Externe Schlüsselspeicher Connect und trennen - AWS Key Management Service
Verbindungsstatus

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Externe Schlüsselspeicher Connect und trennen

Neue externe Schlüsselspeicher sind nicht verbunden. Um Ihren externen Schlüsselspeicher zu erstellen und AWS KMS keys in Ihrem externen Schlüsselspeicher zu verwenden, müssen Sie Ihren externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbinden. Sie können Ihren externen Schlüsselspeicher jederzeit verbinden und trennen und seinen Verbindungsstatus anzeigen.

Solange Ihr externer Schlüsselspeicher nicht verbunden ist, AWS KMS kann er nicht mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Dadurch können Sie Ihren externen Schlüsselspeicher und die vorhandenen KMS Schlüssel anzeigen und verwalten. Sie können jedoch keine KMS Schlüssel in Ihrem externen Schlüsselspeicher erstellen oder dessen KMS Schlüssel für kryptografische Operationen verwenden. Es kann sein, dass Sie die Verbindung Ihres externen Schlüsselspeichers irgendwann trennen müssen, z. B. wenn Sie seine Eigenschaften bearbeiten. Wenn Sie die Verbindung zum Schlüsselspeicher trennen, kann der Betrieb von AWS Diensten, die seine Schlüssel verwenden, gestört werden. KMS

Sie müssen Ihren externen Schlüsselspeicher nicht verbinden. Sie können die Verbindung eines externen Schlüsselspeichers auf unbestimmte Zeit getrennt lassen und die Verbindung nur herstellen, wenn Sie den Schlüsselspeicher verwenden müssen. Möglicherweise möchten Sie die Verbindung jedoch von Zeit zu Zeit testen, um zu prüfen, ob die Einstellungen korrekt sind und eine Verbindungsherstellung möglich ist.

Wenn Sie die Verbindung zu einem benutzerdefinierten Schlüsselspeicher trennen, werden die KMS Schlüssel im Schlüsselspeicher sofort unbrauchbar (abhängig von der eventuellen Konsistenz). Ressourcen, die mit durch den KMSSchlüssel geschützten Datenschlüsseln verschlüsselt wurden, sind jedoch erst betroffen, wenn der KMS Schlüssel erneut verwendet wird, z. B. zum Entschlüsseln des Datenschlüssels. Dieses Problem betrifft AWS-Services, von denen viele Datenschlüssel verwenden, um Ihre Ressourcen zu schützen. Details hierzu finden Sie unter Wie sich unbrauchbare KMS Schlüssel auf Datenschlüssel auswirken.

Anmerkung

Externe Schlüsselspeicher haben nur dann den Status DISCONNECTED, wenn der Schlüsselspeicher noch nie verbunden wurde oder Sie ihn explizit trennen. Der Status CONNECTED bedeutet nicht, dass der externe Schlüsselspeicher oder seine unterstützenden Komponenten effizient funktionieren. Informationen über die Leistung der Komponenten Ihres externen Schlüsselspeichers finden Sie in den Diagrammen im Abschnitt Monitoring (Überwachung) auf der Detailseite für jeden externen Schlüsselspeicher. Details hierzu finden Sie unter Überwachen Sie externe Schlüsselspeicher.

Ihr externer Schlüsselmanager bietet möglicherweise zusätzliche Methoden zum Beenden und Neustarten der Kommunikation zwischen Ihrem AWS KMS externen Schlüsselspeicher und Ihrem externen Schlüsselspeicher-Proxy oder zwischen Ihrem externen Schlüsselspeicher-Proxy und dem externen Schlüsselmanager. Weitere Informationen finden Sie in der Dokumentation zum externen Schlüsselmanager.

Themen

Verbindungsstatus

Beim Verbinden und Trennen der Verbindung wird der Verbindungsstatus Ihres benutzerdefinierten Schlüsselspeichers geändert. Die Werte für den Verbindungsstatus sind für AWS CloudHSM Schlüsselspeicher und externe Schlüsselspeicher identisch.

Um den Verbindungsstatus Ihres benutzerdefinierten Schlüsselspeichers anzuzeigen, verwenden Sie das DescribeCustomKeyStoresBetriebssystem oder die AWS KMS Konsole. Der Verbindungsstatus wird in jeder Tabelle mit benutzerdefinierten Schlüsselspeichern, im Abschnitt Allgemeine Konfiguration der Detailseite für jeden benutzerdefinierten Schlüsselspeicher und auf der Registerkarte Kryptografische Konfiguration von KMS Schlüsseln in einem benutzerdefinierten Schlüsselspeicher angezeigt. Details dazu finden Sie unter Sehen Sie sich einen AWS CloudHSM Schlüsselspeicher an und Externe Schlüsselspeicher anzeigen.

Ein benutzerdefinierter Schlüsselspeicher kann einen der folgenden Verbindungsstatus haben:

  • CONNECTED: Der benutzerdefinierte Schlüsselspeicher ist mit seinem Unterstützungsschlüsselspeicher verbunden. Sie können KMS Schlüssel im benutzerdefinierten Schlüsselspeicher erstellen und verwenden.

    Der Backing-Schlüsselspeicher für einen AWS CloudHSM Schlüsselspeicher ist der zugehörige AWS CloudHSM Cluster. Der Unterstützungsschlüsselspeicher für einen externen Schlüsselspeicher ist der externe Schlüsselspeicher-Proxy und der externe Schlüsselmanager, den er unterstützt.

    Ein CONNECTED Status bedeutet, dass eine Verbindung erfolgreich hergestellt wurde und die Verbindung zum benutzerdefinierten Schlüsselspeicher nicht absichtlich unterbrochen wurde. Er bedeutet nicht, dass die Verbindung ordnungsgemäß funktioniert. Informationen zum Status des AWS CloudHSM Clusters, der Ihrem AWS CloudHSM Schlüsselspeicher zugeordnet ist, finden Sie AWS CloudHSM im AWS CloudHSM Benutzerhandbuch unter CloudWatch Metriken abrufen für. Informationen zum Status und Betrieb Ihres externen Schlüsselspeichers finden Sie in den Diagrammen im Abschnitt Überwachung auf der Detailseite für jeden externen Schlüsselspeicher. Details hierzu finden Sie unter Überwachen Sie externe Schlüsselspeicher.

  • CONNECTING: Der Prozess der Verbindung eines benutzerdefinierten Schlüsselspeichers ist im Gange. Dies ist ein vorübergehender Zustand.

  • DISCONNECTED: Der benutzerdefinierte Schlüsselspeicher wurde noch nie mit seinem Backing-Speicher verbunden, oder er wurde absichtlich mithilfe der AWS KMS Konsole oder des DisconnectCustomKeyStoreVorgangs getrennt.

  • DISCONNECTING: Der Prozess der Trennung eines benutzerdefinierten Schlüsselspeichers ist im Gange. Dies ist ein vorübergehender Zustand.

  • FAILED: Ein Versuch, den benutzerdefinierten Schlüsselspeicher zu verbinden, ist fehlgeschlagen. Das ConnectionErrorCode in der DescribeCustomKeyStoresAntwort weist auf das Problem hin.

Um einen benutzerdefinierten Schlüsselspeicher zu verbinden, muss sein Verbindungsstatus DISCONNECTED sein. Wenn der Verbindungsstatus FAILED lautet, identifizieren und lösen Sie das Problem anhand des ConnectionErrorCode. Trennen Sie dann den benutzerdefinierten Schlüsselspeicher, bevor Sie versuchen, die Verbindung wieder herzustellen. Hilfestellung bei fehlgeschlagenen Verbindungen finden Sie unter Fehler bei der Verbindung mit dem externen Schlüsselspeicher. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter Verbindungsfehlercodes für externe Schlüsselspeicher.

Anzeigen des Verbindungsfehlercodes:

  • Sehen Sie sich in der DescribeCustomKeyStoresAntwort den Wert des ConnectionErrorCode Elements an. Die DescribeCustomKeyStores-Antwort enthält dieses Element nur, wenn der ConnectionState FAILED ist.

  • Um den Verbindungsfehlercode in der AWS KMS Konsole auf der Detailseite für den externen Schlüsselspeicher anzuzeigen, zeigen Sie mit der Maus auf den Wert Fehlgeschlagen.

    Verbindungsfehlercode auf der Detailseite des benutzerdefinierten Schlüsselspeichers