sich das `ConnectionErrorCode` Element in der Antwort an.
**Anmerkung**
Wenn der Verbindungsstatus eines AWS CloudHSM Schlüsselspeichers lautet`FAILED`, müssen Sie [die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen](disconnect-keystore.md), bevor Sie erneut versuchen können, eine Verbindung herzustellen. Sie können einen AWS CloudHSM Schlüsselspeicher mit einem `FAILED` Verbindungsstatus nicht verbinden.
+ `CLUSTER_NOT_FOUND`gibt an, dass AWS KMS kein AWS CloudHSM Cluster mit der angegebenen Cluster-ID gefunden werden kann. Dies kann auftreten, wenn die falsche Cluster-ID für eine API-Produktion bereitgestellt wurde, oder wenn der Cluster gelöscht und nicht ersetzt wurde. Um diesen Fehler zu beheben, überprüfen Sie die Cluster-ID, z. B. mithilfe der AWS CloudHSM Konsole oder mithilfe des [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Vorgangs. Wenn der Cluster gelöscht wurde, [erstellen Sie einen Cluster aus einer möglichst neuen Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) des Originals. [Trennen Sie dann die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), [bearbeiten Sie die AWS CloudHSM Cluster-ID-Einstellung für den Schlüsselspeicher](update-keystore.md) und [verbinden Sie den AWS CloudHSM Schlüsselspeicher erneut mit](connect-keystore.md) dem Cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`gibt an, dass der zugehörige AWS CloudHSM Cluster keine HSMs enthält. Zum herstellen einer Verbindung muss der Cluster mindestens über ein HSM verfügen. Verwenden Sie die [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)Operation, um die Nummer von HSMs im Cluster zu ermitteln. Um diesen Fehler zu beheben, [fügen Sie mindestens ein HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) dem Cluster hinzu. Wenn Sie mehrere hinzufügen HSMs, ist es am besten, sie in verschiedenen Availability Zones zu erstellen.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`gibt an, dass der AWS CloudHSM Schlüsselspeicher nicht [mit seinem AWS CloudHSM Cluster verbunden werden AWS KMS konnte, weil mindestens ein dem Cluster zugeordnetes privates Subnetz](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) keine verfügbaren IP-Adressen hat. Eine AWS CloudHSM Schlüsselspeicherverbindung erfordert eine freie IP-Adresse in jedem der zugehörigen privaten Subnetze, obwohl zwei vorzuziehen sind.
Sie können in einem vorhandenen Subnetz [keine IP-Adressen](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (CIDR-Blöcke) hinzufügen. Verschieben oder löschen Sie nach Möglichkeit andere Ressourcen, die die IP-Adressen im Subnetz verwenden, wie z. B. nicht verwendete EC2-Instances oder Elastic-Network-Schnittstellen. Andernfalls können Sie [einen Cluster aus einer aktuellen Sicherung des AWS CloudHSM Clusters mit neuen oder vorhandenen privaten Subnetzen, die über [mehr freien Adressraum](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) verfügen, erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, [trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md), [ändern Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
**Tipp**
Verwenden Sie das neueste Backup [des Clusters, um ein Zurücksetzen des `kmsuser` Kennworts](#fix-keystore-password) zu vermeiden. AWS CloudHSM
+ `INTERNAL_ERROR`gibt an, dass die Anfrage aufgrund eines internen Fehlers nicht abgeschlossen werden AWS KMS konnte. Wiederholen Sie die Anforderung. Trennen Sie bei `ConnectCustomKeyStore` Anfragen die Verbindung zum AWS CloudHSM Schlüsselspeicher, bevor Sie erneut versuchen, eine Verbindung herzustellen.
+ `INVALID_CREDENTIALS`gibt an, dass AWS KMS man sich nicht beim zugehörigen AWS CloudHSM Cluster anmelden kann, weil er nicht das richtige `kmsuser` Kontopasswort hat. Für Unterstützung bei diesem Fehler vgl. [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
+ `NETWORK_ERRORS` weist normalerweise auf vorübergehende Netzwerkprobleme hin. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), warten Sie einige Minuten und versuchen Sie erneut, eine Verbindung herzustellen.
+ `SUBNET_NOT_FOUND`gibt an, dass mindestens ein Subnetz in der AWS CloudHSM Clusterkonfiguration gelöscht wurde. Wenn AWS KMS nicht alle Subnetze in der Clusterkonfiguration gefunden werden können, schlagen Versuche fehl, den AWS CloudHSM Schlüsselspeicher mit dem AWS CloudHSM Cluster zu verbinden.
Um diesen Fehler zu beheben, [erstellen Sie einen Cluster aus einer aktuellen Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) desselben AWS CloudHSM Clusters. (Dieser Prozess erstellt eine neue Clusterkonfiguration mit einer VPC und privaten Subnetzen.) Stellen Sie sicher, dass der neue Cluster die [Anforderungen für einen benutzerdefinierten Schlüsselspeicher](create-keystore.md#before-keystore) erfüllt, und notieren Sie sich die neue Cluster-ID. Um den neuen Cluster dann Ihrem AWS CloudHSM Schlüsselspeicher zuzuordnen, [trennen Sie die Verbindung zum benutzerdefinierten Schlüsselspeicher](disconnect-keystore.md), [ändern Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers in die ID des neuen Clusters und versuchen Sie erneut, eine Verbindung herzustellen.
**Tipp**
Verwenden Sie das neueste Backup [des Clusters, um ein Zurücksetzen des `kmsuser` Kennworts](#fix-keystore-password) zu vermeiden. AWS CloudHSM
+ `USER_LOCKED_OUT` gibt an, dass das [`kmsuser`-Kryptobenutzer (CU)-Konto](keystore-cloudhsm.md#concept-kmsuser) aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
Um diesen Fehler zu beheben, [trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher](disconnect-keystore.md) und verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM CLI, um das Kontopasswort zu ändern. `kmsuser` Bearbeiten Sie dann [die `kmsuser`-Passworteinstellung](update-keystore.md) für den Custom Key Store, und versuchen Sie erneut, eine Verbindung herzustellen. Falls Sie Hilfe benötigen, verwenden Sie die Vorgehensweise aus dem Thema [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
+ `USER_LOGGED_IN`gibt an, dass das `kmsuser` CU-Konto beim zugehörigen Cluster angemeldet ist. AWS CloudHSM Dadurch wird AWS KMS verhindert, dass das `kmsuser` Kontopasswort geändert und die Anmeldung am Cluster erfolgt. Melden Sie den `kmsuser`-CU vom Cluster ab, um diesen Fehler zu beheben. Wenn Sie das `kmsuser` Passwort für die Anmeldung am Cluster geändert haben, müssen Sie auch den Wert des Schlüsselspeicherkennworts für den AWS CloudHSM Schlüsselspeicher aktualisieren. Weitere Informationen dazu finden Sie unter [Abmelden und erneutes Verbinden](#login-kmsuser-2).
+ `USER_NOT_FOUND`gibt an, dass im zugehörigen AWS CloudHSM Cluster AWS KMS kein `kmsuser` CU-Konto gefunden werden kann. Um diesen Fehler zu beheben, [erstellen Sie ein `kmsuser` CU-Konto](create-keystore.md#kmsuser-concept) im Cluster und [aktualisieren Sie dann den Kennwortwert des Schlüsselspeichers](update-keystore.md) für den AWS CloudHSM Schlüsselspeicher. Weitere Informationen dazu finden Sie unter [Reparieren ungültiger `kmsuser`-Anmeldeinformationen](#fix-keystore-password).
## Wie man auf Fehler bei kryptografischen Produktionen reagiert
Eine kryptografische Produktion, die einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwendet, schlägt möglicherweise mit einem `KMSInvalidStateException` fehl. Die folgenden Fehlermeldungen könnten dem `KMSInvalidStateException` beiliegen.
| |
| --- |
| KMS kann nicht mit Ihrem CloudHSM-Cluster kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob die Netzwerk ACLs - und Sicherheitsgruppenregeln für die VPC Ihres AWS CloudHSM Clusters korrekt sind. |
+ Obwohl dies ein HTTPS-400-Fehler ist, kann es auf vorübergehende Netzwerkprobleme zurückzuführen sein. Um zu antworten, versuchen Sie zunächst die Anforderung erneut. Wenn es jedoch weiterhin fehlschlägt, überprüfen Sie die Konfiguration der Netzwerkkomponenten. Dieser Fehler wird höchstwahrscheinlich durch die Fehlkonfiguration einer Netzwerkkomponente verursacht, z. B. eine Firewall-Regel oder eine VPC -Sicherheitsgruppen-Regel, die ausgehenden Datenverkehr blockiert. Beispielsweise kann KMS nicht mit AWS CloudHSM Clustern über IPv6 kommunizieren. Einzelheiten zu den Voraussetzungen finden Sie unter[Erstellen Sie einen AWS CloudHSM Schlüsselspeicher](create-keystore.md).
| |
| --- |
| KMS kann nicht mit Ihrem AWS CloudHSM Cluster kommunizieren, da der kmsuser gesperrt ist. Wenn dieser Fehler wiederholt auftritt, trennen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher und setzen Sie das Kennwort für das kmsuser-Konto zurück. Aktualisieren Sie das kmsuser-Passwort für den benutzerdefinierten Schlüsselspeicher und versuchen Sie es erneut mit der Anfrage. |
+ Diese Fehlermeldung gibt an, dass das [`kmsuser`-Crypto-Benutzer (CU)-Konto](keystore-cloudhsm.md#concept-kmsuser) aufgrund zu vieler fehlerhafter Passworteingaben aus dem zugehörigen AWS CloudHSM -Cluster ausgesperrt wurde. Für Unterstützung bei diesem Fehler vgl. [Trennen und Anmelden](#login-kmsuser-1).
## Reparieren ungültiger `kmsuser`-Anmeldeinformationen
Wenn Sie [eine Verbindung zu einem AWS CloudHSM Schlüsselspeicher](connect-keystore.md) herstellen, AWS KMS meldet er sich als [`kmsuser`Crypto User](keystore-cloudhsm.md#concept-kmsuser) (CU) beim zugehörigen AWS CloudHSM Cluster an. Er bleibt angemeldet, bis die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird. Die Antwort [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) meldet `ConnectionState` als `FAILED` und `ConnectionErrorCode` mit dem Wert `INVALID_CREDENTIALS` (siehe folgendes Beispiel).
Wenn Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen und das `kmsuser` Passwort ändern, AWS KMS können Sie sich nicht mit den Anmeldeinformationen des `kmsuser` CU-Kontos beim AWS CloudHSM Cluster anmelden. Daher schlagen alle Versuche fehl, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen. Die Antwort `DescribeCustomKeyStores` meldet `ConnectionState` als `FAILED` und `ConnectionErrorCode` mit dem Wert `INVALID_CREDENTIALS` (siehe folgendes Beispiel).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "INVALID_CREDENTIALS"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Weiterhin gilt, dass, AWS CloudHSM nach fünf fehlgeschlagenen Anmeldeversuchen bei dem Cluster mit einem inkorrekten Passwort das Benutzerkonto sperrt. Zur Anmeldung bei dem Cluster müssen Sie das Kontopasswort ändern.
Wenn beim Versuch, sich als `kmsuser` CU beim Cluster anzumelden, eine Sperrantwort angezeigt AWS KMS wird, schlägt die Anforderung, eine Verbindung zum AWS CloudHSM Schlüsselspeicher herzustellen, fehl. Die [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort enthält einen Wert `ConnectionState` von `FAILED` und einen `ConnectionErrorCode` Wert von`USER_LOCKED_OUT`, wie im folgenden Beispiel gezeigt.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
"CustomKeyStores": [
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"ConnectionErrorCode": "USER_LOCKED_OUT"
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "FAILED"
],
}
```
Gehen Sie zum Beheben eines dieser Zustände wie folgt vor.
1. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md).
1. Führen Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang aus und zeigen Sie den Wert des `ConnectionErrorCode` Elements in der Antwort an.
+ Wenn der `ConnectionErrorCode`-Wert `INVALID_CREDENTIALS` ist, ermitteln Sie das aktuelle Passwort für das `kmsuser`-Konto. Verwenden Sie bei Bedarf den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM CLI, um das Passwort auf einen bekannten Wert festzulegen.
+ Wenn der `ConnectionErrorCode` Wert lautet`USER_LOCKED_OUT`, müssen Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM-CLI verwenden, um das Passwort zu ändern. `kmsuser`
1. [Bearbeiten Sie die `kmsuser` Passworteinstellung](update-keystore.md), so dass sie dem aktuellen `kmsuser`-Passwort in dem Cluster entspricht. Diese Aktion weist AWS KMS an, welches Passwort für die Anmeldung bei dem Cluster zu verwenden ist. Das `kmsuser`-Passwort in dem Cluster wird nicht geändert.
1. [Verbinden Sie den Custom Key Store](connect-keystore.md).
## Löschen von verwaistem Schlüsselmaterial
Nachdem Sie das Löschen eines KMS-Schlüssels aus einem AWS CloudHSM Schlüsselspeicher geplant haben, müssen Sie das entsprechende Schlüsselmaterial möglicherweise manuell aus dem zugehörigen Cluster löschen. AWS CloudHSM
Wenn Sie einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher erstellen, werden die KMS-Schlüsselmetadaten im zugehörigen AWS CloudHSM Cluster AWS KMS erstellt AWS KMS und das Schlüsselmaterial generiert. Wenn Sie das Löschen eines KMS-Schlüssels in einem AWS CloudHSM Schlüsselspeicher planen, werden nach Ablauf der Wartezeit die KMS-Schlüsselmetadaten AWS KMS gelöscht. AWS KMS bemüht sich dann nach besten Kräften, das entsprechende Schlüsselmaterial aus dem AWS CloudHSM Cluster zu löschen. Der Versuch schlägt möglicherweise fehl, wenn AWS KMS kein Zugriff auf den Cluster möglich ist, z. B. wenn die Verbindung zum AWS CloudHSM Schlüsselspeicher getrennt wird oder das `kmsuser` Passwort geändert wird. AWS KMS versucht nicht, Schlüsselmaterial aus Cluster-Backups zu löschen.
AWS KMS meldet die Ergebnisse seines Versuchs, das Schlüsselmaterial aus dem Cluster zu löschen, im `DeleteKey` Ereigniseintrag Ihrer AWS CloudTrail Protokolle. Es erscheint im `backingKeysDeletionStatus`-Element des `additionalEventData`-Elements, wie im folgenden Beispieleintrag gezeigt. Der Eintrag enthält auch den KMS-Schlüssel ARN, die AWS CloudHSM Cluster-ID und die ID (`backing-key-id`) des Schlüsselmaterials.
```
{
"eventVersion": "1.08",
"userIdentity": {
"accountId": "111122223333",
"invokedBy": "AWS Internal"
},
"eventTime": "2021-12-10T14:23:51Z",
"eventSource": "kms.amazonaws.com",
"eventName": "DeleteKey",
"awsRegion": "us-west-2",
"sourceIPAddress": "AWS Internal",
"userAgent": "AWS Internal",
"requestParameters": null,
"responseElements": {
"keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
},
"additionalEventData": {
"customKeyStoreId": "cks-1234567890abcdef0",
"clusterId": "cluster-1a23b4cdefg",
"backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
"backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
},
"eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
"readOnly": false,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
}
],
"eventType": "AwsServiceEvent",
"recipientAccountId": "111122223333",
"managementEvent": true,
"eventCategory": "Management"
}
```
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
Die folgenden Verfahren zeigen, wie das verwaiste Schlüsselmaterial aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist, und [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html) an, wie unter beschrieben. [Trennen und Anmelden](#login-kmsuser-1)
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
1. Verwenden Sie den Befehl [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) in der CloudHSM-CLI, um den Schlüssel aus dem Cluster HSMs zu löschen.
Alle CloudTrail Protokolleinträge für kryptografische Operationen mit einem KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher enthalten ein `additionalEventData` Feld mit dem und. `customKeyStoreId` `backingKey` Der im `backingKeyId` Feld zurückgegebene Wert ist das `id` CloudHSM-Schlüsselattribut. Wir empfehlen, den Vorgang zum **Löschen von Schlüsseln** danach `id` zu filtern, dass das verwaiste Schlüsselmaterial gelöscht wird, das Sie in Ihren Protokollen identifiziert haben. CloudTrail
AWS CloudHSM erkennt den `backingKeyId` Wert als Hexadezimalwert. Um nach zu filtern`id`, müssen Sie das mit voranstellen. `backingKeyId` `Ox` Wenn das beispielsweise `backingKeyId` in Ihrem CloudTrail Protokoll steht`1a2b3c45678abcdef`, würden Sie nach `0x1a2b3c45678abcdef` filtern.
Das folgende Beispiel löscht einen Schlüssel aus dem HSMs in Ihrem Cluster. Der `backing-key-id` ist im CloudTrail Protokolleintrag aufgeführt. Bevor Sie diesen Befehl ausführen, ersetzen Sie das Beispiel `backing-key-id` durch ein gültiges Beispiel aus Ihrem Konto.
```
aws-cloudhsm key delete --filter attr.id="0x"
{
"error_code": 0,
"data": {
"message": "Key deleted successfully"
}
}
```
1. Melden Sie sich ab und stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder her, wie unter beschrieben[Abmelden und erneutes Verbinden](#login-kmsuser-2).
## Wiederherstellen von gelöschtem Schlüsselmaterial für einen KMS-Schlüssel
Wenn das Schlüsselmaterial für einen gelöscht AWS KMS key wird, ist der KMS-Schlüssel unbrauchbar und der gesamte Chiffretext, der unter dem KMS-Schlüssel verschlüsselt wurde, kann nicht entschlüsselt werden. Dies kann passieren, wenn das Schlüsselmaterial für einen KMS-Schlüssel in einem AWS CloudHSM Schlüsselspeicher aus dem zugehörigen Cluster gelöscht wird. AWS CloudHSM Es kann jedoch möglich sein, das Schlüsselmaterial wiederherzustellen.
Wenn Sie einen AWS KMS key (KMS-Schlüssel) in einem AWS CloudHSM Schlüsselspeicher erstellen, AWS KMS meldet er sich beim zugehörigen AWS CloudHSM Cluster an und erstellt das Schlüsselmaterial für den KMS-Schlüssel. Außerdem wird das Passwort in einen Wert geändert, den nur er kennt, und er bleibt angemeldet, solange der AWS CloudHSM Schlüsselspeicher verbunden ist. Da nur der Schlüsselbesitzer, d. h. die CU, die einen Schlüssel erstellt hat, den Schlüssel löschen kann, ist es unwahrscheinlich, dass der Schlüssel HSMs versehentlich aus dem Schlüssel gelöscht wird.
Wenn jedoch das Schlüsselmaterial für einen KMS-Schlüssel aus dem HSMs in einem Cluster gelöscht wird, ändert sich der Schlüsselstatus des KMS-Schlüssels irgendwann auf`UNAVAILABLE`. Wenn Sie versuchen, den KMS-Schlüssel für eine kryptographische Operation zu verwenden, schlägt die Operation mit einer `KMSInvalidStateException`-Ausnahme fehl. Wichtig dabei ist, dass die mit dem KMS-Schlüssel verschlüsselten Daten nicht mehr entschlüsselt werden können.
Unter bestimmten Umständen können Sie das gelöschte Schlüsselmaterial wiederherstellen, indem Sie [einen Cluster aus einem Backup erstellen](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html), das das Schlüsselmaterial enthält. Diese Strategie funktioniert nur, wenn mindestens eine Sicherung erstellt wurde, während der Schlüssel vorhanden war und bevor er gelöscht wurde.
Gehen Sie wie folgt vor, um das Schlüsselmaterial wiederherzustellen.
1. Suchen Sie ein Cluster-Backup, das das Schlüsselmaterial enthält. Die Sicherung muss dazu alle Benutzer und Schlüssel enthalten, die zur Unterstützung des Clusters und seiner verschlüsselten Daten erforderlich sind.
Verwenden Sie den [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)Vorgang, um die Backups für einen Cluster aufzulisten. Verwenden Sie dann den Sicherung-Zeitstempel, um eine Sicherung auszuwählen. Um die Ausgabe auf den Cluster zu beschränken, der dem AWS CloudHSM Schlüsselspeicher zugeordnet ist, verwenden Sie den `Filters` Parameter, wie im folgenden Beispiel gezeigt.
```
$ aws cloudhsmv2 describe-backups --filters clusterIds=
{
"Backups": [
{
"ClusterId": "cluster-1a23b4cdefg",
"BackupId": "backup-9g87f6edcba",
"CreateTimestamp": 1536667238.328,
"BackupState": "READY"
},
...
]
}
```
1. [Erstellen Sie einen Cluster aus der ausgewählten Sicherung](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Prüfen Sie, ob die Sicherung den gelöschten Schlüssel sowie weitere Benutzer und Schlüssel enthält, die für den Cluster erforderlich sind.
1. [Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher](disconnect-keystore.md), damit Sie seine Eigenschaften bearbeiten können.
1. [Bearbeiten Sie die Cluster-ID](update-keystore.md) des AWS CloudHSM Schlüsselspeichers. Geben Sie die Cluster-ID des Clusters ein, den Sie aus der Sicherung erstellt haben. Da der Cluster seinen Sicherungsverlauf mit dem ursprünglichen Cluster gemeinsam hat, sollte die neue Cluster-ID gültig sein.
1. [Stellen Sie die Verbindung zum AWS CloudHSM Schlüsselspeicher wieder](connect-keystore.md) her.
## Anmeldung als `kmsuser`
AWS KMS Verwendet das [`kmsuser`Crypto User (CU) -Konto](keystore-cloudhsm.md#concept-kmsuser), um das AWS CloudHSM Schlüsselmaterial im AWS CloudHSM Cluster für Ihren Schlüsselspeicher zu erstellen und zu verwalten. Sie [erstellen das `kmsuser` CU-Konto](create-keystore.md#before-keystore) in Ihrem Cluster und geben das zugehörige Passwort an, AWS KMS wenn Sie Ihren AWS CloudHSM Schlüsselspeicher erstellen.
AWS KMS Verwaltet im Allgemeinen das `kmsuser` Konto. Für einige Aufgaben müssen Sie jedoch die Verbindung zum AWS CloudHSM Schlüsselspeicher trennen, sich als `kmsuser` CU beim Cluster anmelden und die [CloudHSM-Befehlszeilenschnittstelle (CLI)](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) verwenden.
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
In diesem Thema wird erklärt, wie Sie die [Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher trennen und sich anmelden](#login-kmsuser-1)`kmsuser`, das AWS CloudHSM Befehlszeilentool ausführen, [sich abmelden und Ihren AWS CloudHSM Schlüsselspeicher erneut verbinden](#login-kmsuser-2).
**Topics**
+ [
### Trennen und Anmelden
](#login-kmsuser-1)
+ [
### Abmelden und erneutes Verbinden
](#login-kmsuser-2)
### Trennen und Anmelden
Gehen Sie jedes Mal wie folgt vor, wenn Sie sich als `kmsuser` Crypto-Benutzer bei einem zugehörigen Cluster anmelden müssen.
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
1. Trennen Sie die Verbindung AWS CloudHSM zum Schlüsselspeicher, falls er nicht bereits getrennt ist. Sie können die AWS KMS Konsole oder AWS KMS API verwenden.
Solange Ihr AWS CloudHSM Schlüssel verbunden ist, AWS KMS ist er angemeldet als`kmsuser`. Dadurch wird verhindert, dass Sie sich als `kmsuser` anmelden oder das `kmsuser`-Passwort ändern.
Dieser Befehl dient beispielsweise dazu, [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)die Verbindung zu einem Beispiel-Schlüsselspeicher zu trennen. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Verwenden Sie den **Login-Befehl**, um sich als Administrator anzumelden. Verwenden Sie die im Abschnitt „[CloudHSM CLI verwenden](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)“ des *AWS CloudHSM Benutzerhandbuchs* beschriebenen Verfahren.
```
aws-cloudhsm > login --username admin --role admin
Enter password:
{
"error_code": 0,
"data": {
"username": "admin",
"role": "admin"
}
}
```
1. Verwenden Sie den Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) in der CloudHSM-CLI, um das Passwort des `kmsuser` Kontos in ein Ihnen bekanntes zu ändern. (wechselt AWS KMS das Passwort, wenn Sie Ihren Schlüsselspeicher verbinden.) AWS CloudHSM Das Passwort muss 7 – 32 alphanumerische Zeichen umfassen. Bei der Angabe wird zwischen Groß- und Kleinschreibung unterschieden, Sonderzeichen sind nicht zulässig.
1. Melden Sie sich `kmsuser` mit dem von Ihnen festgelegten Passwort an. Eine ausführliche Anleitung finden Sie im Abschnitt „[CloudHSM CLI verwenden](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7)“ des *AWS CloudHSM Benutzerhandbuchs*.
```
aws-cloudhsm > login --username kmsuser --role crypto-user
Enter password:
{
"error_code": 0,
"data": {
"username": "kmsuser",
"role": "crypto-user"
}
}
```
### Abmelden und erneutes Verbinden
Gehen Sie jedes Mal, wenn Sie sich als `kmsuser` Crypto-Benutzer abmelden und die Verbindung zu Ihrem Schlüsselspeicher erneut herstellen müssen, wie folgt vor.
**Hinweise**
Die folgenden Verfahren verwenden das AWS CloudHSM Client SDK 5-Befehlszeilentool [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. Die CloudHSM-CLI ersetzt durch`key-handle`. `key-reference`
Am 1. Januar 2025 AWS CloudHSM wird der Support für die Client SDK 3-Befehlszeilentools, das CloudHSM Management Utility (CMU) und das Key Management Utility (KMU) eingestellt. *Weitere Informationen zu den Unterschieden zwischen den Client SDK 3-Befehlszeilentools und dem Client SDK 5-Befehlszeilentool finden Sie unter [Migrieren von Client SDK 3 CMU und KMU zu Client SDK 5 CloudHSM CLI im Benutzerhandbuch](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html).AWS CloudHSM *
1. Führen Sie die Aufgabe aus und melden Sie sich dann mit dem Befehl [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) in der CloudHSM-CLI ab. Wenn Sie sich nicht abmelden, schlagen Versuche fehl, die Verbindung zu Ihrem AWS CloudHSM Schlüsselspeicher wiederherzustellen.
```
aws-cloudhsm logout
{
"error_code": 0,
"data": "Logout successful"
}
```
1. [Bearbeiten Sie die `kmsuser`-Passworteinstellung](update-keystore.md) für den Custom Key Store.
Dies gibt AWS KMS das aktuelle Passwort für den Cluster `kmsuser` an. Wenn Sie diesen Schritt auslassen, können AWS KMS Sie sich nicht als beim Cluster anmelden`kmsuser`, und alle Versuche, die Verbindung zu Ihrem benutzerdefinierten Schlüsselspeicher wiederherzustellen, schlagen fehl. Sie können die AWS KMS Konsole oder den `KeyStorePassword` Parameter des Vorgangs verwenden. [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)
Dieser Befehl teilt beispielsweise mit AWS KMS , dass das aktuelle Passwort lautet`tempPassword`. Ersetzen Sie das Beispielpasswort durch das tatsächliche Passwort.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
```
1. Verbinden Sie den AWS KMS Schlüsselspeicher erneut mit seinem AWS CloudHSM Cluster. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige. AWS KMS Ändert das `kmsuser` Passwort während des Verbindungsvorgangs in einen Wert, den nur das Unternehmen kennt.
Der [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang kehrt schnell zurück, der Verbindungsvorgang kann jedoch längere Zeit in Anspruch nehmen. Die erste Reaktion ist kein Zeichen für den Erfolg des Verbindungsvorgangs.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
1. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der AWS CloudHSM Schlüsselspeicher verbunden ist. Ersetzen Sie die AWS CloudHSM Beispiel-Schlüsselspeicher-ID durch eine gültige.
In diesem Beispiel zeigt das Feld für den Verbindungsstatus, dass der AWS CloudHSM Schlüsselspeicher jetzt verbunden ist.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
"CustomKeyStores": [
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleKeyStore",
"CloudHsmClusterId": "cluster-1a23b4cdefg",
"TrustAnchorCertificate": "",
"CreationDate": "1.499288695918E9",
"ConnectionState": "CONNECTED"
],
}
```
# Externe Schlüsselspeicher
Externe Schlüsselspeicher ermöglichen es Ihnen, Ihre AWS Ressourcen mithilfe kryptografischer Schlüssel außerhalb von AWS zu schützen. Dieses erweiterte Feature wurde für regulierte Workloads entwickelt, die Sie mit Verschlüsselungsschlüsseln schützen müssen, die in einem externen System für die Schlüsselverwaltung gespeichert sind, das Sie kontrollieren. Externe Schlüsselspeicher unterstützen das [Versprechen der AWS digitalen Souveränität](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) und geben Ihnen die souveräne Kontrolle über Ihre Daten AWS, einschließlich der Möglichkeit, mit Schlüsselmaterial zu verschlüsseln, das Ihnen gehört und das Sie außerhalb kontrollieren. AWS
Ein *externer Schlüsselspeicher* ist ein [benutzerdefinierter Schlüsselspeicher](key-store-overview.md#custom-key-store-overview), der von einem *externen Schlüsselmanager* unterstützt wird, den Sie besitzen und den Sie außerhalb verwalten. AWS Ihr externer Schlüsselmanager kann ein physisches oder virtuelles Hardware-Sicherheitsmodul (HSMs) oder ein beliebiges hardware- oder softwarebasiertes System sein, das kryptografische Schlüssel generieren und verwenden kann. Verschlüsselungs- und Entschlüsselungsvorgänge, bei denen ein KMS-Schlüssel in einem externen Schlüsselspeicher verwendet wird, werden von Ihrem externen Schlüsselmanager unter Verwendung Ihres kryptografischen Schlüsselmaterials ausgeführt. Diese Funktion wird als *Hold* Your Own Keys () bezeichnet. HYOKs
AWS KMS interagiert nie direkt mit Ihrem externen Schlüsselmanager und kann Ihre Schlüssel nicht erstellen, anzeigen, verwalten oder löschen. AWS KMS Interagiert stattdessen nur mit der [externen Schlüsselspeicher-Proxy-Software](#concept-xks-proxy) (XKS-Proxy), die Sie bereitstellen. Ihr externer Schlüsselspeicher-Proxy vermittelt die gesamte Kommunikation zwischen AWS KMS und Ihrem externen Schlüsselmanager. Er überträgt alle Anfragen von AWS KMS Ihrem externen Schlüsselmanager und überträgt die Antworten von Ihrem externen Schlüsselmanager zurück an AWS KMS. Der externe Schlüsselspeicher-Proxy übersetzt auch generische Anfragen AWS KMS in ein herstellerspezifisches Format, das Ihr externer Schlüsselmanager verstehen kann, sodass Sie externe Schlüsselspeicher mit Schlüsselmanagern verschiedener Anbieter verwenden können.
Sie können KMS-Schlüssel in einem externen Schlüsselspeicher für die clientseitige Verschlüsselung verwenden, auch mit dem [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/). Externe Schlüsselspeicher sind jedoch eine wichtige Ressource für die serverseitige Verschlüsselung, sodass Sie Ihre AWS Ressourcen mehrfach AWS-Services mit Ihren kryptografischen Schlüsseln außerhalb von schützen können. AWS AWS-Services die vom [Kunden verwaltete Schlüssel](concepts.md#customer-mgn-key) für symmetrische Verschlüsselung unterstützen, unterstützen auch KMS-Schlüssel in einem externen Schlüsselspeicher. Einzelheiten zum Servicesupport finden Sie unter [AWS -Serviceintegration](https://aws.amazon.com/kms/features/#AWS_service_integration).
Externe Schlüsselspeicher ermöglichen die Verwendung AWS KMS für regulierte Workloads, bei denen Verschlüsselungsschlüssel außerhalb von gespeichert und verwendet werden müssen. AWS Sie weichen jedoch erheblich vom Standardmodell der übergreifenden Verantwortlichkeit ab und sind mit zusätzlichen operativen Belastungen verbunden. Das höhere Risiko für Verfügbarkeit und Latenz wird für die meisten Kunden die wahrgenommenen Sicherheitsvorteile externer Schlüsselspeicher übersteigen.
Mit externen Schlüsselspeichern haben Sie die Kontrolle über den Vertrauensanker. Daten, die mit KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verschlüsselt wurden, können nur mithilfe des von Ihnen kontrollierten externen Schlüsselmanagers entschlüsselt werden. Wenn Sie den Zugriff auf Ihren externen Schlüsselmanager vorübergehend entziehen, z. B. indem Sie die Verbindung zum externen Schlüsselspeicher trennen oder Ihren externen Schlüsselmanager vom externen Schlüsselspeicher-Proxy trennen, AWS geht jeglicher Zugriff auf Ihre kryptografischen Schlüssel verloren, bis Sie ihn wiederherstellen. Während dieses Intervalls kann der unter Ihren KMS-Schlüsseln verschlüsselte Geheimtext nicht entschlüsselt werden. Wenn Sie den Zugriff auf Ihren externen Schlüsselmanager dauerhaft widerrufen, kann der gesamte unter einem KMS-Schlüssel verschlüsselte Geheimtext in Ihrem externen Schlüsselspeicher nicht wiederhergestellt werden. Die einzigen Ausnahmen sind AWS Dienste, die die durch Ihre [KMS-Schlüssel geschützten Datenschlüssel](data-keys.md) kurzzeitig zwischenspeichern. Diese Datenschlüssel funktionieren so lange, bis Sie die Ressource deaktivieren oder der Cache abläuft. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).
Externe Schlüsselspeicher schließen die wenigen Anwendungsfälle für regulierte Workloads aus, bei denen Verschlüsselungsschlüssel ausschließlich unter Ihrer Kontrolle bleiben müssen und für die Sie keinen Zugriff haben müssen. AWS Dies ist jedoch eine große Änderung in der Art und Weise, wie Sie eine cloudbasierte Infrastruktur betreiben, und eine bedeutende Änderung des Modells der übergreifenden Verantwortlichkeit. Bei den meisten Workloads werden der zusätzliche Betriebsaufwand und die höheren Risiken für Verfügbarkeit und Leistung die wahrgenommenen Sicherheitsvorteile externer Schlüsselspeicher übersteigen.
**Benötige ich einen externen Schlüsselspeicher?**
Für die meisten Benutzer erfüllt der AWS KMS Standard-Schlüsselspeicher, der durch [FIPS 140-3 Security Level 3-validierte Hardware-Sicherheitsmodule geschützt ist, ihre Sicherheits-](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), Kontroll- und behördlichen Anforderungen. Externe Benutzer von Schlüsselspeichern haben einen erheblichen Aufwand an Kosten, Wartung und Fehlerbehebung sowie Risiken in Bezug auf Latenz, Verfügbarkeit und Zuverlässigkeit.
Wenn Sie einen externen Schlüsselspeicher in Betracht ziehen, nehmen Sie sich etwas Zeit, um sich mit den Alternativen vertraut zu machen. Dazu gehören ein [AWS CloudHSM Schlüsselspeicher](keystore-cloudhsm.md), der von einem AWS CloudHSM Cluster unterstützt wird, den Sie besitzen und verwalten, und KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md), das Sie selbst generieren HSMs und bei Bedarf aus KMS-Schlüsseln löschen können. Insbesondere der Import von Schlüsselmaterial mit einem sehr kurzen Verfallsintervall könnte ein ähnliches Maß an Kontrolle bieten, ohne die Leistungs- oder Verfügbarkeitsrisiken einzugehen.
Ein externer Schlüsselspeicher könnte die richtige Lösung für Ihr Unternehmen sein, wenn Sie die folgenden Anforderungen erfüllen:
+ Sie müssen kryptografische Schlüssel in Ihrem lokalen Schlüsselmanager oder in einem Schlüsselmanager verwenden AWS , den Sie nicht kontrollieren.
+ Sie müssen nachweisen, dass Ihre kryptografischen Schlüssel außerhalb der Cloud ausschließlich unter Ihrer Kontrolle aufbewahrt werden.
+ Sie müssen mithilfe kryptografischer Schlüssel mit unabhängiger Autorisierung verschlüsseln und entschlüsseln.
+ Für Schlüsselmaterial muss ein unabhängiger sekundärer Prüfungspfad eingerichtet sein.
Wenn Sie sich für einen externen Schlüsselspeicher entscheiden, beschränken Sie dessen Verwendung auf Workloads, die außerhalb von AWS mit kryptografischen Schlüsseln geschützt werden müssen.
**Modell der geteilten Verantwortung**
Standardmäßige KMS-Schlüssel verwenden Schlüsselmaterial, das in dem generiert und verwendet wird HSMs , der AWS KMS Eigentümer und Verwalter ist. Sie legen die Zugriffskontrollrichtlinien für Ihre KMS-Schlüssel fest und konfigurieren AWS-Services , dass KMS-Schlüssel zum Schutz Ihrer Ressourcen verwendet werden. AWS KMS übernimmt die Verantwortung für die Sicherheit, Verfügbarkeit, Latenz und Haltbarkeit des Schlüsselmaterials in Ihren KMS-Schlüsseln.
KMS-Schlüssel in externen Schlüsselspeichern hängen von wichtigen Materialien und Vorgängen in Ihrem externen Schlüsselmanager ab. Somit verschiebt sich das Gleichgewicht der Verantwortung in Ihre Richtung. Sie sind für die Sicherheit, Zuverlässigkeit, Haltbarkeit und Leistung der kryptografischen Schlüssel in Ihrem externen Schlüsselmanager verantwortlich. AWS KMS ist dafür verantwortlich, umgehend auf Anfragen zu antworten und mit Ihrem externen Schlüsselspeicher-Proxy zu kommunizieren und unsere Sicherheitsstandards aufrechtzuerhalten. [*Um sicherzustellen, dass jeder externe Schlüssel den Chiffretext mindestens so stark speichert wie der AWS KMS Standard-Chiffretext, verschlüsselt er AWS KMS zunächst den gesamten Klartext mit AWS KMS Schlüsselmaterial, das für Ihren KMS-Schlüssel spezifisch ist, und sendet ihn dann zur Verschlüsselung mit Ihrem externen Schlüssel an Ihren externen Schlüsselmanager. Dieses Verfahren wird als doppelte Verschlüsselung bezeichnet.*](#concept-double-encryption) Infolgedessen können weder AWS KMS noch der/die Besitzer:in des externen Schlüsselmaterials doppelt verschlüsselten Geheimtext alleine entschlüsseln.
Sie sind verantwortlich für die Pflege eines externen Schlüsselmanagers, der Ihren gesetzlichen und Leistungsstandards entspricht, für die Bereitstellung und Pflege eines externen Schlüsselspeicher-Proxys, der der [API-Spezifikation für externe Schlüsselspeicher-Proxys von AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht, und für die Gewährleistung der Verfügbarkeit und Beständigkeit Ihres Schlüsselmaterials. Sie müssen auch einen externen Schlüsselspeicher erstellen, konfigurieren und verwalten. Wenn Fehler auftreten, die durch Komponenten verursacht werden, die Sie warten, müssen Sie darauf vorbereitet sein, die Fehler zu identifizieren und zu beheben, damit die AWS Dienste ohne übermäßige Unterbrechung auf Ihre Ressourcen zugreifen können. AWS KMS bietet [Anleitungen zur Problembehebung](xks-troubleshooting.md), mit deren Hilfe Sie die Ursache von Problemen und die wahrscheinlichsten Lösungen ermitteln können.
Überprüfen Sie die [ CloudWatch Amazon-Metriken und -Dimensionen](monitoring-cloudwatch.md#kms-metrics), die für externe Schlüsselgeschäfte AWS KMS aufgezeichnet wurden. AWS KMS empfiehlt dringend, CloudWatch Alarme zur Überwachung Ihres externen Schlüsselspeichers einzurichten, damit Sie die ersten Anzeichen von Leistungs- und Betriebsproblemen erkennen können, bevor sie auftreten.
**Was ändert sich?**
Externe Schlüsselspeicher unterstützen nur KMS-Schlüssel mit symmetrischer Verschlüsselung. Innerhalb AWS KMS verwenden und verwalten Sie KMS-Schlüssel in einem externen Schlüsselspeicher auf die gleiche Weise wie andere vom [Kunden verwaltete Schlüssel](concepts.md#customer-mgn-key), einschließlich der [Festlegung von Zugriffskontrollrichtlinien](authorize-xks-key-store.md) und der [Überwachung der Schlüsselverwendung](monitoring-overview.md). Sie verwenden dasselbe APIs mit denselben Parametern, um eine kryptografische Operation mit einem KMS-Schlüssel in einem externen Schlüsselspeicher anzufordern, den Sie für einen beliebigen KMS-Schlüssel verwenden. Der Preis ist derselbe wie für die Standard-KMS-Schlüssel. Einzelheiten finden Sie unter [KMS-Schlüssel in externen Schlüsselspeichern](keystore-external-key-manage.md) und [AWS Key Management Service Preise](https://aws.amazon.com/kms/pricing/).
Bei externen Schlüsselspeichern ändern sich jedoch die folgenden Prinzipien:
+ Sie sind für die Verfügbarkeit, Beständigkeit und Latenz wichtiger Vorgänge verantwortlich.
+ Sie sind für alle Kosten für die Entwicklung, den Erwerb, den Betrieb und die Lizenzierung Ihres externen Schlüsselmanagersystems verantwortlich.
+ Sie können die [unabhängige Autorisierung](authorize-xks-key-store.md#xks-proxy-authorization) aller Anfragen AWS KMS an Ihren externen Schlüsselspeicher-Proxy implementieren.
+ Sie können alle Vorgänge Ihres externen Schlüsselspeicher-Proxys sowie alle Vorgänge Ihres externen Schlüsselmanagers im Zusammenhang mit AWS KMS Anfragen überwachen, prüfen und protokollieren.
**Wo fange ich an?**
Um einen externen Schlüsselspeicher zu erstellen und zu verwalten, müssen Sie [die Proxy-Konnektivitätsoption für Ihren externen Schlüsselspeicher auswählen](choose-xks-connectivity.md), [die Voraussetzungen erfüllen](create-xks-keystore.md#xks-requirements) und [Ihren externen Schlüsselspeicher erstellen und konfigurieren](create-xks-keystore.md).
**Kontingente**
AWS KMS ermöglicht bis zu [10 benutzerdefinierte Schlüsselspeicher](resource-limits.md) in jeder AWS-Konto Region, einschließlich sowohl [AWS CloudHSM Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) als auch [externer Schlüsselspeicher](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), unabhängig von deren Verbindungsstatus. Darüber hinaus gibt es AWS KMS -Anforderungskontingente für die [Nutzung von KMS-Schlüsseln in einem externen Schlüsselspeicher](requests-per-second.md#rps-key-stores).
Wenn Sie [VPC-Proxykonnektivität](#concept-xks-connectivity) für Ihren externen Schlüsselspeicher-Proxy wählen, gibt es möglicherweise auch Kontingente für die erforderlichen Komponenten VPCs, wie Subnetze und Netzwerk-Loadbalancer. Informationen über diese Kontingente erhalten Sie in der [Service Quotas-Konsole](https://console.aws.amazon.com/servicequotas/home).
**Regionen**
Um die Netzwerklatenz zu minimieren, erstellen Sie Ihre externen Schlüsselspeicherkomponenten in der AWS-Region , die Ihrem [externen Schlüsselmanager](#concept-ekm) am nächsten liegt. Wählen Sie nach Möglichkeit eine Region mit einer Netzwerk-Round-Trip-Zeit (RTT) von maximal 35 Millisekunden.
Externe Schlüsselspeicher werden AWS-Regionen in allen Bereichen unterstützt, AWS KMS mit Ausnahme von China (Peking) und China (Ningxia).
**Nicht unterstützte Funktionen**
AWS KMS unterstützt die folgenden Funktionen in benutzerdefinierten Schlüsselspeichern nicht.
+ [Asymmetrische KMS-Schlüssel](symmetric-asymmetric.md)
+ [HMAC-KMS-Schlüssel](hmac.md)
+ [KMS-Schlüssel mit importiertem Schlüsselmaterial](importing-keys.md)
+ [Automatische Schlüsselrotation](rotate-keys.md)
+ [Multiregionale Schlüssel](multi-region-keys-overview.md)
**Weitere Informationen:**
+ [Ankündigung des AWS KMS External Key Store](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) im *AWS News-Blog*.
## Konzepte für externe Schlüsselspeicher
Lernen Sie die grundlegenden Begriffe und Konzepte kennen, die in externen Schlüsselspeichern verwendet werden.
### Externer Schlüsselspeicher
Ein *externer Schlüsselspeicher* ist ein AWS KMS [benutzerdefinierter Schlüsselspeicher](key-store-overview.md#custom-key-store-overview), der von einem externen Schlüsselmanager unterstützt wird AWS , der nicht Ihnen gehört und von dem Sie verwaltet werden. Jeder KMS-Schlüssel in einem externen Schlüsselspeicher ist mit einem [externen Schlüssel](#concept-external-key) in Ihrem externen Schlüsselmanager verknüpft. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher für die Verschlüsselung oder Entschlüsselung verwenden, wird der Vorgang in Ihrem externen Schlüsselmanager unter Verwendung Ihres externen Schlüssels ausgeführt. Diese Anordnung wird als *Hold Your Own Keys* (HYOK) bezeichnet. Dieses Feature wurde für Organisationen entwickelt, die ihre kryptografischen Schlüssel in ihrem eigenen externen Schlüsselmanager verwalten müssen.
Externe Schlüsselspeicher stellen sicher, dass die kryptografischen Schlüssel und Operationen, die Ihre AWS Ressourcen schützen, in Ihrem externen Schlüsselmanager unter Ihrer Kontrolle verbleiben. AWS KMS sendet Anfragen an Ihren externen Schlüsselmanager zum Verschlüsseln und Entschlüsseln von Daten, AWS KMS kann jedoch keine externen Schlüssel erstellen, löschen oder verwalten. Alle Anfragen AWS KMS an Ihren externen Schlüsselmanager werden über eine [externe Schlüsselspeicher-Proxy-Softwarekomponente](#concept-xks-proxy) vermittelt, die Sie bereitstellen, besitzen und verwalten.
AWS Dienste, die vom AWS KMS [Kunden verwaltete Schlüssel](concepts.md) unterstützen, können die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, um Ihre Daten zu schützen. Infolgedessen werden Ihre Daten letztendlich durch Ihre Schlüssel geschützt, indem Sie Ihre Verschlüsselungsvorgänge in Ihrem externen Schlüsselmanager verwenden.
Für die KMS-Schlüssel in einem externen Schlüsselspeicher gelten grundsätzlich andere Vertrauensmodelle, [Regelungen zur gemeinsamen Verantwortung](#xks-shared-responsibility) und Leistungserwartungen als für Standard-KMS-Schlüssel. Bei externen Schlüsselspeichern sind Sie für die Sicherheit und Integrität des Schlüsselmaterials und der kryptografischen Operationen verantwortlich. Die Verfügbarkeit und Latenz von KMS-Schlüsseln in einem externen Schlüsselspeicher werden durch die Hardware, Software, Netzwerkkomponenten und die Entfernung zwischen AWS KMS und Ihrem externen Schlüsselmanager beeinflusst. Außerdem werden Ihnen wahrscheinlich zusätzliche Kosten für Ihren externen Schlüsselmanager und für die Netzwerk- und Lastenausgleichsinfrastruktur entstehen, mit der Ihr externer Schlüsselmanager kommunizieren muss AWS KMS
Sie können Ihren externen Schlüsselspeicher als Teil Ihrer umfassenderen Datenschutzstrategie verwenden. Für jede AWS Ressource, die Sie schützen, können Sie entscheiden, welche einen KMS-Schlüssel in einem externen Schlüsselspeicher erfordern und welche durch einen Standard-KMS-Schlüssel geschützt werden können. Dies gibt Ihnen die Flexibilität, KMS-Schlüssel für bestimmte Datenklassifizierungen, Anwendungen oder Projekte auszuwählen.
### Externer Schlüsselmanager
Ein *externer Schlüsselmanager* ist eine Komponente außerhalb von AWS , die symmetrische 256-Bit-AES-Schlüssel generieren und eine symmetrische Verschlüsselung und Entschlüsselung durchführen kann. Der externe Schlüsselmanager für einen externen Schlüsselspeicher kann ein physisches Hardwaresicherheitsmodul (HSM), ein virtuelles HSM oder ein Software-Schlüsselmanager mit oder ohne HSM-Komponente sein. Es kann sich an einem beliebigen Ort außerhalb von befinden AWS, auch bei Ihnen vor Ort, in einem lokalen oder entfernten Rechenzentrum oder in einer beliebigen Cloud. Ihr externer Schlüsselspeicher kann von einem einzelnen externen Schlüsselmanager oder mehreren zugehörigen Schlüsselmanager-Instances unterstützt werden, die kryptografische Schlüssel gemeinsam nutzen, z. B. einen HSM-Cluster. Externe Schlüsselspeicher sind so konzipiert, dass sie eine Vielzahl von externen Managern verschiedener Anbieter unterstützen. Einzelheiten zum Herstellen einer Verbindung zu Ihrem externen Schlüsselmanager finden Sie unter[Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher](choose-xks-connectivity.md).
### Externer Schlüssel
Jeder KMS-Schlüssel in einem externen Schlüsselspeicher ist mit einem kryptografischen Schlüssel in Ihrem [externen Schlüsselmanager](#concept-ekm) verknüpft, der als *externer Schlüssel* bezeichnet wird. Wenn Sie mit einem KMS-Schlüssel in Ihrem externen Schlüsselspeicher verschlüsseln oder entschlüsseln, wird die kryptografische Operation in Ihrem [externen Schlüsselmanager](#concept-ekm) unter Verwendung Ihres externen Schlüssels durchgeführt.
**Warnung**
Der externe Schlüssel ist für den Betrieb des KMS-Schlüssels unerlässlich. Wenn der externe Schlüssel verloren geht oder gelöscht wird, kann der unter dem zugehörigen KMS-Schlüssel verschlüsselte Geheimtext nicht wiederhergestellt werden.
Für externe Schlüsselspeicher muss es sich bei einem externen Schlüssel um einen 256-Bit-AES-Schlüssel handeln, der aktiviert ist und Verschlüsselung und Entschlüsselung durchführen kann. Ausführliche Informationen zu den Anforderungen an externe Schlüssel finden Sie unter [Anforderungen an einen KMS-Schlüssel in einem externen Schlüsselspeicher](create-xks-keys.md#xks-key-requirements).
AWS KMS kann keine externen Schlüssel erstellen, löschen oder verwalten. Ihr kryptografisches Schlüsselmaterial verlässt niemals Ihren externen Schlüsselmanager. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen, geben Sie die ID eines externen Schlüssels (`XksKeyId`) an. Sie können die externe Schlüssel-ID, die einem KMS-Schlüssel zugeordnet ist, nicht ändern, obwohl Ihr externer Schlüsselmanager das der externen Schlüssel-ID zugeordnete Schlüsselmaterial rotieren kann.
Zusätzlich zu Ihrem externen Schlüssel enthält ein KMS-Schlüssel in einem externen Schlüsselspeicher auch AWS KMS -Schlüsselmaterial. Durch den KMS-Schlüssel geschützte Daten werden zuerst AWS KMS mithilfe des AWS KMS Schlüsselmaterials und dann von Ihrem externen Schlüsselmanager mithilfe Ihres externen Schlüssels verschlüsselt. Dieser Prozess der [doppelten Verschlüsselung](#concept-double-encryption) stellt sicher, dass der durch Ihren KMS-Schlüssel geschützte Geheimtext immer mindestens so stark ist wie der nur durch AWS KMS geschützte Geheimtext.
Viele kryptografische Schlüssel haben unterschiedliche Arten von Identifikatoren. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen, geben Sie die ID des externen Schlüssels an, den der [externe Schlüsselspeicher-Proxy](#concept-xks-proxy) verwendet, um auf den externen Schlüssel zu verweisen. Wenn Sie die falsche Kennung verwenden, schlägt Ihr Versuch, einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher zu erstellen, fehl.
### Externer Schlüsselspeicher-Proxy
Der *externe Schlüsselspeicher-Proxy* („XKS-Proxy“) ist eine kundeneigene und vom Kunden verwaltete Softwareanwendung, die die gesamte Kommunikation zwischen AWS KMS und Ihrem externen Schlüsselmanager vermittelt. Außerdem übersetzt er generische AWS KMS Anfragen in ein Format, das Ihr herstellerspezifischer externer Schlüsselmanager versteht. Für einen externen Schlüsselspeicher ist ein externer Schlüsselspeicher-Proxy erforderlich. Jeder externe Schlüsselspeicher ist mit einem externen Schlüsselspeicher-Proxy verbunden.
![\[Externer Schlüsselspeicher-Proxy\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/xks-proxy-concept-40.png)
AWS KMS kann keine externen Schlüssel erstellen, löschen oder verwalten. Ihr kryptographisches Schlüsselmaterial verlässt zu keiner Zeit Ihren externen Schlüsselmanager. Die gesamte Kommunikation zwischen AWS KMS und Ihrem externen Schlüsselmanager wird über Ihren externen Schlüsselspeicher-Proxy vermittelt. AWS KMS sendet Anfragen an den externen Schlüsselspeicher-Proxy und empfängt Antworten vom externen Schlüsselspeicher-Proxy. Der externe Schlüsselspeicher-Proxy ist dafür verantwortlich AWS KMS , Anfragen von Ihrem externen Schlüsselmanager und Antworten von Ihrem externen Schlüsselmanager zurück an AWS KMS
Sie besitzen und verwalten den externen Schlüsselspeicher-Proxy für Ihren externen Schlüsselspeicher und sind für dessen Wartung und Betrieb verantwortlich. Sie können Ihren externen Schlüsselspeicher-Proxy auf der Grundlage der [Open-Source-Proxy-API-Spezifikation für externe Schlüsselspeicher](https://github.com/aws/aws-kms-xksproxy-api-spec/) entwickeln, mit der eine Proxyanwendung von einem Anbieter AWS KMS veröffentlicht oder gekauft wird. Ihr externer Schlüsselspeicher-Proxy ist möglicherweise in Ihrem externen Schlüsselmanager enthalten. Zur Unterstützung der Proxyentwicklung werden AWS KMS außerdem ein Beispiel für einen externen Schlüsselspeicher-Proxy ([aws-kms-xks-proxy](https://github.com/aws-samples/aws-kms-xks-proxy)) und ein Testclient ([xks-kms-xksproxy-test-client) bereitgestellt](https://github.com/aws-samples/aws-kms-xksproxy-test-client), der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der Spezifikation entspricht.
Zur Authentifizierung verwendet der Proxy AWS KMS serverseitige TLS-Zertifikate. [Um sich bei Ihrem Proxy zu authentifizieren, AWS KMS signieren Sie alle Anfragen an Ihren externen Schlüsselspeicher-Proxy mit einem SigV4-Proxyauthentifizierungsnachweis.](#concept-xks-credential)
Ihr externer Schlüsselspeicher-Proxy muss HTTP/1.1 oder höher und TLS 1.2 oder höher mit mindestens einer der folgenden Verschlüsselungssammlungen unterstützen:
+ TLS\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.3)
+ TLS\$1\$1\$1 CHACHA20 (POLY1305TLS SHA256 1.3)
**Anmerkung**
Das AWS GovCloud (US) Region unterstützt CHACHA20 TLS\$1 \$1 \$1 nicht. POLY1305 SHA256
+ TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.2)
+ TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 (TLS 1.2SHA384 )
[Verbinden Sie den externen Schlüsselspeicher](xks-connect-disconnect.md) zunächst mit dem externen Schlüsselspeicher-Proxy, um die KMS-Schlüssel in Ihrem externen Schlüsselspeicher zu erstellen und zu verwenden. Sie können Ihren externen Schlüsselspeicher bei Bedarf auch von seinem Proxy trennen. Wenn Sie dies tun, sind alle KMS-Schlüssel im externen Schlüsselspeicher [nicht mehr verfügbar](key-state.md). Sie können nicht für kryptografische Operationen verwendet werden.
### Konnektivität des externen Schlüsselspeicher-Proxys
Die externe Schlüsselspeicher-Proxykonnektivität („XKS-Proxykonnektivität“) beschreibt die Methode, die für die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy verwendet wird. AWS KMS
Sie geben Ihre Proxy-Konnektivitätsoption an, wenn Sie Ihren externen Schlüsselspeicher erstellen, und sie wird zu einer Eigenschaft des externen Schlüsselspeichers. Sie können Ihre Proxy-Konnektivitätsoption ändern, indem Sie die benutzerdefinierte Schlüsselspeichereigenschaft aktualisieren. Sie müssen jedoch sicherstellen, dass Ihr externer Schlüsselspeicher-Proxy weiterhin auf dieselben externen Schlüssel zugreifen kann.
AWS KMS unterstützt die folgenden Konnektivitätsoptionen.
+ [Öffentliche Endpunktkonnektivität](choose-xks-connectivity.md#xks-connectivity-public-endpoint) — AWS KMS sendet Anfragen für Ihren externen Schlüsselspeicher-Proxy über das Internet an einen öffentlichen Endpunkt, den Sie kontrollieren. Diese Option ist einfach zu erstellen und zu verwalten, erfüllt jedoch möglicherweise nicht die Sicherheitsanforderungen für jede Installation.
+ [VPC-Endpunktservice-Konnektivität](choose-xks-connectivity.md#xks-vpc-connectivity) — AWS KMS sendet Anfragen an einen Amazon Virtual Private Cloud (Amazon VPC) -Endpunktservice, den Sie erstellen und verwalten. Sie können Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC hosten oder Ihren externen Schlüsselspeicher-Proxy außerhalb hosten AWS und die Amazon VPC nur für die Kommunikation verwenden. Sie können Ihren externen Schlüsselspeicher auch mit einem Amazon VPC-Endpunktservice verbinden, der einem anderen AWS-Konto gehört.
Einzelheiten zu den Verbindungsoptionen für den externen Schlüsselspeicher-Proxy finden Sie unter [Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher](choose-xks-connectivity.md).
### Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers
Um sich bei Ihrem externen Schlüsselspeicher-Proxy zu authentifizieren, AWS KMS signieren Sie alle Anfragen an Ihren externen Schlüsselspeicher-Proxy mit einem [Signature V4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) -Authentifizierungsnachweis. Sie erstellen und verwalten die Authentifizierungsdaten auf Ihrem Proxy und geben diese Anmeldeinformationen dann an, AWS KMS wenn Sie Ihren externen Speicher erstellen.
**Anmerkung**
Die SigV4-Anmeldeinformationen, die zum Signieren von Anfragen an den XKS-Proxy AWS KMS verwendet werden, haben nichts mit irgendwelchen SigV4-Anmeldeinformationen zu den Prinzipalen in Ihrem zu tun. AWS Identity and Access Management AWS-Konten Verwenden Sie keine IAM-SigV4-Anmeldeinformationen für Ihren externen Schlüsselspeicher-Proxy wieder.
Alle Anmeldeinformationen für die Proxy-Authentifizierung bestehen aus zwei Teilen. Sie müssen beide Teile angeben, wenn Sie einen externen Schlüsselspeicher erstellen oder die Anmeldeinformationen für die Authentifizierung für Ihren externen Schlüsselspeicher aktualisieren.
+ Zugriffsschlüssel-ID: Identifiziert den geheimen Zugriffsschlüssel. Sie können diese ID in Klartext angeben.
+ Geheimer Zugriffsschlüssel: Der geheime Teil der Anmeldeinformationen. AWS KMS verschlüsselt den geheimen Zugriffsschlüssel in den Anmeldeinformationen, bevor er gespeichert wird.
Sie können die [Einstellung für die Anmeldeinformation](update-xks-keystore.md) jederzeit bearbeiten, z. B. wenn Sie falsche Werte eingeben, wenn Sie Ihre Anmeldeinformation auf dem Proxy ändern oder wenn Ihr Proxy die Anmeldeinformation rotiert. Technische Informationen zur AWS KMS Authentifizierung beim externen Schlüsselspeicher-Proxy finden Sie unter [Authentifizierung](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/xks_proxy_api_spec.md#authentication) in der API-Spezifikation für den AWS KMS externen Schlüsselspeicher-Proxy.
Damit Sie Ihre Anmeldeinformationen rotieren können, ohne die AWS-Services Verwendung von KMS-Schlüsseln in Ihrem externen Schlüsselspeicher zu unterbrechen, empfehlen wir, dass der externe Schlüsselspeicher-Proxy mindestens zwei gültige Authentifizierungsinformationen für unterstützt. AWS KMS Auf diese Weise wird sichergestellt, dass Ihre vorherige Anmeldeinformation weiterhin funktioniert, während Sie Ihre neue Anmeldeinformation für AWS KMS bereitstellen.
Damit Sie das Alter Ihrer Proxyauthentifizierungsdaten verfolgen können, AWS KMS definiert eine CloudWatch Amazon-Metrik, [XksProxyCredentialAge](monitoring-cloudwatch.md#metric-xks-proxy-credential-age). Sie können diese Metrik verwenden, um einen CloudWatch Alarm auszulösen, der Sie benachrichtigt, wenn das Alter Ihrer Anmeldeinformationen einen von Ihnen festgelegten Schwellenwert erreicht.
### Proxy APIs
Um einen AWS KMS externen Schlüsselspeicher zu unterstützen, muss ein [externer Schlüsselspeicher-Proxy](#concept-xks-proxy) den erforderlichen Proxy implementieren, APIs wie in der [API-Spezifikation für den AWS KMS externen Schlüsselspeicher](https://github.com/aws/aws-kms-xksproxy-api-spec/) beschrieben. Diese Proxy-API-Anfragen sind die einzigen Anfragen, die AWS KMS an den Proxy gesendet werden. Auch wenn Sie diese Anforderungen nie direkt senden, kann das Wissen darüber Ihnen helfen, Probleme zu beheben, die mit Ihrem externen Schlüsselspeicher oder seinem Proxy auftreten könnten. Nimmt beispielsweise AWS KMS Informationen über die Latenz und die Erfolgsraten dieser API-Aufrufe in seine [ CloudWatch Amazon-Metriken](monitoring-cloudwatch.md) für externe Schlüsselgeschäfte auf. Details hierzu finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
In der folgenden Tabelle sind die einzelnen Proxys aufgeführt und beschrieben APIs. Sie umfasst auch die AWS KMS Operationen, die einen Aufruf der Proxy-API auslösen, sowie alle Ausnahmen für AWS KMS Operationen im Zusammenhang mit der Proxy-API.
| Proxy-API | Description | Verwandte AWS KMS Operationen |
| --- | --- | --- |
| Decrypt | AWS KMS sendet den zu entschlüsselnden Chiffretext und die ID des zu verwendenden [externen Schlüssels](#concept-external-key). Der erforderliche Verschlüsselungsalgorithmus ist AES\$1GCM. | [Entschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) |
| Encrypt | AWS KMS sendet zu verschlüsselnde Daten und die ID des zu verwendenden [externen Schlüssels](#concept-external-key). Der erforderliche Verschlüsselungsalgorithmus ist AES\$1GCM. | [Verschlüsseln](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html),, [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) |
| GetHealthStatus | AWS KMS fordert Informationen über den Status des Proxys und Ihres externen Schlüsselmanagers an. Der Status eines jeden externen Schlüsselmanagers kann einer der folgenden sein.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/keystore-external.html) | [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)(für [öffentliche Endpunktkonnektivität](choose-xks-connectivity.md#xks-connectivity-public-endpoint)), [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)(für [VPC-Endpunktdienstkonnektivität](choose-xks-connectivity.md#xks-vpc-connectivity))Wenn alle externen Schlüsselmanager-Instances `Unavailable` sind, schlagen Versuche, den Schlüsselspeicher zu erstellen oder eine Verbindung herzustellen, mit [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-latency) fehl. |
| GetKeyMetadata | AWS KMS fordert Informationen über den [externen Schlüssel](#concept-external-key) an, der einem KMS-Schlüssel in Ihrem externen Schlüsselspeicher zugeordnet ist. Die Antwort enthält die Schlüsselspezifikation (`AES_256`), die Schlüsselverwendung (`[ENCRYPT, DECRYPT]`) und die Angabe, ob der externe Schlüssel `ENABLED` oder `DISABLED` ist. | [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Wenn die Schlüsselspezifikation nicht `AES_256` ist oder die Schlüsselverwendung nicht `[ENCRYPT, DECRYPT]` ist oder der Status `DISABLED` ist, schlägt der Vorgang `CreateKey` mit `XksKeyInvalidConfigurationException` fehl. |
### Doppelte Verschlüsselung
Daten, die mit einem KMS-Schlüssel in einem externen Schlüsselspeicher verschlüsselt wurden, werden zweimal verschlüsselt. AWS KMS Verschlüsselt zunächst die Daten mit AWS KMS Schlüsselmaterial, das für den KMS-Schlüssel spezifisch ist. Dann wird der mit AWS KMS verschlüsselte Geheimtext von Ihrem [externen Schlüsselmanager](#concept-ekm) mit Ihrem [externen Schlüssel](#concept-external-key) verschlüsselt. Dieser Vorgang wird als *doppelte Verschlüsselung* bezeichnet.
Die doppelte Verschlüsselung stellt sicher, dass Daten, die mit einem KMS-Schlüssel in einem externen Schlüsselspeicher verschlüsselt werden, mindestens so sicher sind wie mit einem Standard-KMS-Schlüssel verschlüsselter Geheimtext. Es schützt auch Ihren Klartext bei der Übertragung von AWS KMS zu Ihrem externen Schlüsselspeicher-Proxy. Bei der doppelten Verschlüsselung behalten Sie die volle Kontrolle über Ihre Geheimtexte. Wenn Sie AWS den Zugriff auf Ihren externen Schlüssel über Ihren externen Proxy dauerhaft entziehen, wird jeglicher in AWS verbleibende Geheimtext effektiv kryptografisch zerlegt.
![\[Doppelte Verschlüsselung von Daten, die durch einen KMS-Schlüssel in einem externen Schlüsselspeicher geschützt sind\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/xks-double-encrypt-40.png)
Jeder KMS-Schlüssel verfügt in einem externen Schlüsselspeicher über *zwei* kryptografische Unterstützungsschlüssel, um eine doppelte Verschlüsselung zu ermöglichen:
+ Ein AWS KMS Schlüsselmaterial, das nur für den KMS-Schlüssel gilt. Dieses Schlüsselmaterial wird generiert und nur in AWS KMS [FIPS 140-3 Security Level 3-zertifizierten Hardware-Sicherheitsmodulen (](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884)) verwendet. HSMs
+ Ein [externer Schlüssel](#concept-external-key) in Ihrem externen Schlüsselmanager.
Die doppelte Verschlüsselung hat die folgenden Auswirkungen:
+ AWS KMS kann keinen Chiffretext entschlüsseln, der mit einem KMS-Schlüssel in einem externen Schlüsselspeicher verschlüsselt wurde, ohne über Ihren externen Schlüsselspeicher-Proxy auf Ihre externen Schlüssel zuzugreifen.
+ Sie können keinen mit einem KMS-Schlüssel verschlüsselten Chiffretext in einem externen Schlüsselspeicher außerhalb von entschlüsseln AWS, selbst wenn Sie über dessen externes Schlüsselmaterial verfügen.
+ Sie können einen KMS-Schlüssel, der aus einem externen Schlüsselspeicher gelöscht wurde, nicht wiederherstellen, selbst wenn Sie über sein externes Schlüsselmaterial verfügen. Jeder KMS-Schlüssel verfügt über eindeutige Metadaten, die er in den symmetrischen Geheimtext einfügt. Ein neuer KMS-Schlüssel wäre nicht in der Lage, einen mit dem ursprünglichen Schlüssel verschlüsselten Geheimtext zu entschlüsseln, selbst wenn er dasselbe externe Schlüsselmaterial verwenden würde.
Ein Beispiel für doppelte Verschlüsselung in der Praxis finden Sie unter [Funktionsweise externer Schlüsselspeicher](#xks-how-it-works).
## Funktionsweise externer Schlüsselspeicher
Ihr [externer Schlüsselspeicher](#concept-external-key-store), der [externe Schlüsselspeicher-Proxy](#concept-xks-proxy) und der [externe Schlüsselmanager](#concept-ekm) arbeiten zusammen, um Ihre AWS -Ressourcen zu schützen. Das folgende Verfahren zeigt den Verschlüsselungsworkflow eines typischen AWS-Service , bei dem jedes Objekt mit einem eindeutigen Datenschlüssel verschlüsselt wird, der durch einen KMS-Schlüssel geschützt ist. In diesem Fall haben Sie zum Schutz des Objekts einen KMS-Schlüssel in einem externen Schlüsselspeicher gewählt. Das Beispiel zeigt, wie [doppelte Verschlüsselung AWS KMS](#concept-double-encryption) verwendet wird, um den Datenschlüssel bei der Übertragung zu schützen und sicherzustellen, dass Chiffretext, der durch einen KMS-Schlüssel in einem externen Schlüsselspeicher generiert wird, immer mindestens so stark ist wie Chiffretext, der mit einem standardmäßigen symmetrischen KMS-Schlüssel mit Schlüsselmaterial verschlüsselt wurde. AWS KMS
Die Verschlüsselungsmethoden, die von den einzelnen Integrationen verwendet werden, sind unterschiedlich AWS-Service . AWS KMS Weitere Informationen finden Sie unter dem Thema zum Datenschutz im Kapitel über Sicherheit in der AWS-Service -Dokumentation.
![\[Funktionsweise externer Schlüsselspeicher\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/xks-how-it-works-jan26.png)
1. Sie fügen Ihrer AWS-Service Ressource ein neues Objekt hinzu. Um das Objekt zu verschlüsseln, AWS-Service sendet der eine [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)Anfrage zur AWS KMS Verwendung eines KMS-Schlüssels in Ihrem externen Schlüsselspeicher.
1. AWS KMS generiert einen symmetrischen [256-Bit-Datenschlüssel](data-keys.md) und bereitet den Versand einer Kopie des Klartext-Datenschlüssels über Ihren externen Schlüsselspeicher-Proxy an Ihren externen Schlüsselmanager vor. AWS KMS beginnt den [doppelten Verschlüsselungsprozess](#concept-double-encryption), indem der Klartext-Datenschlüssel mit dem [Schlüsselmaterial verschlüsselt wird, das dem AWS KMS KMS-Schlüssel](#concept-double-encryption) im externen Schlüsselspeicher zugeordnet ist.
1. AWS KMS sendet eine [Verschlüsselungsanforderung](#concept-proxy-apis) an den externen Schlüsselspeicher-Proxy, der dem externen Schlüsselspeicher zugeordnet ist. Die Anforderung enthält den zu verschlüsselnden Chiffretext des Datenschlüssels und die ID des [externen Schlüssels, der dem KMS-Schlüssel](#concept-external-key) zugeordnet ist. AWS KMS signiert die Anfrage mit den [Proxyauthentifizierungsdaten für](#concept-xks-credential) Ihren externen Schlüsselspeicher-Proxy.
Die Klartextkopie des Datenschlüssels wird nicht an den externen Schlüsselspeicher-Proxy gesendet.
1. Der externe Schlüsselspeicher-Proxy authentifiziert die Anforderung und leitet die Verschlüsselungsanforderung dann an Ihren externen Schlüsselmanager weiter.
Einige externe Schlüsselspeicher-Proxys implementieren auch eine optionale [Autorisierungsrichtlinie](authorize-xks-key-store.md#xks-proxy-authorization), die es nur ausgewählten Prinzipalen erlaubt, unter bestimmten Bedingungen Operationen durchzuführen.
1. Ihr externer Schlüsselmanager verschlüsselt den Geheimtext des Datenschlüssels mit dem angegebenen externen Schlüssel. Der externe Schlüsselmanager gibt den doppelt verschlüsselten Datenschlüssel an Ihren externen Schlüsselspeicher-Proxy zurück, der ihn an AWS KMS zurückgibt.
1. AWS KMS gibt den Klartext-Datenschlüssel und die doppelt verschlüsselte Kopie dieses Datenschlüssels an den zurück. AWS-Service
1. Der AWS-Service verwendet den Klartext-Datenschlüssel, um das Ressourcenobjekt zu verschlüsseln, zerstört den Klartext-Datenschlüssel und speichert den verschlüsselten Datenschlüssel zusammen mit dem verschlüsselten Objekt.
In manchen AWS-Services Fällen wird der Klartext-Datenschlüssel möglicherweise zwischengespeichert, um ihn für mehrere Objekte zu verwenden oder um ihn wiederzuverwenden, während die Ressource verwendet wird. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).
Um das verschlüsselte Objekt zu entschlüsseln, AWS-Service müssen sie den verschlüsselten Datenschlüssel AWS KMS in einer [Entschlüsselungsanforderung](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) an sie zurücksenden. Um den verschlüsselten Datenschlüssel zu entschlüsseln, AWS KMS müssen Sie den verschlüsselten Datenschlüssel mit der ID des externen Schlüssels an Ihren externen Schlüsselspeicher-Proxy zurücksenden. Wenn die Entschlüsselungsanforderung an den externen Schlüsselspeicher-Proxy aus irgendeinem Grund fehlschlägt, AWS KMS kann der verschlüsselte Datenschlüssel nicht entschlüsselt werden, und das verschlüsselte Objekt AWS-Service kann nicht entschlüsselt werden.
# Steuern Sie den Zugriff auf Ihren externen Schlüsselspeicher
Alle AWS KMS Zugriffskontrollfunktionen — [wichtige Richtlinien](key-policies.md), [IAM-Richtlinien](iam-policies.md) und [Grants](grants.md) —, die Sie mit Standard-KMS-Schlüsseln verwenden, funktionieren auf die gleiche Weise für KMS-Schlüssel in einem externen Schlüsselspeicher. Sie können IAM-Richtlinien verwenden, um den Zugriff auf die API-Operationen zur Erstellung und Verwaltung externer Schlüsselspeicher zu steuern. Sie verwenden IAM-Richtlinien und Schlüsselrichtlinien, um den Zugriff auf die AWS KMS keys in Ihrem externen Schlüsselspeicher gespeicherten Daten zu steuern. Sie können auch [Dienststeuerungsrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) für Ihre AWS Organisation und [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy) verwenden, um den Zugriff auf KMS-Schlüssel in Ihrem externen Schlüsselspeicher zu steuern.
Sie sollten Benutzern und Rollen ausschließlich die Berechtigungen gewähren, die sie für die Aufgaben benötigen, die sie voraussichtlich ausführen werden.
**Topics**
+ [
## Autorisierung externer Schlüsselspeichermanager
](#authorize-xks-managers)
+ [
## Autorisierung von Benutzern von KMS-Schlüsseln in externen Schlüsselspeichern
](#authorize-xks-users)
+ [
## Autorisieren Sie AWS KMS die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy
](#allowlist-kms-xks)
+ [
## Proxy-Autorisierung für externen Schlüsselspeicher (optional)
](#xks-proxy-authorization)
+ [
## mTLS-Authentifizierung (veraltet)
](#xks-mtls)
## Autorisierung externer Schlüsselspeichermanager
Prinzipale, die einen externen Schlüsselspeicher erstellen und verwalten, benötigen Berechtigungen für die benutzerdefinierten Schlüsselspeicheroperationen. Die folgende Liste beschreibt die Mindestberechtigungen, die Manager externer Schlüsselspeicher benötigen. Da es sich bei einem benutzerdefinierten Schlüsselspeicher nicht um eine AWS Ressource handelt, können Sie keine Berechtigungen für einen externen Schlüsselspeicher für Prinzipale in anderen Ländern erteilen. AWS-Konten
+ `kms:CreateCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:ConnectCustomKeyStore`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `kms:DeleteCustomKeyStore`
Um einen externen Schlüsselspeicher mit [Amazon VPC-Endpunktservice-Konnektivität](choose-xks-connectivity.md#xks-vpc-connectivity) zu erstellen und der VPC-Endpunktservice gehört einer anderen Person AWS-Konto, benötigen Sie außerdem die folgende Berechtigung:
+ `ec2:DescribeVPCEndpointServices`
Prinzipale, die einen externen Schlüsselspeicher erstellen, benötigen die Berechtigung, die externen Schlüsselspeicherkomponenten zu erstellen und zu konfigurieren. Prinzipale können externe Schlüsselspeicher nur in ihren eigenen Konten erstellen. Um einen externen Schlüsselspeicher mit der [Konnektivität eines VPC-Endpunkt-Services](choose-xks-connectivity.md#xks-vpc-connectivity) zu erstellen, müssen die Prinzipale über die Berechtigung verfügen, die folgenden Komponenten zu erstellen:
+ Eine Amazon VPC
+ Öffentliche und private Subnetze
+ Einen Network Load Balancer und eine Zielgruppe
+ Einen VPC-Endpunkt-Service von Amazon
Einzelheiten finden Sie unter [Identity and Access Management für Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), [Identity and Access Management für VPC-Endpunkte und VPC-Endpunktservices](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) und [Elastic Load Balancing-API-Berechtigungen](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html).
## Autorisierung von Benutzern von KMS-Schlüsseln in externen Schlüsselspeichern
Principals, die Ihren externen Schlüsselspeicher erstellen und verwalten AWS KMS keys , benötigen [dieselben Berechtigungen](create-keys.md#create-key-permissions) wie diejenigen, die alle KMS-Schlüssel in erstellen und verwalten. AWS KMS Die [Standard-Schlüsselrichtlinie](key-policy-default.md) für KMS-Schlüssel in einem externen Schlüsselspeicher ist identisch mit der Standard-Schlüsselrichtlinie für KMS-Schlüssel in AWS KMS. [Attributbasierte Zugriffskontrolle](abac.md) (ABAC), das Tags und Aliasse verwendet, um den Zugriff auf KMS-Schlüssel zu steuern, ist auch für KMS-Schlüssel in externen Schlüsselspeichern wirksam.
Prinzipale, die die KMS-Schlüssel in Ihrem benutzerdefinierten Schlüsselspeicher für [kryptografische Operationen](manage-cmk-keystore.md#use-cmk-keystore) verwenden, benötigen die Berechtigung zum Ausführen der kryptografischen Operation mit dem KMS-Schlüssel, z. B. [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Sie können diese Berechtigungen in einer IAM-Richtlinie oder Schlüsselrichtlinie bereitstellen. Sie benötigen keine zusätzlichen Berechtigungen, um einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher verwenden zu können.
Um eine Berechtigung festzulegen, die nur für KMS-Schlüssel in einem externen Schlüsselspeicher gilt, verwenden Sie die Richtlinienbedingung [`kms:KeyOrigin`](conditions-kms.md#conditions-kms-key-origin) mit einem Wert von `EXTERNAL_KEY_STORE`. Sie können diese Bedingung verwenden, um die [KMS: CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) -Berechtigung oder jede andere Berechtigung, die für eine KMS-Schlüsselressource spezifisch ist, einzuschränken. Die folgende IAM-Richtlinie erlaubt es beispielsweise der Identität, der sie zugeordnet ist, die angegebenen Operationen für alle KMS-Schlüssel des Kontos aufzurufen, vorausgesetzt, die KMS-Schlüssel befinden sich in einem externen Schlüsselspeicher. Beachten Sie, dass Sie die Berechtigung auf KMS-Schlüssel in einem externen Schlüsselspeicher und KMS-Schlüssel in einem AWS-Konto, aber nicht auf einen bestimmten externen Schlüsselspeicher im Konto beschränken können.
```
{
"Sid": "AllowKeysInExternalKeyStores",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
"Condition": {
"StringEquals": {
"kms:KeyOrigin": "EXTERNAL_KEY_STORE"
}
}
}
```
## Autorisieren Sie AWS KMS die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy
AWS KMS kommuniziert mit Ihrem externen Schlüsselmanager nur über den [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy), den Sie bereitstellen. AWS KMS authentifiziert sich gegenüber Ihrem Proxy, indem es seine Anfragen mithilfe des [Signature Version 4-Prozesses (Sigv4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) mit den von Ihnen angegebenen [Proxyauthentifizierungsdaten für den externen Schlüsselspeicher signiert](keystore-external.md#concept-xks-credential). Wenn Sie [öffentliche Endpunktkonnektivität](choose-xks-connectivity.md#xks-connectivity-public-endpoint) für Ihren externen Schlüsselspeicher-Proxy verwenden, sind AWS KMS keine zusätzlichen Berechtigungen erforderlich.
Wenn Sie jedoch [VPC-Endpunktservice-Konnektivität](choose-xks-connectivity.md#xks-vpc-connectivity) verwenden, müssen Sie die AWS KMS Erlaubnis erteilen, einen Schnittstellenendpunkt für Ihren Amazon VPC-Endpunktservice zu erstellen. Diese Berechtigung ist unabhängig davon erforderlich, ob sich der externe Schlüsselspeicher-Proxy in Ihrer VPC oder der externe Schlüsselspeicher-Proxy an einem anderen Ort befindet, aber den VPC-Endpunktdienst für die Kommunikation verwendet. AWS KMS
Um die Erstellung eines Schnittstellenendpunkts AWS KMS zu ermöglichen, verwenden Sie die [Amazon VPC-Konsole](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) oder den [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)Vorgang. Erlauben Sie Berechtigungen für den folgenden Prinzipal: `cks.kms..amazonaws.com`.
Wenn Ihr Amazon VPC-Endpunktservice nicht dem AWS-Konto Eigentümer des externen Schlüsselspeichers (XKS) gehört, müssen Sie XKS auch Zugriff auf den VPC-Endpunktservice gewähren. AWS-Konto [Erlauben Sie dazu die AWS-Konto XKS-ID als Principal](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) für den Amazon VPC-Endpunktservice.
------
#### [ Same AWS-Konto ]
Wenn Ihr VPC-Endpunktdienst demselben gehört AWS-Konto wie Ihr externer Schlüsselspeicher, müssen Sie ihn AWS KMS zur Liste der zugelassenen **Prinzipale** für Ihren VPC-Endpunktdienst hinzufügen.
Im folgenden Beispiel wird der [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI Befehl verwendet, AWS KMS um eine Verbindung zum angegebenen VPC-Endpunktdienst in der Region USA West (Oregon) (us-west-2) herzustellen. Bevor Sie diesen Befehl verwenden, ersetzen Sie die Amazon VPC Service ID und AWS-Region durch gültige Werte für Ihre Konfiguration.
```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'
```
Um diese Berechtigung zu entfernen, verwenden Sie die [Amazon VPC-Konsole](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) oder den [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)mit dem `RemoveAllowedPrincipals` Parameter.
------
#### [ Cross AWS-Konto ]
Wenn Ihr VPC-Endpunktdienst dem anderen gehört AWS-Konto, müssen Sie beide AWS KMS und Ihren externen Schlüsselspeicher zur Liste der **erlaubten Prinzipale** für Ihren VPC-Endpunktdienst hinzufügen.
Im folgenden Beispiel wird der [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI Befehl verwendet, damit AWS KMS sowohl als auch Ihr externer Schlüsselspeicher (XKS) eine Verbindung mit dem angegebenen VPC-Endpunktdienst in der Region USA West (Oregon) (us-west-2) herstellen können. Bevor Sie diesen Befehl verwenden, ersetzen Sie die Amazon VPC Service ID und den IAM-Principal-ARN durch gültige Werte für Ihre Konfiguration. AWS-Region Der IAM-Principal sollte durch einen Principal im XKS-Besitzer ersetzt werden. AWS-Konto
In diesem Beispiel `arn:aws:iam::123456789012:role/cks_role` befindet sich der IAM-Prinzipal im XKS-Eigentümerkonto, der verwendet wird, um den XKS zu erstellen, zu aktualisieren oder mit Ihrem VPC-Endpunktdienst zu verbinden. Wenn Sie allen Principals im XKS-Besitzerkonto den Zugriff auf Ihren VPC-Endpunktdienst ermöglichen möchten, können Sie Folgendes angeben. `arn:aws:iam::123456789012:root`
```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'
```
Um diese Berechtigung zu entfernen, verwenden Sie die [Amazon VPC-Konsole](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) oder den [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)mit dem `RemoveAllowedPrincipals` Parameter.
------
## Proxy-Autorisierung für externen Schlüsselspeicher (optional)
Einige externe Schlüsselspeicher-Proxys implementieren Autorisierungsanforderungen für die Verwendung ihrer externen Schlüssel. Ein externer Schlüsselspeicher-Proxy ist berechtigt, aber nicht verpflichtet, ein Autorisierungsschema zu entwerfen und zu implementieren, das es bestimmten Benutzern erlaubt, bestimmte Operationen nur unter bestimmten Bedingungen anzufordern. Beispielsweise könnte ein Proxy so konfiguriert sein, dass er Benutzer:in A die Verschlüsselung mit einem bestimmten externen Schlüssel erlaubt, aber nicht die Entschlüsselung mit diesem Schlüssel.
Die Proxy-Autorisierung ist unabhängig von der [SIGV4-basierten Proxyauthentifizierung](keystore-external.md#concept-xks-credential), die für alle externen Schlüsselspeicher-Proxys AWS KMS erforderlich ist. Sie ist auch unabhängig von den Schlüsselrichtlinien, IAM-Richtlinien und Berechtigungen, die den Zugriff auf Operationen zulassen, die den externen Schlüsselspeicher oder seine KMS-Schlüssel betreffen.
Um die Autorisierung durch den externen Schlüsselspeicher-Proxy zu ermöglichen, AWS KMS enthält jede [Proxy-API-Anfrage](keystore-external.md#concept-proxy-apis) Metadaten, einschließlich des Aufrufers, des KMS-Schlüssels, des AWS KMS Vorgangs und (falls vorhanden). AWS-Service Die Anforderungsmetadaten für Version 1 (v1) der externen Schlüssel-Proxy-API lauten wie folgt.
```
"requestMetadata": {
"awsPrincipalArn": string,
"awsSourceVpc": string, // optional
"awsSourceVpce": string, // optional
"kmsKeyArn": string,
"kmsOperation": string,
"kmsRequestId": string,
"kmsViaService": string // optional
}
```
Sie können Ihren Proxy beispielsweise so konfigurieren, dass Anfragen von einem bestimmten Principal (`awsPrincipalArn`) zugelassen werden, aber nur, wenn die Anfrage im Namen des Prinzipals von einem bestimmten AWS-Service (`kmsViaService`) gestellt wird.
Wenn die Proxyautorisierung fehlschlägt, schlägt der entsprechende AWS KMS Vorgang fehl und es wird eine Meldung angezeigt, die den Fehler erklärt. Details hierzu finden Sie unter [Probleme mit der Proxy-Autorisierung](xks-troubleshooting.md#fix-xks-authorization).
## mTLS-Authentifizierung (veraltet)
In früheren Versionen dieses Handbuchs wurde *Mutual Transport Layer Security* (mTLS) als optionaler, sekundärer Authentifizierungsmechanismus zur Authentifizierung von Anfragen von erwähnt. AWS KMS Bei mTLS verwenden beide Parteien (AWS KMS als Client und der XKS-Proxy als Server), die über einen TLS-Kanal kommunizieren, Zertifikate, um sich gegenseitig zu authentifizieren.
Änderungen an der [Chrome-Root-Programmrichtlinie (Abschnitt 4.2.2)](https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-7/#422-pki-hierarchies-included-in-the-chrome-root-store) verbieten jedoch, dass öffentlich vertrauenswürdige Root-Benutzer, die im Chrome Root Store CAs enthalten sind, nach dem 15. Juni 2026 Zertifikate mit der Erweiterung ClientAuth Extended Key Usage (EKU) ausstellen. Daher AWS KMS kann ich von [Amazon Trust Services](https://www.amazontrust.com/repository/) kein für mTLs geeignetes Client-Zertifikat mehr beziehen. Jeder XKS-Proxy, der AWS KMS nach dem 16. März 2026 zum Erstellen eines neuen externen Schlüsselspeichers verwendet wird, darf keine mTLS benötigen. Nach dem 15. Juni 2026 kann kein XKS-Proxy, der so konfiguriert ist, dass er mTLS benötigt, mit ihm kommunizieren. AWS KMS Kunden müssen sich auf die SigV4-Authentifizierung verlassen, um zu überprüfen, ob Anfragen von stammen. AWS KMS Weitere Informationen finden Sie unter Anmeldeinformationen für die [Proxyauthentifizierung mit externem Schlüsselspeicher](keystore-external.md#concept-xks-credential).
# Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher
Bevor Sie Ihren externen Schlüsselspeicher erstellen, wählen Sie die Verbindungsoption aus, die bestimmt, wie mit Ihren externen Schlüsselspeicherkomponenten AWS KMS kommuniziert wird. Der Rest des Planungsprozesses hängt davon ab, welche Konnektivitätsoption Sie auswählen.
Wenn Sie einen externen Schlüsselspeicher erstellen, müssen Sie festlegen, wie mit Ihrem [externen Schlüsselspeicher-Proxy AWS KMS](keystore-external.md#concept-xks-proxy) kommuniziert wird. Diese Auswahl bestimmt, welche Komponenten Sie benötigen und wie Sie sie konfigurieren. AWS KMS unterstützt die folgenden Konnektivitätsoptionen.
+ [Konnektivität eines öffentlichen Endpunkts](#xks-connectivity-public-endpoint)
+ [Konnektivität eines VPC-Endpunktservice](#xks-vpc-connectivity)
Wählen Sie die Option aus, die Ihren Leistungs- und Sicherheitszielen entspricht.
Bevor Sie beginnen, [vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen](keystore-external.md#do-i-need-xks). Die meisten Kunden können KMS-Schlüssel verwenden, die durch AWS KMS Schlüsselmaterial unterstützt werden.
**Überlegungen**
+ Wenn Ihr externer Schlüsselspeicher-Proxy in Ihren externen Schlüsselmanager integriert ist, ist die Konnektivität möglicherweise vordefiniert. Hilfreiche Informationen finden Sie in der Dokumentation für Ihren externen Schlüsselmanager oder externen Schlüsselspeicher-Proxy.
+ Sie können [die Konnektivitätsoption für Ihren externen Schlüsselspeicher-Proxy auch dann ändern](update-xks-keystore.md), wenn der entsprechende Schlüsselspeicher aktiv ist. Dieser Vorgang muss jedoch sorgfältig geplant und ausgeführt werden, um Unterbrechungen zu minimieren, Fehler zu vermeiden und einen unterbrechungsfreien Zugriff auf die kryptografischen Schlüssel sicherzustellen, mit denen Ihre Daten verschlüsselt werden.
## Konnektivität eines öffentlichen Endpunkts
AWS KMS stellt über das Internet über einen öffentlichen Endpunkt eine Verbindung zum externen Schlüsselspeicher-Proxy (XKS-Proxy) her.
Diese Konnektivitätsoption ist einfacher einzurichten und zu verwalten und eignet sich gut für einige Schlüsselverwaltungsmodelle. Sie entspricht jedoch möglicherweise nicht den Sicherheitsanforderungen einiger Organisationen.
![\[Konnektivität eines öffentlichen Endpunkts\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/xks-public-endpoint-60.png)
**Voraussetzungen**
Wenn Sie sich für die Konnektivität eines öffentlichen Endpunkts entscheiden, werden die folgenden Komponenten benötigt.
+ Ihr externer Schlüsselspeicher-Proxy muss unter einem öffentlich routingfähigen Endpunkt erreichbar sein.
+ Sie können einen öffentlichen Endpunkt für mehrere externe Schlüsselspeicher verwenden, sofern diese unterschiedliche Werte für den [Proxy-URI-Pfad](create-xks-keystore.md#require-path) nutzen.
+ Sie können nicht denselben Endpunkt für einen externen Schlüsselspeicher mit öffentlicher Endpunktkonnektivität und einen externen Schlüsselspeicher mit VPC-Endpunktdienst-Konnektivität im selben verwenden AWS-Region, auch wenn sich die Schlüsselspeicher in unterschiedlichen AWS-Konten Ordnern befinden.
+ Sie benötigen ein TLS-Zertifikat von einer öffentlichen Zertifizierungsstelle, die für externe Schlüsselspeicher unterstützt wird. Eine Liste finden Sie unter [Vertrauenswürdige Zertifizierungsstellen](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).
Der Subject Common Name (CN) auf dem TLS-Zertifikat muss mit dem Domainnamen im [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) für den externen Schlüsselspeicher-Proxy identisch sein. Ist der öffentliche Endpunkt beispielsweise `https://myproxy.xks.example.com`, muss der CN auf dem TLS-Zertifikat `myproxy.xks.example.com` oder `*.xks.example.com` lauten.
+ Stellen Sie sicher, dass alle Firewalls zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy den Datenverkehr zu und von Port 443 auf dem Proxy zulassen. AWS KMS kommuniziert auf Port 443 über. IPv4 Dieser Wert kann nicht konfiguriert werden.
Alle Anforderungen für einen externen Schlüsselspeicher finden Sie in den [Informationen zum Erfüllen der Voraussetzungen](create-xks-keystore.md#xks-requirements).
## Konnektivität eines VPC-Endpunktservice
AWS KMS stellt eine Verbindung zum externen Schlüsselspeicher-Proxy (XKS-Proxy) her, indem ein Schnittstellenendpunkt zu einem von Ihnen erstellten und konfigurierten Amazon VPC-Endpunktservice erstellt wird. Sie müssen [den VPC-Endpunktservice erstellen](vpc-connectivity.md) und Ihre VPC mit Ihrem externen Schlüsselmanager verbinden.
Ihr Endpunktdienst kann jede der [unterstützten network-to-Amazon VPC-Optionen](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) für die Kommunikation verwenden, einschließlich [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/).
Einrichtung und Verwaltung dieser Konnektivitätsoption sind komplizierter. Es wird jedoch verwendet AWS PrivateLink, sodass Sie eine private Verbindung AWS KMS zu Ihrer Amazon VPC und Ihrem externen Schlüsselspeicher-Proxy herstellen können, ohne das öffentliche Internet zu nutzen.
Sie können Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC lokalisieren.
![\[Konnektivität eines VPC-Endpunktservice – XKS-Proxy in Ihrer VPC\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)
Alternativ können Sie Ihren externen Schlüsselspeicher-Proxy auch außerhalb von finden AWS Cloud und Ihren Amazon VPC-Endpunktservice nur für die sichere Kommunikation mit AWS KMS diesem verwenden.
![\[VPC-Endpunktdienstkonnektivität — XKS-Proxy außerhalb von AWS\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)
Sie können auch einen externen Schlüsselspeicher mit einem Amazon VPC-Endpunktservice verbinden, der einem anderen AWS-Konto gehört. Beide AWS-Konten benötigen die [erforderlichen Berechtigungen](authorize-xks-key-store.md#authorize-xks-managers), um die Kommunikation zwischen AWS KMS und dem VPC-Endpunktdienst zu ermöglichen.
**Weitere Informationen:**
+ Sehen Sie sich den Prozess zum Erstellen eines externen Schlüsselspeichers an, einschließlich der [Informationen zum Erfüllen der Voraussetzungen](create-xks-keystore.md#xks-requirements). Er stellt sicher, dass Sie über alle benötigten Komponenten verfügen, wenn Sie einen externen Schlüsselspeicher erstellen.
+ Erfahren Sie, wie Sie [den Zugriff auf Ihren externen Schlüsselspeicher steuern](authorize-xks-key-store.md), einschließlich der Berechtigungen, die Administratoren und Benutzer von externen Schlüsselspeicheradministratoren benötigen.
+ Erfahren Sie mehr über die [ CloudWatch Amazon-Kennzahlen und -Dimensionen](monitoring-cloudwatch.md#kms-metrics), die für externe Schlüsselgeschäfte AWS KMS aufgezeichnet werden. Wir empfehlen Ihnen dringend, Alarme zur Überwachung Ihres externen Schlüsselspeichers zu erstellen, damit Sie erste Anzeichen von Leistungs- und Betriebsproblemen erkennen.
# VPC-Endpunktdienstkonnektivität konfigurieren
Verwenden Sie die Anleitungen in diesem Abschnitt, um die AWS Ressourcen und zugehörigen Komponenten zu erstellen und zu konfigurieren, die für einen externen Schlüsselspeicher erforderlich sind, der [VPC-Endpunktdienstkonnektivität](choose-xks-connectivity.md#xks-vpc-connectivity) verwendet. Die für diese Konnektivitätsoption aufgeführten Ressourcen sind zusätzlich zu den [für alle externen Schlüsselspeicher benötigten Ressourcen](create-xks-keystore.md#xks-requirements) erforderlich. Nachdem Sie die erforderlichen Ressourcen erstellt und konfiguriert haben, können Sie [den externen Schlüsselspeicher erstellen](create-xks-keystore.md).
Sie können Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC oder den Proxy außerhalb von VPC lokalisieren AWS und Ihren VPC-Endpunktservice für die Kommunikation verwenden.
Bevor Sie beginnen, [vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen](keystore-external.md#do-i-need-xks). Die meisten Kunden können KMS-Schlüssel verwenden, die durch AWS KMS Schlüsselmaterial unterstützt werden.
**Anmerkung**
Einige der Elemente, die für die Konnektivität eines VPC-Endpunktservice erforderlich sind, sind möglicherweise in Ihrem externen Schlüsselmanager enthalten. Außerdem gelten unter Umständen für Ihre Software zusätzliche Konfigurationsanforderungen. Bevor Sie die AWS Ressourcen in diesem Abschnitt erstellen und konfigurieren, sollten Sie die Dokumentation zu Ihrem Proxy und Key Manager lesen.
**Topics**
+ [
## Anforderungen für die Konnektivität eines VPC-Endpunktservice
](#xks-vpce-service-requirements)
+ [
## Schritt 1: Amazon-VPC und Subnetze erstellen
](#xks-create-vpc)
+ [
## Schritt 2: Erstellen Sie eine Zielgruppe
](#xks-target-group)
+ [
## Schritt 3: Erstellen Sie einen Netzwerk-Loadbalancer
](#xks-nlb)
+ [
## Schritt 4: Erstellen Sie einen VPC-Endpunktdienst
](#xks-vpc-svc)
+ [
## Schritt 5: Überprüfen Sie Ihre private DNS-Namensdomäne
](#xks-private-dns)
+ [
## Schritt 6: Autorisieren Sie die Verbindung AWS KMS zum VPC-Endpunktdienst
](#xks-vpc-authorize-kms)
## Anforderungen für die Konnektivität eines VPC-Endpunktservice
Wenn Sie sich für Ihren externen Schlüsselspeicher für die Konnektivität eines VPC-Endpunktservice entscheiden, sind die folgenden Ressourcen erforderlich.
+ Eine Amazon VPC, die mit Ihrem externen Schlüsselmanager verbunden ist. Sie muss über mindestens zwei private [Subnetze](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) in zwei verschiedenen Availability Zones verfügen.
Sie können eine vorhandene Amazon VPC für Ihren externen Schlüsselspeicher verwenden, sofern diese die [Anforderungen](#xks-vpc-requirements) für die Verwendung mit einem externen Schlüsselspeicher erfüllt. Mehrere externe Schlüsselspeicher können sich eine Amazon VPC teilen, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC-Endpunktservice und privaten DNS-Namen haben.
+ Ein [Amazon VPC-Endpunktservice, der von AWS PrivateLink unterstützt wird](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html), mit einem [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) und einer [Zielgruppe](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html).
Der Endpunktservice darf keine Akzeptanz verlangen. Außerdem müssen Sie AWS KMS als zulässigen Prinzipal hinzufügen. Auf diese Weise können AWS KMS Schnittstellenendpunkte erstellt werden, sodass sie mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren können.
+ Ein privater DNS-Name für den VPC-Endpunktservice, der in seiner AWS-Region eindeutig ist.
Der private DNS-Name muss eine Subdomain einer öffentlichen Domain höherer Ebene sein. Wenn der private DNS-Name beispielsweise `myproxy-private.xks.example.com` lautet, muss er eine Subdomain einer öffentlichen Domain wie `xks.example.com` oder `example.com` sein.
Sie müssen den Besitz der DNS-Domain für den privaten DNS-Namen [bestätigen](#xks-private-dns).
+ Ein TLS-Zertifikat für Ihren externen Schlüsselspeicher-Proxy, das von einer [unterstützten öffentlichen Zertifizierungsstelle](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) ausgestellt wurde.
Der Subject Common Name (CN) auf dem TLS-Zertifikat muss mit dem privaten DNS-Namen übereinstimmen. Wenn der private DNS-Name beispielsweise `myproxy-private.xks.example.com` lautet, muss der CN auf dem TLS-Zertifikat `myproxy-private.xks.example.com` oder `*.xks.example.com` lauten.
+ Um die Netzwerklatenz zu minimieren, erstellen Sie Ihre AWS Komponenten im [unterstützten AWS-Region](keystore-external.md#xks-regions) Bereich, der Ihrem [externen Schlüsselmanager](keystore-external.md#concept-ekm) am nächsten kommt. Wählen Sie nach Möglichkeit eine Region mit einer Netzwerk-Round-Trip-Zeit (RTT) von maximal 35 Millisekunden.
Alle Anforderungen für einen externen Schlüsselspeicher finden Sie in den [Informationen zum Erfüllen der Voraussetzungen](create-xks-keystore.md#xks-requirements).
## Schritt 1: Amazon-VPC und Subnetze erstellen
Die Konnektivität eines VPC-Endpunktservice erfordert eine Amazon VPC, die mit Ihrem externen Schlüsselmanager mit mindestens zwei privaten Subnetzen verbunden ist. Sie können eine Amazon VPC erstellen oder eine vorhandene Amazon VPC verwenden, die die Anforderungen für externe Schlüsselspeicher erfüllt. Informationen zum Erstellen einer neuen Amazon VPC finden Sie unter [Erstellen einer VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) im *Amazon Virtual Private Cloud-Benutzerhandbuch*.
### Anforderungen für Ihre Amazon VPC
Der Amazon VPC-Endpunktservice muss über die folgenden Eigenschaften verfügen, um mit externen Schlüsselspeichern zu funktionieren.
+ Muss sich in einer [unterstützten Region](keystore-external.md#xks-regions) als Ihr externer Schlüsselspeicher befinden.
+ Sie muss über mindestens zwei private Subnetze verfügen, die in verschiedenen Availability Zones sind.
+ Der private IP-Adressbereich Ihrer Amazon VPC darf sich nicht mit dem privaten IP-Adressbereich des Rechenzentrums überschneiden, von dem Ihr [externer Schlüsselmanager](keystore-external.md#concept-ekm) gehostet wird.
+ Alle Komponenten müssen verwendet werden IPv4.
Sie haben zahlreiche Möglichkeiten, die Amazon VPC mit Ihrem externen Schlüsselspeicher-Proxy zu verbinden. Wählen Sie eine Option aus, die Ihre Leistungs- und Sicherheitsanforderungen erfüllt. Eine Liste finden Sie unter [Connect Ihrer VPC mit anderen Netzwerken](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) und [Network-to-Amazon VPC-Konnektivitätsoptionen](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Weitere Informationen finden Sie im [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) und im [AWS Site-to-Site VPN -Benutzerhandbuch](https://docs.aws.amazon.com/vpn/latest/s2svpn/).
### Erstellen einer Amazon VPC für Ihren externen Schlüsselspeicher
Verwenden Sie folgende Anweisungen zum Erstellen der Amazon VPC für Ihren externen Schlüsselspeicher. Eine Amazon VPC ist nur erforderlich, wenn Sie die Option [Konnektivität eines VPC-Endpunktservice](choose-xks-connectivity.md) auswählen. Sie können eine vorhandene Amazon VPC verwenden, die die Anforderungen für einen externen Schlüsselspeicher erfüllt.
Folgen Sie den Anweisungen im Thema [Erstellen einer VPC sowie von Subnetzen und anderen VPC-Ressourcen](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Value (Wert) |
| --- | --- |
| IPv4 CIDR-Block | Geben Sie die IP-Adressen für Ihre VPC ein. Der private IP-Adressbereich Ihrer Amazon VPC darf sich nicht mit dem privaten IP-Adressbereich des Rechenzentrums überschneiden, von dem Ihr [externer Schlüsselmanager](keystore-external.md#concept-ekm) gehostet wird. |
| Anzahl der Availability Zones () AZs | 2 oder mehr |
| Number of public subnets (Anzahl der öffentlichen Subnetze) | Keine erforderlich (0) |
| Number of private subnets (Anzahl der privaten Subnetze) | Eines pro AZ |
| NAT gateways (NAT-Gateways) | Keine erforderlich |
| VPC endpoints (VPC-Endpunkte) | Keine erforderlich |
| Enable DNS hostnames (DNS-Hostnamen aktivieren) | Ja |
| Enable DNS resolution (DNS-Auflösung aktivieren) | Ja |
Testen Sie unbedingt die VPC-Kommunikation. Wenn sich Ihr externer Schlüsselspeicher-Proxy beispielsweise nicht in Ihrer Amazon VPC befindet, erstellen Sie eine Amazon EC2-Instance in Ihrer Amazon VPC und verifizieren Sie, dass die Amazon VPC mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren kann.
### Verbinden der VPC mit dem externen Schlüsselmanager
Verbinden Sie die VPC mit dem Rechenzentrum, von dem Ihr externer Schlüsselmanager unter Verwendung einer der von Amazon VPC unterstützten [Netzwerkkonnektivitätsoptionen](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) gehostet wird. Stellen Sie sicher, dass die Amazon EC2-Instance in der VPC (oder der externe Schlüsselspeicher-Proxy, wenn sich dieser in der VPC befindet) mit dem Rechenzentrum und dem externen Schlüsselmanager kommunizieren kann.
## Schritt 2: Erstellen Sie eine Zielgruppe
Bevor Sie den erforderlichen VPC-Endpunktservice erstellen, erstellen Sie die zugehörigen erforderlichen Komponenten, einen Network Load Balancer (NLB) und eine Zielgruppe. Der NLB verteilt die Anfragen an mehrere fehlerfreie Ziele, von denen jedes die Anfrage erfüllen kann. In diesem Schritt erstellen Sie eine Zielgruppe mit mindestens zwei Hosts für Ihren externen Schlüsselspeicher-Proxy und registrieren Ihre IP-Adressen bei der Zielgruppe.
Folgen Sie den Anweisungen im Thema [Konfigurieren einer Zielgruppe](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) und verwenden Sie dabei die folgenden erforderlichen Werte. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
| --- | --- |
| Target type (Zieltyp) | IP-Adressen |
| Protocol (Protokoll) | TCP |
| Port | 443 |
| IP address type (IP-Adresstyp) | IPv4 |
| VPC | Wählen Sie die VPC aus, in der Sie den VPC-Endpunktservice für Ihren externen Schlüsselspeicher erstellen werden. |
| Health check protocol and path (Zustandsprüfungs-Protokoll und -Pfad) | Ihr Zustandsprüfungs-Protokoll und Ihr Zustandsprüfungs-Pfad werden sich von der Konfiguration für Ihren externen Schlüsselspeicher-Proxy unterscheiden. Weitere Informationen finden Sie in der Dokumentation für Ihren externen Schlüsselmanager oder externen Schlüsselspeicher-Proxy.Allgemeine Informationen zum Konfigurieren von Zustandsprüfungen für Ihre Zielgruppen finden Sie unter [Zustandsprüfungen für Ihre Zielgruppen](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) im Benutzerhandbuch zum Elastic Load Balancing für Network Load Balancer. |
| Network (Netzwerk) | Andere private IP-Adresse |
| IPv4 Adresse | Die privaten Adressen für Ihren externen Schlüsselspeicher-Proxy |
| Ports | 443 |
## Schritt 3: Erstellen Sie einen Netzwerk-Loadbalancer
Der Network Load Balancer verteilt die Netzwerkzugriffe, einschließlich Anfragen von AWS KMS an Ihren externen Schlüsselspeicher-Proxy, an die konfigurierten Ziele.
Folgen Sie den Anweisungen im Thema [Konfigurieren eines Load Balancers und eines Listeners](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer), um unter Verwendung der folgenden erforderlichen Werte einen Listener zu konfigurieren und hinzuzufügen und einen Load Balancer zu erstellen. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
| --- | --- |
| Scheme (Schema) | Intern |
| IP-Adresstyp | IPv4 |
| Network mapping (Netzwerkzuordnung) | Wählen Sie die VPC aus, in der Sie den VPC-Endpunktservice für Ihren externen Schlüsselspeicher erstellen werden. |
| Mapping (Zuordnung) | Wählen Sie die beiden Availability Zones (mindestens zwei) aus, die Sie für Ihre VPC-Subnetze konfiguriert haben. Verifizieren Sie die Namen der Subnetze und die private IP-Adresse. |
| Protocol (Protokoll) | TCP |
| Port | 443 |
| Default action: Forward to (Standardaktion: Weiterleiten an) | Wählen Sie die [Zielgruppe](#xks-target-group) für Ihren Network Load Balancer aus. |
## Schritt 4: Erstellen Sie einen VPC-Endpunktdienst
Normalerweise erstellen Sie einen Endpunkt für einen Service. Wenn Sie jedoch einen VPC-Endpunktdienst erstellen, sind Sie der Anbieter und erstellen einen AWS KMS Endpunkt für Ihren Service. Für einen externen Schlüsselspeicher erstellen Sie einen VPC-Endpunktservice mit dem Network Load Balancer, den Sie im vorherigen Schritt erstellt haben. Der VPC-Endpunktdienst kann sich im selben AWS-Konto wie Ihr externer Schlüsselspeicher oder in einem anderen AWS-Konto befinden.
Mehrere externe Schlüsselspeicher können sich eine Amazon VPC teilen, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC-Endpunktservice und privaten DNS-Namen haben.
Folgen Sie den Anweisungen im Thema [Erstellen eines Endpunktservice](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb), um Ihren VPC-Endpunktservice mit den folgenden erforderlichen Werten zu erstellen. Übernehmen Sie für andere Felder die Standardwerte und geben Sie Namen wie gewünscht an.
| Feld | Wert |
| --- | --- |
| Load balancer type (Load Balancer-Typ) | Network (Netzwerk) |
| Available load balancers (Verfügbare Load Balancer) | Wählen Sie den [Network Load Balancer](#xks-nlb) aus, den Sie im vorherigen Schritt erstellt haben.Falls Ihr neuer Load Balancer nicht in der Liste aufgeführt wird, stellen Sie sicher, dass er aktiv ist. Es kann einige Minuten dauern, bis der Zustand des Load Balancers von der Bereitstellung in den aktiven Status ändert. |
| Acceptance required (Akzeptanz erforderlich) | Falsch. Wählen Sie dieses Kontrollkästchen ab.*Erfordert keine Annahme*. AWS KMS kann ohne eine manuelle Annahme keine Verbindung zum VPC-Endpunktdienst herstellen. Wenn die Akzeptanz erforderlich ist, schlägt das [Erstellen des externen Schlüsselspeichers](create-xks-keystore.md) mit einer `XksProxyInvalidConfigurationException`-Ausnahme fehl. |
| Enable private DNS name (Privaten DNS-Namen aktivieren) | Ordnen Sie dem Service einen privaten DNS-Namen zu. |
| Private DNS name (Privater DNS-Name) | Geben Sie einen privaten DNS-Namen ein, der in seiner AWS-Region eindeutig ist. Der private DNS-Name muss eine Subdomain einer öffentlichen Domain höherer Ebene sein. Wenn der private DNS-Name beispielsweise `myproxy-private.xks.example.com` lautet, muss er eine Subdomain einer öffentlichen Domain wie `xks.example.com` oder `example.com` sein.Dieser private DNS-Name muss mit dem Subject Common Name (CN) im TLS-Zertifikat übereinstimmen, das auf Ihrem externen Schlüsselspeicher-Proxy konfiguriert ist. Wenn der private DNS-Name beispielsweise `myproxy-private.xks.example.com` lautet, muss der CN auf dem TLS-Zertifikat `myproxy-private.xks.example.com` oder `*.xks.example.com` lauten.Falls das Zertifikat und der private DNS-Name nicht übereinstimmen, schlagen Versuche, einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden, mit dem Verbindungsfehlercode `XKS_PROXY_INVALID_TLS_CONFIGURATION` fehl. Details hierzu finden Sie unter [Allgemeine Konfigurationsfehler](xks-troubleshooting.md#fix-xks-gen-configuration). |
| Supported IP address types (Unterstützte IP-Adresstypen) | IPv4 |
## Schritt 5: Überprüfen Sie Ihre private DNS-Namensdomäne
Wenn Sie einen VPC-Endpunktservice erstellen, lautet der Verfizierungsstatus für die zugehörige Domain `pendingVerification`. Bevor Sie den VPC-Endpunktservice verwenden, um einen externen Schlüsselspeicher zu erstellen, muss dieser Status `verified` lauten. Um zu bestätigen, dass Sie der Besitzer der Domain sind, die Ihrem privaten DNS-Namen zugeordnet ist, müssen Sie einen TXT-Datensatz in einem öffentlichen DNS-Server erstellen.
Wenn der private DNS-Name für Ihren VPC-Endpunktdienst beispielsweise lautet`myproxy-private.xks.example.com`, müssen Sie einen TXT-Eintrag in einer öffentlichen Domain erstellen, z. B. `xks.example.com` oder, je nachdem`example.com`, was öffentlich ist. AWS PrivateLink sucht zuerst am `xks.example.com` und dann weiter nach dem TXT-Eintrag. `example.com`
**Tipp**
Nachdem Sie einen TXT-Datensatz hinzugefügt haben, kann es einige Minuten dauern, bis sich der Wert von **Domain verification status** (Domain-Verifizierungsstatus) von `pendingVerification` in `verify` ändert.
Ermitteln Sie zuerst mithilfe einer der nachfolgenden Methoden, welchen Verifizierungsstatus Ihre Domain hat. Gültige Werte sind `verified`, `pendingVerification` und `failed`.
+ Wählen Sie in der [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc) die Option **Endpoint services** (Endpunktservices) und dann Ihren Endpunktservice aus. Im Detailbereich wird **Domain verification status** (Domain-Verifizierungsstatus) angezeigt.
+ Verwenden Sie die [DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)Operation. Der Wert für `State` ist im Feld `ServiceConfigurations.PrivateDnsNameConfiguration.State`.
Sollte der Verifizierungsstatus nicht `verified` lauten, folgen Sie den Anweisungen im Thema [Domain-Eigentumsüberprüfung](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership), um dem DNS-Server Ihrer Domain einen TXT-Datensatz hinzuzufügen und zu verifizieren, dass der TXT-Datensatz veröffentlicht wird. Überprüfen Sie den Verifizierungsstatus danach erneut.
Sie sind nicht dazu verpflichtet, einen A-Datensatz für den Namen Ihrer privaten DNS-Domain zu erstellen. Wenn AWS KMS Sie einen Schnittstellenendpunkt zu Ihrem VPC-Endpunktdienst erstellen, wird AWS PrivateLink automatisch eine gehostete Zone mit dem erforderlichen A-Eintrag für den privaten Domainnamen in der AWS KMS VPC erstellt. Für externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunktservice geschieht dies, wenn Sie Ihren externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy [verbinden](xks-connect-disconnect.md).
## Schritt 6: Autorisieren Sie die Verbindung AWS KMS zum VPC-Endpunktdienst
Sehen Sie sich die folgenden Verfahren zur Verwaltung Ihrer Amazon VPC Endpoint Service-Berechtigungen an. Jeder Schritt hängt von Ihrer Konnektivität und Konfiguration zwischen Ihrem externen Schlüsselspeicher, VPC-Endpunktdienst und AWS-Konto ab.
------
#### [ Same AWS-Konto ]
Wenn Ihr VPC-Endpunktdienst demselben gehört AWS-Konto wie Ihr externer Schlüsselspeicher, müssen Sie ihn AWS KMS zur Liste der zugelassenen **Prinzipale** für Ihren VPC-Endpunktdienst hinzufügen. Dies ermöglicht AWS KMS die Erstellung von Schnittstellenendpunkten zu Ihrem VPC-Endpunktdienst. Wenn dies kein zulässiger Prinzipal AWS KMS ist, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen, mit einer `XksProxyVpcEndpointServiceNotFoundException` Ausnahme fehl.
Folgen Sie den Anweisungen im Thema [Verwalten von Berechtigungen](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) im *AWS PrivateLink -Benutzerhandbuch*. Verwenden Sie den folgenden erforderlichen Wert.
| Feld | Wert |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.goskope.comBeispiel: `cks.kms.us-east-1.amazonaws.com` |
------
#### [ Cross AWS-Konto ]
Wenn Ihr VPC-Endpunktdienst einem anderen gehört, müssen AWS-Konto Sie beide AWS KMS und Ihr Konto zur Liste **Allow Principals** hinzufügen. Auf diese Weise kann AWS KMS Ihr externer Schlüsselspeicher Schnittstellenendpunkte zu Ihrem VPC-Endpunktdienst erstellen. Wenn AWS KMS kein zulässiger Prinzipal ist, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen, mit einer `XksProxyVpcEndpointServiceNotFoundException`-Ausnahme fehl. Sie müssen den AWS-Konto ARN angeben, in dem sich der externe Schlüsselspeicher befindet.
Folgen Sie den Anweisungen im Thema [Verwalten von Berechtigungen](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) im *AWS PrivateLink -Benutzerhandbuch*. Verwenden Sie den folgenden erforderlichen Wert.
| Feld | Wert |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.goskope.comBeispiel: `cks.kms.us-east-1.amazonaws.com` |
| AWS-Konto ARN | arn:aws:iam::111122223333:role/role\$1nameBeispiel: `arn:aws:iam::123456789012:role/cks_role` |
------
**Weiter:** [Erstellen Sie einen externen Schlüsselspeicher](create-xks-keystore.md)
# Erstellen Sie einen externen Schlüsselspeicher
Sie können in jeder AWS-Konto Region einen oder mehrere externe Schlüsselspeicher erstellen. Jeder externe Schlüsselspeicher muss einem externen Schlüsselmanager außerhalb von AWS und einem externen Schlüsselspeicher-Proxy (XKS-Proxy) zugeordnet sein, der die Kommunikation zwischen AWS KMS und Ihrem externen Schlüsselmanager vermittelt. Details hierzu finden Sie unter [Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher](choose-xks-connectivity.md). Bevor Sie beginnen, [vergewissern Sie sich, dass Sie einen externen Schlüsselspeicher benötigen](keystore-external.md#do-i-need-xks). Die meisten Kunden können KMS-Schlüssel verwenden, denen AWS KMS Schlüsselmaterial zugrunde liegt.
**Tipp**
Einige externe Schlüsselmanager bieten eine einfachere Methode zum Erstellen eines externen Schlüsselspeichers. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Vor dem Erstellen des externen Schlüsselspeichers müssen Sie [einige Voraussetzungen erfüllen](#xks-requirements). Geben Sie während des Erstellungsprozesses die Eigenschaften Ihres externen Schlüsselspeichers an. Am wichtigsten ist, dass Sie angeben, ob Ihr externer Schlüsselspeicher einen [öffentlichen Endpunkt oder einen [VPC-Endpunktdienst AWS KMS](choose-xks-connectivity.md#xks-vpc-connectivity)](choose-xks-connectivity.md#xks-connectivity-public-endpoint) verwendet, um eine Verbindung zu seinem externen Schlüsselspeicher-Proxy herzustellen. Sie geben auch die Verbindungsdetails an, einschließlich des URI-Endpunkts des Proxys und des Pfads innerhalb dieses Proxyendpunkts, über den API-Anfragen an den Proxy AWS KMS gesendet werden.
**Überlegungen**
+ KMS kann nicht IPv6 mit externen Schlüsselspeichern kommunizieren.
+ Wenn Sie öffentliche Endpunktkonnektivität verwenden, stellen Sie sicher, dass diese über eine HTTPS-Verbindung mit Ihrem Proxy über das Internet kommunizieren AWS KMS können. Dazu gehört die Konfiguration von TLS auf dem externen Schlüsselspeicher-Proxy und die Sicherstellung, dass alle Firewalls zwischen AWS KMS und dem Proxy IPv4 Datenverkehr zu und von Port 443 auf dem Proxy zulassen. Beim Erstellen eines externen Schlüsselspeichers mit öffentlicher Endpunktkonnektivität wird die Verbindung AWS KMS getestet, indem eine Statusanfrage an den externen Schlüsselspeicher-Proxy gesendet wird. Mit diesem Test wird überprüft, ob der Endpunkt erreichbar ist und ob der externe Schlüsselspeicher-Proxy eine mit der [Anmeldeinformation für die Proxy-Authentifizierung des externen Schlüsselspeichers](keystore-external.md#concept-xks-credential) signierte Anforderung akzeptiert. Wenn diese Testanforderung fehlschlägt, schlägt der Vorgang zum Erstellen des externen Schlüsselspeichers fehl.
+ Wenn Sie die Konnektivität eines VPC-Endpunkt-Service verwenden, stellen Sie sicher, dass der Network Load Balancer, der private DNS-Name und der VPC-Endpunkt-Service korrekt konfiguriert und betriebsbereit sind. Wenn sich der externe Schlüsselspeicher-Proxy nicht in der VPC befindet, müssen Sie sicherstellen, dass der VPC-Endpunktdienst mit dem externen Schlüsselspeicher-Proxy kommunizieren kann. (AWS KMS testet die VPC-Endpunktdienst-Konnektivität, wenn Sie [den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden](xks-connect-disconnect.md).)
+ AWS KMS zeichnet [ CloudWatch Amazon-Metriken und -Dimensionen](monitoring-cloudwatch.md#kms-metrics) speziell für externe Schlüsselgeschäfte auf. Auf einigen dieser Metriken basierende Überwachungsdiagramme werden in der AWS KMS Konsole für jeden externen Schlüsselspeicher angezeigt. Wir empfehlen dringend, dass Sie diese Metriken verwenden, um Alarme zu erstellen, die Ihren externen Schlüsselspeicher überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Leistungs- und Betriebsproblemen, bevor sie auftreten. Detaillierte Anweisungen finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
+ Externe Schlüsselspeicher unterliegen [Ressourcenkontingenten](resource-limits.md#cks-resource-quota). Die Verwendung von KMS-Schlüsseln in einem externen Schlüsselspeicher unterliegt [Anforderungskontingenten](requests-per-second.md#rps-key-stores). Überprüfen Sie diese Kontingente, bevor Sie Ihre externe Schlüsselspeicher-Implementierung entwerfen.
**Anmerkung**
Überprüfen Sie Ihre Konfiguration auf zirkuläre Abhängigkeiten, die möglicherweise verhindern, dass sie funktioniert.
Wenn Sie beispielsweise Ihren externen Schlüsselspeicher-Proxy mithilfe von AWS Ressourcen erstellen, stellen Sie sicher, dass für den Betrieb des Proxys nicht die Verfügbarkeit eines KMS-Schlüssels in einem externen Schlüsselspeicher erforderlich ist, auf den über diesen Proxy zugegriffen wird.
Alle neuen externen Schlüsselspeicher werden in einem getrennten Zustand erstellt. Bevor Sie KMS-Schlüssel für Ihren externen Schlüsselspeicher erstellen können, müssen Sie ihn mit seinem externen Schlüsselspeicher-Proxy [verbinden](about-xks-connecting.md). [Bearbeiten Sie die Einstellungen Ihres externen Schlüsselspeichers](update-xks-keystore.md), um die Eigenschaften Ihres externen Schlüsselspeichers zu ändern.
**Topics**
+ [
## Erfüllen der Voraussetzungen
](#xks-requirements)
+ [
## Erstellen Sie einen neuen externen Schlüsselspeicher
](#create-xks)
## Erfüllen der Voraussetzungen
Bevor Sie einen externen Schlüsselspeicher erstellen, müssen Sie die erforderlichen Komponenten zusammenstellen, einschließlich des [externen Schlüsselmanagers](keystore-external.md#concept-ekm), den Sie zur Unterstützung des externen Schlüsselspeichers verwenden werden, und des [externen Schlüsselspeicher-Proxys](keystore-external.md#concept-xks-proxy), der AWS KMS Anfragen in ein Format übersetzt, das Ihr externer Schlüsselmanager verstehen kann.
Die folgenden Komponenten sind für alle externen Schlüsselspeicher erforderlich. Zusätzlich zu diesen Komponenten müssen Sie die Komponenten bereitstellen, die die von Ihnen gewählte [Option der externen Schlüsselspeicher-Proxy-Konnektivität](choose-xks-connectivity.md) unterstützen.
**Tipp**
Ihr externer Schlüsselmanager enthält möglicherweise einige dieser Komponenten, oder sie sind möglicherweise für Sie konfiguriert. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
[Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS Konsole erstellen, haben Sie die Möglichkeit, eine JSON-basierte [Proxykonfigurationsdatei hochzuladen, die den Proxy-URI-Pfad](#proxy-configuration-file)[und die Anmeldeinformationen für die Proxyauthentifizierung](#require-path) angibt.](keystore-external.md#concept-xks-credential) Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
### Externer Schlüsselmanager
Jeder externe Schlüsselspeicher benötigt mindestens eine [externe Schlüsselmanager](keystore-external.md#concept-ekm)-Instance. Dies kann ein physisches oder virtuelles Hardwaresicherheitsmodul (HSM) oder eine Schlüsselverwaltungssoftware sein.
Sie können einen einzelnen Schlüsselmanager verwenden, wir empfehlen jedoch aus Redundanzgründen mindestens zwei verwandte Schlüsselmanager-Instances, die sich kryptografische Schlüssel teilen. Der externe Schlüsselspeicher erfordert keine ausschließliche Verwendung des externen Schlüsselmanagers. Der externe Schlüsselmanager muss jedoch in der Lage sein, die erwartete Häufigkeit von Verschlüsselungs- und Entschlüsselungsanforderungen von AWS Diensten zu verarbeiten, die KMS-Schlüssel im externen Schlüsselspeicher verwenden, um Ihre Ressourcen zu schützen. Ihr externer Schlüsselmanager sollte so konfiguriert sein, dass er bis zu 1 800 Anfragen pro Sekunde verarbeitet und innerhalb des Zeitlimits von 250 Millisekunden für jede Anforderung reagiert. Es wird empfohlen, den externen Schlüsselmanager in der Nähe von zu platzieren, AWS-Region sodass die Network Round-Trip Time (RTT) 35 Millisekunden oder weniger beträgt.
Wenn Ihr externer Schlüsselspeicher-Proxy dies zulässt, können Sie den externen Schlüsselmanager ändern, den Sie Ihrem externen Schlüsselspeicher-Proxy zuordnen. Der neue externe Schlüsselmanager muss jedoch ein Backup oder ein Snapshot mit demselben Schlüsselmaterial sein. Wenn der externe Schlüssel, den Sie einem KMS-Schlüssel zuordnen, für Ihren externen Schlüsselspeicher-Proxy nicht mehr verfügbar ist, AWS KMS kann der mit dem KMS-Schlüssel verschlüsselte Chiffretext nicht entschlüsselt werden.
Der externe Schlüsselmanager muss für den externen Schlüsselspeicher-Proxy zugänglich sein. Wenn in der [GetHealthStatus](keystore-external.md#xks-concepts)Antwort des Proxys angegeben wird, dass alle externen Schlüsselmanager-Instanzen vorhanden sind`Unavailable`, schlagen alle Versuche, einen externen Schlüsselspeicher zu erstellen, mit einem fehl. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-proxy)
### Externer Schlüsselspeicher-Proxy
Sie müssen einen [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy) (XKS-Proxy) angeben, der den Designanforderungen in der [API-Spezifikation von AWS KMS für externe Schlüsselspeicher-Proxys](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht. Sie können einen externen Schlüsselspeicher-Proxy entwickeln oder kaufen oder einen externen Schlüsselspeicher-Proxy verwenden, der von Ihrem externen Schlüsselmanager bereitgestellt oder in diesen integriert ist. AWS KMS empfiehlt, Ihren externen Schlüsselspeicher-Proxy so zu konfigurieren, dass er bis zu 1800 Anfragen pro Sekunde verarbeitet und innerhalb des Zeitlimits von 250 Millisekunden für jede Anfrage antwortet. Wir empfehlen, dass Sie den externen Schlüsselmanager in der Nähe von platzieren, AWS-Region sodass die Network Round-Trip Time (RTT) 35 Millisekunden oder weniger beträgt.
Sie können einen externen Schlüsselspeicher-Proxy für mehr als einen externen Schlüsselspeicher verwenden, aber jeder externe Schlüsselspeicher muss für seine Anforderungen einen eindeutigen URI-Endpunkt und -Pfad innerhalb des externen Schlüsselspeicher-Proxys haben.
Wenn Sie die Konnektivität eines VPC-Endpunkt-Service verwenden, können Sie Ihren externen Schlüsselspeicher-Proxy in Ihrer Amazon VPC lokalisieren, dies ist jedoch nicht erforderlich. Sie können Ihren Proxy außerhalb von AWS, z. B. in Ihrem privaten Rechenzentrum, lokalisieren und den VPC-Endpunktdienst nur für die Kommunikation mit dem Proxy verwenden.
### Anmeldeinformationen für die Proxy-Authentifizierung
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie Ihre Anmeldeinformationen für die Proxy-Authentifizierung für den externen Schlüsselspeicher (`XksProxyAuthenticationCredential`) angeben.
Sie müssen einen [Authentifizierungsnachweis](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) für Ihren externen AWS KMS Schlüsselspeicher-Proxy einrichten. AWS KMS authentifiziert sich gegenüber Ihrem Proxy, indem es seine Anfragen mithilfe des [Signature Version 4-Prozesses (Sigv4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) mit den Anmeldeinformationen für die Proxyauthentifizierung des externen Schlüsselspeichers signiert. Sie geben die Anmeldeinformationen für die Authentifizierung an, wenn Sie Ihren externen Schlüsselspeicher erstellen, und [Sie können sie jederzeit ändern](update-xks-keystore.md). Wenn Ihr Proxy Ihre Anmeldeinformationen rotiert, müssen Sie die Anmeldeinformationswerte für Ihren externen Schlüsselspeicher aktualisieren.
Die Anmeldeinformationen für die Proxy-Authentifizierung bestehen aus zwei Teilen. Sie müssen beide Teile für Ihren externen Schlüsselspeicher bereitstellen.
+ Zugriffsschlüssel-ID: Identifiziert den geheimen Zugriffsschlüssel. Sie können diese ID in Klartext angeben.
+ Geheimer Zugriffsschlüssel: Der geheime Teil der Anmeldeinformationen. AWS KMS verschlüsselt den geheimen Zugriffsschlüssel in den Anmeldeinformationen, bevor er gespeichert wird.
Die SigV4-Anmeldeinformationen, die zum Signieren von Anfragen an den externen Schlüsselspeicher-Proxy AWS KMS verwendet werden, haben nichts mit SigV4-Anmeldeinformationen zu tun, die mit Prinzipalen in Ihren Konten verknüpft sind. AWS Identity and Access Management AWS Verwenden Sie keine IAM-SigV4-Anmeldeinformationen für Ihren externen Schlüsselspeicher-Proxy wieder.
### Proxy-Konnektivität
Sie müssen die Proxy-Konnektivitätsoption des externen Schlüsselspeichers angeben (`XksProxyConnectivity`), um einen externen Schlüsselspeicher zu erstellen.
AWS KMS kann über einen [öffentlichen Endpunkt oder einen [Amazon Virtual Private Cloud (Amazon VPC) -Endpunktservice](choose-xks-connectivity.md#xks-vpc-connectivity)](choose-xks-connectivity.md#xks-connectivity-public-endpoint) mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Ein öffentlicher Endpunkt ist zwar einfacher zu konfigurieren und zu verwalten, erfüllt jedoch möglicherweise nicht die Sicherheitsanforderungen für jede Installation. Wenn Sie sich für die Option der Konnektivität des Amazon VPC-Endpunkt-Service entscheiden, müssen Sie die erforderlichen Komponenten erstellen und verwalten, einschließlich einer Amazon VPC mit mindestens zwei Subnetzen in zwei verschiedenen Availability Zones, einem VPC-Endpunkt-Service mit einem Network Load Balancer und einer Zielgruppe sowie einem privaten DNS-Namen für den VPC-Endpunkt-Service.
Für Ihren externen Schlüsselspeicher können Sie [die Proxy-Konnektivitätsoption ändern](update-xks-keystore.md). Sie müssen jedoch sicherstellen, dass das mit den KMS-Schlüsseln verbundene Schlüsselmaterial in Ihrem externen Schlüsselspeicher weiterhin verfügbar ist. Andernfalls AWS KMS kann kein mit diesen KMS-Schlüsseln verschlüsselter Chiffretext entschlüsselt werden.
Hilfe bei der Entscheidung, welche Proxy-Konnektivitätsoption für Ihren externen Schlüsselspeicher am besten geeignet ist, finden Sie unter [Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher](choose-xks-connectivity.md). Hilfe beim Erstellen und Konfigurieren der Konnektivität eines VPC-Endpunkt-Service finden Sie unter [VPC-Endpunktdienstkonnektivität konfigurieren](vpc-connectivity.md).
### Proxy-URI-Endpunkt
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie den Endpunkt (`XksProxyUriEndpoint`) angeben, über den Anfragen an AWS KMS den externen Schlüsselspeicher-Proxy gesendet werden.
Das Protokoll muss HTTPS sein. AWS KMS kommuniziert IPv4 über Port 443. Geben Sie den Port nicht im Wert des Proxy-URI-Endpunkts an.
+ [Konnektivität eines öffentlichen Endpunkts](choose-xks-connectivity.md#xks-connectivity-public-endpoint): Geben Sie den öffentlich verfügbaren Endpunkt für Ihren externen Schlüsselspeicher-Proxy an. Dieser Endpunkt muss erreichbar sein, bevor Sie Ihren externen Schlüsselspeicher erstellen.
+ [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity): Geben Sie `https://` gefolgt von dem privaten DNS-Namen des VPC-Endpunkt-Service an.
Das TLS-Serverzertifikat, das auf dem externen Schlüsselspeicher-Proxy konfiguriert ist, muss mit dem Domainnamen im URI-Endpunkt des externen Schlüsselspeicher-Proxy übereinstimmen und von einer Zertifizierungsstelle ausgestellt sein, die für externe Schlüsselspeicher unterstützt wird. Eine Liste finden Sie unter [Vertrauenswürdige Zertifizierungsstellen](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). Ihre Zertifizierungsstelle verlangt einen Nachweis über den Besitz der Domain, bevor sie das TLS-Zertifikat ausstellt.
Der Subject Common Name (CN) auf dem TLS-Zertifikat muss mit dem privaten DNS-Namen übereinstimmen. Wenn der private DNS-Name beispielsweise `myproxy-private.xks.example.com` lautet, muss der CN auf dem TLS-Zertifikat `myproxy-private.xks.example.com` oder `*.xks.example.com` lauten.
Sie können Ihren [Proxy-URI-Endpunkt ändern](update-xks-keystore.md), aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das mit den KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verbunden ist. Andernfalls AWS KMS kann kein mit diesen KMS-Schlüsseln verschlüsselter Chiffretext entschlüsselt werden.
**Anforderungen an die Eindeutigkeit**
+ Der kombinierte Wert für den Proxy-URI-Endpunkt (`XksProxyUriEndpoint`) und den Proxy-URI-Pfad (`XksProxyUriPath`) muss in dem AWS-Konto und der Region eindeutig sein.
+ Externe Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts können denselben Proxy-URI-Endpunkt verwenden, sofern sie unterschiedliche Proxy-URI-Pfadwerte haben.
+ Ein externer Schlüsselspeicher mit öffentlicher Endpunktkonnektivität kann nicht denselben Proxy-URI-Endpunktwert verwenden wie jeder externe Schlüsselspeicher mit VPC-Endpunktdienstkonnektivität in demselben AWS-Region, auch wenn sich die Schlüsselspeicher in unterschiedlichen AWS-Konten Speichern befinden.
+ Jeder externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkts muss seinen eigenen privaten DNS-Namen haben. Der Proxy-URI-Endpunkt (privater DNS-Name) muss in der Region AWS-Konto und eindeutig sein.
### Proxy-URI-Pfad
Um einen externen Schlüsselspeicher zu erstellen, müssen Sie den Basispfad in Ihrem externen Schlüsselspeicher-Proxy zum [erforderlichen Proxy](keystore-external.md#concept-proxy-apis) angeben APIs. Der Wert muss mit/kms/xks/v1 beginnen `/` und enden, wobei `v1` es sich um die Version der AWS KMS API für den externen Schlüsselspeicher-Proxy handelt. Dieser Pfad kann ein optionales Präfix zwischen den erforderlichen Elementen enthalten, z. B. `/example-prefix/kms/xks/v1`. Diesen Wert finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy.
AWS KMS sendet Proxyanfragen an die Adresse, die durch die Verkettung des Proxy-URI-Endpunkts und des Proxy-URI-Pfads angegeben wurde. Wenn beispielsweise der Proxy-URI-Endpunkt `https://myproxy.xks.example.com` und der Proxy-URI-Pfad sind`/kms/xks/v1`, AWS KMS sendet die Proxy-API-Anfragen an. `https://myproxy.xks.example.com/kms/xks/v1`
Sie können Ihren [Proxy-URI-Pfad ändern](update-xks-keystore.md), aber stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy Zugriff auf das Schlüsselmaterial hat, das mit den KMS-Schlüsseln in Ihrem externen Schlüsselspeicher verbunden ist. Andernfalls AWS KMS kann kein mit diesen KMS-Schlüsseln verschlüsselter Chiffretext entschlüsselt werden.
**Anforderungen an die Eindeutigkeit**
+ Der kombinierte Wert für den Proxy-URI-Endpunkt (`XksProxyUriEndpoint`) und den Proxy-URI-Pfad (`XksProxyUriPath`) muss in dem AWS-Konto und der Region eindeutig sein.
### VPC-Endpunktservice
Gibt den Namen des Amazon VPC-Endpunkt-Services an, der für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet wird. Diese Komponente ist nur für externe Schlüsselspeicher erforderlich, die die Konnektivität eines VPC-Endpunkt-Service verwenden. Hilfe zum Einrichten und Konfigurieren Ihres VPC-Endpunkt-Services für einen externen Schlüsselspeicher finden Sie unter [VPC-Endpunktdienstkonnektivität konfigurieren](vpc-connectivity.md).
Der VPC-Endpunkt-Service muss über die folgenden Eigenschaften verfügen:
+ Der VPC-Endpunktdienst kann sich im selben oder in einem anderen Verzeichnis AWS-Konto wie der externe Schlüsselspeicher befinden.
+ Der VPC-Endpunktdienst muss sich im selben Verzeichnis befinden AWS-Region wie der externe Schlüsselspeicher.
+ Sie müssen die AWS-Konto ID des VPC-Endpunktdienstes angeben, wenn er sich in einem anderen befindet. AWS-Konto
+ Er muss über einen Network Load Balancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die jeweils in einer anderen Availability Zone liegen.
+ Die *Liste der zugelassenen Prinzipale* für den VPC-Endpunktdienst muss den AWS KMS Dienstprinzipal für die Region enthalten:`cks.kms..amazonaws.com`, z. B. `cks.kms.us-east-1.amazonaws.com`
+ Wenn Ihr Amazon VPC-Endpunktservice nicht dem AWS-Konto Eigentümer des externen Schlüsselspeichers (XKS) gehört, müssen Sie XKS auch Zugriff auf den VPC-Endpunktservice gewähren. AWS-Konto [Erlauben Sie dazu die AWS-Konto XKS-ID als Principal](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) für den Amazon VPC-Endpunktservice.
+ Er darf keine Annahme von Verbindungsanforderungen verlangen.
+ Er muss einen privaten DNS-Namen innerhalb einer öffentlichen Domain höherer Ebene haben. Sie könnten beispielsweise den privaten DNS-Namen „myproxy-private.xks.example.com“ in der öffentlichen Domain `xks.example.com` haben.
Der private DNS-Name für einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkt-Service muss in seiner AWS-Region eindeutig sein.
+ Der [Domain-Verifizierungsstatus](vpc-connectivity.md#xks-private-dns) der privaten DNS-Namensdomain muss `verified` lauten.
+ Das auf dem externen Schlüsselspeicher-Proxy konfigurierte TLS-Serverzertifikat muss den privaten DNS-Hostnamen angeben, unter dem der Endpunkt erreichbar ist.
**Anforderungen an die Eindeutigkeit**
+ Externe Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkts können sich eine `Amazon VPC` teilen, aber jeder externe Schlüsselspeicher muss seinen eigenen VPC-Endpunkt-Service und privaten DNS-Namen haben.
### Proxy-Konfigurationsdatei
Eine *Proxy-Konfigurationsdatei* ist eine optionale JSON-basierte Datei, die Werte für den [Proxy-URI-Pfad](#require-path) und die Eigenschaften der [Proxy-Authentifizierungsanmeldeinformation](#require-credential) Ihres externen Schlüsselspeichers enthält. Beim Erstellen oder [Bearbeiten eines externen Schlüsselspeichers](update-xks-keystore.md) in der AWS KMS -Konsole können Sie eine Proxy-Konfigurationsdatei hochladen, um Konfigurationswerte für Ihren externen Schlüsselspeicher bereitzustellen. Durch die Verwendung dieser Datei werden Tipp- und Einfügefehler verhindert und es wird sichergestellt, dass die Werte in Ihrem externen Schlüsselspeicher mit den Werten in Ihrem externen Schlüsselspeicher-Proxy übereinstimmen.
Die Proxy-Konfigurationsdateien werden vom externen Schlüsselspeicher-Proxy generiert. Ob Ihr externer Schlüsselspeicher-Proxy eine Proxy-Konfigurationsdatei anbietet, können Sie der Dokumentation Ihres externen Schlüsselspeicher-Proxys entnehmen.
Im Folgenden finden Sie ein Beispiel für eine gültige Proxy-Konfigurationsdatei mit fiktiven Werten.
```
{
"XksProxyUriPath": "/example-prefix/kms/xks/v1",
"XksProxyAuthenticationCredential": {
"AccessKeyId": "ABCDE12345670EXAMPLE",
"RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
}
}
```
Sie können eine Proxy-Konfigurationsdatei nur hochladen, wenn Sie einen externen Schlüsselspeicher in der Konsole erstellen oder bearbeiten. AWS KMS Sie können sie nicht mit den [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Operationen [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)oder verwenden, aber Sie können die Werte in der Proxykonfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.
## Erstellen Sie einen neuen externen Schlüsselspeicher
Sobald Sie die erforderlichen Voraussetzungen zusammengestellt haben, können Sie in der AWS KMS Konsole oder mithilfe des [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgangs einen neuen externen Schlüsselspeicher erstellen.
### Mithilfe der AWS KMS Konsole
Bevor Sie einen externen Schlüsselspeicher erstellen, [wählen Sie Ihren Proxy-Konnektivitätstyp](choose-xks-connectivity.md) und stellen Sie sicher, dass Sie alle [erforderlichen Komponenten](#xks-requirements) erstellt und konfiguriert haben. Wenn Sie Hilfe bei der Suche nach einem der erforderlichen Werte benötigen, ziehen Sie die Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder Ihre Schlüsselverwaltungssoftware zu Rate.
**Anmerkung**
Wenn Sie in der einen externen Schlüsselspeicher erstellen AWS-Managementkonsole, können Sie eine JSON-basierte *Proxykonfigurationsdatei mit Werten für den Proxy-URI-Pfad* [und die Anmeldeinformationen für die [Proxyauthentifizierung](#require-credential)](#require-path) hochladen. Einige Proxys generieren diese Datei für Sie. Sie ist nicht erforderlich.
1. [Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Wählen Sie **Create external key store** (Erstellen eines externen Schlüsselspeichers) aus.
1. Geben Sie einen Anzeigenamen für den externen Schlüsselspeicher ein. Der Name muss unter allen externen Schlüsselspeichern in Ihrem Konto eindeutig sein.
**Wichtig**
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
1. Wählen Sie Ihren [Proxy-Konnektivitätstyp](#require-connectivity) aus.
Die von Ihnen gewählte Proxy-Konnektivität bestimmt die für Ihren externen Schlüsselspeicher-Proxy [erforderlichen Komponenten](#xks-requirements). Hilfe bei dieser Auswahl finden Sie unter [Wählen Sie eine Proxy-Konnektivitätsoption für externen Schlüsselspeicher](choose-xks-connectivity.md).
1. Wählen Sie **Kontoübergreifender VPC-Endpunktdienst** aus, wenn sich Ihr VPC-Endpunktdienst in einem anderen befindet. AWS-Konto Geben Sie dann die AWS-Konto ID für den Besitzer des VPC-Endpunkts in das Feld **Konto-ID des Besitzers des VPC-Endpunkts** ein.
1. Wählen Sie den Namen des [VPC-Endpunkt-Service](#require-vpc-service-name) für diesen externen Schlüsselspeicher aus oder geben Sie ihn ein. Dieser Schritt wird nur angezeigt, wenn Ihr Proxy-Konnektivitätstyp für den externen Schlüsselspeicher **VPC-Endpunktdienst** ist.
Der VPC-Endpunktdienst und sein VPCs müssen die Anforderungen für einen externen Schlüsselspeicher erfüllen. Details hierzu finden Sie unter [Erfüllen der Voraussetzungen](#xks-requirements).
1. Wählen Sie den Namen des [VPC-Endpunkt-Service](#require-vpc-service-name) für diesen externen Schlüsselspeicher aus oder geben Sie ihn ein. Dieser Schritt wird nur angezeigt, wenn der Proxy-Konnektivitätstyp des externen Schlüsselspeichers **VPC-Endpunkt-Service** ist.
Der VPC-Endpunktdienst und sein VPCs müssen die Anforderungen für einen externen Schlüsselspeicher erfüllen. Details hierzu finden Sie unter [Erfüllen der Voraussetzungen](#xks-requirements).
1. Geben Sie Ihren [Proxy-URI-Endpunkt](#require-endpoint) ein. Das Protokoll muss HTTPS sein. AWS KMS kommuniziert IPv4 über Port 443. Geben Sie den Port nicht im Wert des Proxy-URI-Endpunkts an.
Wenn der VPC-Endpunktdienst AWS KMS erkannt wird, den Sie im vorherigen Schritt angegeben haben, füllt er dieses Feld für Sie aus.
Für die Konnektivität eines öffentlichen Endpunkts geben Sie einen öffentlich verfügbaren Endpunkt-URI ein. Für die Konnektivität des VPC-Endpunkts geben Sie `https://` gefolgt vom privaten DNS-Namen des VPC-Endpunkt-Service ein.
1. Um die Werte für das Präfix des [Proxy-URI-Pfads](#require-path) und die [Proxy-Authentifizierungsanmeldeinformation](#require-credential) einzugeben, laden Sie eine Proxy-Konfigurationsdatei hoch oder geben Sie die Werte manuell ein.
+ Wenn Sie über eine optionale [Proxy-Konfigurationsdatei](#proxy-configuration-file) verfügen, die Werte für den [Proxy-URI-Pfad](#require-path.title) und die [Proxy-Authentifizierungsanmeldeinformation](#require-credential) enthält, wählen Sie **Upload configuration file** (Konfigurationsdatei hochladen) aus. Folgen Sie den Schritten zum Hochladen der Datei.
Wenn die Datei hochgeladen ist, zeigt die Konsole die Werte aus der Datei in bearbeitbaren Feldern an. Sie können die Werte jetzt ändern oder [diese Werte bearbeiten](update-xks-keystore.md), nachdem der externe Schlüsselspeicher erstellt wurde.
Wählen Sie **Show secret access key** (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.
+ Wenn Sie über keine Proxy-Konfigurationsdatei verfügen, können Sie den Proxy-URI-Pfad und die Werte für die Proxy-Authentifizierungsanmeldeinformation manuell eingeben.
1. Wenn Sie nicht über eine Proxy-Konfigurationsdatei verfügen, können Sie den Proxy-URI manuell eingeben. Die Konsole stellt den erforderlichen Wert**/kms/xks/v1 bereit**.
Wenn Ihr [Proxy-URI-Pfad](#require-path) ein optionales Präfix enthält, wie z. B. das `example-prefix` in `/example-prefix/kms/xks/v1`, geben Sie das Präfix in das Feld **Proxy URI path prefix** (Proxy-URI-Pfadpräfix) ein. Andernfalls lassen Sie das Feld leer.
1. Wenn Sie nicht über eine Proxy-Konfigurationsdatei verfügen, können Sie die [Proxy-Authentifizierungsanmeldeinformation](keystore-external.md#concept-xks-credential) manuell eingeben. Sowohl die Zugriffsschlüssel-ID als auch der geheime Zugriffsschlüssel sind erforderlich.
+ Geben Sie in **Proxy credential: Access key ID** (Proxy-Anmeldeinformationen: Zugriffsschlüssel-ID) die Zugriffsschlüssel-ID der Proxy-Authentifizierungsanmeldeinformation ein. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel.
+ Geben Sie in **Proxy credential: Secret access key** (Proxy-Anmeldeinformationen: Geheimer Zugriffsschlüssel) den geheimen Zugriffsschlüssel der Proxy-Authentifizierungsanmeldeinformation ein.
Wählen Sie **Show secret access key** (Geheimen Zugriffsschlüssel anzeigen) aus, um den Wert des geheimen Zugriffsschlüssels anzuzeigen.
Mit diesem Verfahren wird die Authentifizierungsanmeldeinformation, die Sie auf Ihrem externen Schlüsselspeicher-Proxy eingerichtet haben, weder festgelegt noch geändert. Es verknüpft diese Werte lediglich mit Ihrem externen Schlüsselspeicher. Informationen zum Einrichten, Ändern und Rotieren der Proxy-Authentifizierungsanmeldeinformation finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.
Wenn sich die Proxy-Authentifizierungsanmeldeinformation ändert, [bearbeiten Sie die Einstellungen für die Anmeldeinformation](update-xks-keystore.md) für Ihren externen Schlüsselspeicher.
1. Wählen Sie **Create external key store** (Erstellen eines externen Schlüsselspeichers) aus.
Wenn der Vorgang erfolgreich war, wird der neue externe Schlüsselspeicher in der Liste der externen Schlüsselspeicher im Konto und in der Region angezeigt. Bei nicht erfolgreicher Ausführung wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [CreateKey Fehler für den externen Schlüssel](xks-troubleshooting.md#fix-external-key-create).
**Nächster Schritt**: Neue externe Schlüsselspeicher werden nicht automatisch verbunden. Bevor Sie AWS KMS keys in Ihrem externen Schlüsselspeicher etwas erstellen können, müssen Sie [den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden](xks-connect-disconnect.md).
### Verwenden der AWS KMS API
Sie können den [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)Vorgang verwenden, um einen neuen externen Schlüsselspeicher zu erstellen. Hilfe bei der Suche nach den Werten für die erforderlichen Parameter finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder Ihrer Schlüsselverwaltungssoftware.
**Tipp**
Sie können keine [Proxy-Konfigurationsdatei](#proxy-configuration-file) hochladen, wenn Sie den `CreateCustomKeyStore`-Vorgang verwenden. Sie können jedoch die Werte in der Proxy-Konfigurationsdatei verwenden, um sicherzustellen, dass Ihre Parameterwerte korrekt sind.
Zum Erstellen eines externen Schlüsselspeichers sind für den `CreateCustomKeyStore`-Vorgang die folgenden Parameterwerte erforderlich:
+ `CustomKeyStoreName`: Ein Anzeigename für den externen Schlüsselspeicher, der im Konto eindeutig ist.
**Wichtig**
Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden.
+ `CustomKeyStoreType`: Geben Sie `EXTERNAL_KEY_STORE` an.
+ [`XksProxyConnectivity`](#require-connectivity): Geben Sie `PUBLIC_ENDPOINT` oder `VPC_ENDPOINT_SERVICE` an.
+ [`XksProxyAuthenticationCredential`](keystore-external.md#concept-xks-credential): Geben Sie sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel an.
+ [`XksProxyUriEndpoint`](#require-endpoint): Der Endpunkt, den AWS KMS für die Kommunikation mit Ihrem externen Schlüsselspeicher-Proxy verwendet.
+ [`XksProxyUriPath`](#require-path)— Der Pfad innerhalb des Proxys zum Proxy APIs.
+ [`XksProxyVpcEndpointServiceName`](#require-vpc-service-name): Nur erforderlich, wenn Ihr `XksProxyConnectivity`-Wert `VPC_ENDPOINT_SERVICE` ist.
**Anmerkung**
Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP- oder HTTPS-Wert angeben, z. B. den `XksProxyUriEndpoint` Parameter.
```
aws configure set cli_follow_urlparam false
```
Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den Inhalt, der an dieser URI-Adresse gefunden wurde, was den folgenden Fehler verursacht:
```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve
https:// : received non 200 status code of 404
```
In den folgenden Beispielen werden fiktive Werte verwendet. Bevor Sie den Befehl ausführen, ersetzen Sie sie durch gültige Werte für Ihren externen Schlüsselspeicher.
Erstellen Sie einen externen Schlüsselspeicher mit der Konnektivität eines öffentlichen Endpunkts.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleExternalKeyStorePublic \
--custom-key-store-type EXTERNAL_KEY_STORE \
--xks-proxy-connectivity PUBLIC_ENDPOINT \
--xks-proxy-uri-endpoint https://myproxy.xks.example.com \
--xks-proxy-uri-path /kms/xks/v1 \
--xks-proxy-authentication-credential AccessKeyId=,RawSecretAccessKey=
```
Erstellen Sie einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunkt-Service.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleExternalKeyStoreVPC \
--custom-key-store-type EXTERNAL_KEY_STORE \
--xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
--xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
--xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
--xks-proxy-uri-path /kms/xks/v1 \
--xks-proxy-authentication-credential AccessKeyId=,RawSecretAccessKey=
```
Bei einer erfolgreichen Produktion gibt `CreateCustomKeyStore` die ID des benutzerdefinierten Schlüsselspeichers zurück, wie in der folgenden Beispielantwort dargestellt.
```
{
"CustomKeyStoreId": cks-1234567890abcdef0
}
```
Wenn die Produktion fehlschlägt, korrigieren Sie den in der Ausnahme angegebenen Fehler und versuchen Sie es erneut. Weitere Informationen finden Sie unter [Fehlerbehebung bei externen Schlüsselspeichern](xks-troubleshooting.md).
**Nächster Schritt**: Um den externen Schlüsselspeicher zu verwenden, [verbinden Sie ihn mit dem externen Schlüsselspeicher-Proxy](xks-connect-disconnect.md).
# Eigenschaften des externen Schlüsselspeichers bearbeiten
Sie können ausgewählte Eigenschaften eines vorhandenen externen Schlüsselspeichers bearbeiten.
Sie können einige Eigenschaften bearbeiten, während der externe Schlüsselspeicher verbunden oder getrennt ist. Für andere Eigenschaften müssen Sie zuerst [Ihren externen Schlüsselspeicher vom Proxy des externen Schlüsselspeichers trennen](xks-connect-disconnect.md). Der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers muss `DISCONNECTED` sein. Während ein externer Schlüsselspeicher getrennt ist, können Sie den Schlüsselspeicher und seine KMS-Schlüssel verwalten, aber Sie können keine KMS-Schlüssel im externen Schlüsselspeicher erstellen oder verwenden. Um den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) Ihres externen Schlüsselspeichers zu ermitteln, verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang oder lesen Sie den Abschnitt **Allgemeine Konfiguration** auf der Detailseite für den externen Schlüsselspeicher.
Bevor Sie die Eigenschaften Ihres externen Schlüsselspeichers aktualisieren, AWS KMS sendet er unter Verwendung der neuen Werte eine [GetHealthStatus](keystore-external.md#concept-proxy-apis)Anfrage an den externen Schlüsselspeicher-Proxy. Wenn die Anforderung erfolgreich ist, bedeutet dies, dass Sie eine Verbindung zu einem Proxy des externen Schlüsselspeichers herstellen und sich mit den aktualisierten Eigenschaftswerten authentifizieren können. Schlägt die Anforderung fehl, schlägt der Bearbeitungsvorgang mit einer Ausnahme fehl, die den Fehler identifiziert.
Wenn der Bearbeitungsvorgang abgeschlossen ist, werden die aktualisierten Eigenschaftswerte für Ihren externen Schlüsselspeicher in der AWS KMS Konsole und in der `DescribeCustomKeyStores` Antwort angezeigt. Es kann jedoch bis zu fünf Minuten dauern, bis die Änderungen vollständig wirksam werden.
Wenn Sie Ihren externen Schlüsselspeicher in der AWS KMS Konsole bearbeiten, haben Sie die Möglichkeit, eine JSON-basierte [Proxy-Konfigurationsdatei hochzuladen, die den [Proxy-URI-Pfad](create-xks-keystore.md#require-path)](create-xks-keystore.md#proxy-configuration-file) und die Anmeldeinformationen für die [Proxyauthentifizierung](keystore-external.md#concept-xks-credential) angibt. Einige externe Schlüsselspeicher-Proxys generieren diese Datei für Sie. Einzelheiten finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
**Warnung**
Die aktualisierten Eigenschaftswerte müssen Ihren externen Schlüsselspeicher mit einem Proxy für denselben externen Schlüsselmanager wie die vorherigen Werte oder für eine Sicherung oder einen Snapshot des externen Schlüsselmanagers mit denselben kryptografischen Schlüsseln verbinden. Wenn Ihr externer Schlüsselspeicher dauerhaft den Zugriff auf die externen Schlüssel verliert, die mit seinen KMS-Schlüsseln verknüpft sind, kann der mit diesen externen Schlüsseln verschlüsselte Geheimtext nicht wiederhergestellt werden. Insbesondere kann durch eine Änderung der Proxykonnektivität eines externen Schlüsselspeichers der Zugriff auf Ihre externen Schlüssel AWS KMS verhindert werden.
**Tipp**
Einige externe Schlüsselmanager bieten eine einfachere Methode zur Bearbeitung der Eigenschaften externer Schlüsselspeicher. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
Sie können die folgenden Eigenschaften eines externen Schlüsselspeichers ändern:
| Bearbeitbare Eigenschaften eines externen Schlüsselspeichers | Beliebiger Verbindungsstatus | Status „Disconnected“ (Verbindung getrennt) erforderlich |
| --- | --- | --- |
| Name des benutzerdefinierten Schlüsselspeichers Ein erforderlicher Anzeigename für einen benutzerdefinierten Schlüsselspeicher. Geben Sie keine vertraulichen oder sensiblen Informationen in dieses Feld ein. Dieses Feld kann in CloudTrail Protokollen und anderen Ausgaben im Klartext angezeigt werden. | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) | |
| [Anmeldeinformationen für die Proxyauthentifizierung](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredential(Sie müssen sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel angeben, auch wenn Sie nur ein Element ändern.) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) | |
| [Proxy-URI-Pfad](create-xks-keystore.md#require-path) () XksProxyUriPath | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) | |
| [Proxy-Konnektivität](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(Sie müssen auch den Proxy-URI-Endpunkt aktualisieren. Wenn Sie zur Konnektivität eines VPC-Endpunkt-Service wechseln, müssen Sie einen Namen für den Proxy-VPC-Endpunkt-Service angeben.) | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) |
| [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) (XksProxyUriEndpoint)Wenn Sie den Proxy-Endpunkt-URI ändern, müssen Sie möglicherweise auch das zugehörige TLS-Zertifikat ändern. | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) |
| [Proxy-VPC-Endpunktdienstname](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceName(Dieses Feld ist für die Konnektivität eines VPC-Endpunkt-Service erforderlich) | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) |
| [Besitzer des VPC-Endpunktdienstes](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwner(Dieses Feld ist für die Konnektivität eines VPC-Endpunkt-Service erforderlich) | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/icon-successful.png) |
## Bearbeiten Sie die Eigenschaften Ihres externen Schlüsselspeichers
Sie können die Eigenschaften Ihres externen Schlüsselspeichers in der AWS KMS Konsole oder mithilfe des [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgangs bearbeiten.
### Mithilfe der AWS KMS Konsole
Wenn Sie einen Schlüsselspeicher bearbeiten, können Sie jeden der bearbeitbaren Werte ändern. Einige Änderungen erfordern, dass der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt wird.
Wenn Sie den Proxy-URI-Pfad oder die Anmeldeinformation für die Proxy-Authentifizierung bearbeiten, können Sie die neuen Werte eingeben oder eine [Proxykonfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) für den externen Schlüsselspeicher hochladen, die die neuen Werte enthält.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Wählen Sie den Schlüsselspeicher aus, den Sie bearbeiten möchten.
1. Falls erforderlich, trennen Sie den externen Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Disconnect** (Verbindung trennen) aus.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Edit** (Bearbeiten) aus.
1. Ändern Sie eine oder mehrere der bearbeitbaren Eigenschaften des externen Schlüsselspeichers. Sie können auch eine [Proxy-Konfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) für den externen Schlüsselspeicher mit Werten für den Proxy-URI-Pfad und der Anmeldeinformation für die Proxy-Authentifizierung hochladen. Sie können eine Proxy-Konfigurationsdatei auch dann verwenden, wenn sich einige in der Datei angegebene Werte nicht geändert haben.
1. Wählen Sie **Update external key store** (Aktualisieren des externen Schlüsselspeichers).
1. Überprüfen Sie die Warnung, und wenn Sie fortfahren möchten, bestätigen Sie die Warnung und wählen Sie dann **Update external key store** (Aktualisieren des externen Schlüsselspeichers).
Wenn der Vorgang erfolgreich ist, wird eine Meldung mit einer Beschreibung der von Ihnen bearbeiteten Eigenschaften angezeigt. Wenn der Vorgang nicht erfolgreich ist, wird Ihnen eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt.
1. Falls erforderlich, verbinden Sie den externen Schlüsselspeicher wieder. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Connect** (Verbinden) aus.
Sie können die Verbindung des externen Schlüsselspeichers getrennt lassen. Solange die Verbindung getrennt ist, können Sie jedoch keine KMS-Schlüssel im externen Schlüsselspeicher erstellen oder die KMS-Schlüssel im externen Schlüsselspeicher für [kryptografische Vorgänge](manage-cmk-keystore.md#use-cmk-keystore) verwenden.
### Verwenden der AWS KMS API
Verwenden Sie den [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgang, um die Eigenschaften eines externen Schlüsselspeichers zu ändern. Sie können mehrere Eigenschaften eines externen Schlüsselspeichers mit demselben Vorgang ändern. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben.
Verwenden Sie den `CustomKeyStoreId`-Parameter, um den externen Schlüsselspeicher zu identifizieren. Verwenden Sie die anderen Parameter, um die Eigenschaften zu ändern. Sie können für den `UpdateCustomKeyStore`-Vorgang keine [Proxy-Konfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) verwenden. Die Proxy-Konfigurationsdatei wird nur von der AWS KMS Konsole unterstützt. Sie können aber die Proxy-Konfigurationsdatei verwenden, um die richtigen Parameterwerte für Ihren externen Schlüsselspeicher-Proxy zu ermitteln.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Bevor Sie beginnen, [trennen Sie [ggf.](#update-xks-keystore) die Verbindung des externen Schlüsselspeichers](xks-connect-disconnect.md) mit dem Proxy des externen Schlüsselspeichers. Nach der Aktualisierung können Sie den [externen Schlüsselspeicher bei Bedarf wieder mit dem Proxy des externen Schlüsselspeichers verbinden](xks-connect-disconnect.md). Sie können den externen Schlüsselspeicher im getrennten Zustand belassen, müssen ihn aber wieder verbinden, bevor Sie neue KMS-Schlüssel im Schlüsselspeicher erstellen oder vorhandene KMS-Schlüssel im Schlüsselspeicher für kryptografische Vorgänge verwenden können.
**Anmerkung**
Wenn Sie AWS CLI Version 1.0 verwenden, führen Sie den folgenden Befehl aus, bevor Sie einen Parameter mit einem HTTP- oder HTTPS-Wert angeben, z. B. den `XksProxyUriEndpoint` Parameter.
```
aws configure set cli_follow_urlparam false
```
Andernfalls ersetzt AWS CLI Version 1.0 den Parameterwert durch den Inhalt, der an dieser URI-Adresse gefunden wurde, was den folgenden Fehler verursacht:
```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve
https:// : received non 200 status code of 404
```
#### Ändern des Namens des externen Schlüsselspeichers
Das erste Beispiel verwendet die [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Operation, um den Anzeigenamen des externen Schlüsselspeichers in zu ändern`XksKeyStore`. Der Befehl verwendet den Parameter `CustomKeyStoreId`, um den benutzerdefinierten Schlüsselspeicher zu identifizieren, und den Parameter `CustomKeyStoreName`, um den neuen Namen für den benutzerdefinierten Schlüsselspeicher anzugeben. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```
#### Ändern der Anmeldeinformation für die Proxy-Authentifizierung
Im folgenden Beispiel wird die Anmeldeinformation für die Proxy-Authentifizierung aktualisiert, die AWS KMS für die Authentifizierung beim Proxy des externen Schlüsselspeichers verwendet. Sie können einen Befehl wie diesen verwenden, um die Anmeldeinformation zu aktualisieren, wenn sie auf Ihrem Proxy rotiert werden.
Aktualisieren Sie zuerst die Anmeldeinformation auf Ihrem externen Schlüsselspeicher-Proxy. Verwenden Sie dann dieses Feature, um die Änderung an AWS KMS zu melden. (Ihr Proxy unterstützt kurzzeitig sowohl die alten als auch die neuen Anmeldeinformationen, sodass Sie Zeit haben, Ihre Anmeldeinformationen zu aktualisieren.) AWS KMS
Sie müssen immer sowohl die Zugriffsschlüssel-ID als auch den geheimen Zugriffsschlüssel in der Anmeldeinformation angeben, auch wenn nur ein Wert geändert wird.
Die ersten beiden Befehle legen Variablen fest, die die Anmeldeinformationswerte enthalten. Der Vorgang `UpdateCustomKeyStore` verwendet den Parameter `CustomKeyStoreId`, um den externen Schlüsselspeicher zu identifizieren. Er verwendet den Parameter `XksProxyAuthenticationCredential` mit seinen Feldern `AccessKeyId` und `RawSecretAccessKey`, um die neue Anmeldeinformation festzulegen. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
```
$ accessKeyID=access key id
$ secretAccessKey=secret access key
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-authentication-credential \
AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```
#### Ändern des Proxy-URI-Pfads
Im folgenden Beispiel wird der Proxy-URI-Pfad (`XksProxyUriPath`) aktualisiert. Die Kombination aus dem Proxy-URI-Endpunkt und dem Proxy-URI-Pfad muss in der Region AWS-Konto und eindeutig sein. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-uri-path /kms/xks/v1
```
#### Umstellen auf Konnektivität eines VPC-Endpunkt-Service
Im folgenden Beispiel wird der [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)Vorgang verwendet, um den Proxykonnektivitätstyp des externen Schlüsselspeichers auf zu ändern`VPC_ENDPOINT_SERVICE`. Um diese Änderung vorzunehmen, müssen Sie die erforderlichen Werte für die Konnektivität eines VPC-Endpunkt-Service angeben, einschließlich des Namens des VPC-Endpunktservice (`XksProxyVpcEndpointServiceName`) und eines Proxy-URI-Endpunktwerts (`XksProxyUriEndpoint`), der den privaten DNS-Namen für den VPC-Endpunktservice enthält. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
--xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
--xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```
#### Umstellen auf Konnektivität eines öffentlichen Endpunkts
Im folgenden Beispiel wird der Proxy-Konnektivitätstyp des externen Schlüsselspeichers in `PUBLIC_ENDPOINT` geändert. Wenn Sie diese Änderung vornehmen, müssen Sie den Wert des Proxy-URI-Endpunkts (`XksProxyUriEndpoint`) aktualisieren. Ersetzen Sie alle Beispielwerte durch tatsächliche Werte für Ihren externen Schlüsselspeicher.
**Anmerkung**
VPC-Endpunktkonnektivität bietet mehr Sicherheit als öffentliche Endpunktkonnektivität. Bevor Sie auf öffentliche Endpunktkonnektivität umstellen, sollten Sie andere Optionen in Betracht ziehen, z. B. den Proxy für den externen Schlüsselspeicher On-Premises zu platzieren und die VPC nur für die Kommunikation zu nutzen.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-connectivity "PUBLIC_ENDPOINT" \
--xks-proxy-uri-endpoint https://myproxy.xks.example.com
```
# Externe Schlüsselspeicher anzeigen
Sie können externe Schlüsselspeicher in jedem Konto und jeder Region anzeigen, indem Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang verwenden.
Beim Anzeigen eines externen Schlüsselspeichers können Sie folgende Informationen sehen:
+ Grundlegende Informationen über den Schlüsselspeicher, einschließlich seines Benutzernamens, seiner ID, seines Schlüsselspeichertyps und seines Erstellungsdatums
+ Konfigurationsinformationen für den [Proxy des externen Schlüsselspeichers](keystore-external.md#concept-xks-proxy), einschließlich des [Konnektivitätstyps](keystore-external.md#concept-xks-connectivity), des [Proxy-URI-Endpunkts](create-xks-keystore.md#require-endpoint) und [-pfads](create-xks-keystore.md#require-path) sowie der [Zugriffsschlüssel-ID](keystore-external.md#concept-xks-credential) Ihrer aktuellen [Proxy-Anmeldeinformation](keystore-external.md#concept-xks-credential).
+ Wenn der Proxy des externen Schlüsselspeichers die [Konnektivität des VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) verwendet, zeigt die Konsole den Namen des VPC-Endpunktservice an.
+ Den aktuellen [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state)
**Anmerkung**
Der Verbindungsstatus **Disconnected** (Verbindung getrennt) bedeutet, dass der externe Schlüsselspeicher noch nie verbunden war oder dass die Verbindung zum Proxy des externen Schlüsselspeichers absichtlich getrennt wurde. Wenn Ihre Versuche, einen KMS-Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, jedoch fehlschlagen, kann dies auf ein Problem mit dem externen Schlüsselspeicher oder seinem Proxy hinweisen. Weitere Informationen dazu finden Sie unter [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](xks-troubleshooting.md#fix-xks-connection).
+ Ein [Monitoring-Bereich](xks-monitoring.md) mit Grafiken von [ CloudWatch Amazon-Metriken](monitoring-cloudwatch.md#kms-metrics), die Ihnen helfen sollen, Probleme mit Ihrem externen Schlüsselspeicher zu erkennen und zu lösen. Hilfe bei der Interpretation der Grafiken, ihrer Verwendung bei der Planung und Problembehebung und der Erstellung von CloudWatch Alarmen auf der Grundlage der Kennzahlen in den Diagrammen finden Sie unter[Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
## Eigenschaften des externen Schlüsselspeichers
Die folgenden Eigenschaften eines externen Schlüsselspeichers sind in der AWS KMS Konsole und in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort sichtbar.
### Eigenschaften eines benutzerdefinierten Schlüsselspeichers
Die folgenden Werte werden im Abschnitt **Allgemeine Konfiguration** der Detailseite für jeden benutzerdefinierten Schlüsselspeicher angezeigt. Diese Eigenschaften gelten für alle benutzerdefinierten Schlüsselspeicher, einschließlich AWS CloudHSM Schlüsselspeicher und externer Schlüsselspeicher.
**ID des benutzerdefinierten Schlüsselspeichers**
Eine eindeutige ID, die AWS KMS dem benutzerdefinierten Schlüsselspeicher zugewiesen wird.
**Name des benutzerdefinierten Schlüsselspeichers**
Ein Anzeigename, den Sie dem benutzerdefinierten Schlüsselspeicher bei dessen Erstellung zuweisen. Sie können diesen Wert jederzeit ändern.
**Typ des benutzerdefinierten Schlüsselspeichers**
Der Typ des benutzerdefinierten Schlüsselspeichers. Gültige Werte sind AWS CloudHSM (`AWS_CLOUDHSM`) oder „Externer Schlüsselspeicher“ (`EXTERNAL_KEY_STORE`). Der Typ kann nach der Erstellung des benutzerdefinierten Schlüsselspeichers nicht mehr geändert werden.
**Erstellungsdatum**
Das Datum, an dem der benutzerdefinierte Schlüsselspeicher erstellt wurde. Dieses Datum wird in Ortszeit für die AWS-Region angezeigt.
**Verbindungsstatus**
Zeigt an, ob der benutzerdefinierte Schlüsselspeicher mit dem Unterstützungsschlüsselspeicher verbunden ist. Der Verbindungsstatus ist nur dann `DISCONNECTED`, wenn der benutzerdefinierte Schlüsselspeicher noch nie mit dem Unterstützungsschlüsselspeicher verbunden war oder die Verbindung absichtlich getrennt wurde. Details hierzu finden Sie unter [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state).
### Konfigurationseigenschaften des externen Schlüsselspeichers
Die folgenden Werte werden im Abschnitt **Konfiguration des externen Schlüsselspeichers** auf der Detailseite für jeden externen Schlüsselspeicher und im `XksProxyConfiguration` Element der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort angezeigt. Eine ausführliche Beschreibung der einzelnen Felder, einschließlich der Anforderungen an die Eindeutigkeit und Hilfe bei der Bestimmung des richtigen Werts für jedes Feld, finden Sie unter [Erfüllen der Voraussetzungen](create-xks-keystore.md#xks-requirements) im Thema *Erstellen eines externen Schlüsselspeichers*.
**Proxy-Konnektivität**
Gibt an, ob der externe Schlüsselspeicher [Konnektivität eines öffentlichen Endpunkts](choose-xks-connectivity.md#xks-connectivity-public-endpoint) oder [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) verwendet.
**Proxy-URI-Endpunkt**
Der Endpunkt, der AWS KMS verwendet wird, um eine Verbindung zu Ihrem [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy) herzustellen.
**Proxy-URI-Pfad**
Der Pfad vom Proxy-URI-Endpunkt, an den [Proxy-API-Anfragen AWS KMS](keystore-external.md#concept-proxy-apis) gesendet werden.
**Proxy-Anmeldeinformation: Zugriffsschlüssel-ID**
Teil der [Anmeldeinformation für die Proxy-Authentifizierung](keystore-external.md#concept-xks-credential), die Sie für den Proxy Ihres externen Schlüsselspeichers einrichten. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel in der Anmeldeinformation.
AWS KMS verwendet den SigV4-Signaturprozess und die Anmeldeinformationen für die Proxyauthentifizierung, um seine Anfragen an Ihren externen Schlüsselspeicher-Proxy zu signieren. Die Anmeldeinformationen in der Signatur ermöglichen es dem externen Schlüsselspeicher-Proxy, Anfragen in Ihrem Namen von zu authentifizieren. AWS KMS
**Name des VPC-Endpunkt-Service**
Der Name des VPC-Endpunkt-Service von Amazon, der Ihren externen Schlüsselspeicher unterstützt. Dieser Wert wird nur angezeigt, wenn der externe Schlüsselspeicher die [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) nutzt. Sie können den Proxy Ihres externen Schlüsselspeichers in der VPC finden oder den VPC-Endpunkt-Service verwenden, um sicher mit dem Proxy Ihres externen Schlüsselspeichers zu kommunizieren.
**Besitzer-ID des VPC-Endpunktdienstes**
Die ID des Amazon VPC-Endpunktdienstes, der Ihren externen Schlüsselspeicher unterstützt. Dieser Wert wird nur angezeigt, wenn der externe Schlüsselspeicher die [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) nutzt. Sie können den Proxy Ihres externen Schlüsselspeichers in der VPC finden oder den VPC-Endpunkt-Service verwenden, um sicher mit dem Proxy Ihres externen Schlüsselspeichers zu kommunizieren.
## Sehen Sie sich die Eigenschaften Ihres externen Schlüsselspeichers an
Sie können Ihren externen Schlüsselspeicher und die zugehörigen Eigenschaften in der AWS KMS Konsole oder mithilfe des [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgangs anzeigen.
### Mithilfe der AWS KMS Konsole
Gehen Sie wie folgt vor, um die externen Schlüsselspeicher in einem bestimmten Konto und einer bestimmten Region anzuzeigen:
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Zum Anzeigen von detaillierten Informationen über einen externen Schlüsselspeicher wählen Sie den Namen des Schlüsselspeichers aus.
### Verwenden der API AWS KMS
Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um Ihre externen Schlüsselspeicher anzuzeigen. Standardmäßig gibt diese Operation alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Ausgabe auf einen bestimmten benutzerdefinierten Schlüsselspeicher zu begrenzen.
Bei benutzerdefinierten Schlüsselspeichern besteht die Ausgabe aus der ID, dem Namen und dem Typ des benutzerdefinierten Schlüsselspeichers sowie dem [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des Schlüsselspeichers. Wenn der Verbindungsstatus `FAILED` ist, enthält die Ausgabe auch einen `ConnectionErrorCode`, der den Grund für den Fehler beschreibt. Hilfe bei der Interpretation des `ConnectionErrorCode` für einen externen Schlüsselspeicher finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes).
Für externe Schlüsselspeicher enthält die Ausgabe auch das `XksProxyConfiguration`-Element. Dieses Element enthält den [Konnektivitätstyp](create-xks-keystore.md#require-connectivity), den [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint), den [Proxy-URI-Pfad](create-xks-keystore.md#require-path) und die Zugriffsschlüssel-ID der [Anmeldeinformation für die Proxy-Authentifizierung](keystore-external.md#concept-xks-credential).
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Beispielsweise gibt der folgende Befehl alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können die Parameter `Marker` und `Limit` verwenden, um durch die benutzerdefinierten Schlüsselspeicher in der Ausgabe zu blättern.
```
$ aws kms describe-custom-key-stores
```
Der folgende Befehl verwendet den Parameter `CustomKeyStoreName`, um nur den externen Beispiel-Schlüsselspeicher mit dem Anzeigenamen `ExampleXksPublic` abzurufen. Dieser Beispiel-Schlüsselspeicher verwendet Konnektivität eines öffentlichen Endpunkts. Er ist mit dem Proxy seines externen Schlüsselspeichers verbunden.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleXksPublic",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-14T20:17:36.419000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE12345670EXAMPLE",
"Connectivity": "PUBLIC_ENDPOINT",
"UriEndpoint": "https://xks.example.com:6443",
"UriPath": "/example/prefix/kms/xks/v1"
}
}
]
}
```
Mit dem folgenden Befehl wird ein Beispiel für einen externen Schlüsselspeicher mit Konnektivität eines VPC-Endpunkt-Service abgerufen. In diesem Beispiel ist der externe Schlüsselspeicher mit dem Proxy seines externen Schlüsselspeichers verbunden.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Der [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) `Disconnected` bedeutet, dass ein externer Schlüsselspeicher nie verbunden war oder dass er absichtlich vom Proxy seines externen Schlüsselspeichers getrennt wurde. Wenn jedoch der Versuch, einen KMS-Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, fehlschlägt, kann dies auf ein Problem mit dem Proxy des externen Schlüsselspeichers oder anderen externen Komponenten hinweisen.
Wenn der `ConnectionState` des externen Schlüsselspeichers `FAILED` lautet, enthält die `DescribeCustomKeyStores`-Antwort ein `ConnectionErrorCode`-Element, das den Grund für den Fehler angibt.
In der folgenden Ausgabe gibt der `XKS_PROXY_TIMED_OUT` Wert beispielsweise an, dass eine Verbindung zum externen Schlüsselspeicher-Proxy hergestellt werden AWS KMS kann, die Verbindung jedoch fehlgeschlagen ist, weil der externe Schlüsselspeicher-Proxy nicht innerhalb AWS KMS der vorgesehenen Zeit reagiert hat. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers. Weitere Informationen zu diesem und anderen Verbindungsfehlern finden Sie unter [Fehlerbehebung bei externen Schlüsselspeichern](xks-troubleshooting.md).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
# Überwachen Sie externe Schlüsselspeicher
AWS KMS sammelt Metriken für jede Interaktion mit einem externen Schlüsselspeicher und veröffentlicht sie in Ihrem CloudWatch Konto. Diese Metriken werden verwendet, um die Diagramme im Überwachungsabschnitt der Detailseite für jeden externen Schlüsselspeicher zu erstellen. Im folgenden Thema wird beschrieben, wie Sie die Diagramme verwenden, um Betriebs- und Konfigurationsprobleme zu identifizieren und zu beheben, die sich auf Ihren externen Schlüsselspeicher auswirken. Wir empfehlen, anhand der CloudWatch Metriken Alarme einzurichten, die Sie benachrichtigen, wenn Ihr externer Schlüsselspeicher nicht wie erwartet funktioniert. Weitere Informationen finden Sie unter [Überwachung mit Amazon CloudWatch](monitoring-cloudwatch.md).
**Topics**
+ [
## Anzeigen der Diagramme
](#xks-monitoring-navigate)
+ [
## Interpretieren der Diagramme
](#interpreting-graphs)
## Anzeigen der Diagramme
Sie können die Diagramme auf verschiedenen Detailebenen anzeigen. Standardmäßig verwendet jedes Diagramm einen Zeitbereich von drei Stunden und einen Aggregations[zeitraum](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) von fünf Minuten. Sie können die Diagrammansicht innerhalb der Konsole anpassen, aber Ihre Änderungen werden auf die Standardeinstellungen zurückgesetzt, wenn die Detailseite des externen Schlüsselspeichers geschlossen oder der Browser aktualisiert wird. Hilfe zur CloudWatch Amazon-Terminologie finden Sie unter [ CloudWatch Amazon-Konzepte](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html).
### Anzeigen von Datenpunktdetails
Die Daten in jedem Diagramm werden von [AWS KMS -Metriken](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics) gesammelt. Um weitere Informationen zu einem bestimmten Datenpunkt anzuzeigen, halten Sie die Maus auf den Datenpunkt im Liniendiagramm. Daraufhin wird ein Popup-Fenster mit weiteren Informationen zu der Metrik angezeigt, von der das Diagramm abgeleitet wurde. Jedes Listenelement zeigt den an diesem Datenpunkt aufgezeichneten [Dimensionswert](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) an. Das Pop-up zeigt einen Nullwert (**–**) an, wenn für den Dimensionswert an diesem Datenpunkt keine Metrikdaten verfügbar sind. Einige Diagramme zeichnen mehrere Dimensionen und Werte für einen einzelnen Datenpunkt auf. Andere Diagramme, wie das [Zuverlässigkeitsdiagramm](#reliability-graph), verwenden die von der Metrik erfassten Daten, um einen eindeutigen Wert zu berechnen. Jedes Listenelement ist einer anderen Farbe des Liniendiagramms zugeordnet.
### Ändern des Zeitbereichs
Zum Ändern des [Zeitbereichs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html) wählen Sie im Überwachungsbereich oben rechts einen der vordefinierten Zeitbereiche aus. Die vordefinierten Zeitbereiche reichen von 1 Stunde bis 1 Woche (**1h**, **3h**, **12h**, **1d**, **3d** oder **1w**). Dadurch wird der Zeitbereich für alle Diagramme angepasst. Wenn Sie ein bestimmtes Diagramm in einem anderen Zeitraum anzeigen oder einen benutzerdefinierten Zeitraum festlegen möchten, vergrößern Sie das Diagramm oder zeigen Sie es in der CloudWatch Amazon-Konsole an.
### Vergrößern von Diagrammen
Mit der [Mini-Map-Zoomfunktion](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html) können Sie sich auf Abschnitte von Liniendiagrammen und gestapelte Teile der Diagramme konzentrieren, ohne zwischen vergrößerter und verkleinerter Ansicht zu wechseln. Sie können die Mini-Map-Zoomfunktion beispielsweise verwenden, um sich auf einen Spitzenwert in einem Diagramm zu konzentrieren, sodass Sie den Spitzenwert mit anderen Diagrammen im Überwachungsabschnitt auf derselben Zeitachse vergleichen können.
1. Wählen Sie den Bereich des Diagramms aus, auf den Sie sich konzentrieren möchten, und lassen Sie die Maustaste los.
1. Um den Zoom zurückzusetzen, wählen Sie das Symbol **Zoom zurücksetzen** aus, das wie eine Lupe mit einem Minuszeichen (-) darin aussieht.
### Vergrößern eines Diagramms
Wenn Sie ein Diagramm vergrößern möchten, wählen Sie darin das Menüsymbol oben rechts aus und wählen Sie dann **Enlarge** (Vergrößern). Sie können auch das Vergrößerungssymbol auswählen, das neben dem Menüsymbol angezeigt wird, wenn Sie den Mauszeiger über ein Diagramm bewegen.
Durch die Vergrößerung eines Diagramms können Sie die Ansicht eines Diagramms weiter verändern, indem Sie einen anderen Zeitraum, einen benutzerdefinierten Zeitbereich oder ein Aktualisierungsintervall angeben. Diese Änderungen werden auf die Standardeinstellungen zurückgesetzt, wenn Sie die vergrößerte Ansicht schließen.
Ändern des Zeitraums
1. Wählen Sie das **Optionsmenü für den Zeitraum** aus. In diesem Menü wird standardmäßig folgender Wert angezeigt: **5 Minuten**.
1. Wählen Sie einen Zeitraum. Die vordefinierten Zeiträume reichen von 1 Sekunde bis 30 Tage.
Sie können beispielsweise eine Ein-Minuten-Ansicht auswählen. Dies kann nützlich sein, wenn Sie Fehler beheben. Sie können auch eine weniger detaillierte Ein-Stunden-Ansicht auswählen. Dies kann nützlich sein, wenn Sie einen größeren Zeitraum anzeigen (z. B. 3 Tage), damit Sie Trends über die Zeit anzeigen können. Weitere Informationen finden Sie unter [Perioden](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) im * CloudWatch Amazon-Benutzerhandbuch*.
Ändern des Zeitraums oder Zeitzone
1. Wählen Sie einen der vordefinierten Zeitbereiche, die von 1 Stunde bis 1 Woche reichen (**1h**, **3h**, **12h**, **1d**, **3d** oder **1w**). Alternativ können Sie **Custom** (Benutzerdefiniert) auswählen, um Ihren eigenen Zeitraum festzulegen.
1. Wählen Sie **Custom (Benutzerdefiniert)** aus.
1. *Zeitraum:* Wählen Sie die Registerkarte **Absolute** (Absolut) im Feld oben links aus. Verwenden Sie die Kalenderauswahl oder die Textfelder, um einen Zeitraum festzulegen.
1. *Zeitzone:* Wählen Sie das Dropdown-Menü im Feld oben rechts aus. Sie können die Zeitzone auf **UTC** oder **Local time zone** (lokale Zeitzone) ändern.
1. Wählen Sie nach dem Festlegen eines Zeitraums **Apply** (Anwenden) aus.
Ändern der Aktualisierungshäufigkeit der Daten in Ihrem Diagramm
1. Wählen Sie oben rechts das Menü **Refresh options** (Aktualisierungsoptionen) aus.
1. Wählen Sie ein Aktualisierungsintervall (**Aus**, **10 Sekunden**, **1 Minute**, **2 Minuten**, **5 Minuten** oder **15 Minuten**).
### Grafiken in der CloudWatch Amazon-Konsole anzeigen
Die Grafiken im Monitoring-Bereich werden aus vordefinierten Kennzahlen abgeleitet, die auf Amazon AWS KMS veröffentlicht CloudWatch werden. Sie können sie in der CloudWatch Konsole öffnen und in CloudWatch Dashboards speichern. Wenn Sie über mehrere externe Schlüsselspeicher verfügen, können Sie die jeweiligen Diagramme öffnen CloudWatch und sie in einem einzigen Dashboard speichern, um deren Zustand und Nutzung zu vergleichen.
**Zum CloudWatch Dashboard hinzufügen**
Wählen Sie in der oberen rechten Ecke Zum **Dashboard** hinzufügen aus, um alle Grafiken zu einem CloudWatch Amazon-Dashboard hinzuzufügen. Sie können entweder ein vorhandenes Dashboard auswählen oder ein neues erstellen. Informationen zur Verwendung dieses Dashboards zur Erstellung benutzerdefinierter Ansichten der Grafiken und Alarme finden Sie unter [Verwenden von CloudWatch Amazon-Dashboards](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) im * CloudWatch Amazon-Benutzerhandbuch*.
**In Metriken CloudWatch anzeigen**
Wählen Sie das Menüsymbol in der oberen rechten Ecke eines einzelnen Diagramms aus und wählen Sie **In Kennzahlen anzeigen**, um dieses Diagramm in der CloudWatch Amazon-Konsole anzuzeigen. Von der CloudWatch Konsole aus können Sie dieses einzelne Diagramm zu einem Dashboard hinzufügen und Zeitbereiche, Zeiträume und Aktualisierungsintervalle ändern. Weitere Informationen finden Sie unter [Metriken grafisch darstellen](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) im * CloudWatch Amazon-Benutzerhandbuch*.
## Interpretieren der Diagramme
AWS KMS bietet mehrere Grafiken zur Überwachung des Zustands Ihres externen Schlüsselspeichers in der AWS KMS Konsole. Diese Diagramme werden automatisch konfiguriert und von [AWS KMS -Metriken](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics) abgeleitet.
Die Diagrammdaten werden als Teil der Aufrufe gesammelt, die Sie an Ihren externen Schlüsselspeicher und Ihre externen Schlüssel richten. Möglicherweise werden während eines Zeitraums, in dem Sie keine Anrufe getätigt haben, Daten in den Diagrammen angezeigt. Diese Daten stammen aus den regelmäßigen `GetHealthStatus` Aufrufen, die in Ihrem Namen getätigt werden, AWS KMS um den Status Ihres externen Schlüsselspeicher-Proxys und Ihres externen Schlüsselmanagers zu überprüfen. Wenn Ihre Diagramme die Meldung **No data available** (Keine Daten verfügbar) anzeigen, wurden in diesem Zeitraum keine Anrufe aufgezeichnet oder Ihr externer Schlüsselspeicher befindet sich im Status [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state). Möglicherweise können Sie den Zeitpunkt der Trennung Ihres externen Schlüsselspeichers ermitteln, indem Sie Ihre [Ansicht auf einen breiteren Zeitbereich einstellen](#graph-time-range).
**Topics**
+ [
### Anforderungen insgesamt
](#total-requests-graph)
+ [
### Zuverlässigkeit
](#reliability-graph)
+ [
### Latenz
](#latency-graph)
+ [
### 5 häufigste Ausnahmen
](#top-5-exceptions-graph)
+ [
### Gültigkeitsdauer des Zertifikats in Tagen
](#cert-expire-graph)
### Anforderungen insgesamt
Die Gesamtzahl der AWS KMS Anfragen, die in einem bestimmten Zeitraum für einen bestimmten externen Schlüsselspeicher eingegangen sind. Anhand dieses Diagramms können Sie feststellen, ob das Risiko einer Drosselung besteht.
AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager bis zu 1800 Anfragen für kryptografische Operationen pro Sekunde verarbeiten kann. Wenn Sie innerhalb von fünf Minuten 540 000 Aufrufe erreichen, besteht das Risiko einer Drosselung.
Sie können die Anzahl der Anfragen für kryptografische Operationen mit KMS-Schlüsseln in Ihrem externen Schlüsselspeicher überwachen, der mit der Metrik AWS KMS gedrosselt wird. [ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling)
Wenn Sie sehr häufig `KMSInvalidStateException`-Fehler mit einer Meldung erhalten, in der erklärt wird, dass die Anforderung „aufgrund einer sehr hohen Anforderungsrate“ abgelehnt wurde, könnte dies darauf hinweisen, dass Ihr externer Schlüsselmanager oder externer Schlüsselspeicher-Proxy mit der aktuellen Anforderungsrate nicht Schritt halten kann. Verringen Sie wenn möglich Ihre Anforderungsrate. Sie können auch eine Verringerung des Anforderungskontingentwerts für benutzerdefinierte Schlüsselspeicher anfordern. Eine Verringerung dieses Kontingentwerts kann die Drosselung erhöhen, bedeutet aber, dass AWS KMS überflüssige Anfragen schnell zurückgewiesen werden, bevor sie an Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager gesendet werden. Um eine Reduzierung des Kontingents zu beantragen, besuchen Sie bitte das [AWS Support Center](https://console.aws.amazon.com/support/home) und erstellen Sie einen Fall.
Das Diagramm für die gesamten Anforderungen wird von der [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)-Metrik abgeleitet, die Daten über die erfolgreichen und nicht erfolgreichen Antworten erfasst, die AWS KMS von Ihrem externen Schlüsselspeicher-Proxy erhält. Wenn Sie sich [einen bestimmten Datenpunkt ansehen](#graph-data-point), zeigt das Pop-up den Wert der `CustomKeyStoreId` Dimension zusammen mit der Gesamtzahl der an diesem Datenpunkt aufgezeichneten AWS KMS Anfragen an. Die `CustomKeyStoreId` bleibt immer gleich.
### Zuverlässigkeit
Der Prozentsatz der AWS KMS Anfragen, bei denen der externe Schlüsselspeicher-Proxy entweder eine erfolgreiche Antwort oder einen Fehler, der nicht erneut versucht werden konnte, zurückgegeben hat. Bewerten Sie anhand dieses Diagramms den Betriebszustand Ihres externen Schlüsselspeicher-Proxys.
Wenn das Diagramm einen Wert von weniger als 100 % anzeigt, weist dies auf Fälle hin, in denen der Proxy entweder nicht oder mit einem wiederholbaren Fehler geantwortet hat. Dies kann auf Probleme mit dem Netzwerk, Langsamkeit des externen Schlüsselspeicher-Proxys oder des externen Schlüsselmanagers oder auf Implementierungsfehler hindeuten.
Wenn die Anforderung eine falsche Anmeldeinformation enthält und Ihr Proxy mit einer `AuthenticationFailedException` antwortet, zeigt das Diagramm trotzdem 100 % Zuverlässigkeit an, weil der Proxy einen falschen Wert in der [API-Anforderung des externen Schlüsselspeicher-Proxys](keystore-external.md#concept-proxy-apis) identifiziert hat und der Fehler daher erwartet wurde. Wenn der Prozentsatz Ihres Zuverlässigkeitsdiagramms 100 % beträgt, reagiert Ihr externer Schlüsselspeicher-Proxy wie erwartet. Wenn das Diagramm einen Wert von weniger als 100 % anzeigt, hat der Proxy entweder mit einem wiederholbaren Fehler geantwortet oder eine Zeitüberschreitung verursacht. Wenn der Proxy beispielsweise aufgrund einer sehr hohen Anzahl von Anforderungen mit einer `ThrottlingException` antwortet, wird ein niedrigerer Zuverlässigkeitsgrad angezeigt, da der Proxy nicht in der Lage war, ein spezifisches Problem in der Anforderung zu identifizieren, das zum Fehlschlagen führte. Dies liegt daran, dass es sich bei wiederholbaren Fehlern wahrscheinlich um vorübergehende Probleme handelt, die durch einen erneuten Versuch der Anforderung behoben werden können.
Die folgenden Fehlerantworten senken den Zuverlässigkeitsgrad. Mit dem Diagramm [5 häufigste Ausnahmen](#top-5-exceptions-graph) und der Metrik [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) können Sie weiter überwachen, wie häufig Ihr Proxy jeden wiederholbaren Fehler zurückgibt.
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`
Das Zuverlässigkeitsdiagramm wird aus der [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) Metrik abgeleitet, die Daten sowohl zu den erfolgreichen als auch zu den erfolglosen Antworten sammelt, die Sie von Ihrem externen Schlüsselspeicher-Proxy AWS KMS erhalten. Der Zuverlässigkeitsprozentsatz sinkt nur, wenn die Antwort den `ErrorType`-Wert `Retryable` hat. Wenn Sie sich [einen bestimmten Datenpunkt ansehen](#graph-data-point), zeigt das Pop-up den Wert der `CustomKeyStoreId` Dimension zusammen mit dem Zuverlässigkeitsprozentsatz für AWS KMS Anfragen an, die an diesem Datenpunkt aufgezeichnet wurden. Die `CustomKeyStoreId` bleibt immer gleich.
Wir empfehlen, die [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) Metrik zu verwenden, um einen CloudWatch Alarm zu erstellen, der Sie über potenzielle Netzwerkprobleme informiert, indem er Sie benachrichtigt, wenn innerhalb einer Minute mehr als fünf wiederholbare Fehler aufgezeichnet werden. Weitere Informationen finden Sie unter [Erstellen Sie einen Alarm für Fehler, die wiederholt werden können](xks-alarms.md#retryable-errors-alarm).
### Latenz
Die Anzahl der Millisekunden, die ein externer Schlüsselspeicher-Proxy benötigt, um auf eine Anfrage zu antworten. AWS KMS Verwenden Sie dieses Diagramm, um die Leistung Ihres externen Schlüsselspeicher-Proxys und externen Schlüsselmanagers zu bewerten.
AWS KMS erwartet, dass der externe Schlüsselspeicher-Proxy auf jede Anfrage innerhalb von 250 Millisekunden reagiert. Im Falle von Netzwerk-Timeouts AWS KMS wird die Anfrage einmal wiederholt. Wenn der Proxy ein zweites Mal fehlschlägt, entspricht die aufgezeichnete Latenz der kombinierten Timeout-Grenze für beide Anforderungen und das Diagramm zeigt etwa 500 Millisekunden an. In allen anderen Fällen, in denen der Proxy nicht innerhalb der Timeout-Grenze von 250 Millisekunden antwortet, beträgt die aufgezeichnete Latenzzeit 250 Millisekunden. Wenn der Proxy bei Verschlüsselungs- und Entschlüsselungsvorgängen häufig eine Zeitüberschreitung aufweist, wenden Sie sich an Ihren externen Proxy-Administrator. Hilfe zur Behebung von Latenzproblemen finden Sie unter [Latenz- und Zeitüberschreitungsfehler](xks-troubleshooting.md#fix-xks-latency).
Langsame Antworten können auch darauf hindeuten, dass Ihr externer Schlüsselmanager den aktuellen Anforderungsverkehr nicht bewältigen kann. AWS KMS empfiehlt, dass Ihr externer Schlüsselmanager bis zu 1800 Anfragen für kryptografische Operationen pro Sekunde verarbeiten kann. Wenn Ihr externer Schlüsselmanager die Rate von 1 800 Anforderungen pro Sekunde nicht bewältigen kann, sollten Sie eine [Verringerung Ihrer Anforderungsquote für KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher](requests-per-second.md#rps-key-stores) anfordern. Anforderungen für kryptografische Vorgänge, die die KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, schlagen schnell mit einer [Drosselungsausnahme](throttling.md) fehl, anstatt verarbeitet und später von Ihrem externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager abgelehnt zu werden.
Das Latenzdiagramm wird von der [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency)-Metrik abgeleitet. Wenn Sie [einen bestimmten Datenpunkt anzeigen](#graph-data-point), zeigt das Popup-Fenster die entsprechenden Werte der Dimensionen `KmsOperation` und `XksOperation` sowie die durchschnittliche Latenz an, die für die Vorgänge an diesem Datenpunkt aufgezeichnet wurde. Die Listenelemente sind von der höchsten zur niedrigsten Latenz sortiert.
Wir empfehlen, die [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) Metrik zu verwenden, um einen CloudWatch Alarm auszulösen, der Sie benachrichtigt, wenn sich Ihre Latenz dem Timeout-Limit nähert. Weitere Informationen finden Sie unter [Erstellen Sie einen Alarm für das Antwort-Timeout](xks-alarms.md#latency-alarm).
### 5 häufigste Ausnahmen
Die fünf häufigsten Ausnahmen für fehlgeschlagene kryptografische und verwaltungstechnische Vorgänge innerhalb eines bestimmten Zeitraums. Verwenden Sie dieses Diagramm, um die häufigsten Fehler zu verfolgen, sodass Sie Ihre Entwicklungsarbeit nach Prioritäten ordnen können.
Diese Anzahl umfasst Ausnahmen, die vom externen Schlüsselspeicher-Proxy AWS KMS empfangen wurden, und Ausnahmen`XksProxyUnreachableException`, die intern AWS KMS zurückgegeben werden, wenn keine Kommunikation mit dem externen Schlüsselspeicher-Proxy hergestellt werden kann.
Hohe Raten wiederholbarer Fehler können auf Netzwerkfehler hinweisen, während hohe Raten nicht wiederholbarer Fehler auf ein Problem mit der Konfiguration Ihres externen Schlüsselspeichers hinweisen können. Ein Anstieg `AuthenticationFailedExceptions` deutet beispielsweise auf eine Diskrepanz zwischen den im konfigurierten Authentifizierungsdaten AWS KMS und dem externen Schlüsselspeicher-Proxy hin. Informationen zur Konfiguration Ihres externen Schlüsselspeichers finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md). Informationen zum Bearbeiten der Einstellungen Ihres externen Schlüsselspeichers finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
Die Ausnahmen, die vom externen Schlüsselspeicher-Proxy AWS KMS empfangen werden, unterscheiden sich von den Ausnahmen, die AWS KMS zurückgegeben werden, wenn ein Vorgang fehlschlägt. AWS KMS Bei kryptografischen Vorgängen wird ein `KMSInvalidStateException` für alle Fehler zurückgegeben, die mit der externen Konfiguration oder dem Verbindungsstatus des externen Schlüsselspeichers zusammenhängen. Identifizieren Sie das Problem anhand des zugehörigen Fehlermeldungstexts.
In der folgenden Tabelle sind die Ausnahmen aufgeführt, die im Diagramm mit den fünf häufigsten Ausnahmen angezeigt werden können, sowie die entsprechenden Ausnahmen, die AWS KMS Ihnen angezeigt werden.
| Fehlertyp | Im Diagramm angezeigte Ausnahme | Ausnahme, die zu Ihnen AWS KMS zurückgekehrt ist |
| --- | --- | --- |
| Nicht wiederholbar | AccessDeniedException Hilfe zur Problembehebung finden Sie unter [Probleme mit der Proxy-Autorisierung](xks-troubleshooting.md#fix-xks-authorization). | **`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | AuthenticationFailedException Hilfe zur Problembehebung finden Sie unter [Fehler mit der Anmeldeinformation für die Authentifizierung](xks-troubleshooting.md#fix-xks-credentials). | **`XksProxyIncorrectAuthenticationCredentialException`** als Antwort auf `CreateCustomKeyStore`- und `UpdateCustomKeyStore`-Vorgänge.**`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Wiederholbar | **`DependencyTimeoutException`** Hilfe zur Problembehebung finden Sie unter [Latenz- und Zeitüberschreitungsfehler](xks-troubleshooting.md#fix-xks-latency). | **`XksProxyUriUnreachableException`** als Antwort auf `CreateCustomKeyStore`- und `UpdateCustomKeyStore`-Vorgänge. **`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Wiederholbar | **`InternalException`** Der Proxy des externen Schlüsselspeichers hat die Anforderung abgelehnt, weil er nicht mit dem externen Schlüsselmanager kommunizieren kann. Stellen Sie sicher, dass die Proxykonfiguration für den externen Schlüsselspeicher korrekt ist und dass der externe Schlüsselmanager verfügbar ist. | **`XksProxyInvalidResponseException`** als Antwort auf `CreateCustomKeyStore`- und `UpdateCustomKeyStore`-Vorgänge. **`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | **`InvalidCiphertextException`** Hilfe zur Problembehebung finden Sie unter [Entschlüsselungsfehler](xks-troubleshooting.md#fix-xks-decrypt). | **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | **`InvalidKeyUsageException`** Hilfe zur Problembehebung finden Sie unter [Kryptografische Operationsfehler für den externen Schlüssel](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | **`InvalidStateException`** Hilfe zur Problembehebung finden Sie unter [Kryptografische Operationsfehler für den externen Schlüssel](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | **`InvalidUriPathException`** Hilfe zur Problembehebung finden Sie unter [Allgemeine Konfigurationsfehler](xks-troubleshooting.md#fix-xks-gen-configuration). | **`XksProxyInvalidConfigurationException`** als Antwort auf `CreateCustomKeyStore`- und `UpdateCustomKeyStore`-Vorgänge. **`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | **`KeyNotFoundException`** Hilfe zur Problembehebung finden Sie unter [Fehler mit externen Schlüsseln](xks-troubleshooting.md#fix-external-key). | **`XksKeyNotFoundException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Wiederholbar | **`ThrottlingException`** Der Proxy des externen Schlüsselspeichers hat die Anforderung aufgrund einer sehr hohen Anzahl von Anforderungen abgelehnt. Verringern Sie die Häufigkeit Ihrer Aufrufe mit KMS-Schlüsseln in diesem externen Schlüsselspeicher. | **`XksProxyUriUnreachableException`** als Antwort auf `CreateCustomKeyStore`- und `UpdateCustomKeyStore`-Vorgänge. **`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | **`UnsupportedOperationException`** Hilfe zur Problembehebung finden Sie unter [Kryptografische Operationsfehler für den externen Schlüssel](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidResponseException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Nicht wiederholbar | **`ValidationException`** Hilfe zur Problembehebung finden Sie unter [Proxy-Probleme](xks-troubleshooting.md#fix-xks-proxy). | **`XksProxyInvalidResponseException`** als Antwort auf `CreateCustomKeyStore`- und `UpdateCustomKeyStore`-Vorgänge. **`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
| Wiederholbar | **`XksProxyUnreachableException`** Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein URI-Pfad und Endpunkt-URI oder der Name des VPC-Service in Ihrem externen Schlüsselspeicher korrekt sind. | **`XksProxyUriUnreachableException`** als Antwort auf `CreateCustomKeyStore`- und `UpdateCustomKeyStore`-Vorgänge. **`CustomKeyStoreInvalidStateException`** als Antwort auf `CreateKey`-Vorgänge. **`KMSInvalidStateException`** als Antwort auf kryptografische Vorgänge. |
Das Diagramm mit den fünf wichtigsten Ausnahmen wird von der [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors)-Metrik abgeleitet. Wenn Sie [einen bestimmten Datenpunkt anzeigen](#graph-data-point), zeigt das Popup-Fenster den Wert der Dimension `ExceptionName` zusammen mit der Anzahl, wie oft die Ausnahme an diesem Datenpunkt aufgezeichnet wurde. Die fünf Elemente der Liste sind in der Reihenfolge der häufigsten Ausnahme bis zur geringsten geordnet.
Wir empfehlen, die [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) Metrik zu verwenden, um einen CloudWatch Alarm zu erstellen, der Sie über mögliche Konfigurationsprobleme informiert, indem er Sie benachrichtigt, wenn innerhalb einer Minute mehr als fünf Fehler aufgezeichnet werden, die nicht erneut versucht werden können. Weitere Informationen finden Sie unter [Erstellen Sie einen Alarm für Fehler, die nicht wiederholt werden können](xks-alarms.md#nonretryable-errors-alarm).
### Gültigkeitsdauer des Zertifikats in Tagen
Die Anzahl der Tage, bis das TLS-Zertifikat für den Proxy-Endpunkt Ihres externen Schlüsselspeichers (`XksProxyUriEndpoint`) abläuft. Verwenden Sie dieses Diagramm zur Überwachung des bevorstehenden Ablaufs Ihres TLS-Zertifikats.
Wenn das Zertifikat abläuft, AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommuniziert werden. Der Zugriff auf alle durch KMS-Schlüssel geschützten Daten in Ihrem externen Schlüsselspeicher ist dann erst wieder möglich, wenn Sie das Zertifikat erneuern.
Das Diagramm mit der Gültigkeitsdauer des Zertifikats in Tagen wird von der [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire)-Metrik abgeleitet. Wir empfehlen dringend, diese Metrik zu verwenden, um einen CloudWatch Alarm auszulösen, der Sie über den bevorstehenden Ablauf informiert. Der Ablauf des Zertifikats kann den Zugriff auf Ihre verschlüsselten Ressourcen verhindern. Stellen Sie den Alarm so ein, dass Ihre Organisation Zeit hat, das Zertifikat zu erneuern, bevor es abläuft. Weitere Informationen finden Sie unter [Erstellen Sie einen Alarm für den Ablauf des Zertifikats](xks-alarms.md#cert-expire-alarm).
# Externe Schlüsselspeicher Connect und trennen
Neue externe Schlüsselspeicher sind nicht verbunden. Um Ihren externen Schlüsselspeicher zu erstellen und AWS KMS keys in Ihrem externen Schlüsselspeicher zu verwenden, müssen Sie Ihren externen Schlüsselspeicher mit seinem [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy) verbinden. Sie können Ihren externen Schlüsselspeicher jederzeit verbinden und trennen und seinen [Verbindungsstatus anzeigen](view-xks-keystore.md).
Solange Ihr externer Schlüsselspeicher nicht verbunden ist, AWS KMS kann er nicht mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Daher können Sie Ihren externen Schlüsselspeicher und seine vorhandenen KMS-Schlüssel anzeigen und verwalten. Sie können jedoch keine KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen oder dessen KMS-Schlüssel in kryptografischen Vorgängen verwenden. Es kann sein, dass Sie die Verbindung Ihres externen Schlüsselspeichers irgendwann trennen müssen, z. B. wenn Sie seine Eigenschaften bearbeiten. Wenn Sie die Verbindung zum Schlüsselspeicher trennen, kann der Betrieb von AWS Diensten, die dessen KMS-Schlüssel verwenden, gestört werden.
Sie müssen Ihren externen Schlüsselspeicher nicht verbinden. Sie können die Verbindung eines externen Schlüsselspeichers auf unbestimmte Zeit getrennt lassen und die Verbindung nur herstellen, wenn Sie den Schlüsselspeicher verwenden müssen. Möglicherweise möchten Sie die Verbindung jedoch von Zeit zu Zeit testen, um zu prüfen, ob die Einstellungen korrekt sind und eine Verbindungsherstellung möglich ist.
Wenn Sie die Verbindung zu einem benutzerdefinierten Schlüsselspeicher trennen, werden die KMS-Schlüssel im Schlüsselspeicher sofort unbrauchbar (je nach letztendlicher Konsistenz). Ressourcen, die mit durch den KMS-Schlüssel geschützten [Datenschlüsseln](data-keys.md) verschlüsselt wurden, sind jedoch nicht betroffen, bis der KMS-Schlüssel erneut verwendet wird, z. B. zur Entschlüsselung des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter [Auswirkung von unbrauchbaren KMS-Schlüsseln auf Datenschlüssel](unusable-kms-keys.md).
**Anmerkung**
Externe Schlüsselspeicher haben nur dann den Status `DISCONNECTED`, wenn der Schlüsselspeicher noch nie verbunden wurde oder Sie ihn explizit trennen. Der Status `CONNECTED` bedeutet nicht, dass der externe Schlüsselspeicher oder seine unterstützenden Komponenten effizient funktionieren. Informationen über die Leistung der Komponenten Ihres externen Schlüsselspeichers finden Sie in den Diagrammen im Abschnitt **Monitoring** (Überwachung) auf der Detailseite für jeden externen Schlüsselspeicher. Details hierzu finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
Ihr externer Schlüsselmanager bietet möglicherweise zusätzliche Methoden zum Beenden und Neustarten der Kommunikation zwischen Ihrem AWS KMS externen Schlüsselspeicher und Ihrem externen Schlüsselspeicher-Proxy oder zwischen Ihrem externen Schlüsselspeicher-Proxy und dem externen Schlüsselmanager. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.
**Topics**
+ [
## Verbindungsstatus
](#xks-connection-state)
+ [
# Einen externen Schlüsselspeicher verbinden
](about-xks-connecting.md)
+ [
# Trennen Sie die Verbindung zu einem externen Schlüsselspeicher
](about-xks-disconnecting.md)
## Verbindungsstatus
Beim Verbinden und Trennen der Verbindung wird der *Verbindungsstatus* Ihres benutzerdefinierten Schlüsselspeichers geändert. Die Werte für den Verbindungsstatus sind für AWS CloudHSM Schlüsselspeicher und externe Schlüsselspeicher identisch.
Um den Verbindungsstatus Ihres benutzerdefinierten Schlüsselspeichers anzuzeigen, verwenden Sie das [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)Betriebssystem oder die AWS KMS Konsole. Der **Verbindungsstatus** wird in jeder Tabelle des benutzerdefinierten Schlüsselspeichers, im Abschnitt **General configuration** (Allgemeine Konfiguration) der Detailseite jedes benutzerdefinierten Schlüsselspeichers und auf der Registerkarte **Cryptographic configuration** (Kryptografische Konfiguration) der KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher angezeigt. Details dazu finden Sie unter [Sehen Sie sich einen AWS CloudHSM Schlüsselspeicher an](view-keystore.md) und [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md).
Ein benutzerdefinierter Schlüsselspeicher kann einen der folgenden Verbindungsstatus haben:
+ `CONNECTED`: Der benutzerdefinierte Schlüsselspeicher ist mit seinem Unterstützungsschlüsselspeicher verbunden. Sie können KMS-Schlüssel im benutzerdefinierten Schlüsselspeicher erstellen und verwenden.
Der *Backing-Schlüsselspeicher* für einen AWS CloudHSM Schlüsselspeicher ist der zugehörige AWS CloudHSM Cluster. Der *Unterstützungsschlüsselspeicher* für einen externen Schlüsselspeicher ist der externe Schlüsselspeicher-Proxy und der externe Schlüsselmanager, den er unterstützt.
Der Status „CONNECTED“ (VERBUNDEN) bedeutet, dass eine Verbindung erfolgreich war und der benutzerdefinierte Schlüsselspeicher nicht absichtlich getrennt wurde. Er bedeutet nicht, dass die Verbindung ordnungsgemäß funktioniert. Informationen zum Status des AWS CloudHSM Clusters, der Ihrem AWS CloudHSM Schlüsselspeicher zugeordnet ist, finden Sie AWS CloudHSM im AWS CloudHSM Benutzerhandbuch unter [ CloudWatch Metriken abrufen für](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html). Informationen zum Status und Betrieb Ihres externen Schlüsselspeichers finden Sie in den Diagrammen im Abschnitt **Überwachung** auf der Detailseite für jeden externen Schlüsselspeicher. Details hierzu finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
+ `CONNECTING`: Der Prozess der Verbindung eines benutzerdefinierten Schlüsselspeichers ist im Gange. Dies ist ein vorübergehender Zustand.
+ `DISCONNECTED`: Der benutzerdefinierte Schlüsselspeicher wurde noch nie mit seinem Backing-Speicher verbunden, oder er wurde absichtlich mithilfe der AWS KMS Konsole oder des [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html)Vorgangs getrennt.
+ `DISCONNECTING`: Der Prozess der Trennung eines benutzerdefinierten Schlüsselspeichers ist im Gange. Dies ist ein vorübergehender Zustand.
+ `FAILED`: Ein Versuch, den benutzerdefinierten Schlüsselspeicher zu verbinden, ist fehlgeschlagen. Das `ConnectionErrorCode` in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)Antwort weist auf das Problem hin.
Um einen benutzerdefinierten Schlüsselspeicher zu verbinden, muss sein Verbindungsstatus `DISCONNECTED` sein. Wenn der Verbindungsstatus `FAILED` lautet, identifizieren und lösen Sie das Problem anhand des `ConnectionErrorCode`. Trennen Sie dann den benutzerdefinierten Schlüsselspeicher, bevor Sie versuchen, die Verbindung wieder herzustellen. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](xks-troubleshooting.md#fix-xks-connection). Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes).
Anzeigen des Verbindungsfehlercodes:
+ Sehen Sie sich in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort den Wert des `ConnectionErrorCode` Elements an. Die `DescribeCustomKeyStores`-Antwort enthält dieses Element nur, wenn der `ConnectionState` `FAILED` ist.
+ Um den Verbindungsfehlercode in der AWS KMS Konsole auf der Detailseite für den externen Schlüsselspeicher anzuzeigen, zeigen Sie mit der Maus auf den Wert **Fehlgeschlagen**.
![\[Verbindungsfehlercode auf der Detailseite des benutzerdefinierten Schlüsselspeichers\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/connection-error-code.png)
# Einen externen Schlüsselspeicher verbinden
Wenn Ihr externer Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist, können Sie [KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen](create-cmk-keystore.md) und seine vorhandenen KMS-Schlüssel in [kryptografischen Vorgängen](manage-cmk-keystore.md#use-cmk-keystore) verwenden.
Der Prozess, der einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbindet, unterscheidet sich je nach der Konnektivität des externen Schlüsselspeichers.
+ Wenn Sie einen externen Schlüsselspeicher mit [öffentlicher Endpunktkonnektivität](keystore-external.md#concept-xks-connectivity) verbinden, AWS KMS sendet er eine [GetHealthStatus Anfrage](keystore-external.md#concept-proxy-apis) an den externen Schlüsselspeicher-Proxy, um den [Proxy-URI-Endpunkt, den [Proxy-URI-Pfad](create-xks-keystore.md#require-path)](create-xks-keystore.md#require-endpoint) und die [Anmeldeinformationen für die Proxyauthentifizierung](keystore-external.md#concept-xks-credential) zu überprüfen. Eine erfolgreiche Antwort vom Proxy bestätigt, dass der [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) und der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) korrekt und zugänglich sind und dass der Proxy die mit der [Proxy-Authentifizierungsanmeldeinformation](keystore-external.md#concept-xks-credential) für den externen Schlüsselspeicher signierte Anforderung authentifiziert hat.
+ Wenn Sie einen externen Schlüsselspeicher mit [VPC-Endpunktdienst-Konnektivität](choose-xks-connectivity.md#xks-vpc-connectivity) mit seinem externen Schlüsselspeicher-Proxy verbinden, AWS KMS geht Folgendes vor:
+ Bestätigt, dass die Domain für den im [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) angegebenen privaten DNS-Namen [verifiziert](vpc-connectivity.md#xks-private-dns) ist.
+ Erstellt einen Schnittstellenendpunkt von einer AWS KMS VPC zu Ihrem VPC-Endpunktdienst.
+ Erstellt eine private gehostete Zone für den im Proxy-URI-Endpunkt angegebenen privaten DNS-Namen.
+ Sendet eine [GetHealthStatusAnfrage](keystore-external.md#concept-proxy-apis) an den externen Schlüsselspeicher-Proxy. Eine erfolgreiche Antwort vom Proxy bestätigt, dass der [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) und der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) korrekt und zugänglich sind und dass der Proxy die mit der [Proxy-Authentifizierungsanmeldeinformation](keystore-external.md#concept-xks-credential) für den externen Schlüsselspeicher signierte Anforderung authentifiziert hat.
Der Verbindungsvorgang beginnt mit der Verbindung Ihres benutzerdefinierten Schlüsselspeichers, die Verbindung eines externen Schlüsselspeichers mit seinem externen Proxy dauert jedoch etwa fünf Minuten. Eine Erfolgsmeldung des Verbindungsvorgangs bedeutet nicht, dass der externe Schlüsselspeicher verbunden ist. Um zu überprüfen, ob die Verbindung erfolgreich war, verwenden Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)Vorgang, um den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) Ihres externen Schlüsselspeichers anzuzeigen.
Wenn der Verbindungsstatus lautet`FAILED`, wird ein Verbindungsfehlercode in der AWS KMS Konsole angezeigt und der `DescribeCustomKeyStore` Antwort hinzugefügt. Hilfe zur Interpretation von Verbindungsfehlercodes finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes).
## Connect zu Ihrem externen Schlüsselspeicher her und stellen Sie erneut eine Verbindung her
Sie können Ihren externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des Vorgangs verbinden oder erneut verbinden. [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)
### Mithilfe der Konsole AWS KMS
Sie können die AWS KMS Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden.
1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Wählen Sie die Zeile des externen Schlüsselspeichers aus, den Sie verbinden möchten.
Wenn der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers **FAILED** (FEHLGESCHLAGEN) ist, müssen Sie die [Verbindung des externen Schlüsselspeichers trennen](disconnect-keystore.md#disconnect-keystore-console), bevor Sie ihn verbinden.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Connect** (Verbinden) aus.
Der Verbindungsvorgang dauert in der Regel etwa fünf Minuten. Wenn der Vorgang abgeschlossen ist, ändert sich der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) in **CONNECTED** (VERBUNDEN).
Wenn der Verbindungsstatus **Failed** (Fehlgeschlagen) ist, bewegen Sie den Mauszeiger über den Verbindungsstatus, um den *Verbindungsfehlercode* zu sehen, der die Ursache des Fehlers erklärt. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes). Um einen externen Schlüsselspeicher mit dem Verbindungsstatus **Failed** (Fehlgeschlagen) zu verbinden, müssen Sie zuerst [den benutzerdefinierten Schlüsselspeicher trennen](disconnect-keystore.md#disconnect-keystore-console).
### Verwenden der API AWS KMS
Verwenden Sie den [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang, um eine Verbindung zu einem getrennten externen Schlüsselspeicher herzustellen.
Vor der Verbindung muss der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers `DISCONNECTED` sein. Wenn der Verbindungsstatus `FAILED` lautet, [trennen Sie den externen Schlüsselspeicher](about-xks-disconnecting.md#disconnect-xks-api) und stellen Sie anschließend die Verbindung her.
Der Verbindungsvorgang dauert etwa fünf Minuten. Wenn er nicht schnell fehlschlägt, gibt `ConnectCustomKeyStore` eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den Verbindungsstatus in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort an.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Identifizieren Sie den externen Schlüsselspeicher anhand der ID des benutzerdefinierten Schlüsselspeichers. Sie finden die ID auf der Seite **Benutzerdefinierte Schlüsselspeicher** in der Konsole oder mithilfe des [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgangs. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Der `ConnectCustomKeyStore`-Vorgang gibt den `ConnectionState` nicht in seiner Antwort zurück. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der externe Schlüsselspeicher angeschlossen ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der `ConnectionState`-Wert `CONNECTED` bedeutet, dass der externe Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Wenn der `ConnectionState`-Wert in der `DescribeCustomKeyStores`-Antwort `FAILED` lautet, gibt das `ConnectionErrorCode`-Element den Grund für den Fehler an.
Im folgenden Beispiel `ConnectionErrorCode` gibt der `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` Wert für an, dass der VPC-Endpunktdienst, den er für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht gefunden werden AWS KMS kann. Stellen Sie sicher, `XksProxyVpcEndpointServiceName` dass der AWS KMS Service Principal ein zulässiger Principal auf dem Amazon VPC-Endpunktservice ist und dass der VPC-Endpunktservice keine Annahme von Verbindungsanfragen erfordert. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
# Trennen Sie die Verbindung zu einem externen Schlüsselspeicher
Wenn Sie einen externen Schlüsselspeicher mit [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) von seinem externen Schlüsselspeicher-Proxy trennen, löscht AWS KMS seinen Schnittstellen-Endpunkt zum VPC-Endpunkt-Service und entfernt die Netzwerkinfrastruktur, die zur Unterstützung der Verbindung erstellt wurde. Für externe Schlüsselspeicher mit öffentlicher Endpunktkonnektivität ist kein entsprechender Prozess erforderlich. Diese Aktion wirkt sich weder auf den VPC-Endpunkt-Service oder eine seiner unterstützenden Komponenten noch auf den externen Schlüsselspeicher-Proxy oder externe Komponenten aus.
AWS KMS Sendet keine Anfragen an den externen Schlüsselspeicher-Proxy, solange die Verbindung zum externen Schlüsselspeicher getrennt ist. Der Verbindungsstatus des externen Schlüsselspeichers ist `DISCONNECTED`. Die KMS-Schlüssel im getrennten externen Schlüsselspeicher befinden sich in einem [`UNAVAILABLE`-Schlüsselzustand](key-state.md) (es sei denn, sie sind [zum Löschen vorgesehen](deleting-keys.md)), was bedeutet, dass sie nicht für kryptografische Vorgänge verwendet werden können. Sie können Ihren externen Schlüsselspeicher und die vorhandenen KMS-Schlüssel jedoch weiterhin anzeigen und verwalten.
Der getrennte Zustand ist als vorübergehend und umkehrbar konzipiert. Sie können die Verbindung Ihres externen Schlüsselspeichers jederzeit wieder herstellen. Normalerweise ist keine Neukonfiguration erforderlich. Wenn sich jedoch Eigenschaften des zugehörigen externen Schlüsselspeicher-Proxys geändert haben, während die Verbindung getrennt war, z. B. die Rotation der [Anmeldeinformation für die Proxy-Authentifizierung](keystore-external.md#concept-xks-credential), müssen Sie die [Einstellungen des externen Schlüsselspeichers vor der erneuten Verbindung bearbeiten](update-xks-keystore.md).
**Anmerkung**
Sämtliche Versuche, KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher zu erstellen oder vorhandene KMS-Schlüssel in kryptografischen Produktionen zu nutzen, schlagen fehl, während der benutzerdefinierte Schlüsselspeicher getrennt ist. Diese Aktion kann verhindern, dass Benutzer vertrauliche Daten speichern und darauf zugreifen.
Um die Auswirkung einer Trennung der Verbindung Ihres externen Schlüsselspeichers besser beurteilen zu können, ermitteln Sie die KMS-Schlüssel im externen Schlüsselspeicher und [ihre bisherige Verwendung](deleting-keys-determining-usage.md).
Die Verbindung eines externen Schlüsselspeichers könnte beispielsweise aus folgenden Gründen getrennt werden:
+ **Zum Bearbeiten seiner Eigenschaften.** Sie können den Namen des benutzerdefinierten Schlüsselspeichers, den Proxy-URI-Pfad und die Anmeldeinformation für die Proxy-Authentifizierung bearbeiten, während der externe Schlüsselspeicher verbunden ist. Um jedoch den Typ der Proxy-Konnektivität, den Proxy-URI-Endpunkt oder den Namen des VPC-Endpunkt-Services zu bearbeiten, müssen Sie zunächst die Verbindung des externen Schlüsselspeichers trennen. Details hierzu finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
+ **Um die gesamte Kommunikation zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy zu beenden**. Sie können auch die Kommunikation zwischen AWS KMS und Ihrem Proxy beenden, indem Sie Ihren Endpunkt oder VPC-Endpunktdienst deaktivieren. Darüber hinaus bietet Ihr externer Schlüsselspeicher-Proxy oder Ihre Schlüsselverwaltungssoftware möglicherweise zusätzliche Mechanismen, um die Kommunikation mit AWS KMS dem Proxy oder den Zugriff des Proxys auf Ihren externen Schlüsselmanager zu verhindern.
+ **Zum Deaktivieren aller KMS-Schlüssel** im externen Schlüsselspeicher. Sie können [KMS-Schlüssel in einem externen Schlüsselspeicher mithilfe der AWS KMS Konsole oder des [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)Vorgangs deaktivieren und erneut aktivieren](enabling-keys.md). Diese Vorgänge werden schnell abgeschlossen (vorbehaltlich einer letztendlichen Konsistenz), beziehen sich jedoch immer nur auf jeweils einen KMS-Schlüssel. Wenn die Verbindung zum externen Schlüsselspeicher unterbrochen wird, ändert sich der Schlüsselstatus aller KMS-Schlüssel im externen Schlüsselspeicher in `Unavailable`, sodass sie in keinem kryptografischen Vorgang verwendet werden können.
+ **Zur Behebung eines fehlgeschlagenen Verbindungsversuchs**. Wenn ein Versuch, eine Verbindung für einen externen Schlüsselspeicher herzustellen, fehlschlägt (Verbindungsstatus des benutzerdefinierten Schlüsselspeichers ist `FAILED`), müssen Sie die Verbindung des externen Schlüsselspeichers trennen, bevor Sie erneut versuchen, eine Verbindung herzustellen.
## Trennen Sie die Verbindung zu Ihrem externen Schlüsselspeicher
Sie können die Verbindung zu Ihrem externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgangs trennen.
### Mithilfe der AWS KMS Konsole
Sie können die AWS KMS Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden. Dieser Vorgang dauert etwa 5 Minuten.
1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Wählen Sie die Zeile des externen Schlüsselspeichers aus, mit dem Sie die Verbindung trennen möchten.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Disconnect** (Verbindung trennen) aus.
Nach Abschluss der Produktion ändert sich der Verbindungsstatus von **DISCONNECTING (VERBINDUNG WIRD GETRENNT)** in **DISCONNECTED (VERBINDUNG GETRENNT)**. Wenn die Produktion fehlschlägt, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](xks-troubleshooting.md#fix-xks-connection).
### Verwenden der API AWS KMS
Verwenden Sie den [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)Vorgang, um die Verbindung zu einem verbundenen externen Schlüsselspeicher zu trennen. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben. Der Vorgang dauert etwa fünf Minuten. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um den Verbindungsstatus des externen Schlüsselspeichers zu ermitteln.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
In diesem Beispiel wird die Verbindung eines externen Schlüsselspeichers mit Konnektivität eines VPC-Endpunkt-Service getrennt. Vor der Ausführung dieses Beispiels müssen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine gültige ID ersetzen.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der externe Schlüsselspeicher getrennt ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der `ConnectionState`-Wert `DISCONNECTED` bedeutet, dass in diesem Beispiel der externe Schlüsselspeicher nicht mehr mit seinem externen Schlüsselspeicher-Proxy verbunden ist.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "DISCONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
# Löschen Sie einen externen Schlüsselspeicher
Wenn Sie einen externen Schlüsselspeicher AWS KMS löschen, werden alle Metadaten über den externen Schlüsselspeicher gelöscht AWS KMS, einschließlich Informationen über seinen externen Schlüsselspeicher-Proxy. Dieser Vorgang hat keine Auswirkungen auf den [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy), den [externen Schlüsselmanager](keystore-external.md#concept-ekm), [externe Schlüssel](keystore-external.md#concept-external-key) oder andere AWS Ressourcen, die Sie zur Unterstützung des externen Schlüsselspeichers erstellt haben, wie z. B. eine Amazon VPC oder einen VPC-Endpunktservice.
Bevor Sie einen externen Schlüsselspeicher löschen, müssen Sie [alle KMS-Schlüssel aus dem Schlüsselspeicher löschen](deleting-keys.md) und die [Verbindung des Schlüsselspeichers mit seinem externen Schlüsselspeicher-Proxy trennen](xks-connect-disconnect.md). Andernfalls schlagen Versuche, den Schlüsselspeicher zu löschen, fehl.
Das Löschen eines externen Schlüsselspeichers ist nicht rückgängig zu machen, aber Sie können einen neuen externen Schlüsselspeicher erstellen und ihn mit demselben externen Schlüsselspeicher-Proxy und externen Schlüsselmanager verknüpfen. Sie können die KMS-Schlüssel für die symmetrische Verschlüsselung jedoch nicht im externen Schlüsselspeicher neu erstellen, selbst wenn Sie Zugriff auf dasselbe externe Schlüsselmaterial haben. AWS KMS schließt Metadaten im symmetrischen Chiffretext ein, die für jeden KMS-Schlüssel einzigartig sind. Diese Sicherheitsfunktion sorgt dafür, dass nur der KMS-Schlüssel, der die Daten verschlüsselt hat, sie entschlüsseln kann.
Anstatt den externen Schlüsselspeicher zu löschen, sollten Sie dessen Verbindung trennen. Solange die Verbindung zu einem externen Schlüsselspeicher unterbrochen ist, können Sie den externen Schlüsselspeicher und dessen Inhalt verwalten, AWS KMS keys aber Sie können keine KMS-Schlüssel im externen Schlüsselspeicher erstellen oder verwenden. Sie können den externen Schlüsselspeicher jederzeit wieder verbinden und seine KMS-Schlüssel zum Ver- und Entschlüsseln von Daten verwenden. Für einen nicht verbundenen externen Schlüsselspeicher-Proxy oder seine nicht verfügbaren KMS-Schlüssel fallen keine Kosten an.
Sie können Ihren externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgangs löschen.
## Mithilfe der AWS KMS Konsole
Sie können die AWS KMS Konsole verwenden, um einen externen Schlüsselspeicher zu löschen.
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Suchen Sie die Zeile, die den externen Schlüsselspeicher darstellt, den Sie löschen möchten. Wenn der **Verbindungsstatus** des externen Schlüsselspeichers nicht **DISCONNECTED** (VERBINDUNG GETRENNT) ist, müssen Sie die [Verbindung des externen Schlüsselspeichers trennen](about-xks-disconnecting.md#disconnect-xks-console), bevor Sie ihn löschen.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Delete** (Löschen) aus.
Nach Abschluss des Vorgangs wird eine Erfolgsmeldung angezeigt und der externe Schlüsselspeicher wird nicht mehr in der Schlüsselspeicherliste angezeigt. Wenn die Produktion nicht erfolgreich ist, wird eine Fehlermeldung mit einer Beschreibung des Problems und Hilfestellung zur Fehlerbehebung angezeigt. Wenn Sie weitere Hilfe benötigen, beachten Sie den Abschnitt [Fehlerbehebung bei externen Schlüsselspeichern](xks-troubleshooting.md).
## Verwenden der API AWS KMS
Verwenden Sie den [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgang, um einen externen Schlüsselspeicher zu löschen. Wenn der Vorgang erfolgreich ist, werden eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften AWS KMS zurückgegeben.
Trennen Sie zunächst die Verbindung des externen Schlüsselspeichers. Vor der Ausführung dieses Befehls müssen Sie die Beispiel-ID des benutzerdefinierten Schlüsselspeichers durch eine gültige ID ersetzen.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Nachdem der externe Schlüsselspeicher getrennt wurde, können Sie ihn mithilfe des [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)Vorgangs löschen.
```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu bestätigen, dass der externe Schlüsselspeicher gelöscht wurde.
```
$ aws kms describe-custom-key-stores
{
"CustomKeyStores": []
}
```
Wenn Sie einen benutzerdefinierten Schlüsselspeicher-Namen oder eine ID angeben, die nicht mehr existiert, wird eine `CustomKeyStoreNotFoundException` Ausnahme AWS KMS zurückgegeben.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
An error occurred (CustomKeyStoreNotFoundException) when calling the DescribeCustomKeyStore operation:
```
# Fehlerbehebung bei externen Schlüsselspeichern
Die meisten Probleme mit externen Schlüsselspeichern lassen sich anhand der Fehlermeldung beheben, die bei jeder Ausnahme AWS KMS angezeigt wird, oder anhand des [Verbindungsfehlercodes](#fix-xks-connection), der AWS KMS zurückgegeben wird, wenn ein Versuch, [den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden](xks-connect-disconnect.md), fehlschlägt. Einige Probleme sind jedoch etwas komplexer.
Wenn Sie ein Problem mit einem externen Schlüsselspeicher diagnostizieren, ermitteln Sie zunächst die Ursache. Dadurch wird die Bandbreite der potenziellen Abhilfemaßnahmen eingeschränkt und Ihre Fehlersuche wird effizienter.
+ AWS KMS — Das Problem liegt möglicherweise darin AWS KMS, z. B. ein falscher Wert in der [Konfiguration Ihres externen Schlüsselspeichers](create-xks-keystore.md#xks-requirements).
+ Extern — Das Problem kann außerhalb von liegen AWS KMS, einschließlich Problemen mit der Konfiguration oder dem Betrieb des externen Schlüsselspeicher-Proxys, des externen Schlüsselmanagers, der externen Schlüssel oder des VPC-Endpunktdienstes.
+ Netzwerk — Möglicherweise handelt es sich um ein Konnektivitäts- oder Netzwerkproblem, z. B. ein Problem mit Ihrem Proxy-Endpunkt, Port, IP-Stack oder Ihrem privaten DNS-Namen oder Ihrer privaten DNS-Domäne.
**Anmerkung**
Wenn Verwaltungsoperationen für externe Schlüsselspeicher fehlschlagen, generieren sie verschiedene Ausnahmen. AWS KMS Kryptografische Operationen werden jedoch `KMSInvalidStateException` für alle Fehler zurückgegeben, die mit der externen Konfiguration oder dem Verbindungsstatus des externen Schlüsselspeichers zusammenhängen. Identifizieren Sie das Problem anhand des zugehörigen Fehlermeldungstexts.
Der [ConnectCustomKeyStore](xks-connect-disconnect.md)Vorgang ist schnell erfolgreich, bevor der Verbindungsvorgang abgeschlossen ist. Um festzustellen, ob der Verbindungsvorgang erfolgreich ausgeführt wird, sehen Sie sich den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers an. Wenn der Verbindungsvorgang fehlschlägt, gibt AWS KMS einen [Verbindungsfehlercode](#xks-connection-error-codes) zurück, der Aufschluss über die Ursache gibt und Abhilfemaßnahmen vorschlägt.
**Topics**
+ [
## Tools zur Fehlerbehebung bei externen Schlüsselspeichern
](#xks-troubleshooting-tools)
+ [
## Konfigurationsfehler
](#fix-xks-configuration)
+ [
## Fehler bei der Verbindung mit dem externen Schlüsselspeicher
](#fix-xks-connection)
+ [
## Latenz- und Zeitüberschreitungsfehler
](#fix-xks-latency)
+ [
## Fehler mit der Anmeldeinformation für die Authentifizierung
](#fix-xks-credentials)
+ [
## Fehler mit dem Schlüsselstatus
](#fix-unavailable-xks-keys)
+ [
## Entschlüsselungsfehler
](#fix-xks-decrypt)
+ [
## Fehler mit externen Schlüsseln
](#fix-external-key)
+ [
## Proxy-Probleme
](#fix-xks-proxy)
+ [
## Probleme mit der Proxy-Autorisierung
](#fix-xks-authorization)
## Tools zur Fehlerbehebung bei externen Schlüsselspeichern
AWS KMS stellt mehrere Tools bereit, mit denen Sie Probleme mit Ihrem externen Schlüsselspeicher und seinen Schlüsseln identifizieren und lösen können. Verwenden Sie diese Tools zusammen mit den Tools, die mit Ihrem externen Schlüsselspeicher-Proxy und Ihrem externen Schlüsselmanager bereitgestellt werden.
**Anmerkung**
Ihr externer Schlüsselspeicher-Proxy und Ihr externer Schlüsselmanager bieten möglicherweise einfachere Methoden zum Erstellen und Verwalten Ihres externen Schlüsselspeichers und seiner KMS-Schlüssel. Weitere Informationen finden Sie in der Dokumentation Ihrer externen Tools.
**AWS KMS Ausnahmen und Fehlermeldungen**
AWS KMS bietet eine detaillierte Fehlermeldung zu allen auftretenden Problemen. Weitere Informationen zu AWS KMS Ausnahmen finden Sie in der [https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) und AWS SDKs. Auch wenn Sie die AWS KMS Konsole verwenden, könnten diese Verweise für Sie hilfreich sein. Sehen Sie sich zum Beispiel die [Fehlerliste](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) für die `CreateCustomKeyStores`-Operation an.
Um die Leistung Ihres externen Schlüsselspeicher-Proxys zu optimieren, AWS KMS gibt es Ausnahmen auf der Grundlage der Zuverlässigkeit Ihres Proxys innerhalb eines bestimmten Aggregationszeitraums von 5 Minuten zurück. Bei einem internen Serverfehler vom Typ 500, 503 Service Unavailable oder einem Verbindungs-Timeout kehrt ein Proxy mit hoher Zuverlässigkeit zurück `KMSInternalException` und löst einen automatischen Wiederholungsversuch aus, um sicherzustellen, dass Anfragen letztendlich erfolgreich sind. Ein Proxy mit niedriger Zuverlässigkeit kehrt jedoch zurück. `KMSInvalidStateException` Weitere Informationen finden Sie unter [Überwachen eines externen Schlüsselspeichers](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).
Wenn das Problem in einem anderen AWS Dienst auftritt, z. B. wenn Sie einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, um eine Ressource in einem anderen AWS Dienst zu schützen, stellt der AWS Dienst möglicherweise zusätzliche Informationen zur Verfügung, mit denen Sie das Problem identifizieren können. Wenn der AWS Dienst die Meldung nicht bereitstellt, können Sie die Fehlermeldung in den [CloudTrail Protokollen](logging-using-cloudtrail.md) einsehen, in denen die Verwendung Ihres KMS-Schlüssels aufgezeichnet wird.
**[CloudTrail logs](logging-using-cloudtrail.md)**
Jeder AWS KMS API-Vorgang, einschließlich Aktionen in der AWS KMS Konsole, wird in AWS CloudTrail Protokollen aufgezeichnet. AWS KMS zeichnet einen Protokolleintrag für erfolgreiche und fehlgeschlagene Operationen auf. Bei fehlgeschlagenen Operationen enthält der Protokolleintrag den Namen der AWS KMS -Ausnahme (`errorCode`) und die Fehlermeldung (`errorMessage`). Sie können diese Informationen verwenden, um den Fehler zu identifizieren und zu beheben. Ein Beispiel finden Sie unter [Fehler bei der Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher](ct-decrypt.md#ct-decrypt-xks-fail).
Der Protokolleintrag enthält auch die Anfrage-ID. Wenn die Anfrage Ihren externen Schlüsselspeicher-Proxy erreicht hat, können Sie mithilfe der Anfrage-ID im Protokolleintrag die entsprechende Anfrage in Ihren Proxy-Protokollen finden, sofern Ihr Proxy sie bereitstellt.
**[CloudWatch Metriken](monitoring-cloudwatch.md#kms-metrics)**
AWS KMS zeichnet detaillierte CloudWatch Amazon-Metriken über den Betrieb und die Leistung Ihres externen Schlüsselspeichers auf, darunter Latenz, Drosselung, Proxyfehler, den Status des externen Schlüsselmanagers, die Anzahl der Tage bis zum Ablauf Ihres TLS-Zertifikats und das gemeldete Alter Ihrer Proxy-Authentifizierungsdaten. Sie können diese Metriken verwenden, um Datenmodelle für den Betrieb Ihres externen Schlüsselspeichers und CloudWatch Alarme zu entwickeln, die Sie vor drohenden Problemen warnen, bevor sie auftreten.
AWS KMS empfiehlt, dass Sie CloudWatch Alarme erstellen, um die Messwerte des externen Schlüsselspeichers zu überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Problemen, bevor sie auftreten.
**[Überwachungsdiagramme](xks-monitoring.md)**
AWS KMS zeigt auf der Detailseite für jeden externen Schlüsselspeicher in der AWS KMS Konsole Diagramme der CloudWatch Messwerte für externe Schlüsselspeicher an. Sie können die Daten in den Diagrammen verwenden, um die Fehlerquelle zu lokalisieren, drohende Probleme zu erkennen, Ausgangswerte festzulegen und Ihre CloudWatch Alarmschwellenwerte zu verfeinern. Einzelheiten zur Interpretation der Überwachungsdiagramme und zur Verwendung der darin enthaltenen Daten finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
**Anzeigen von externen Schlüsselspeichern und KMS-Schlüsseln**
AWS KMS zeigt detaillierte Informationen zu Ihren externen Schlüsselspeichern und den KMS-Schlüsseln im externen Schlüsselspeicher in der AWS KMS Konsole sowie in der Antwort auf die AND-Operationen an. [DescribeCustomKeyStores[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Diese Anzeigen enthalten spezielle Felder für externe Schlüsselspeicher und KMS-Schlüssel mit Informationen, die Sie für die Problembehandlung verwenden können, z. B. den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers und die ID des externen Schlüssels, der dem KMS-Schlüssel zugeordnet ist. Details hierzu finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md).
**[XKS-Proxy-Testclient](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**
AWS KMS stellt einen Open-Source-Testclient bereit, der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der [API-Spezifikation für den AWS KMS externen Schlüsselspeicher-Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht. Sie können diesen Testclient verwenden, um Probleme mit Ihrem externen Schlüsselspeicher-Proxy zu identifizieren und zu beheben.
## Konfigurationsfehler
Wenn Sie einen externen Schlüsselspeicher erstellen, geben Sie Eigenschaftswerte an, die die *Konfiguration* Ihres externen Schlüsselspeichers umfassen. Dazu zählen beispielsweise die [Proxy-Authentifizierungsanmeldeinformation](create-xks-keystore.md#require-credential), der [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint), der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) und der [Name des VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name). Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl und es wird ein Fehler zurückgegeben, der auf den fehlerhaften Wert hinweist.
Viele Konfigurationsprobleme lassen sich beheben, indem der falsche Wert korrigiert wird. Sie können einen ungültigen Proxy-URI-Pfad oder eine ungültige Proxy-Authentifizierungsanmeldeinformation korrigieren, ohne den externen Schlüsselspeicher zu trennen. Definitionen dieser Werte, einschließlich der Anforderungen hinsichtlich der Eindeutigkeit, finden Sie unter [Erfüllen der Voraussetzungen](create-xks-keystore.md#xks-requirements). Anweisungen zum Aktualisieren dieser Werte finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
Laden Sie beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eine [Proxy-Konfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) in die AWS KMS -Konsole hoch, um Fehler bei den Werten für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation zu vermeiden. Dies ist eine JSON-basierte Datei mit den Werten für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation, die von Ihrem externen Schlüsselspeicher-Proxy oder vom externen Schlüsselmanager bereitgestellt werden. Sie können keine Proxy-Konfigurationsdatei für AWS KMS API-Operationen verwenden, aber Sie können die Werte in der Datei verwenden, um Parameterwerte für Ihre API-Anfragen bereitzustellen, die den Werten in Ihrem Proxy entsprechen.
### Allgemeine Konfigurationsfehler
**Ausnahmen:** `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `XksProxyInvalidConfigurationException` (Verwaltungsoperationen, außer `CreateKey`)
[**Verbindungsfehlercodes:**](#xks-connection-error-codes) `XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`
AWS KMS Testet bei externen Schlüsselspeichern mit [öffentlicher Endpunktkonnektivität](choose-xks-connectivity.md#xks-connectivity-public-endpoint) die Eigenschaftswerte, wenn Sie den externen Schlüsselspeicher erstellen und aktualisieren. Für externe Schlüsselspeicher mit der [Konnektivität eines VPC-Endpunktservice](choose-xks-connectivity.md#xks-vpc-connectivity) testet AWS KMS die Eigenschaftswerte, wenn Sie den externen Schlüsselspeicher verbinden und aktualisieren.
**Anmerkung**
Die `ConnectCustomKeyStore`-Operation ist asynchron und kann auch dann erfolgreich ausgeführt werden, wenn sich der externe Schlüsselspeicher nicht mit seinem externen Schlüsselspeicher-Proxy verbinden lässt. In diesem Fall gibt es keine Ausnahme, aber der Verbindungsstatus des externen Schlüsselspeichers ist fehlgeschlagen und ein Verbindungsfehlercode erklärt die Fehlermeldung. Weitere Informationen finden Sie unter [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](#fix-xks-connection).
Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl `XksProxyInvalidConfigurationException` und es wird eine der folgenden Fehlermeldungen angezeigt.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anfrage aufgrund eines ungültigen URI-Pfads abgelehnt. Überprüfen Sie den URI-Pfad für Ihren externen Schlüsselspeicher und aktualisieren Sie ihn gegebenenfalls. |
+ Der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) ist der Basispfad für AWS KMS Anfragen an den Proxy APIs. Wenn dieser Pfad falsch ist, schlagen alle Anfragen an den Proxy fehl. Verwenden Sie die AWS KMS -Konsole oder die `DescribeCustomKeyStores`-Operation, um den aktuellen Proxy-URI-Pfad für Ihren externen Schlüsselspeicher [anzuzeigen](view-xks-keystore.md). Wie Sie den richtigen Proxy-URI-Pfad finden, erfahren Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy. Informationen zum Korrigieren des Werts für den Proxy-URI-Pfad finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
+ Der Proxy-URI-Pfad für Ihren externen Schlüsselspeicher-Proxy kann sich ändern, wenn Ihr externer Schlüsselspeicher-Proxy oder der externe Schlüsselmanager aktualisiert wird. Informationen zu diesen Änderungen finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
| |
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS kann keine TLS-Verbindung zum externen Schlüsselspeicher-Proxy herstellen. Überprüfen Sie die TLS-Konfiguration, einschließlich des Zertifikats. |
+ Für alle externen Schlüsselspeicher-Proxys ist ein TLS-Zertifikat erforderlich. Das TLS-Zertifikat muss von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, die für externe Schlüsselspeicher unterstützt wird. Eine Liste der unterstützten CAs Zertifizierungsstellen finden Sie unter [Vertrauenswürdige Zertifizierungsstellen](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) in der AWS KMS External Key Store Proxy API-Spezifikation.
+ Für die Konnektivität eines öffentlichen Endpunkts muss der Subject Common Name (CN) auf dem TLS-Zertifikat mit dem Domainnamen im [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) für den externen Schlüsselspeicher-Proxy identisch sein. Ist der öffentliche Endpunkt beispielsweise https://myproxy.xks.example.com, muss der CN auf dem TLS-Zertifikat `myproxy.xks.example.com` oder `*.xks.example.com` lauten.
+ Für die Konnektivität eines VPC-Endpunktservice muss der Subject Common Name (CN) auf dem TLS-Zertifikat mit dem privaten DNS-Namen für Ihren [VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name) übereinstimmen. Wenn der private DNS-Name beispielsweise myproxy-private.xks.example.com ist, muss der CN auf dem TLS-Zertifikat `myproxy-private.xks.example.com` oder `*.xks.example.com` lauten.
+ Das TLS-Zertifikat darf nicht abgelaufen sein. Verwenden Sie SSL-Tools wie [OpenSSL](https://www.openssl.org/), um das Ablaufdatum eines TLS-Zertifikats zu ermitteln. Verwenden Sie die [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch Metrik, um das Ablaufdatum eines TLS-Zertifikats zu überwachen, das einem externen Schlüsselspeicher zugeordnet ist. Die Anzahl der Tage bis zum Ablaufdatum Ihrer TLS-Zertifizierung wird auch im [Bereich **Überwachung**](xks-monitoring.md) der AWS KMS Konsole angezeigt.
+ Wenn Sie die [Konnektivität eines öffentlichen Endpunkts](choose-xks-connectivity.md#xks-connectivity-public-endpoint) verwenden, testen Sie Ihre SSL-Konfiguration mithilfe von SSL-Testtools. TLS-Verbindungsfehler können durch eine falsche Zertifikatverkettung verursacht werden.
### Konfigurationsfehler bei der Konnektivität eines VPC-Endpunktservice
**Ausnahmen:** `XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`
Zusätzlich zu allgemeinen Verbindungsproblemen können beim Erstellen, Verbinden oder Aktualisieren eines externen Schlüsselspeichers mit VPC-Endpunktdienst-Konnektivität die folgenden Probleme auftreten. AWS KMS testet die Eigenschaftswerte eines externen Schlüsselspeichers mit VPC-Endpunktdienst-Konnektivität, während der externe Schlüsselspeicher [erstellt](create-xks-keystore.md), [verbunden](xks-connect-disconnect.md) und [aktualisiert wird](update-xks-keystore.md). Wenn Verwaltungsoperationen aufgrund von Konfigurationsfehlern fehlschlagen, werden die folgenden Ausnahmen generiert:
| |
| --- |
| XksProxyVpcEndpointServiceNotFoundException |
Dies kann folgende Ursachen haben:
+ Ein falscher Name des VPC-Endpunktservice. Stellen Sie sicher, dass der Name des VPC-Endpunktservice für den externen Schlüsselspeicher korrekt ist und mit dem Wert des Proxy-URI-Endpunkts für den externen Schlüsselspeicher übereinstimmt. Um den Namen des VPC-Endpunktdienstes zu finden, verwenden Sie die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc) oder den [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html)Vorgang. Verwenden Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um den VPC-Endpunktdienstnamen und den Proxy-URI-Endpunkt eines vorhandenen externen Schlüsselspeichers zu ermitteln. Details hierzu finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md).
+ Der VPC-Endpunktdienst befindet sich möglicherweise in einem anderen AWS-Region als dem externen Schlüsselspeicher. Stellen Sie sicher, dass sich der VPC-Endpunktservice und der externe Schlüsselspeicher in derselben Region befinden. (Der externe Name des Regionsnamens, z. B.`us-east-1`, ist Teil des VPC-Endpunktdienstnamens, z. B. com.amazonaws.vpce.us-east-1. vpce-svc-example.) Eine Liste der Anforderungen für den VPC-Endpunktservice für einen externen Schlüsselspeicher finden Sie unter [VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name). Ein VPC-Endpunktservice oder ein externer Schlüsselspeicher lässt sich nicht in eine andere Region verschieben. Sie können jedoch einen neuen externen Schlüsselspeicher in derselben Region wie der VPC-Endpunktservice erstellen. Details dazu finden Sie unter [VPC-Endpunktdienstkonnektivität konfigurieren](vpc-connectivity.md) und [Erstellen Sie einen externen Schlüsselspeicher](create-xks-keystore.md).
+ AWS KMS ist kein zulässiger Principal für den VPC-Endpunktdienst. Die **Liste der zulässigen Prinzipale** für den VPC-Endpunktservice muss den `cks.kms..amazonaws.com`-Wert enthalten, etwa `cks.kms.eu-west-3.amazonaws.com`. Anweisungen zum Hinzufügen dieses Werts finden Sie unter [Verwalten von Berechtigungen](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) im *AWS PrivateLink -Handbuch*.
| |
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException |
Dieser Fehler tritt auf, wenn der VPC-Endpunktservice eine der folgenden Anforderungen nicht erfüllt:
+ Die VPC muss über mindestens zwei private Subnetze verfügen, die in verschiedenen Availability Zones sind. Weitere Informationen zum Hinzufügen eines Subnetzes zu Ihrer VPC finden Sie unter [Erstellen eines Subnetzes in der VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets) im *Amazon VPC-Benutzerhandbuch*.
+ Der [Typ es VPC-Endpunktservice](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) muss einen Network Load Balancer verwenden, keinen Gateway Load Balancer.
+ Für den VPC-Endpunktservice darf keine Akzeptanz erforderlich sein (**Akzeptanz erforderlich** muss auf falsch gesetzt sein.). Wenn jede Verbindungsanforderung manuell akzeptiert werden muss, AWS KMS kann der VPC-Endpunktdienst nicht verwendet werden, um eine Verbindung zum externen Schlüsselspeicher-Proxy herzustellen. Einzelheiten hierzu finden Sie unter [Annehmen oder Ablehnen von Verbindungsanforderungen](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) im *AWS PrivateLink -Handbuch*.
+ Der VPC-Endpunktservice muss einen privaten DNS-Namen haben, der eine Subdomain einer öffentlichen Domain ist. Lautet der private DNS-Name beispielsweise `https://myproxy-private.xks.example.com`, müssen die Domains `xks.example.com` und `example.com` über einen öffentlichen DNS-Server verfügen. Informationen zum Anzeigen oder Ändern des privaten DNS-Namens für Ihren VPC-Endpunktservice finden Sie unter [Verwalten von DNS-Namen für VPC-Endpunktservices](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) im *AWS PrivateLink -Handbuch*.
+ Der **Domain-Verifizierungsstatus** der Domain für Ihren privaten DNS-Namen muss `verified` lauten. Informationen zum Anzeigen und Aktualisieren des Verifizierungsstatus der Domain für Ihren privaten DNS-Namen finden Sie unter [Schritt 5: Überprüfen Sie Ihre private DNS-Namensdomäne](vpc-connectivity.md#xks-private-dns). Nachdem Sie den erforderlichen Textdatensatz hinzugefügt haben, kann es einige Minuten dauern, bis der aktualisierte Verifizierungsstatus angezeigt wird.
**Anmerkung**
Eine private DNS-Domain kann nur verifiziert werden, wenn es sich um die Subdomain einer öffentlichen Domain handelt. Andernfalls ändert sich der Verifizierungsstatus der privaten DNS-Domain nicht, auch wenn Sie den erforderlichen TXT-Datensatz hinzugefügt haben.
+ Stellen Sie sicher, dass alle Firewalls zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy den Datenverkehr zu und von Port 443 auf dem Proxy zulassen. AWS KMS kommuniziert auf Port 443 über. IPv4 Dieser Wert kann nicht konfiguriert werden.
+ Der private DNS-Name des VPC-Endpunktservice muss mit dem Wert des [Proxy-URI-Endpunkts](create-xks-keystore.md#require-endpoint) für den externen Schlüsselspeicher übereinstimmen. Für einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunktservice muss der Proxy-URI-Endpunkt `https://` gefolgt vom privaten DNS-Namen des VPC-Endpunktservice sein. Informationen zum Anzeigen des Werts für den Proxy-URI-Endpunkt finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md). Informationen zum Ändern des Werts für den Proxy-URI-Endpunkt finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
## Fehler bei der Verbindung mit dem externen Schlüsselspeicher
Das [Verbinden eines externen Schlüsselspeichers](about-xks-connecting.md) mit seinem externen Schlüsselspeicher-Proxy dauert etwa fünf Minuten. Sofern sie nicht schnell fehlschlägt, gibt die `ConnectCustomKeyStore`-Operation eine HTTP-Antwort 200 und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) an. Wenn die Verbindung fehlschlägt, ändert sich der Verbindungsstatus des externen Schlüsselspeichers in einen [Verbindungsfehlercode, der die Ursache des Fehlers erklärt, `FAILED` und es wird ein Verbindungsfehlercode AWS KMS](#xks-connection-error-codes) zurückgegeben.
**Anmerkung**
Wenn der Verbindungsstatus eines benutzerdefinierten Schlüsselspeichers `FAILED` ist, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, bevor Sie versuchen, ihn wieder zu verbinden. Ein benutzerdefinierter Schlüsselspeicher mit dem Verbindungsstatus `FAILED` kann nicht verbunden werden.
Anzeigen des Verbindungsstatus eines externen Schlüsselspeichers:
+ Sehen Sie sich in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort den Wert des `ConnectionState` Elements an.
+ In der AWS KMS Konsole wird der **Verbindungsstatus** in der Tabelle mit dem externen Schlüsselspeicher angezeigt. Außerdem wird auf der Detailseite für jeden externen Schlüsselspeicher der **Verbindungsstatus** im Abschnitt **Allgemeine Konfiguration** angezeigt.
Wenn der Verbindungsstatus `FAILED` lautet, lässt sich mithilfe des Verbindungsfehlercodes der Fehler erklären.
Anzeigen des Verbindungsfehlercodes:
+ Sehen Sie sich in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort den Wert des `ConnectionErrorCode` Elements an. Die `DescribeCustomKeyStores`-Antwort enthält dieses Element nur, wenn der `ConnectionState` `FAILED` ist.
+ Um den Verbindungsfehlercode in der AWS KMS Konsole auf der Detailseite für den externen Schlüsselspeicher anzuzeigen, zeigen Sie mit der Maus auf den Wert **Fehlgeschlagen**.
![\[Verbindungsfehlercode auf der Detailseite des benutzerdefinierten Schlüsselspeichers\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/connection-error-code.png)
### Verbindungsfehlercodes für externe Schlüsselspeicher
Die folgenden Verbindungsfehlercodes gelten für externe Schlüsselspeicher
`INTERNAL_ERROR`
AWS KMS konnte die Anfrage aufgrund eines internen Fehlers nicht abschließen. Wiederholen Sie die Anforderung. Trennen Sie bei `ConnectCustomKeyStore`-Anforderungen den benutzerdefinierten Schlüsselspeicher, bevor Sie die Verbindung wiederherstellen.
`INVALID_CREDENTIALS`
Einer oder beide `XksProxyAuthenticationCredential`-Werte sind auf dem angegebenen externen Schlüsselspeicher-Proxy ungültig.
`NETWORK_ERRORS`
Netzwerkfehler AWS KMS verhindern, dass der benutzerdefinierte Schlüsselspeicher mit seinem Backing-Schlüsselspeicher verbunden werden kann.
`XKS_PROXY_ACCESS_DENIED`
AWS KMS Anfragen wird der Zugriff auf den externen Schlüsselspeicher-Proxy verweigert. Wenn es für den externen Schlüsselspeicher-Proxy Autorisierungsregeln gibt, stellen Sie sicher, dass diese zulassen, dass AWS KMS in Ihrem Namen mit dem Proxy kommuniziert.
`XKS_PROXY_INVALID_CONFIGURATION`
Ein Konfigurationsfehler verhindert, dass der externe Schlüsselspeicher eine Verbindung zu seinem Proxy herstellt. Überprüfen Sie den Wert von `XksProxyUriPath`.
`XKS_PROXY_INVALID_RESPONSE`
AWS KMS kann die Antwort des externen Schlüsselspeicher-Proxys nicht interpretieren. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.
`XKS_PROXY_INVALID_TLS_CONFIGURATION`
AWS KMS kann keine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, da die TLS-Konfiguration ungültig ist. Stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy TLS 1.2 oder 1.3 unterstützt. Stellen Sie außerdem sicher, dass das TLS-Zertifikat nicht abgelaufen ist, dass es mit dem Hostnamen im `XksProxyUriEndpoint`-Wert übereinstimmt und dass es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, die in der Liste der [vertrauenswürdigen Zertifizierungsstellen](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) enthalten ist.
`XKS_PROXY_NOT_REACHABLE`
AWS KMS kann nicht mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Stellen Sie sicher, dass der `XksProxyUriEndpoint` und der `XksProxyUriPath` korrekt sind. Überprüfen Sie mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, ob der Proxy aktiv und in seinem Netzwerk verfügbar ist. Stellen Sie außerdem sicher, dass die Instances Ihres externen Schlüsselmanagers ordnungsgemäß funktionieren. Verbindungsversuche schlagen mit diesem Verbindungsfehlercode fehl, wenn der Proxy meldet, dass keine Instance von externen Schlüsselmanagern verfügbar ist.
`XKS_PROXY_TIMED_OUT`
AWS KMS kann eine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, aber der Proxy reagiert nicht AWS KMS in der vorgesehenen Zeit. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.
`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`
Die Konfiguration des Amazon VPC-Endpunktdienstes entspricht nicht den Anforderungen für einen AWS KMS externen Schlüsselspeicher.
+ Der VPC-Endpunktservice muss ein Endpunktservice für Schnittstellen-Endpunkte im AWS-Konto des Aufrufers sein.
+ Er muss über einen Network Load Balancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die jeweils in einer anderen Availability Zone liegen.
+ Die `Allow principals` Liste muss den AWS KMS Service Principal für die Region enthalten`cks.kms..amazonaws.com`, z. B. `cks.kms.us-east-1.amazonaws.com`
+ Er *darf keine* [Annahme](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) von Verbindungsanforderungen verlangen.
+ Er muss einen privaten DNS-Namen haben. Der private DNS-Name für einen externen Schlüsselspeicher mit `VPC_ENDPOINT_SERVICE`-Konnektivität muss in seiner AWS-Region eindeutig sein.
+ Der [Verifizierungsstatus](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) der Domain des privaten DNS-Namens muss `verified` lauten.
+ Das [TLS-Zertifikat](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) gibt den privaten DNS-Hostnamen an, unter dem der Endpunkt erreichbar ist.
`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`
AWS KMS kann den VPC-Endpunktdienst, den er für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht finden. Stellen Sie sicher, dass der `XksProxyVpcEndpointServiceName` korrekt ist und der AWS KMS -Service-Prinzipal über Service-Verbraucher-Berechtigungen für den Amazon VPC-Endpunktservice verfügt.
## Latenz- und Zeitüberschreitungsfehler
**Ausnahmen:** `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `XksProxyUriUnreachableException` (Verwaltungsoperationen)
[**Verbindungsfehlercodes:**](#xks-connection-error-codes) `XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`
Wenn der Proxy innerhalb des Timeout-Intervalls von 250 Millisekunden nicht kontaktiert werden AWS KMS kann, wird eine Ausnahme zurückgegeben. `CreateCustomKeyStore`und `UpdateCustomKeyStore` zurück. `XksProxyUriUnreachableException` Kryptografische Operationen geben den Standard `KMSInvalidStateException` mit einer Fehlermeldung zurück, die das Problem beschreibt. Schlägt das Problem `ConnectCustomKeyStore` fehl, wird ein [Verbindungsfehlercode AWS KMS](#fix-xks-connection) zurückgegeben, der das Problem beschreibt.
Zeitüberschreitungsfehler können vorübergehende Probleme sein, die sich durch das Wiederholen der Anforderung beheben lassen. Wenn dieses Problem weiterhin auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein Proxy-URI-Endpunkt, der Proxy-URI-Pfad und der Name des VPC-Endpunktservice (sofern vorhanden) in Ihrem externen Schlüsselspeicher korrekt sind. Stellen Sie außerdem sicher, dass sich Ihr externer Schlüsselmanager in der Nähe des AWS-Region für Ihren externen Schlüsselspeicher befindet. Wenn Sie einen dieser Werte aktualisieren müssen, finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md) weitere Informationen.
Um Latenzmuster zu verfolgen, verwenden Sie die [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch Metrik und das Diagramm mit der **durchschnittlichen Latenz** (basierend auf dieser Metrik) im [Bereich **Überwachung**](xks-monitoring.md) der AWS KMS Konsole. Ihr externer Schlüsselspeicher-Proxy generiert möglicherweise ebenfalls Protokolle und Metriken, die Latenz und Zeitüberschreitungen erfassen.
| |
| --- |
| `XksProxyUriUnreachableException`AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein Endpunkt-URI in Ihrem externen Schlüsselspeicher korrekt sind. |
+ Der externe Schlüsselspeicher-Proxy hat innerhalb des Timeout-Intervalls von 250 Millisekunden nicht auf eine AWS KMS Proxy-API-Anfrage geantwortet. Dies kann auf ein vorübergehendes Netzwerkproblem oder ein Betriebs- oder Leistungsproblem mit dem Proxy hinweisen. Wenn ein erneuter Versuch das Problem nicht löst, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.
Latenz- und Zeitüberschreitungsfehler äußern sich häufig als Verbindungsfehler. Wenn der [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang fehlschlägt, ändert sich der *Verbindungsstatus* des externen Schlüsselspeichers in einen Verbindungsfehlercode, der den Fehler `FAILED` erklärt, und es wird ein *Verbindungsfehlercode AWS KMS * zurückgegeben. Eine Liste der Verbindungsfehlercodes und Vorschläge zur Behebung der Fehler finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](#xks-connection-error-codes). Die Verbindungscodelisten für **alle benutzerdefinierten Schlüsselspeicher** und **externe Schlüsselspeicher** gelten für externe Schlüsselspeicher. Die folgenden Verbindungsfehler stehen im Zusammenhang mit der Latenz und Zeitüberschreitungen.
| |
| --- |
| `XKS_PROXY_NOT_REACHABLE`–oder–`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommunizieren. Überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein URI-Pfad und Endpunkt-URI oder der Name des VPC-Service in Ihrem externen Schlüsselspeicher korrekt sind. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Der externe Schlüsselspeicher-Proxy ist nicht aktiv bzw. nicht mit dem Netzwerk verbunden.
+ Bei den Werten für den [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint), den [Proxy-URI-Pfad](create-xks-keystore.md#require-path) oder den [Namen des VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name) (sofern zutreffend) in der Konfiguration des externen Schlüsselspeichers ist ein Fehler aufgetreten. Um die Konfiguration des externen Schlüsselspeichers anzuzeigen, verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang oder [rufen Sie die Detailseite](view-xks-keystore.md) für den externen Schlüsselspeicher in der AWS KMS Konsole auf.
+ Möglicherweise liegt ein Netzwerkkonfigurationsfehler, z. B. ein Portfehler, auf dem Netzwerkpfad zwischen dem externen Schlüsselspeicher-Proxy AWS KMS und dem externen Schlüsselspeicher-Proxy vor. AWS KMS kommuniziert mit dem externen Schlüsselspeicher-Proxy auf Port 443 über IPv4. Dieser Wert kann nicht konfiguriert werden.
+ Wenn der externe Schlüsselspeicher-Proxy (in einer [GetHealthStatus](keystore-external.md#concept-proxy-apis)Antwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sind`UNAVAILABLE`, schlägt der [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang mit einem `ConnectionErrorCode` von `XKS_PROXY_NOT_REACHABLE` fehl. Weitere Informationen hierzu finden Sie in der Dokumentation Ihres externen Schlüsselmanagers.
+ Dieser Fehler kann auf eine große physische Entfernung zwischen dem externen Schlüsselmanager und AWS-Region dem externen Schlüsselspeicher zurückzuführen sein. Die Ping-Latenz (Network Round-Trip Time (RTT)) zwischen dem AWS-Region und dem externen Schlüsselmanager sollte nicht mehr als 35 Millisekunden betragen. Möglicherweise müssen Sie einen externen Schlüsselspeicher in einem Bereich einrichten AWS-Region , der sich näher am externen Schlüsselmanager befindet, oder Sie müssen den externen Schlüsselmanager in ein Rechenzentrum verschieben, das näher am. AWS-Region
| |
| --- |
| `XKS_PROXY_TIMED_OUT`–oder–`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS hat die Anforderung abgelehnt, da der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat. Wiederholen Sie die Anforderung. Wenn Sie diesen Fehler wiederholt sehen, melden Sie ihn dem Administrator für Ihren externen Schlüsselspeicher-Proxy. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.
+ Timeoutfehler können auftreten, wenn der Proxy nicht darauf ausgelegt ist, das Volumen und die Häufigkeit der Anfragen von AWS KMS zu verarbeiten. Wenn Ihre CloudWatch Messwerte auf ein anhaltendes Problem hinweisen, benachrichtigen Sie Ihren Proxyadministrator für den externen Schlüsselspeicher.
+ Zeitüberschreitungsfehler können auftreten, wenn die Verbindung zwischen dem externen Schlüsselmanager und der Amazon VPC für den externen Schlüsselspeicher nicht ordnungsgemäß funktioniert. Wenn Sie verwenden AWS Direct Connect, stellen Sie sicher, dass Ihre VPC und der externe Schlüsselmanager effektiv kommunizieren können. Hilfe zur Lösung von Problemen finden Sie AWS Direct Connect im Direct Connect Benutzerhandbuch unter [Problembehandlung](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html).
| |
| --- |
| `XKS_PROXY_TIMED_OUT`–oder–`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Der externe Schlüsselspeicher-Proxy hat nicht in der vorgesehenen Zeit auf die Anforderung geantwortet. Wiederholen Sie die Anforderung. Wenn Sie diesen Fehler wiederholt sehen, melden Sie ihn dem Administrator für Ihren externen Schlüsselspeicher-Proxy. |
+ Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.
## Fehler mit der Anmeldeinformation für die Authentifizierung
**Ausnahmen:** `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `XksProxyIncorrectAuthenticationCredentialException` (Verwaltungsoperationen außer `CreateKey`)
Sie richten Authentifizierungsdaten für Ihren externen AWS KMS Schlüsselspeicher-Proxy ein und verwalten diese. Anschließend geben Sie die Werte AWS KMS der Anmeldeinformationen an, wenn Sie einen externen Schlüsselspeicher erstellen. Wenn Sie die Anmeldeinformation für die Authentifizierung ändern möchten, nehmen Sie diese Änderung auf Ihrem externen Schlüsselspeicher-Proxy vor. [Aktualisieren](update-xks-keystore.md#xks-edit-name) Sie danach die Anmeldeinformation für Ihren externen Schlüsselspeicher. Wenn Ihr Proxy die Anmeldeinformation rotiert, müssen Sie sie für Ihren externen Schlüsselspeicher [aktualisieren](update-xks-keystore.md#xks-edit-name).
Wenn der externe Schlüsselspeicher-Proxy eine mit der [Proxy-Authentifizierungsanmeldeinformation](keystore-external.md#concept-xks-credential) für Ihren externen Schlüsselspeicher signierte Anforderung nicht authentifiziert, hängt es von der Anforderung ab, was geschieht:
+ `CreateCustomKeyStore` und `UpdateCustomKeyStore` schlagen mit einem `XksProxyIncorrectAuthenticationCredentialException` fehl.
+ `ConnectCustomKeyStore` wird erfolgreich ausgeführt, aber die Verbindung schlägt fehl. Der Verbindungsstatus ist `FAILED` und der Verbindungsfehlercode lautet `INVALID_CREDENTIALS`. Details hierzu finden Sie unter [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](#fix-xks-connection).
+ `KMSInvalidStateException`Bei kryptografischen Vorgängen werden alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher zurückgegeben. Die zugehörige Fehlermeldung beschreibt das Problem.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er AWS KMS nicht authentifizieren konnte. Überprüfen Sie die Anmeldeinformationen für Ihren externen Schlüsselspeicher und aktualisieren Sie sie gegebenenfalls. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Die Zugriffsschlüssel-ID oder der geheime Zugriffsschlüssel für den externen Schlüsselspeicher stimmt nicht mit den Werten überein, die auf dem externen Schlüsselspeicher-Proxy festgelegt wurden.
Um diesen Fehler zu beheben, [aktualisieren Sie die Proxy-Authentifizierungsanmeldeinformation](update-xks-keystore.md#xks-edit-name) für Ihren externen Schlüsselspeicher. Sie können diese Änderung vornehmen, ohne Ihren externen Schlüsselspeicher zu trennen.
+ Ein Reverse-Proxy zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy könnte HTTP-Header so manipulieren, dass die SigV4-Signaturen ungültig werden. Um diesen Fehler zu beheben, benachrichtigen Sie den Administrator für Ihren Proxy.
## Fehler mit dem Schlüsselstatus
**Ausnahmen:** `KMSInvalidStateException`
`KMSInvalidStateException` wird für zwei verschiedene Zwecke für KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern verwendet.
+ Wenn ein Verwaltungsvorgang (z. B. `CancelKeyDeletion`) fehlschlägt und diese Ausnahme zurückgibt, bedeutet dies, dass der [Schlüsselstatus](key-state.md) des KMS-Schlüssels nicht mit der Operation kompatibel ist.
+ Wenn eine [kryptografische Operation](kms-cryptography.md#cryptographic-operations) für einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher mit `KMSInvalidStateException` fehlschlägt, kann dies auf ein Problem mit dem Schlüsselstatus des KMS-Schlüssels hindeuten. `KMSInvalidStateException`Bei allen externen Konfigurationsfehlern und Verbindungsstatusfehlern in einem externen Schlüsselspeicher wird jedoch ein AWS KMS kryptografischer Vorgang zurückgegeben. Identifizieren Sie das Problem anhand der Fehlermeldung, die zusammen mit der Ausnahme angezeigt wird.
Informationen zum erforderlichen Schlüsselstatus für AWS KMS API-Operationen finden Sie unter[Wichtige Zustände von AWS KMS Schlüsseln](key-state.md). Um den Schlüsselstatus eines KMS-Schlüssels zu ermitteln, zeigen Sie auf der Seite **Customer managed keys** (Kundenverwaltete Schlüssel) das Feld **Status** des KMS-Schlüssels an. Oder verwenden Sie die [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Operation und sehen Sie sich das `KeyState` Element in der Antwort an. Details hierzu finden Sie unter [Schlüssel identifizieren und anzeigen](viewing-keys.md).
**Anmerkung**
Der Schlüsselstatus eines KMS-Schlüssels in einem externen Schlüsselspeicher sagt nichts über den Status des zugehörigen [externen Schlüssels](keystore-external.md#concept-external-key) aus. Informationen zum Status des externen Schlüssels finden Sie mithilfe Ihres externen Schlüsselmanagers und der Tools für den externen Schlüsselspeicher-Proxy.
Die `CustomKeyStoreInvalidStateException` bezieht sich auf den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers, nicht auf den [Schlüsselstatus](key-state.md) eines KMS-Schlüssels.
Eine kryptografische Operation für einen KMS-Schlüssel in einem benutzerdefinierten Speicher schlägt möglicherweise fehl, weil der Schlüsselstatus des KMS-Schlüssels `Unavailable` oder `PendingDeletion` lautet. (Deaktivierte Schlüssel geben `DisabledException` zurück.)
+ Ein KMS-Schlüssel hat nur dann einen `Disabled` Schlüsselstatus, wenn Sie den KMS-Schlüssel in der AWS KMS Konsole oder mithilfe des [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)Vorgangs absichtlich deaktivieren. Wenn ein KMS-Schlüssel deaktiviert ist, können Sie ihn anzeigen und verwalten, ihn jedoch nicht für kryptographische Operationen verwenden. Um dieses Problem zu beheben, aktivieren Sie den Schlüssel. Details hierzu finden Sie unter [Tasten aktivieren und deaktivieren](enabling-keys.md).
+ Ein KMS-Schlüssel hat den Schlüsselstatus `Unavailable`, wenn der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt ist. Um die Nichtverfügbarkeit eines KMS-Schlüssels zu beheben, [verbinden Sie den externen Schlüsselspeicher wieder](xks-connect-disconnect.md). Wenn der externe Schlüsselspeicher wieder verbunden ist, wechselt der Schlüsselstatus der KMS-Schlüssel im externen Schlüsselspeicher automatisch wieder zum vorherigen Status, etwa zu `Enabled` oder `Disabled`.
Ein KMS-Schlüssel hat den Schlüsselstatus `PendingDeletion`, wenn seine Löschung geplant ist und er darauf wartet. Ein Schlüsselstatusfehler bei einem KMS-Schlüssel, dessen Löschung aussteht, bedeutet, dass der Schlüssel nicht gelöscht werden sollte – entweder, weil er für die Verschlüsselung verwendet wird oder weil er für die Entschlüsselung erforderlich ist. Um den KMS-Schlüssel erneut zu aktivieren, brechen Sie den geplanten Löschvorgang ab und [aktivieren Sie dann den Schlüssel](enabling-keys.md). Details hierzu finden Sie unter [Löschen von Schlüsseln planen](deleting-keys-scheduling-key-deletion.md).
## Entschlüsselungsfehler
**Ausnahmen:** `KMSInvalidStateException`
Wenn ein [Entschlüsselungsvorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) mit einem KMS-Schlüssel in einem externen Schlüsselspeicher fehlschlägt, wird der Standard AWS KMS `KMSInvalidStateException` zurückgegeben, den kryptografische Operationen für alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher verwenden. Die Fehlermeldung, die das Problem angibt.
Zum Entschlüsseln eines Geheimtexts, der mit [doppelter Verschlüsselung](keystore-external.md#concept-double-encryption) verschlüsselt wurde, verwendet der externe Schlüsselmanager zunächst den externen Schlüssel, um die äußere Geheimtextschicht zu entschlüsseln. AWS KMS Verwendet dann das AWS KMS Schlüsselmaterial im KMS-Schlüssel, um die innere Chiffretextschicht zu entschlüsseln. Ein ungültiger oder beschädigter Geheimtext kann vom externen Schlüsselmanager oder von AWS KMS abgelehnt werden.
Die folgenden Fehlermeldungen werden zusammen mit der `KMSInvalidStateException` angezeigt, wenn die Entschlüsselung fehlschlägt. Sie deuten auf ein Problem mit dem Geheimtext oder dem optionalen Verschlüsselungskontext in der Anfrage hin.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung, da der angegebene Geheimtext oder zusätzliche authentifizierte Daten beschädigt sind, fehlen oder anderweitig ungültig sind. |
+ Wenn der externe Schlüsselspeicher-Proxy oder der externe Schlüsselmanager meldet, dass ein Chiffretext oder sein Verschlüsselungskontext ungültig ist, deutet dies in der Regel auf ein Problem mit dem Chiffretext oder dem Verschlüsselungskontext in der Anforderung hin, an die gesendet wurde. `Decrypt` AWS KMS Bei `Decrypt` Vorgängen AWS KMS sendet der Proxy denselben Chiffretext und denselben Verschlüsselungskontext, den er in der Anfrage empfängt. `Decrypt`
Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die `Decrypt`-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der Geheimtext nicht geändert oder beschädigt wurde. Stellen Sie außerdem sicher, dass der Verschlüsselungskontext in der `Decrypt` Anfrage mit dem Verschlüsselungskontext in der Anfrage AWS KMS übereinstimmt, mit der die Daten verschlüsselt wurden.
| |
| --- |
| Der Geheimtext, den der externe Schlüsselspeicher-Proxy zur Entschlüsselung übermittelt hat, oder der Verschlüsselungskontext ist beschädigt, fehlt oder ist anderweitig ungültig. |
+ Wenn der vom Proxy empfangene AWS KMS Chiffretext zurückgewiesen wird, bedeutet dies, dass der externe Schlüsselmanager oder der Proxy einen ungültigen oder beschädigten Chiffretext zurückgegeben hat. AWS KMS
Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die `Decrypt`-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der externe Schlüsselmanager ordnungsgemäß funktioniert und dass der externe Schlüsselspeicher-Proxy den Chiffretext, den er vom externen Schlüsselmanager empfängt, nicht ändert, bevor er ihn zurückgibt. AWS KMS
## Fehler mit externen Schlüsseln
Ein [externer Schlüssel](keystore-external.md#concept-external-key) ist ein kryptografischer Schlüssel im externen Schlüsselmanager, der als externes Schlüsselmaterial für einen KMS-Schlüssel dient. AWS KMS kann nicht direkt auf den externen Schlüssel zugreifen. Es muss den externen Schlüsselmanager über den externen Schlüsselspeicher-Proxy bitten, den externen Schlüssel zum Verschlüsseln von Daten oder zum Entschlüsseln eines Geheimtextes zu verwenden.
Sie geben die ID des externen Schlüssels in seinem externen Schlüsselmanager an, wenn Sie einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem der KMS-Schlüssel erstellt wurde. Um Probleme mit dem KMS-Schlüssel zu vermeiden, fordert die `CreateKey`-Operation den externen Schlüsselspeicher-Proxy auf, die ID und Konfiguration des externen Schlüssels zu verifizieren. Wenn der externe Schlüssel nicht den [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel entspricht, schlägt die `CreateKey`-Operation mit einer Ausnahme und einer Fehlermeldung fehl, die Aufschluss über das Problem gibt.
Aber auch nach der Erstellung des KMS-Schlüssels können Probleme auftreten. Wenn eine kryptografische Operation aufgrund eines Problems mit dem externen Schlüssel fehlschlägt, schlägt die Operation fehl und gibt eine `KMSInvalidStateException` mit einer Fehlermeldung zurück, die das Problem angibt.
### CreateKey Fehler für den externen Schlüssel
**Ausnahmen:** `XksKeyAlreadyInUseException`, `XksKeyNotFoundException`, `XksKeyInvalidConfigurationException`
Der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang versucht, die ID und die Eigenschaften des externen Schlüssels zu überprüfen, den Sie im Parameter **Externe Schlüssel-ID** (Konsole) oder `XksKeyId` (API) angeben. Dies dient dazu, Fehler frühzeitig zu erkennen, bevor Sie versuchen, den externen Schlüssel zusammen mit dem KMS-Schlüssel zu verwenden.
**Externer Schlüssel wird verwendet**
Jeder KMS-Schlüssel in einem externen Schlüsselspeicher muss einen anderen externen Schlüssel verwenden. Wenn `CreateKey` erkannt wird, dass die externe Schlüssel-ID (XksKeyId) für einen KMS-Schlüssel im externen Schlüsselspeicher nicht eindeutig ist, schlägt der Vorgang mit einer fehl`XksKeyAlreadyInUseException`.
Wenn Sie mehrere IDs für denselben externen Schlüssel verwenden, `CreateKey` wird das Duplikat nicht erkannt. KMS-Schlüssel mit demselben externen Schlüssel sind jedoch nicht interoperabel, da sie unterschiedliche AWS KMS Schlüsselmaterialien und Metadaten haben.
**Externer Schlüssel nicht gefunden**
Wenn der Proxy für den externen Schlüsselspeicher meldet, dass er den externen Schlüssel mithilfe der externen Schlüssel-ID (XksKeyId) für den KMS-Schlüssel nicht finden kann, schlägt der `CreateKey` Vorgang fehl und es wird die folgende Fehlermeldung angezeigt. `XksKeyNotFoundException`
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Die ID des externen Schlüssels (`XksKeyId`) für den KMS-Schlüssel ist möglicherweise ungültig. Die ID Ihres externen Schlüssels, den der Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager.
+ Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Wenn der externe Schlüssel dauerhaft gelöscht wird, verwenden Sie einen anderen externen Schlüssel zusammen mit dem KMS-Schlüssel. Eine Liste der Anforderungen für den externen Schlüssel finden Sie unter [Anforderungen an einen KMS-Schlüssel in einem externen Schlüsselspeicher](create-xks-keys.md#xks-key-requirements).
**Anforderungen an externe Schlüssel nicht erfüllt**
Wenn der externe Schlüsselspeicher-Proxy meldet, dass der externe Schlüssel die [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, schlägt die `CreateKey`-Operation fehl und gibteine `XksKeyInvalidConfigurationException` mit einer der folgenden Fehlermeldungen zurück.
| |
| --- |
| Die Schlüsselspezifikation des externen Schlüssels muss AES\$1256 sein. Die Schlüsselspezifikation des angegebenen externen Schlüssels lautet. |
+ Der externe Schlüssel muss ein symmetrischer 256-Bit-Verschlüsselungsschlüssel mit der Schlüsselspezifikation AES\$1256 sein. Wenn es sich bei dem angegebenen externen Schlüssel um einen anderen Typ handelt, geben Sie die ID eines externen Schlüssels an, der diese Anforderung erfüllt.
| |
| --- |
| Der Status des externen Schlüssels muss ENABLED (AKTIVIERT) sein. Der Status des angegebenen externen Schlüssels ist. |
+ Der externe Schlüssel muss im externen Schlüsselmanager aktiviert sein. Wenn der angegebene externe Schlüssel nicht aktiviert ist, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um ihn zu aktivieren, oder geben Sie einen aktivierten externen Schlüssel an.
| |
| --- |
| Die Schlüsselnutzung des externen Schlüssels muss ENCRYPT (VERSCHLÜSSELN) und DECRYPT (ENTSCHLÜSSELN) beinhalten. Die Schlüsselverwendung des angegebenen externen Schlüssels ist < key-usage >. |
+ Der externe Schlüssel muss für die Verschlüsselung und Entschlüsselung im externen Schlüsselmanager konfiguriert sein. Wenn der angegebene externe Schlüssel diese Operationen nicht beinhaltet, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um die Operationen zu ändern, oder geben Sie einen anderen externen Schlüssel an.
### Kryptografische Operationsfehler für den externen Schlüssel
**Ausnahmen:** `KMSInvalidStateException`
Wenn der externe Schlüsselspeicher-Proxy den mit dem KMS-Schlüssel verknüpften externen Schlüssel nicht finden kann oder der externe Schlüssel die [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, schlägt die kryptografische Operation fehl.
Probleme mit externen Schlüsseln, die bei einer kryptografischen Operation erkannt werden, sind schwieriger zu beheben als Probleme mit externen Schlüsseln, die vor der Erstellung des KMS-Schlüssels erkannt wurden. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem der KMS-Schlüssel erstellt wurde. Wenn mit dem KMS-Schlüssel noch keine Daten verschlüsselt wurden, können Sie ihn löschen und einen neuen KMS-Schlüssel mit einer anderen ID für den externen Schlüssel erstellen. Mit dem KMS-Schlüssel generierter Chiffretext kann jedoch nicht mit einem anderen KMS-Schlüssel entschlüsselt werden, auch nicht mit einem mit demselben externen Schlüssel, da Schlüssel unterschiedliche Schlüsselmetadaten und anderes Schlüsselmaterial haben. AWS KMS Verwenden Sie stattdessen nach Möglichkeit die Tools Ihres externen Schlüsselmanagers, um das Problem mit dem externen Schlüssel zu beheben.
Wenn der externe Schlüsselspeicher-Proxy ein Problem mit dem externen Schlüssel meldet, geben kryptografische Operationen eine `KMSInvalidStateException` mit einer Fehlermeldung zurück, die das Problem identifiziert.
**Externer Schlüssel nicht gefunden**
Wenn der externe Schlüsselspeicher-Proxy meldet, dass er den externen Schlüssel mithilfe der externen Schlüssel-ID (XksKeyId) für den KMS-Schlüssel nicht finden kann, geben kryptografische Operationen a `KMSInvalidStateException` mit der folgenden Fehlermeldung zurück.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Die ID des externen Schlüssels (`XksKeyId`) für den KMS-Schlüssel ist nicht mehr gültig.
Die ID des externen Schlüssels, der Ihrem KMS-Schlüssel zugeordnet ist, finden Sie in den [Details des KMS-Schlüssels](identify-key-types.md#view-xks-key). Die ID, die Ihr externer Schlüssel-Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager.
AWS KMS überprüft die externe Schlüssel-ID, wenn ein KMS-Schlüssel in einem externen Schlüsselspeicher erstellt wird. Die ID kann jedoch ungültig werden, insbesondere wenn der Wert der ID des externen Schlüssels ein Alias oder ein veränderbarer Name ist. Sie können die einem vorhandenen KMS-Schlüssel zugeordnete ID des externen Schlüssels nicht ändern. Um einen Geheimtext zu entschlüsseln, der unter dem KMS-Schlüssel verschlüsselt wurde, müssen Sie den externen Schlüssel erneut der vorhandenen ID des externen Schlüssels zuordnen.
Wenn Sie den KMS-Schlüssel noch nicht zum Verschlüsseln von Daten verwendet haben, können Sie einen neuen KMS-Schlüssel mit einer gültigen ID des externen Schlüssels erstellen. Haben Sie jedoch mit dem KMS-Schlüssel Geheimtext generiert, können Sie diesen Geheimtext mit keinem anderen KMS-Schlüssel entschlüsseln, selbst wenn derselbe externe Schlüssel verwendet wird.
+ Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Versuchen Sie nach Möglichkeit, das Schlüsselmaterial aus einer Kopie oder einem Backup Ihres externen Schlüsselmanagers [wiederherzustellen](fix-keystore.md#fix-keystore-recover-backing-key). Wenn der externe Schlüssel dauerhaft gelöscht wird, kann der unter dem zugehörigen KMS-Schlüssel verschlüsselte Geheimtext nicht wiederhergestellt werden.
**Fehler bei der Konfiguration externer Schlüssel**
Wenn der externe Schlüsselspeicher-Proxy meldet, dass der externe Schlüssel die [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, gibt die kryptografische Operation eine `KMSInvalidStateException` mit einer der folgenden Fehlermeldungen zurück.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da der externe Schlüssel die angeforderte Operation nicht unterstützt. |
+ Der externe Schlüssel muss sowohl die Verschlüsselung als auch die Entschlüsselung unterstützen. Wenn die Schlüsselnutzung keine Verschlüsselung und Entschlüsselung beinhaltet, ändern Sie die Schlüsselnutzung mithilfe der Tools Ihres externen Schlüsselmanagers.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da der externe Schlüssel im externen Schlüsselmanager nicht aktiviert ist. |
+ Der externe Schlüssel muss im externen Schlüsselmanager aktiviert und für die Verwendung verfügbar sein. Wenn der Status des externen Schlüssels nicht `Enabled` lautet, aktivieren Sie ihn mithilfe der Tools Ihres externen Schlüsselmanagers.
## Proxy-Probleme
**Ausnahmen:**
`CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `UnsupportedOperationException`, `XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (Verwaltungsoperationen außer `CreateKey`)
Der externe Schlüsselspeicher-Proxy vermittelt die gesamte Kommunikation zwischen AWS KMS und dem externen Schlüsselmanager. Er übersetzt generische AWS KMS Anfragen in ein Format, das Ihr externer Schlüsselmanager verstehen kann. Wenn der externe Schlüsselspeicher-Proxy nicht der [API-Spezifikation für den AWS KMS externen Schlüsselspeicher-Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht oder wenn er nicht ordnungsgemäß funktioniert oder nicht mit ihm kommunizieren kann AWS KMS, können Sie in Ihrem externen Schlüsselspeicher keine KMS-Schlüssel erstellen oder verwenden.
In vielen Fehlermeldungen wird der externe Schlüsselspeicher-Proxy erwähnt, weil er eine wichtige Rolle in der Architektur des externen Schlüsselspeichers spielt. Diese Probleme können ihren Ursprung aber im externen Schlüsselmanager oder im externen Schlüssel haben.
Die Probleme in diesem Abschnitt beziehen sich auf Probleme beim Design oder Betrieb des externen Schlüsselspeicher-Proxys. Zum Beheben dieser Probleme ist möglicherweise eine Änderung an der Proxysoftware erforderlich. Wenden Sie sich an den Administrator für Ihren Proxy. Um Sie bei der Diagnose von Proxy-Problemen zu unterstützen, stellt AWS KMS einen Open-Source-Testclient bereit ([XKS-Proxy-Textclient](https://github.com/aws-samples/aws-kms-xksproxy-test-client)), der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der [API-Spezifikation von AWS KMS für externe Schlüsselspeicher-Proxys](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` oder `XksProxyUriUnreachableException`Der externe Schlüsselspeicher-Proxy hat einen fehlerhaften Status. Wenn Sie diese Meldung wiederholt sehen, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy. |
+ Dieser Fehler kann auf ein Betriebsproblem oder einen Softwarefehler im externen Schlüsselspeicher-Proxy hindeuten. Sie können CloudTrail Protokolleinträge für den AWS KMS API-Vorgang finden, der die einzelnen Fehler generiert hat. Dieser Fehler kann möglicherweise durch das erneute Ausführen der Operation behoben werden. Sollte er jedoch weiterhin bestehen, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.
+ Wenn der externe Schlüsselspeicher-Proxy (in einer [GetHealthStatus](keystore-external.md#concept-proxy-apis)Antwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sind`UNAVAILABLE`, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen oder zu aktualisieren, mit dieser Ausnahme fehl. Wenn dieser Fehler weiterhin besteht, lesen Sie in der Dokumentation Ihres externen Schlüsselmanagers nach.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` oder `XksProxyInvalidResponseException`AWS KMS kann die Antwort des externen Schlüsselspeicher-Proxys nicht interpretieren. Wenn Sie diesen Fehler wiederholt sehen, ziehen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy zurate. |
+ AWS KMS Operationen erzeugen diese Ausnahme, wenn der Proxy eine undefinierte Antwort zurückgibt, die AWS KMS nicht analysiert oder interpretiert werden kann. Dieser Fehler kann gelegentlich aufgrund vorübergehender externer Probleme oder sporadischer Netzwerkfehler auftreten. Wenn das Problem jedoch weiterhin besteht, kann dies darauf hindeuten, dass der externe Schlüsselspeicher-Proxy nicht der [API-Spezifikation von AWS KMS für den externen Schlüsselspeicher-Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht. Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` oder `UnsupportedOperationException` Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da er die angeforderte kryptografische Operation nicht unterstützt. |
+ [Der externe Schlüsselspeicher-Proxy sollte alle Proxys unterstützen, die in der [AWS KMS External Key Store Proxy API-Spezifikation APIs](https://github.com/aws/aws-kms-xksproxy-api-spec/) definiert sind.](keystore-external.md#concept-proxy-apis) Dieser Fehler deutet darauf hin, dass der Proxy die Operation, die mit der Anforderung zusammenhängt, nicht unterstützt. Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.
## Probleme mit der Proxy-Autorisierung
**Ausnahmen:** `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`
Einige externe Schlüsselspeicher-Proxys implementieren Autorisierungsanforderungen für die Verwendung ihrer externen Schlüssel. Ein externer Schlüsselspeicher-Proxy ist berechtigt, aber nicht verpflichtet, ein Autorisierungsschema zu entwerfen und zu implementieren, das es bestimmten Benutzern erlaubt, bestimmte Operationen unter bestimmten Bedingungen anzufordern. Beispielsweise könnte ein Proxy zulassen, dass ein:e Benutzer:in die Verschlüsselung mit einem bestimmten externen Schlüssel durchführt, aber nicht die Entschlüsselung mit diesem Schlüssel. Weitere Informationen finden Sie unter [Proxy-Autorisierung für externen Schlüsselspeicher (optional)](authorize-xks-key-store.md#xks-proxy-authorization).
Die Proxyautorisierung basiert auf Metadaten, die in den Anfragen an den Proxy AWS KMS enthalten sind. Die Felder `awsSourceVpc` und `awsSourceVpce` sind nur dann in den Metadaten enthalten, wenn die Anforderung von einem VPC-Endpunkt stammt – und auch nur, wenn der Aufrufer im selben Konto wie der KMS-Schlüssel ist.
```
"requestMetadata": {
"awsPrincipalArn": string,
"awsSourceVpc": string, // optional
"awsSourceVpce": string, // optional
"kmsKeyArn": string,
"kmsOperation": string,
"kmsRequestId": string,
"kmsViaService": string // optional
}
```
Wenn der Proxy eine Anfrage aufgrund eines Autorisierungsfehlers ablehnt, schlägt der entsprechende AWS KMS Vorgang fehl. `CreateKey`kehrt zurück`CustomKeyStoreInvalidStateException`. AWS KMS kryptografische Operationen kehren zurück`KMSInvalidStateException`. Beide verwenden die folgende Fehlermeldung:
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat den Zugriff auf die Operation verweigert. Stellen Sie sicher, dass sowohl der:die Benutzer:in als auch der externe Schlüssel für diese Operation autorisiert ist, und führen Sie die Anforderung erneut aus. |
+ Um den Fehler zu beheben, ermitteln Sie mithilfe Ihres externen Schlüsselmanagers oder mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, warum die Autorisierung fehlgeschlagen ist. Aktualisieren Sie anschließend das Verfahren, das zur unbefugten Anforderung geführt hat, oder verwenden Sie die Tools für Ihren externen Schlüsselspeicher-Proxy, um die Autorisierungsrichtlinie zu aktualisieren. Dieser Fehler lässt sich in AWS KMS nicht beheben.