Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich. # KMS-Schlüssel in externen Schlüsselspeichern Zum Erstellen, Anzeigen, Verwalten, Verwenden und Planen der Löschung von KMS-Schlüsseln in einem externen Schlüsselspeicher verwenden Sie ganz ähnliche Verfahren wie für andere KMS-Schlüssel. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher erstellen, geben Sie einen [externen Schlüsselspeicher](keystore-external.md#concept-external-key-store) und einen [externen Schlüssel](keystore-external.md#concept-external-key) an. Wenn Sie einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die [Ver- und Entschlüsselungsvorgänge](keystore-external.md#xks-how-it-works) von Ihrem externen Schlüsselmanager unter Verwendung des angegebenen externen Schlüssels durchgeführt. AWS KMS kann keine kryptografischen Schlüssel in Ihrem externen Schlüsselmanager erstellen, anzeigen, aktualisieren oder löschen. AWS KMS greift niemals direkt auf Ihren externen Schlüsselmanager oder einen externen Schlüssel zu. Alle Anforderungen für kryptografische Vorgänge werden vom [Proxy Ihres externen Schlüsselspeichers](keystore-external.md#concept-xks-proxy) vermittelt. Zur Verwendung eines KMS-Schlüssels in einem externen Schlüsselspeicher muss der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, mit seinem externen Schlüsselspeicher-Proxy [verbunden](xks-connect-disconnect.md) sein. **Unterstützte Features** Neben den in diesem Abschnitt beschriebenen Verfahren können Sie mit KMS-Schlüsseln in einem externen Schlüsselspeicher folgende Aktionen ausführen: + Verwenden von [Schlüsselrichtlinien](key-policies.md), [IAM-Richtlinien](iam-policies.md) und [Erteilungen](grants.md) zur Steuerung des Zugriffs auf die KMS-Schlüssel + [Aktivieren und Deaktivieren](enabling-keys.md) der KMS-Schlüssel. Diese Aktionen wirken sich nicht auf den externen Schlüssel in Ihrem externen Schlüsselmanager aus. + Zuweisen von [Tags](tagging-keys.md) und Erstellen von [Aliassen](kms-alias.md) und Autorisieren des Zugriffs auf die KMS-Schlüssel mithilfe der [attributbasierten Zugriffskontrolle](abac.md) (ABAC) + Verwenden Sie die KMS-Schlüssel, um die folgenden kryptografischen Operationen durchzuführen: + [Encrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html) + [Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) + [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html) + [GenerateDataKeyWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) + [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) Die Operationen, die asymmetrische Datenschlüsselpaare generieren, [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)und [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html), werden in benutzerdefinierten Schlüsselspeichern *nicht* unterstützt. + Verwenden der KMS-Schlüssel mit [AWS-Services -Services, die in AWS KMS integriert werden können](https://aws.amazon.com/kms/features/#AWS_Service_Integration) und Unterstützen von [kundenverwalteten KMS-Schlüsseln](concepts.md#customer-mgn-key) **Nicht unterstützte Funktionen** + Externe Schlüsselspeicher unterstützen nur [KMS-Schlüssel mit symmetrischer Verschlüsselung](symm-asymm-choose-key-spec.md#symmetric-cmks). Sie können keine HMAC-KMS-Schlüssel oder asymmetrische KMS-Schlüssel in einem externen Schlüsselspeicher erstellen. + [GenerateDataKeyPair](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPair.html)und [GenerateDataKeyPairWithoutPlaintext](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyPairWithoutPlaintext.html)werden für KMS-Schlüssel in einem externen Schlüsselspeicher nicht unterstützt. + Sie können keine [AWS::KMS::Key CloudFormation Vorlage](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-kms-key.html) verwenden, um einen externen Schlüsselspeicher oder einen KMS-Schlüssel in einem externen Schlüsselspeicher zu erstellen. + [Multiregionale Schlüssel](multi-region-keys-overview.md) werden in einem externen Schlüsselspeicher nicht unterstützt. + KMS-Schlüssel mit [importiertem Schlüsselmaterial](importing-keys.md) werden in einem externen Schlüsselspeicher nicht unterstützt. + [Automatische Schlüsselrotation](rotate-keys.md) wird für KMS-Schlüssel in einen externen Schlüsselspeicher nicht unterstützt. **KMS-Schlüssel in einem externen Schlüsselspeicher verwenden** Wenn Sie Ihren KMS-Schlüssel in einer Anforderung verwenden, identifizieren Sie den KMS-Schlüssel durch [Schlüssel-ID, Schlüssel-ARN, Alias oder Alias-ARN](concepts.md#key-id). Sie müssen den externen Schlüsselspeicher nicht angeben. Die Antwort enthält die gleichen Felder, die auch für alle anderen KMS-Schlüssel mit symmetrischer Verschlüsselung zurückgegeben werden. Wenn Sie jedoch einen KMS-Schlüssel in einem externen Schlüsselspeicher verwenden, werden die Ver- und Entschlüsselungsvorgänge von Ihrem externen Schlüsselmanager unter Verwendung des externen Schlüssels ausgeführt, der dem KMS-Schlüssel zugeordnet ist. [Um sicherzustellen, dass Chiffretext, der mit einem KMS-Schlüssel in einem externen Schlüsselspeicher verschlüsselt wurde, mindestens so sicher ist wie jeder Chiffretext, der mit einem Standard-KMS-Schlüssel verschlüsselt wurde, AWS KMS verwendet doppelte Verschlüsselung.](keystore-external.md#concept-double-encryption) Daten werden zunächst mithilfe von Schlüsselmaterial verschlüsselt. AWS KMS AWS KMS Dann werden sie von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel verschlüsselt. Um doppelt verschlüsselten Geheimtext zu entschlüsseln, wird der Geheimtext zunächst von Ihrem externen Schlüsselmanager mit dem externen Schlüssel für den KMS-Schlüssel entschlüsselt. Anschließend werden sie AWS KMS unter Verwendung des AWS KMS Schlüsselmaterials für den KMS-Schlüssel entschlüsselt. Damit dies möglich ist, sind die folgenden Bedingungen erforderlich. + Der [Schlüsselstatus](key-state.md) des KMS-Schlüssels muss `Enabled` lauten. Den Status des Schlüssels finden Sie im Feld **Status** für vom Kunden verwaltete Schlüssel, die [AWS KMS Konsole](finding-keys.md#viewing-console-details) oder das `KeyState` Feld in der [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Antwort. + Der externe Schlüsselspeicher, der den KMS-Schlüssel hostet, muss mit seinem [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy) verbunden sein, d. h. der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers muss `CONNECTED` sein. Sie können den Verbindungsstatus auf der Seite **Externe Schlüsselspeicher** in der AWS KMS Konsole oder in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort einsehen. Der Verbindungsstatus des externen Schlüsselspeicher wird auch auf der Detailseite für den KMS-Schlüssel in der AWS KMS -Konsole angezeigt. Wählen Sie auf der Detailseite die Registerkarte **Cryptographic configuration** (Kryptografische Konfiguration) und sehen Sie im Feld **Connection state** (Verbindungsstatus) im Abschnitt **Custom key store** (Benutzerdefinierter Schlüsselspeicher) nach. Wenn der Verbindungsstatus `DISCONNECTED` ist, müssen Sie zuerst eine Verbindung herstellen. Wenn der Verbindungsstatus `FAILED` lautet, müssen Sie das Problem lösen, den externen Schlüsselspeicher trennen und ihn dann verbinden. Detaillierte Anweisungen finden Sie unter [Externe Schlüsselspeicher Connect und trennen](xks-connect-disconnect.md). + Der Proxy des externen Schlüsselspeichers muss in der Lage sein, den externen Schlüssel zu finden. + Der externe Schlüssel muss aktiviert sein und er muss die Verschlüsselung und Entschlüsselung durchführen. Der Status des externen Schlüssels ist unabhängig von Änderungen des [Schlüsselstatus](key-state.md) des KMS-Schlüssels, einschließlich der Aktivierung und Deaktivierung des KMS-Schlüssels, und wird von diesen nicht beeinflusst. Ebenso ändert das Deaktivieren oder Löschen des externen Schlüssels nicht den Schlüsselstatus des KMS-Schlüssels, aber kryptografische Vorgänge, die den zugehörigen KMS-Schlüssel verwenden, schlagen fehl. Wenn diese Bedingungen nicht erfüllt sind, schlägt der kryptografische Vorgang fehl und es wird eine `KMSInvalidStateException` Ausnahme AWS KMS zurückgegeben. Möglicherweise müssen Sie [den externen Schlüsselspeicher erneut verbinden](xks-connect-disconnect.md) oder Tools Ihres externen Schlüsselmanagers verwenden, um Ihren externen Schlüssel neu zu konfigurieren oder zu reparieren. Weitere Informationen finden Sie unter [Fehlerbehebung bei externen Schlüsselspeichern](xks-troubleshooting.md). Bei der Verwendung von KMS-Schlüsseln in einem externen Schlüsselspeicher ist zu beachten, dass die KMS-Schlüssel in jedem externen Schlüsselspeicher gemeinsam ein [Anforderungskontingent für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores) für kryptografische Vorgänge nutzen. Wenn Sie das Kontingent überschreiten, wird a AWS KMS `ThrottlingException` zurückgegeben. Details zum Anforderungskontingent für benutzerdefinierte Schlüsselspeicher finden Sie unter [Anforderungskontingente für benutzerdefinierte Schlüsselspeicher](requests-per-second.md#rps-key-stores). **Weitere Informationen** + Weitere Informationen zu externen Schlüsselspeichern finden Sie unter[Externe Schlüsselspeicher](keystore-external.md). + Weitere Informationen über Schlüsselmaterial in externen Schlüsselspeichern finden Sie unter[Externer Schlüssel](keystore-external.md#concept-external-key). + Informationen zum Erstellen von KMS-Schlüsseln in einem externen Schlüsselspeicher finden Sie unter[Einen KMS-Schlüssel in externen Schlüsselspeichern erstellen](create-xks-keys.md). + Informationen zum Identifizieren und Anzeigen von KMS-Schlüsseln in einem externen Schlüsselspeicher finden Sie unter[Identifizieren Sie KMS-Schlüssel in externen Schlüsselspeichern](identify-key-types.md#view-xks-key). + Informationen zu besonderen Überlegungen beim Löschen von KMS-Schlüsseln in einem externen Schlüsselspeicher finden Sie unter [Löschen von KMS-Schlüsseln aus einem externen Schlüsselspeicher](deleting-keys.md#delete-xks-key).