Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anzeigen eines externen Schlüsselspeichers
Sie können externe Schlüsselspeicher in jedem Konto und jeder Region anzeigen, indem Sie die -AWS KMSKonsole oder die -DescribeCustomKeyStoresOperation verwenden.
Beim Anzeigen eines externen Schlüsselspeichers können Sie folgende Informationen sehen:
-
Grundlegende Informationen über den Schlüsselspeicher, einschließlich seines Benutzernamens, seiner ID, seines Schlüsselspeichertyps und seines Erstellungsdatums
-
Konfigurationsinformationen für den Proxy des externen Schlüsselspeichers, einschließlich des Konnektivitätstyps, des Proxy-URI-Endpunkts und -pfads sowie der Zugriffsschlüssel-ID Ihrer aktuellen Proxy-Anmeldeinformation.
-
Wenn der Proxy des externen Schlüsselspeichers die Konnektivität des VPC-Endpunkt-Service verwendet, zeigt die Konsole den Namen des VPC-Endpunktservice an.
-
Den aktuellen Verbindungsstatus
Anmerkung
Der Verbindungsstatus Disconnected (Verbindung getrennt) bedeutet, dass der externe Schlüsselspeicher noch nie verbunden war oder dass die Verbindung zum Proxy des externen Schlüsselspeichers absichtlich getrennt wurde. Wenn Ihre Versuche, einen KMS-Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, jedoch fehlschlagen, kann dies auf ein Problem mit dem externen Schlüsselspeicher oder seinem Proxy hinweisen. Weitere Informationen dazu finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher.
Ein Abschnitt Überwachung mit Diagrammen von Amazon- CloudWatch Metriken, die Ihnen helfen, Probleme mit Ihrem externen Schlüsselspeicher zu erkennen und zu beheben. Hilfe bei der Interpretation der Diagramme, ihrer Verwendung bei der Planung und Fehlerbehebung und der Erstellung von CloudWatch Alarmen auf der Grundlage der Metriken in den Diagrammen finden Sie unter Überwachung eines externen Schlüsselspeichers.
Weitere Informationen finden Sie auch unter:
Themen
Eigenschaften des externen Schlüsselspeichers
Die folgenden Eigenschaften eines externen Schlüsselspeichers sind in der AWS KMS Konsole und der DescribeCustomKeyStores Antwort sichtbar.
Eigenschaften eines benutzerdefinierten Schlüsselspeichers
Die folgenden Werte werden im Abschnitt General configuration (Allgemeine Konfiguration) der Detailseite für jeden benutzerdefinierten Schlüsselspeicher angezeigt. Diese Eigenschaften gelten für alle benutzerdefinierten Schlüsselspeicher, einschließlich AWS CloudHSM-Schlüsselspeicher und externe Schlüsselspeicher.
- ID des benutzerdefinierten Schlüsselspeichers
-
Eine eindeutige ID, die AWS KMS dem benutzerdefinierten Schlüsselspeicher zuweist
- Name des benutzerdefinierten Schlüsselspeichers
-
Ein Anzeigename, den Sie dem benutzerdefinierten Schlüsselspeicher bei dessen Erstellung zuweisen. Sie können diesen Wert jederzeit ändern.
- Typ des benutzerdefinierten Schlüsselspeichers
-
Der Typ des benutzerdefinierten Schlüsselspeichers. Gültige Werte sind AWS CloudHSM (
AWS_CLOUDHSM) oder „Externer Schlüsselspeicher“ (EXTERNAL_KEY_STORE). Der Typ kann nach der Erstellung des benutzerdefinierten Schlüsselspeichers nicht mehr geändert werden. - Erstellungsdatum
-
Das Datum, an dem der benutzerdefinierte Schlüsselspeicher erstellt wurde. Dieses Datum wird in Ortszeit für die AWS-Region angezeigt.
- Verbindungsstatus
-
Zeigt an, ob der benutzerdefinierte Schlüsselspeicher mit dem Unterstützungsschlüsselspeicher verbunden ist. Der Verbindungsstatus ist nur dann
DISCONNECTED, wenn der benutzerdefinierte Schlüsselspeicher noch nie mit dem Unterstützungsschlüsselspeicher verbunden war oder die Verbindung absichtlich getrennt wurde. Details hierzu finden Sie unter Verbindungsstatus.
Konfigurationseigenschaften des externen Schlüsselspeichers
Die folgenden Werte werden im Abschnitt Konfiguration des externen Schlüsselspeicher-Proxys auf der Detailseite für jeden externen Schlüsselspeicher und im -XksProxyConfigurationElement der DescribeCustomKeyStores Antwort angezeigt. Eine ausführliche Beschreibung der einzelnen Felder, einschließlich der Anforderungen an die Eindeutigkeit und Hilfe bei der Bestimmung des richtigen Werts für jedes Feld, finden Sie unter Erfüllen der Voraussetzungen im Thema Erstellen eines externen Schlüsselspeichers.
- Proxy-Konnektivität
Gibt an, ob der externe Schlüsselspeicher Konnektivität eines öffentlichen Endpunkts oder Konnektivität eines VPC-Endpunkt-Service verwendet.
- Proxy-URI-Endpunkt
-
Der Endpunkt, den AWS KMS für die Verbindung zum Proxy Ihres externen Schlüsselspeichers verwendet.
- Proxy-URI-Pfad
-
Der Pfad vom Proxy-URI-Endpunkt, an den AWS KMS Proxy-API-Anfragen sendet.
- Proxy-Anmeldeinformation: Zugriffsschlüssel-ID
-
Teil der Anmeldeinformation für die Proxy-Authentifizierung, die Sie für den Proxy Ihres externen Schlüsselspeichers einrichten. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel in der Anmeldeinformation.
AWS KMS verwendet das SigV4-Signierverfahren und die Anmeldeinformation für die Proxy-Authentifizierung, um seine Anforderungen an den Proxy Ihres externen Schlüsselspeichers zu signieren. Die Anmeldeinformation in der Signatur ermöglicht es dem Proxy des externen Schlüsselspeichers, Anforderungen von AWS KMS in Ihrem Namen zu authentifizieren.
- Name des VPC-Endpunkt-Service
-
Der Name des VPC-Endpunkt-Service von Amazon, der Ihren externen Schlüsselspeicher unterstützt. Dieser Wert wird nur angezeigt, wenn der externe Schlüsselspeicher die Konnektivität eines VPC-Endpunkt-Service nutzt. Sie können den Proxy Ihres externen Schlüsselspeichers in der VPC finden oder den VPC-Endpunkt-Service verwenden, um sicher mit dem Proxy Ihres externen Schlüsselspeichers zu kommunizieren.
Anzeigen eines externen Schlüsselsspeichers (Konsole)
Gehen Sie wie folgt vor, um die externen Schlüsselspeicher in einem bestimmten Konto und einer bestimmten Region anzuzeigen:
-
Melden Sie sich bei der AWS Management Console an und öffnen Sie die AWS Key Management Service (AWS KMS)-Konsole unter https://console.aws.amazon.com/kms.
-
Wenn Sie die AWS-Region ändern möchten, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
Wählen Sie im Navigationsbereich Custom key stores (Benutzerdefinierte Schlüsselspeicher), External key stores (Externe Schlüsselspeicher) aus.
-
Zum Anzeigen von detaillierten Informationen über einen externen Schlüsselspeicher wählen Sie den Namen des Schlüsselspeichers aus.
Anzeigen eines externen Schlüsselsspeichers (API)
Um Ihre externen Schlüsselspeicher anzuzeigen, verwenden Sie die -DescribeCustomKeyStoresOperation. Standardmäßig gibt diese Operation alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können jedoch entweder den Parameter CustomKeyStoreId oder CustomKeyStoreName (aber nicht beide) verwenden, um die Ausgabe auf einen bestimmten benutzerdefinierten Schlüsselspeicher zu begrenzen.
Bei benutzerdefinierten Schlüsselspeichern besteht die Ausgabe aus der ID, dem Namen und dem Typ des benutzerdefinierten Schlüsselspeichers sowie dem Verbindungsstatus des Schlüsselspeichers. Wenn der Verbindungsstatus FAILED ist, enthält die Ausgabe auch einen ConnectionErrorCode, der den Grund für den Fehler beschreibt. Hilfe bei der Interpretation des ConnectionErrorCode für einen externen Schlüsselspeicher finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.
Für externe Schlüsselspeicher enthält die Ausgabe auch das XksProxyConfiguration-Element. Dieses Element enthält den Konnektivitätstyp, den Proxy-URI-Endpunkt, den Proxy-URI-Pfad und die Zugriffsschlüssel-ID der Anmeldeinformation für die Proxy-Authentifizierung.
Für diese Beispiele wird die AWS Command Line Interface (AWS CLI)
Beispielsweise gibt der folgende Befehl alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können die Parameter Marker und Limit verwenden, um durch die benutzerdefinierten Schlüsselspeicher in der Ausgabe zu blättern.
$aws kms describe-custom-key-stores
Der folgende Befehl verwendet den Parameter CustomKeyStoreName, um nur den externen Beispiel-Schlüsselspeicher mit dem Anzeigenamen ExampleXksPublic abzurufen. Dieser Beispiel-Schlüsselspeicher verwendet Konnektivität eines öffentlichen Endpunkts. Er ist mit dem Proxy seines externen Schlüsselspeichers verbunden.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksPublic{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
Mit dem folgenden Befehl wird ein Beispiel für einen externen Schlüsselspeicher mit Konnektivität eines VPC-Endpunkt-Service abgerufen. In diesem Beispiel ist der externe Schlüsselspeicher mit dem Proxy seines externen Schlüsselspeichers verbunden.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Der ConnectionState Disconnected bedeutet, dass ein externer Schlüsselspeicher nie verbunden war oder dass er absichtlich vom Proxy seines externen Schlüsselspeichers getrennt wurde. Wenn jedoch der Versuch, einen KMS-Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, fehlschlägt, kann dies auf ein Problem mit dem Proxy des externen Schlüsselspeichers oder anderen externen Komponenten hinweisen.
Wenn der ConnectionState des externen Schlüsselspeichers FAILED lautet, enthält die DescribeCustomKeyStores-Antwort ein ConnectionErrorCode-Element, das den Grund für den Fehler angibt.
In der folgenden Ausgabe bedeutet der Wert XKS_PROXY_TIMED_OUT beispielsweise, dass AWS KMS eine Verbindung zum Proxy des externen Schlüsselspeichers herstellen kann, die Verbindung jedoch fehlgeschlagen ist, weil der Proxy des externen Schlüsselspeichers AWS KMS nicht in der vorgesehenen Zeit geantwortet hat. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers. Weitere Informationen zu diesem und anderen Verbindungsfehlern finden Sie unter Fehlerbehebung bei externen Schlüsselspeichern.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
