Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Externe Schlüsselspeicher anzeigen
Sie können externe Schlüsselspeicher in jedem Konto und jeder Region anzeigen, indem Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang verwenden.
Beim Anzeigen eines externen Schlüsselspeichers können Sie folgende Informationen sehen:
+ Grundlegende Informationen über den Schlüsselspeicher, einschließlich seines Benutzernamens, seiner ID, seines Schlüsselspeichertyps und seines Erstellungsdatums
+ Konfigurationsinformationen für den [Proxy des externen Schlüsselspeichers](keystore-external.md#concept-xks-proxy), einschließlich des [Konnektivitätstyps](keystore-external.md#concept-xks-connectivity), des [Proxy-URI-Endpunkts](create-xks-keystore.md#require-endpoint) und [-pfads](create-xks-keystore.md#require-path) sowie der [Zugriffsschlüssel-ID](keystore-external.md#concept-xks-credential) Ihrer aktuellen [Proxy-Anmeldeinformation](keystore-external.md#concept-xks-credential).
+ Wenn der Proxy des externen Schlüsselspeichers die [Konnektivität des VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) verwendet, zeigt die Konsole den Namen des VPC-Endpunktservice an.
+ Den aktuellen [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state)
**Anmerkung**
Der Verbindungsstatus **Disconnected** (Verbindung getrennt) bedeutet, dass der externe Schlüsselspeicher noch nie verbunden war oder dass die Verbindung zum Proxy des externen Schlüsselspeichers absichtlich getrennt wurde. Wenn Ihre Versuche, einen KMS-Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, jedoch fehlschlagen, kann dies auf ein Problem mit dem externen Schlüsselspeicher oder seinem Proxy hinweisen. Weitere Informationen dazu finden Sie unter [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](xks-troubleshooting.md#fix-xks-connection).
+ Ein [Monitoring-Bereich](xks-monitoring.md) mit Grafiken von [ CloudWatch Amazon-Metriken](monitoring-cloudwatch.md#kms-metrics), die Ihnen helfen sollen, Probleme mit Ihrem externen Schlüsselspeicher zu erkennen und zu lösen. Hilfe bei der Interpretation der Grafiken, ihrer Verwendung bei der Planung und Problembehebung und der Erstellung von CloudWatch Alarmen auf der Grundlage der Kennzahlen in den Diagrammen finden Sie unter[Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
## Eigenschaften des externen Schlüsselspeichers
Die folgenden Eigenschaften eines externen Schlüsselspeichers sind in der AWS KMS Konsole und in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort sichtbar.
### Eigenschaften eines benutzerdefinierten Schlüsselspeichers
Die folgenden Werte werden im Abschnitt **Allgemeine Konfiguration** der Detailseite für jeden benutzerdefinierten Schlüsselspeicher angezeigt. Diese Eigenschaften gelten für alle benutzerdefinierten Schlüsselspeicher, einschließlich AWS CloudHSM Schlüsselspeicher und externer Schlüsselspeicher.
**ID des benutzerdefinierten Schlüsselspeichers**
Eine eindeutige ID, die AWS KMS dem benutzerdefinierten Schlüsselspeicher zugewiesen wird.
**Name des benutzerdefinierten Schlüsselspeichers**
Ein Anzeigename, den Sie dem benutzerdefinierten Schlüsselspeicher bei dessen Erstellung zuweisen. Sie können diesen Wert jederzeit ändern.
**Typ des benutzerdefinierten Schlüsselspeichers**
Der Typ des benutzerdefinierten Schlüsselspeichers. Gültige Werte sind AWS CloudHSM (`AWS_CLOUDHSM`) oder „Externer Schlüsselspeicher“ (`EXTERNAL_KEY_STORE`). Der Typ kann nach der Erstellung des benutzerdefinierten Schlüsselspeichers nicht mehr geändert werden.
**Erstellungsdatum**
Das Datum, an dem der benutzerdefinierte Schlüsselspeicher erstellt wurde. Dieses Datum wird in Ortszeit für die AWS-Region angezeigt.
**Verbindungsstatus**
Zeigt an, ob der benutzerdefinierte Schlüsselspeicher mit dem Unterstützungsschlüsselspeicher verbunden ist. Der Verbindungsstatus ist nur dann `DISCONNECTED`, wenn der benutzerdefinierte Schlüsselspeicher noch nie mit dem Unterstützungsschlüsselspeicher verbunden war oder die Verbindung absichtlich getrennt wurde. Details hierzu finden Sie unter [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state).
### Konfigurationseigenschaften des externen Schlüsselspeichers
Die folgenden Werte werden im Abschnitt **Konfiguration des externen Schlüsselspeichers** auf der Detailseite für jeden externen Schlüsselspeicher und im `XksProxyConfiguration` Element der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort angezeigt. Eine ausführliche Beschreibung der einzelnen Felder, einschließlich der Anforderungen an die Eindeutigkeit und Hilfe bei der Bestimmung des richtigen Werts für jedes Feld, finden Sie unter [Erfüllen der Voraussetzungen](create-xks-keystore.md#xks-requirements) im Thema *Erstellen eines externen Schlüsselspeichers*.
**Proxy-Konnektivität**
Gibt an, ob der externe Schlüsselspeicher [Konnektivität eines öffentlichen Endpunkts](choose-xks-connectivity.md#xks-connectivity-public-endpoint) oder [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) verwendet.
**Proxy-URI-Endpunkt**
Der Endpunkt, der AWS KMS verwendet wird, um eine Verbindung zu Ihrem [externen Schlüsselspeicher-Proxy](keystore-external.md#concept-xks-proxy) herzustellen.
**Proxy-URI-Pfad**
Der Pfad vom Proxy-URI-Endpunkt, an den [Proxy-API-Anfragen AWS KMS](keystore-external.md#concept-proxy-apis) gesendet werden.
**Proxy-Anmeldeinformation: Zugriffsschlüssel-ID**
Teil der [Anmeldeinformation für die Proxy-Authentifizierung](keystore-external.md#concept-xks-credential), die Sie für den Proxy Ihres externen Schlüsselspeichers einrichten. Die Zugriffsschlüssel-ID identifiziert den geheimen Zugriffsschlüssel in der Anmeldeinformation.
AWS KMS verwendet den SigV4-Signaturprozess und die Anmeldeinformationen für die Proxyauthentifizierung, um seine Anfragen an Ihren externen Schlüsselspeicher-Proxy zu signieren. Die Anmeldeinformationen in der Signatur ermöglichen es dem externen Schlüsselspeicher-Proxy, Anfragen in Ihrem Namen von zu authentifizieren. AWS KMS
**Name des VPC-Endpunkt-Service**
Der Name des VPC-Endpunkt-Service von Amazon, der Ihren externen Schlüsselspeicher unterstützt. Dieser Wert wird nur angezeigt, wenn der externe Schlüsselspeicher die [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) nutzt. Sie können den Proxy Ihres externen Schlüsselspeichers in der VPC finden oder den VPC-Endpunkt-Service verwenden, um sicher mit dem Proxy Ihres externen Schlüsselspeichers zu kommunizieren.
**Besitzer-ID des VPC-Endpunktdienstes**
Die ID des Amazon VPC-Endpunktdienstes, der Ihren externen Schlüsselspeicher unterstützt. Dieser Wert wird nur angezeigt, wenn der externe Schlüsselspeicher die [Konnektivität eines VPC-Endpunkt-Service](choose-xks-connectivity.md#xks-vpc-connectivity) nutzt. Sie können den Proxy Ihres externen Schlüsselspeichers in der VPC finden oder den VPC-Endpunkt-Service verwenden, um sicher mit dem Proxy Ihres externen Schlüsselspeichers zu kommunizieren.
## Sehen Sie sich die Eigenschaften Ihres externen Schlüsselspeichers an
Sie können Ihren externen Schlüsselspeicher und die zugehörigen Eigenschaften in der AWS KMS Konsole oder mithilfe des [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgangs anzeigen.
### Mithilfe der AWS KMS Konsole
Gehen Sie wie folgt vor, um die externen Schlüsselspeicher in einem bestimmten Konto und einer bestimmten Region anzuzeigen:
1. Melden Sie sich bei der AWS Key Management Service (AWS KMS) -Konsole an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Zum Anzeigen von detaillierten Informationen über einen externen Schlüsselspeicher wählen Sie den Namen des Schlüsselspeichers aus.
### Verwenden der API AWS KMS
Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um Ihre externen Schlüsselspeicher anzuzeigen. Standardmäßig gibt diese Operation alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Ausgabe auf einen bestimmten benutzerdefinierten Schlüsselspeicher zu begrenzen.
Bei benutzerdefinierten Schlüsselspeichern besteht die Ausgabe aus der ID, dem Namen und dem Typ des benutzerdefinierten Schlüsselspeichers sowie dem [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des Schlüsselspeichers. Wenn der Verbindungsstatus `FAILED` ist, enthält die Ausgabe auch einen `ConnectionErrorCode`, der den Grund für den Fehler beschreibt. Hilfe bei der Interpretation des `ConnectionErrorCode` für einen externen Schlüsselspeicher finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes).
Für externe Schlüsselspeicher enthält die Ausgabe auch das `XksProxyConfiguration`-Element. Dieses Element enthält den [Konnektivitätstyp](create-xks-keystore.md#require-connectivity), den [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint), den [Proxy-URI-Pfad](create-xks-keystore.md#require-path) und die Zugriffsschlüssel-ID der [Anmeldeinformation für die Proxy-Authentifizierung](keystore-external.md#concept-xks-credential).
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Beispielsweise gibt der folgende Befehl alle benutzerdefinierten Schlüsselspeicher im Konto und in der Region zurück. Sie können die Parameter `Marker` und `Limit` verwenden, um durch die benutzerdefinierten Schlüsselspeicher in der Ausgabe zu blättern.
```
$ aws kms describe-custom-key-stores
```
Der folgende Befehl verwendet den Parameter `CustomKeyStoreName`, um nur den externen Beispiel-Schlüsselspeicher mit dem Anzeigenamen `ExampleXksPublic` abzurufen. Dieser Beispiel-Schlüsselspeicher verwendet Konnektivität eines öffentlichen Endpunkts. Er ist mit dem Proxy seines externen Schlüsselspeichers verbunden.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleXksPublic",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-14T20:17:36.419000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE12345670EXAMPLE",
"Connectivity": "PUBLIC_ENDPOINT",
"UriEndpoint": "https://xks.example.com:6443",
"UriPath": "/example/prefix/kms/xks/v1"
}
}
]
}
```
Mit dem folgenden Befehl wird ein Beispiel für einen externen Schlüsselspeicher mit Konnektivität eines VPC-Endpunkt-Service abgerufen. In diesem Beispiel ist der externe Schlüsselspeicher mit dem Proxy seines externen Schlüsselspeichers verbunden.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Der [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) `Disconnected` bedeutet, dass ein externer Schlüsselspeicher nie verbunden war oder dass er absichtlich vom Proxy seines externen Schlüsselspeichers getrennt wurde. Wenn jedoch der Versuch, einen KMS-Schlüssel in einem verbundenen externen Schlüsselspeicher zu verwenden, fehlschlägt, kann dies auf ein Problem mit dem Proxy des externen Schlüsselspeichers oder anderen externen Komponenten hinweisen.
Wenn der `ConnectionState` des externen Schlüsselspeichers `FAILED` lautet, enthält die `DescribeCustomKeyStores`-Antwort ein `ConnectionErrorCode`-Element, das den Grund für den Fehler angibt.
In der folgenden Ausgabe gibt der `XKS_PROXY_TIMED_OUT` Wert beispielsweise an, dass eine Verbindung zum externen Schlüsselspeicher-Proxy hergestellt werden AWS KMS kann, die Verbindung jedoch fehlgeschlagen ist, weil der externe Schlüsselspeicher-Proxy nicht innerhalb AWS KMS der vorgesehenen Zeit reagiert hat. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers. Weitere Informationen zu diesem und anderen Verbindungsfehlern finden Sie unter [Fehlerbehebung bei externen Schlüsselspeichern](xks-troubleshooting.md).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```