Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Fehlerbehebung bei externen Schlüsselspeichern
Die meisten Probleme mit externen Schlüsselspeichern lassen sich anhand der Fehlermeldung beheben, die bei jeder Ausnahme AWS KMS angezeigt wird, oder anhand des [Verbindungsfehlercodes](#fix-xks-connection), der AWS KMS zurückgegeben wird, wenn ein Versuch, [den externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden](xks-connect-disconnect.md), fehlschlägt. Einige Probleme sind jedoch etwas komplexer.
Wenn Sie ein Problem mit einem externen Schlüsselspeicher diagnostizieren, ermitteln Sie zunächst die Ursache. Dadurch wird die Bandbreite der potenziellen Abhilfemaßnahmen eingeschränkt und Ihre Fehlersuche wird effizienter.
+ AWS KMS — Das Problem liegt möglicherweise darin AWS KMS, z. B. ein falscher Wert in der [Konfiguration Ihres externen Schlüsselspeichers](create-xks-keystore.md#xks-requirements).
+ Extern — Das Problem kann außerhalb von liegen AWS KMS, einschließlich Problemen mit der Konfiguration oder dem Betrieb des externen Schlüsselspeicher-Proxys, des externen Schlüsselmanagers, der externen Schlüssel oder des VPC-Endpunktdienstes.
+ Netzwerk — Möglicherweise handelt es sich um ein Konnektivitäts- oder Netzwerkproblem, z. B. ein Problem mit Ihrem Proxy-Endpunkt, Port, IP-Stack oder Ihrem privaten DNS-Namen oder Ihrer privaten DNS-Domäne.
**Anmerkung**
Wenn Verwaltungsoperationen für externe Schlüsselspeicher fehlschlagen, generieren sie verschiedene Ausnahmen. AWS KMS Kryptografische Operationen werden jedoch `KMSInvalidStateException` für alle Fehler zurückgegeben, die mit der externen Konfiguration oder dem Verbindungsstatus des externen Schlüsselspeichers zusammenhängen. Identifizieren Sie das Problem anhand des zugehörigen Fehlermeldungstexts.
Der [ConnectCustomKeyStore](xks-connect-disconnect.md)Vorgang ist schnell erfolgreich, bevor der Verbindungsvorgang abgeschlossen ist. Um festzustellen, ob der Verbindungsvorgang erfolgreich ausgeführt wird, sehen Sie sich den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers an. Wenn der Verbindungsvorgang fehlschlägt, gibt AWS KMS einen [Verbindungsfehlercode](#xks-connection-error-codes) zurück, der Aufschluss über die Ursache gibt und Abhilfemaßnahmen vorschlägt.
**Topics**
+ [Tools zur Fehlerbehebung bei externen Schlüsselspeichern](#xks-troubleshooting-tools)
+ [Konfigurationsfehler](#fix-xks-configuration)
+ [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](#fix-xks-connection)
+ [Latenz- und Zeitüberschreitungsfehler](#fix-xks-latency)
+ [Fehler mit der Anmeldeinformation für die Authentifizierung](#fix-xks-credentials)
+ [Fehler mit dem Schlüsselstatus](#fix-unavailable-xks-keys)
+ [Entschlüsselungsfehler](#fix-xks-decrypt)
+ [Fehler mit externen Schlüsseln](#fix-external-key)
+ [Proxy-Probleme](#fix-xks-proxy)
+ [Probleme mit der Proxy-Autorisierung](#fix-xks-authorization)
## Tools zur Fehlerbehebung bei externen Schlüsselspeichern
AWS KMS stellt mehrere Tools bereit, mit denen Sie Probleme mit Ihrem externen Schlüsselspeicher und seinen Schlüsseln identifizieren und lösen können. Verwenden Sie diese Tools zusammen mit den Tools, die mit Ihrem externen Schlüsselspeicher-Proxy und Ihrem externen Schlüsselmanager bereitgestellt werden.
**Anmerkung**
Ihr externer Schlüsselspeicher-Proxy und Ihr externer Schlüsselmanager bieten möglicherweise einfachere Methoden zum Erstellen und Verwalten Ihres externen Schlüsselspeichers und seiner KMS-Schlüssel. Weitere Informationen finden Sie in der Dokumentation Ihrer externen Tools.
**AWS KMS Ausnahmen und Fehlermeldungen**
AWS KMS bietet eine detaillierte Fehlermeldung zu allen auftretenden Problemen. Weitere Informationen zu AWS KMS Ausnahmen finden Sie in der [https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) und AWS SDKs. Auch wenn Sie die AWS KMS Konsole verwenden, könnten diese Verweise für Sie hilfreich sein. Sehen Sie sich zum Beispiel die [Fehlerliste](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) für die `CreateCustomKeyStores`-Operation an.
Um die Leistung Ihres externen Schlüsselspeicher-Proxys zu optimieren, AWS KMS gibt es Ausnahmen auf der Grundlage der Zuverlässigkeit Ihres Proxys innerhalb eines bestimmten Aggregationszeitraums von 5 Minuten zurück. Bei einem internen Serverfehler vom Typ 500, 503 Service Unavailable oder einem Verbindungs-Timeout kehrt ein Proxy mit hoher Zuverlässigkeit zurück `KMSInternalException` und löst einen automatischen Wiederholungsversuch aus, um sicherzustellen, dass Anfragen letztendlich erfolgreich sind. Ein Proxy mit niedriger Zuverlässigkeit kehrt jedoch zurück. `KMSInvalidStateException` Weitere Informationen finden Sie unter [Überwachen eines externen Schlüsselspeichers](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).
Wenn das Problem in einem anderen AWS Dienst auftritt, z. B. wenn Sie einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher verwenden, um eine Ressource in einem anderen AWS Dienst zu schützen, stellt der AWS Dienst möglicherweise zusätzliche Informationen zur Verfügung, mit denen Sie das Problem identifizieren können. Wenn der AWS Dienst die Meldung nicht bereitstellt, können Sie die Fehlermeldung in den [CloudTrail Protokollen](logging-using-cloudtrail.md) einsehen, in denen die Verwendung Ihres KMS-Schlüssels aufgezeichnet wird.
**[CloudTrail logs](logging-using-cloudtrail.md)**
Jeder AWS KMS API-Vorgang, einschließlich Aktionen in der AWS KMS Konsole, wird in AWS CloudTrail Protokollen aufgezeichnet. AWS KMS zeichnet einen Protokolleintrag für erfolgreiche und fehlgeschlagene Operationen auf. Bei fehlgeschlagenen Operationen enthält der Protokolleintrag den Namen der AWS KMS -Ausnahme (`errorCode`) und die Fehlermeldung (`errorMessage`). Sie können diese Informationen verwenden, um den Fehler zu identifizieren und zu beheben. Ein Beispiel finden Sie unter [Fehler bei der Entschlüsselung mit einem KMS-Schlüssel in einem externen Schlüsselspeicher](ct-decrypt.md#ct-decrypt-xks-fail).
Der Protokolleintrag enthält auch die Anfrage-ID. Wenn die Anfrage Ihren externen Schlüsselspeicher-Proxy erreicht hat, können Sie mithilfe der Anfrage-ID im Protokolleintrag die entsprechende Anfrage in Ihren Proxy-Protokollen finden, sofern Ihr Proxy sie bereitstellt.
**[CloudWatch Metriken](monitoring-cloudwatch.md#kms-metrics)**
AWS KMS zeichnet detaillierte CloudWatch Amazon-Metriken über den Betrieb und die Leistung Ihres externen Schlüsselspeichers auf, darunter Latenz, Drosselung, Proxyfehler, den Status des externen Schlüsselmanagers, die Anzahl der Tage bis zum Ablauf Ihres TLS-Zertifikats und das gemeldete Alter Ihrer Proxy-Authentifizierungsdaten. Sie können diese Metriken verwenden, um Datenmodelle für den Betrieb Ihres externen Schlüsselspeichers und CloudWatch Alarme zu entwickeln, die Sie vor drohenden Problemen warnen, bevor sie auftreten.
AWS KMS empfiehlt, dass Sie CloudWatch Alarme erstellen, um die Messwerte des externen Schlüsselspeichers zu überwachen. Diese Alarme warnen Sie vor ersten Anzeichen von Problemen, bevor sie auftreten.
**[Überwachungsdiagramme](xks-monitoring.md)**
AWS KMS zeigt auf der Detailseite für jeden externen Schlüsselspeicher in der AWS KMS Konsole Diagramme der CloudWatch Messwerte für externe Schlüsselspeicher an. Sie können die Daten in den Diagrammen verwenden, um die Fehlerquelle zu lokalisieren, drohende Probleme zu erkennen, Ausgangswerte festzulegen und Ihre CloudWatch Alarmschwellenwerte zu verfeinern. Einzelheiten zur Interpretation der Überwachungsdiagramme und zur Verwendung der darin enthaltenen Daten finden Sie unter [Überwachen Sie externe Schlüsselspeicher](xks-monitoring.md).
**Anzeigen von externen Schlüsselspeichern und KMS-Schlüsseln**
AWS KMS zeigt detaillierte Informationen zu Ihren externen Schlüsselspeichern und den KMS-Schlüsseln im externen Schlüsselspeicher in der AWS KMS Konsole sowie in der Antwort auf die AND-Operationen an. [DescribeCustomKeyStores[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Diese Anzeigen enthalten spezielle Felder für externe Schlüsselspeicher und KMS-Schlüssel mit Informationen, die Sie für die Problembehandlung verwenden können, z. B. den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers und die ID des externen Schlüssels, der dem KMS-Schlüssel zugeordnet ist. Details hierzu finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md).
**[XKS-Proxy-Testclient](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**
AWS KMS stellt einen Open-Source-Testclient bereit, der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der [API-Spezifikation für den AWS KMS externen Schlüsselspeicher-Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht. Sie können diesen Testclient verwenden, um Probleme mit Ihrem externen Schlüsselspeicher-Proxy zu identifizieren und zu beheben.
## Konfigurationsfehler
Wenn Sie einen externen Schlüsselspeicher erstellen, geben Sie Eigenschaftswerte an, die die *Konfiguration* Ihres externen Schlüsselspeichers umfassen. Dazu zählen beispielsweise die [Proxy-Authentifizierungsanmeldeinformation](create-xks-keystore.md#require-credential), der [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint), der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) und der [Name des VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name). Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl und es wird ein Fehler zurückgegeben, der auf den fehlerhaften Wert hinweist.
Viele Konfigurationsprobleme lassen sich beheben, indem der falsche Wert korrigiert wird. Sie können einen ungültigen Proxy-URI-Pfad oder eine ungültige Proxy-Authentifizierungsanmeldeinformation korrigieren, ohne den externen Schlüsselspeicher zu trennen. Definitionen dieser Werte, einschließlich der Anforderungen hinsichtlich der Eindeutigkeit, finden Sie unter [Erfüllen der Voraussetzungen](create-xks-keystore.md#xks-requirements). Anweisungen zum Aktualisieren dieser Werte finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
Laden Sie beim Erstellen oder Aktualisieren Ihres externen Schlüsselspeichers eine [Proxy-Konfigurationsdatei](create-xks-keystore.md#proxy-configuration-file) in die AWS KMS -Konsole hoch, um Fehler bei den Werten für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation zu vermeiden. Dies ist eine JSON-basierte Datei mit den Werten für den Proxy-URI-Pfad und die Proxy-Authentifizierungsanmeldeinformation, die von Ihrem externen Schlüsselspeicher-Proxy oder vom externen Schlüsselmanager bereitgestellt werden. Sie können keine Proxy-Konfigurationsdatei für AWS KMS API-Operationen verwenden, aber Sie können die Werte in der Datei verwenden, um Parameterwerte für Ihre API-Anfragen bereitzustellen, die den Werten in Ihrem Proxy entsprechen.
### Allgemeine Konfigurationsfehler
**Ausnahmen:** `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `XksProxyInvalidConfigurationException` (Verwaltungsoperationen, außer `CreateKey`)
[**Verbindungsfehlercodes:**](#xks-connection-error-codes) `XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`
AWS KMS Testet bei externen Schlüsselspeichern mit [öffentlicher Endpunktkonnektivität](choose-xks-connectivity.md#xks-connectivity-public-endpoint) die Eigenschaftswerte, wenn Sie den externen Schlüsselspeicher erstellen und aktualisieren. Für externe Schlüsselspeicher mit der [Konnektivität eines VPC-Endpunktservice](choose-xks-connectivity.md#xks-vpc-connectivity) testet AWS KMS die Eigenschaftswerte, wenn Sie den externen Schlüsselspeicher verbinden und aktualisieren.
**Anmerkung**
Die `ConnectCustomKeyStore`-Operation ist asynchron und kann auch dann erfolgreich ausgeführt werden, wenn sich der externe Schlüsselspeicher nicht mit seinem externen Schlüsselspeicher-Proxy verbinden lässt. In diesem Fall gibt es keine Ausnahme, aber der Verbindungsstatus des externen Schlüsselspeichers ist fehlgeschlagen und ein Verbindungsfehlercode erklärt die Fehlermeldung. Weitere Informationen finden Sie unter [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](#fix-xks-connection).
Wenn ein Fehler in einem Eigenschaftswert AWS KMS erkannt wird, schlägt der Vorgang fehl `XksProxyInvalidConfigurationException` und es wird eine der folgenden Fehlermeldungen angezeigt.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anfrage aufgrund eines ungültigen URI-Pfads abgelehnt. Überprüfen Sie den URI-Pfad für Ihren externen Schlüsselspeicher und aktualisieren Sie ihn gegebenenfalls. |
+ Der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) ist der Basispfad für AWS KMS Anfragen an den Proxy APIs. Wenn dieser Pfad falsch ist, schlagen alle Anfragen an den Proxy fehl. Verwenden Sie die AWS KMS -Konsole oder die `DescribeCustomKeyStores`-Operation, um den aktuellen Proxy-URI-Pfad für Ihren externen Schlüsselspeicher [anzuzeigen](view-xks-keystore.md). Wie Sie den richtigen Proxy-URI-Pfad finden, erfahren Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy. Informationen zum Korrigieren des Werts für den Proxy-URI-Pfad finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
+ Der Proxy-URI-Pfad für Ihren externen Schlüsselspeicher-Proxy kann sich ändern, wenn Ihr externer Schlüsselspeicher-Proxy oder der externe Schlüsselmanager aktualisiert wird. Informationen zu diesen Änderungen finden Sie in der Dokumentation für Ihren externen Schlüsselspeicher-Proxy oder externen Schlüsselmanager.
| |
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS kann keine TLS-Verbindung zum externen Schlüsselspeicher-Proxy herstellen. Überprüfen Sie die TLS-Konfiguration, einschließlich des Zertifikats. |
+ Für alle externen Schlüsselspeicher-Proxys ist ein TLS-Zertifikat erforderlich. Das TLS-Zertifikat muss von einer öffentlichen Zertifizierungsstelle (CA) ausgestellt werden, die für externe Schlüsselspeicher unterstützt wird. Eine Liste der unterstützten CAs Zertifizierungsstellen finden Sie unter [Vertrauenswürdige Zertifizierungsstellen](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) in der AWS KMS External Key Store Proxy API-Spezifikation.
+ Für die Konnektivität eines öffentlichen Endpunkts muss der Subject Common Name (CN) auf dem TLS-Zertifikat mit dem Domainnamen im [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) für den externen Schlüsselspeicher-Proxy identisch sein. Ist der öffentliche Endpunkt beispielsweise https://myproxy.xks.example.com, muss der CN auf dem TLS-Zertifikat `myproxy.xks.example.com` oder `*.xks.example.com` lauten.
+ Für die Konnektivität eines VPC-Endpunktservice muss der Subject Common Name (CN) auf dem TLS-Zertifikat mit dem privaten DNS-Namen für Ihren [VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name) übereinstimmen. Wenn der private DNS-Name beispielsweise myproxy-private.xks.example.com ist, muss der CN auf dem TLS-Zertifikat `myproxy-private.xks.example.com` oder `*.xks.example.com` lauten.
+ Das TLS-Zertifikat darf nicht abgelaufen sein. Verwenden Sie SSL-Tools wie [OpenSSL](https://www.openssl.org/), um das Ablaufdatum eines TLS-Zertifikats zu ermitteln. Verwenden Sie die [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch Metrik, um das Ablaufdatum eines TLS-Zertifikats zu überwachen, das einem externen Schlüsselspeicher zugeordnet ist. Die Anzahl der Tage bis zum Ablaufdatum Ihrer TLS-Zertifizierung wird auch im [Bereich **Überwachung**](xks-monitoring.md) der AWS KMS Konsole angezeigt.
+ Wenn Sie die [Konnektivität eines öffentlichen Endpunkts](choose-xks-connectivity.md#xks-connectivity-public-endpoint) verwenden, testen Sie Ihre SSL-Konfiguration mithilfe von SSL-Testtools. TLS-Verbindungsfehler können durch eine falsche Zertifikatverkettung verursacht werden.
### Konfigurationsfehler bei der Konnektivität eines VPC-Endpunktservice
**Ausnahmen:** `XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`
Zusätzlich zu allgemeinen Verbindungsproblemen können beim Erstellen, Verbinden oder Aktualisieren eines externen Schlüsselspeichers mit VPC-Endpunktdienst-Konnektivität die folgenden Probleme auftreten. AWS KMS testet die Eigenschaftswerte eines externen Schlüsselspeichers mit VPC-Endpunktdienst-Konnektivität, während der externe Schlüsselspeicher [erstellt](create-xks-keystore.md), [verbunden](xks-connect-disconnect.md) und [aktualisiert wird](update-xks-keystore.md). Wenn Verwaltungsoperationen aufgrund von Konfigurationsfehlern fehlschlagen, werden die folgenden Ausnahmen generiert:
| |
| --- |
| XksProxyVpcEndpointServiceNotFoundException |
Dies kann folgende Ursachen haben:
+ Ein falscher Name des VPC-Endpunktservice. Stellen Sie sicher, dass der Name des VPC-Endpunktservice für den externen Schlüsselspeicher korrekt ist und mit dem Wert des Proxy-URI-Endpunkts für den externen Schlüsselspeicher übereinstimmt. Um den Namen des VPC-Endpunktdienstes zu finden, verwenden Sie die [Amazon VPC-Konsole](https://console.aws.amazon.com/vpc) oder den [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html)Vorgang. Verwenden Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um den VPC-Endpunktdienstnamen und den Proxy-URI-Endpunkt eines vorhandenen externen Schlüsselspeichers zu ermitteln. Details hierzu finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md).
+ Der VPC-Endpunktdienst befindet sich möglicherweise in einem anderen AWS-Region als dem externen Schlüsselspeicher. Stellen Sie sicher, dass sich der VPC-Endpunktservice und der externe Schlüsselspeicher in derselben Region befinden. (Der externe Name des Regionsnamens, z. B.`us-east-1`, ist Teil des VPC-Endpunktdienstnamens, z. B. com.amazonaws.vpce.us-east-1. vpce-svc-example.) Eine Liste der Anforderungen für den VPC-Endpunktservice für einen externen Schlüsselspeicher finden Sie unter [VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name). Ein VPC-Endpunktservice oder ein externer Schlüsselspeicher lässt sich nicht in eine andere Region verschieben. Sie können jedoch einen neuen externen Schlüsselspeicher in derselben Region wie der VPC-Endpunktservice erstellen. Details dazu finden Sie unter [VPC-Endpunktdienstkonnektivität konfigurieren](vpc-connectivity.md) und [Erstellen Sie einen externen Schlüsselspeicher](create-xks-keystore.md).
+ AWS KMS ist kein zulässiger Principal für den VPC-Endpunktdienst. Die **Liste der zulässigen Prinzipale** für den VPC-Endpunktservice muss den `cks.kms..amazonaws.com`-Wert enthalten, etwa `cks.kms.eu-west-3.amazonaws.com`. Anweisungen zum Hinzufügen dieses Werts finden Sie unter [Verwalten von Berechtigungen](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) im *AWS PrivateLink -Handbuch*.
| |
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException |
Dieser Fehler tritt auf, wenn der VPC-Endpunktservice eine der folgenden Anforderungen nicht erfüllt:
+ Die VPC muss über mindestens zwei private Subnetze verfügen, die in verschiedenen Availability Zones sind. Weitere Informationen zum Hinzufügen eines Subnetzes zu Ihrer VPC finden Sie unter [Erstellen eines Subnetzes in der VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets) im *Amazon VPC-Benutzerhandbuch*.
+ Der [Typ es VPC-Endpunktservice](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) muss einen Network Load Balancer verwenden, keinen Gateway Load Balancer.
+ Für den VPC-Endpunktservice darf keine Akzeptanz erforderlich sein (**Akzeptanz erforderlich** muss auf falsch gesetzt sein.). Wenn jede Verbindungsanforderung manuell akzeptiert werden muss, AWS KMS kann der VPC-Endpunktdienst nicht verwendet werden, um eine Verbindung zum externen Schlüsselspeicher-Proxy herzustellen. Einzelheiten hierzu finden Sie unter [Annehmen oder Ablehnen von Verbindungsanforderungen](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) im *AWS PrivateLink -Handbuch*.
+ Der VPC-Endpunktservice muss einen privaten DNS-Namen haben, der eine Subdomain einer öffentlichen Domain ist. Lautet der private DNS-Name beispielsweise `https://myproxy-private.xks.example.com`, müssen die Domains `xks.example.com` und `example.com` über einen öffentlichen DNS-Server verfügen. Informationen zum Anzeigen oder Ändern des privaten DNS-Namens für Ihren VPC-Endpunktservice finden Sie unter [Verwalten von DNS-Namen für VPC-Endpunktservices](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) im *AWS PrivateLink -Handbuch*.
+ Der **Domain-Verifizierungsstatus** der Domain für Ihren privaten DNS-Namen muss `verified` lauten. Informationen zum Anzeigen und Aktualisieren des Verifizierungsstatus der Domain für Ihren privaten DNS-Namen finden Sie unter [Schritt 5: Überprüfen Sie Ihre private DNS-Namensdomäne](vpc-connectivity.md#xks-private-dns). Nachdem Sie den erforderlichen Textdatensatz hinzugefügt haben, kann es einige Minuten dauern, bis der aktualisierte Verifizierungsstatus angezeigt wird.
**Anmerkung**
Eine private DNS-Domain kann nur verifiziert werden, wenn es sich um die Subdomain einer öffentlichen Domain handelt. Andernfalls ändert sich der Verifizierungsstatus der privaten DNS-Domain nicht, auch wenn Sie den erforderlichen TXT-Datensatz hinzugefügt haben.
+ Stellen Sie sicher, dass alle Firewalls zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy den Datenverkehr zu und von Port 443 auf dem Proxy zulassen. AWS KMS kommuniziert auf Port 443 über. IPv4 Dieser Wert kann nicht konfiguriert werden.
+ Der private DNS-Name des VPC-Endpunktservice muss mit dem Wert des [Proxy-URI-Endpunkts](create-xks-keystore.md#require-endpoint) für den externen Schlüsselspeicher übereinstimmen. Für einen externen Schlüsselspeicher mit der Konnektivität eines VPC-Endpunktservice muss der Proxy-URI-Endpunkt `https://` gefolgt vom privaten DNS-Namen des VPC-Endpunktservice sein. Informationen zum Anzeigen des Werts für den Proxy-URI-Endpunkt finden Sie unter [Externe Schlüsselspeicher anzeigen](view-xks-keystore.md). Informationen zum Ändern des Werts für den Proxy-URI-Endpunkt finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md).
## Fehler bei der Verbindung mit dem externen Schlüsselspeicher
Das [Verbinden eines externen Schlüsselspeichers](about-xks-connecting.md) mit seinem externen Schlüsselspeicher-Proxy dauert etwa fünf Minuten. Sofern sie nicht schnell fehlschlägt, gibt die `ConnectCustomKeyStore`-Operation eine HTTP-Antwort 200 und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) an. Wenn die Verbindung fehlschlägt, ändert sich der Verbindungsstatus des externen Schlüsselspeichers in einen [Verbindungsfehlercode, der die Ursache des Fehlers erklärt, `FAILED` und es wird ein Verbindungsfehlercode AWS KMS](#xks-connection-error-codes) zurückgegeben.
**Anmerkung**
Wenn der Verbindungsstatus eines benutzerdefinierten Schlüsselspeichers `FAILED` ist, müssen Sie den benutzerdefinierten Schlüsselspeicher trennen, bevor Sie versuchen, ihn wieder zu verbinden. Ein benutzerdefinierter Schlüsselspeicher mit dem Verbindungsstatus `FAILED` kann nicht verbunden werden.
Anzeigen des Verbindungsstatus eines externen Schlüsselspeichers:
+ Sehen Sie sich in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort den Wert des `ConnectionState` Elements an.
+ In der AWS KMS Konsole wird der **Verbindungsstatus** in der Tabelle mit dem externen Schlüsselspeicher angezeigt. Außerdem wird auf der Detailseite für jeden externen Schlüsselspeicher der **Verbindungsstatus** im Abschnitt **Allgemeine Konfiguration** angezeigt.
Wenn der Verbindungsstatus `FAILED` lautet, lässt sich mithilfe des Verbindungsfehlercodes der Fehler erklären.
Anzeigen des Verbindungsfehlercodes:
+ Sehen Sie sich in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort den Wert des `ConnectionErrorCode` Elements an. Die `DescribeCustomKeyStores`-Antwort enthält dieses Element nur, wenn der `ConnectionState` `FAILED` ist.
+ Um den Verbindungsfehlercode in der AWS KMS Konsole auf der Detailseite für den externen Schlüsselspeicher anzuzeigen, zeigen Sie mit der Maus auf den Wert **Fehlgeschlagen**.
![\[Verbindungsfehlercode auf der Detailseite des benutzerdefinierten Schlüsselspeichers\]](http://docs.aws.amazon.com/de_de/kms/latest/developerguide/images/connection-error-code.png)
### Verbindungsfehlercodes für externe Schlüsselspeicher
Die folgenden Verbindungsfehlercodes gelten für externe Schlüsselspeicher
`INTERNAL_ERROR`
AWS KMS konnte die Anfrage aufgrund eines internen Fehlers nicht abschließen. Wiederholen Sie die Anforderung. Trennen Sie bei `ConnectCustomKeyStore`-Anforderungen den benutzerdefinierten Schlüsselspeicher, bevor Sie die Verbindung wiederherstellen.
`INVALID_CREDENTIALS`
Einer oder beide `XksProxyAuthenticationCredential`-Werte sind auf dem angegebenen externen Schlüsselspeicher-Proxy ungültig.
`NETWORK_ERRORS`
Netzwerkfehler AWS KMS verhindern, dass der benutzerdefinierte Schlüsselspeicher mit seinem Backing-Schlüsselspeicher verbunden werden kann.
`XKS_PROXY_ACCESS_DENIED`
AWS KMS Anfragen wird der Zugriff auf den externen Schlüsselspeicher-Proxy verweigert. Wenn es für den externen Schlüsselspeicher-Proxy Autorisierungsregeln gibt, stellen Sie sicher, dass diese zulassen, dass AWS KMS in Ihrem Namen mit dem Proxy kommuniziert.
`XKS_PROXY_INVALID_CONFIGURATION`
Ein Konfigurationsfehler verhindert, dass der externe Schlüsselspeicher eine Verbindung zu seinem Proxy herstellt. Überprüfen Sie den Wert von `XksProxyUriPath`.
`XKS_PROXY_INVALID_RESPONSE`
AWS KMS kann die Antwort des externen Schlüsselspeicher-Proxys nicht interpretieren. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.
`XKS_PROXY_INVALID_TLS_CONFIGURATION`
AWS KMS kann keine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, da die TLS-Konfiguration ungültig ist. Stellen Sie sicher, dass der externe Schlüsselspeicher-Proxy TLS 1.2 oder 1.3 unterstützt. Stellen Sie außerdem sicher, dass das TLS-Zertifikat nicht abgelaufen ist, dass es mit dem Hostnamen im `XksProxyUriEndpoint`-Wert übereinstimmt und dass es von einer vertrauenswürdigen Zertifizierungsstelle signiert wurde, die in der Liste der [vertrauenswürdigen Zertifizierungsstellen](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) enthalten ist.
`XKS_PROXY_NOT_REACHABLE`
AWS KMS kann nicht mit Ihrem externen Schlüsselspeicher-Proxy kommunizieren. Stellen Sie sicher, dass der `XksProxyUriEndpoint` und der `XksProxyUriPath` korrekt sind. Überprüfen Sie mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, ob der Proxy aktiv und in seinem Netzwerk verfügbar ist. Stellen Sie außerdem sicher, dass die Instances Ihres externen Schlüsselmanagers ordnungsgemäß funktionieren. Verbindungsversuche schlagen mit diesem Verbindungsfehlercode fehl, wenn der Proxy meldet, dass keine Instance von externen Schlüsselmanagern verfügbar ist.
`XKS_PROXY_TIMED_OUT`
AWS KMS kann eine Verbindung zum externen Schlüsselspeicher-Proxy herstellen, aber der Proxy reagiert nicht AWS KMS in der vorgesehenen Zeit. Wenn Sie diesen Verbindungsfehlercode wiederholt sehen, benachrichtigen Sie den Proxy-Anbieter Ihres externen Schlüsselspeichers.
`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`
Die Konfiguration des Amazon VPC-Endpunktdienstes entspricht nicht den Anforderungen für einen AWS KMS externen Schlüsselspeicher.
+ Der VPC-Endpunktservice muss ein Endpunktservice für Schnittstellen-Endpunkte im AWS-Konto des Aufrufers sein.
+ Er muss über einen Network Load Balancer (NLB) verfügen, der mit mindestens zwei Subnetzen verbunden ist, die jeweils in einer anderen Availability Zone liegen.
+ Die `Allow principals` Liste muss den AWS KMS Service Principal für die Region enthalten`cks.kms..amazonaws.com`, z. B. `cks.kms.us-east-1.amazonaws.com`
+ Er *darf keine* [Annahme](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) von Verbindungsanforderungen verlangen.
+ Er muss einen privaten DNS-Namen haben. Der private DNS-Name für einen externen Schlüsselspeicher mit `VPC_ENDPOINT_SERVICE`-Konnektivität muss in seiner AWS-Region eindeutig sein.
+ Der [Verifizierungsstatus](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) der Domain des privaten DNS-Namens muss `verified` lauten.
+ Das [TLS-Zertifikat](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) gibt den privaten DNS-Hostnamen an, unter dem der Endpunkt erreichbar ist.
`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`
AWS KMS kann den VPC-Endpunktdienst, den er für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht finden. Stellen Sie sicher, dass der `XksProxyVpcEndpointServiceName` korrekt ist und der AWS KMS -Service-Prinzipal über Service-Verbraucher-Berechtigungen für den Amazon VPC-Endpunktservice verfügt.
## Latenz- und Zeitüberschreitungsfehler
**Ausnahmen:** `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `XksProxyUriUnreachableException` (Verwaltungsoperationen)
[**Verbindungsfehlercodes:**](#xks-connection-error-codes) `XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`
Wenn der Proxy innerhalb des Timeout-Intervalls von 250 Millisekunden nicht kontaktiert werden AWS KMS kann, wird eine Ausnahme zurückgegeben. `CreateCustomKeyStore`und `UpdateCustomKeyStore` zurück. `XksProxyUriUnreachableException` Kryptografische Operationen geben den Standard `KMSInvalidStateException` mit einer Fehlermeldung zurück, die das Problem beschreibt. Schlägt das Problem `ConnectCustomKeyStore` fehl, wird ein [Verbindungsfehlercode AWS KMS](#fix-xks-connection) zurückgegeben, der das Problem beschreibt.
Zeitüberschreitungsfehler können vorübergehende Probleme sein, die sich durch das Wiederholen der Anforderung beheben lassen. Wenn dieses Problem weiterhin auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein Proxy-URI-Endpunkt, der Proxy-URI-Pfad und der Name des VPC-Endpunktservice (sofern vorhanden) in Ihrem externen Schlüsselspeicher korrekt sind. Stellen Sie außerdem sicher, dass sich Ihr externer Schlüsselmanager in der Nähe des AWS-Region für Ihren externen Schlüsselspeicher befindet. Wenn Sie einen dieser Werte aktualisieren müssen, finden Sie unter [Eigenschaften des externen Schlüsselspeichers bearbeiten](update-xks-keystore.md) weitere Informationen.
Um Latenzmuster zu verfolgen, verwenden Sie die [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch Metrik und das Diagramm mit der **durchschnittlichen Latenz** (basierend auf dieser Metrik) im [Bereich **Überwachung**](xks-monitoring.md) der AWS KMS Konsole. Ihr externer Schlüsselspeicher-Proxy generiert möglicherweise ebenfalls Protokolle und Metriken, die Latenz und Zeitüberschreitungen erfassen.
| |
| --- |
| `XksProxyUriUnreachableException`AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommunizieren. Dies könnte ein vorübergehendes Netzwerkproblem sein. Wenn dieser Fehler wiederholt auftritt, überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein Endpunkt-URI in Ihrem externen Schlüsselspeicher korrekt sind. |
+ Der externe Schlüsselspeicher-Proxy hat innerhalb des Timeout-Intervalls von 250 Millisekunden nicht auf eine AWS KMS Proxy-API-Anfrage geantwortet. Dies kann auf ein vorübergehendes Netzwerkproblem oder ein Betriebs- oder Leistungsproblem mit dem Proxy hinweisen. Wenn ein erneuter Versuch das Problem nicht löst, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.
Latenz- und Zeitüberschreitungsfehler äußern sich häufig als Verbindungsfehler. Wenn der [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang fehlschlägt, ändert sich der *Verbindungsstatus* des externen Schlüsselspeichers in einen Verbindungsfehlercode, der den Fehler `FAILED` erklärt, und es wird ein *Verbindungsfehlercode AWS KMS * zurückgegeben. Eine Liste der Verbindungsfehlercodes und Vorschläge zur Behebung der Fehler finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](#xks-connection-error-codes). Die Verbindungscodelisten für **alle benutzerdefinierten Schlüsselspeicher** und **externe Schlüsselspeicher** gelten für externe Schlüsselspeicher. Die folgenden Verbindungsfehler stehen im Zusammenhang mit der Latenz und Zeitüberschreitungen.
| |
| --- |
| `XKS_PROXY_NOT_REACHABLE`–oder–`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS kann nicht mit dem externen Schlüsselspeicher-Proxy kommunizieren. Überprüfen Sie, ob Ihr externer Schlüsselspeicher-Proxy aktiv und mit dem Netzwerk verbunden ist und ob sein URI-Pfad und Endpunkt-URI oder der Name des VPC-Service in Ihrem externen Schlüsselspeicher korrekt sind. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Der externe Schlüsselspeicher-Proxy ist nicht aktiv bzw. nicht mit dem Netzwerk verbunden.
+ Bei den Werten für den [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint), den [Proxy-URI-Pfad](create-xks-keystore.md#require-path) oder den [Namen des VPC-Endpunktservice](create-xks-keystore.md#require-vpc-service-name) (sofern zutreffend) in der Konfiguration des externen Schlüsselspeichers ist ein Fehler aufgetreten. Um die Konfiguration des externen Schlüsselspeichers anzuzeigen, verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang oder [rufen Sie die Detailseite](view-xks-keystore.md) für den externen Schlüsselspeicher in der AWS KMS Konsole auf.
+ Möglicherweise liegt ein Netzwerkkonfigurationsfehler, z. B. ein Portfehler, auf dem Netzwerkpfad zwischen dem externen Schlüsselspeicher-Proxy AWS KMS und dem externen Schlüsselspeicher-Proxy vor. AWS KMS kommuniziert mit dem externen Schlüsselspeicher-Proxy auf Port 443 über IPv4. Dieser Wert kann nicht konfiguriert werden.
+ Wenn der externe Schlüsselspeicher-Proxy (in einer [GetHealthStatus](keystore-external.md#concept-proxy-apis)Antwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sind`UNAVAILABLE`, schlägt der [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang mit einem `ConnectionErrorCode` von `XKS_PROXY_NOT_REACHABLE` fehl. Weitere Informationen hierzu finden Sie in der Dokumentation Ihres externen Schlüsselmanagers.
+ Dieser Fehler kann auf eine große physische Entfernung zwischen dem externen Schlüsselmanager und AWS-Region dem externen Schlüsselspeicher zurückzuführen sein. Die Ping-Latenz (Network Round-Trip Time (RTT)) zwischen dem AWS-Region und dem externen Schlüsselmanager sollte nicht mehr als 35 Millisekunden betragen. Möglicherweise müssen Sie einen externen Schlüsselspeicher in einem Bereich einrichten AWS-Region , der sich näher am externen Schlüsselmanager befindet, oder Sie müssen den externen Schlüsselmanager in ein Rechenzentrum verschieben, das näher am. AWS-Region
| |
| --- |
| `XKS_PROXY_TIMED_OUT`–oder–`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS hat die Anforderung abgelehnt, da der externe Schlüsselspeicher-Proxy nicht rechtzeitig geantwortet hat. Wiederholen Sie die Anforderung. Wenn Sie diesen Fehler wiederholt sehen, melden Sie ihn dem Administrator für Ihren externen Schlüsselspeicher-Proxy. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.
+ Timeoutfehler können auftreten, wenn der Proxy nicht darauf ausgelegt ist, das Volumen und die Häufigkeit der Anfragen von AWS KMS zu verarbeiten. Wenn Ihre CloudWatch Messwerte auf ein anhaltendes Problem hinweisen, benachrichtigen Sie Ihren Proxyadministrator für den externen Schlüsselspeicher.
+ Zeitüberschreitungsfehler können auftreten, wenn die Verbindung zwischen dem externen Schlüsselmanager und der Amazon VPC für den externen Schlüsselspeicher nicht ordnungsgemäß funktioniert. Wenn Sie verwenden AWS Direct Connect, stellen Sie sicher, dass Ihre VPC und der externe Schlüsselmanager effektiv kommunizieren können. Hilfe zur Lösung von Problemen finden Sie AWS Direct Connect im Direct Connect Benutzerhandbuch unter [Problembehandlung](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html).
| |
| --- |
| `XKS_PROXY_TIMED_OUT`–oder–`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Der externe Schlüsselspeicher-Proxy hat nicht in der vorgesehenen Zeit auf die Anforderung geantwortet. Wiederholen Sie die Anforderung. Wenn Sie diesen Fehler wiederholt sehen, melden Sie ihn dem Administrator für Ihren externen Schlüsselspeicher-Proxy. |
+ Dieser Fehler kann darauf zurückzuführen sein, dass der externe Schlüsselmanager und der externe Schlüsselspeicher-Proxy geografisch weit voneinander entfernt sind. Bringen Sie den externen Schlüsselspeicher-Proxy nach Möglichkeit näher an den externen Schlüsselmanager.
## Fehler mit der Anmeldeinformation für die Authentifizierung
**Ausnahmen:** `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `XksProxyIncorrectAuthenticationCredentialException` (Verwaltungsoperationen außer `CreateKey`)
Sie richten Authentifizierungsdaten für Ihren externen AWS KMS Schlüsselspeicher-Proxy ein und verwalten diese. Anschließend geben Sie die Werte AWS KMS der Anmeldeinformationen an, wenn Sie einen externen Schlüsselspeicher erstellen. Wenn Sie die Anmeldeinformation für die Authentifizierung ändern möchten, nehmen Sie diese Änderung auf Ihrem externen Schlüsselspeicher-Proxy vor. [Aktualisieren](update-xks-keystore.md#xks-edit-name) Sie danach die Anmeldeinformation für Ihren externen Schlüsselspeicher. Wenn Ihr Proxy die Anmeldeinformation rotiert, müssen Sie sie für Ihren externen Schlüsselspeicher [aktualisieren](update-xks-keystore.md#xks-edit-name).
Wenn der externe Schlüsselspeicher-Proxy eine mit der [Proxy-Authentifizierungsanmeldeinformation](keystore-external.md#concept-xks-credential) für Ihren externen Schlüsselspeicher signierte Anforderung nicht authentifiziert, hängt es von der Anforderung ab, was geschieht:
+ `CreateCustomKeyStore` und `UpdateCustomKeyStore` schlagen mit einem `XksProxyIncorrectAuthenticationCredentialException` fehl.
+ `ConnectCustomKeyStore` wird erfolgreich ausgeführt, aber die Verbindung schlägt fehl. Der Verbindungsstatus ist `FAILED` und der Verbindungsfehlercode lautet `INVALID_CREDENTIALS`. Details hierzu finden Sie unter [Fehler bei der Verbindung mit dem externen Schlüsselspeicher](#fix-xks-connection).
+ `KMSInvalidStateException`Bei kryptografischen Vorgängen werden alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher zurückgegeben. Die zugehörige Fehlermeldung beschreibt das Problem.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er AWS KMS nicht authentifizieren konnte. Überprüfen Sie die Anmeldeinformationen für Ihren externen Schlüsselspeicher und aktualisieren Sie sie gegebenenfalls. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Die Zugriffsschlüssel-ID oder der geheime Zugriffsschlüssel für den externen Schlüsselspeicher stimmt nicht mit den Werten überein, die auf dem externen Schlüsselspeicher-Proxy festgelegt wurden.
Um diesen Fehler zu beheben, [aktualisieren Sie die Proxy-Authentifizierungsanmeldeinformation](update-xks-keystore.md#xks-edit-name) für Ihren externen Schlüsselspeicher. Sie können diese Änderung vornehmen, ohne Ihren externen Schlüsselspeicher zu trennen.
+ Ein Reverse-Proxy zwischen AWS KMS und dem externen Schlüsselspeicher-Proxy könnte HTTP-Header so manipulieren, dass die SigV4-Signaturen ungültig werden. Um diesen Fehler zu beheben, benachrichtigen Sie den Administrator für Ihren Proxy.
## Fehler mit dem Schlüsselstatus
**Ausnahmen:** `KMSInvalidStateException`
`KMSInvalidStateException` wird für zwei verschiedene Zwecke für KMS-Schlüssel in benutzerdefinierten Schlüsselspeichern verwendet.
+ Wenn ein Verwaltungsvorgang (z. B. `CancelKeyDeletion`) fehlschlägt und diese Ausnahme zurückgibt, bedeutet dies, dass der [Schlüsselstatus](key-state.md) des KMS-Schlüssels nicht mit der Operation kompatibel ist.
+ Wenn eine [kryptografische Operation](kms-cryptography.md#cryptographic-operations) für einen KMS-Schlüssel in einem benutzerdefinierten Schlüsselspeicher mit `KMSInvalidStateException` fehlschlägt, kann dies auf ein Problem mit dem Schlüsselstatus des KMS-Schlüssels hindeuten. `KMSInvalidStateException`Bei allen externen Konfigurationsfehlern und Verbindungsstatusfehlern in einem externen Schlüsselspeicher wird jedoch ein AWS KMS kryptografischer Vorgang zurückgegeben. Identifizieren Sie das Problem anhand der Fehlermeldung, die zusammen mit der Ausnahme angezeigt wird.
Informationen zum erforderlichen Schlüsselstatus für AWS KMS API-Operationen finden Sie unter[Wichtige Zustände von AWS KMS Schlüsseln](key-state.md). Um den Schlüsselstatus eines KMS-Schlüssels zu ermitteln, zeigen Sie auf der Seite **Customer managed keys** (Kundenverwaltete Schlüssel) das Feld **Status** des KMS-Schlüssels an. Oder verwenden Sie die [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)Operation und sehen Sie sich das `KeyState` Element in der Antwort an. Details hierzu finden Sie unter [Schlüssel identifizieren und anzeigen](viewing-keys.md).
**Anmerkung**
Der Schlüsselstatus eines KMS-Schlüssels in einem externen Schlüsselspeicher sagt nichts über den Status des zugehörigen [externen Schlüssels](keystore-external.md#concept-external-key) aus. Informationen zum Status des externen Schlüssels finden Sie mithilfe Ihres externen Schlüsselmanagers und der Tools für den externen Schlüsselspeicher-Proxy.
Die `CustomKeyStoreInvalidStateException` bezieht sich auf den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers, nicht auf den [Schlüsselstatus](key-state.md) eines KMS-Schlüssels.
Eine kryptografische Operation für einen KMS-Schlüssel in einem benutzerdefinierten Speicher schlägt möglicherweise fehl, weil der Schlüsselstatus des KMS-Schlüssels `Unavailable` oder `PendingDeletion` lautet. (Deaktivierte Schlüssel geben `DisabledException` zurück.)
+ Ein KMS-Schlüssel hat nur dann einen `Disabled` Schlüsselstatus, wenn Sie den KMS-Schlüssel in der AWS KMS Konsole oder mithilfe des [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)Vorgangs absichtlich deaktivieren. Wenn ein KMS-Schlüssel deaktiviert ist, können Sie ihn anzeigen und verwalten, ihn jedoch nicht für kryptographische Operationen verwenden. Um dieses Problem zu beheben, aktivieren Sie den Schlüssel. Details hierzu finden Sie unter [Tasten aktivieren und deaktivieren](enabling-keys.md).
+ Ein KMS-Schlüssel hat den Schlüsselstatus `Unavailable`, wenn der externe Schlüsselspeicher von seinem externen Schlüsselspeicher-Proxy getrennt ist. Um die Nichtverfügbarkeit eines KMS-Schlüssels zu beheben, [verbinden Sie den externen Schlüsselspeicher wieder](xks-connect-disconnect.md). Wenn der externe Schlüsselspeicher wieder verbunden ist, wechselt der Schlüsselstatus der KMS-Schlüssel im externen Schlüsselspeicher automatisch wieder zum vorherigen Status, etwa zu `Enabled` oder `Disabled`.
Ein KMS-Schlüssel hat den Schlüsselstatus `PendingDeletion`, wenn seine Löschung geplant ist und er darauf wartet. Ein Schlüsselstatusfehler bei einem KMS-Schlüssel, dessen Löschung aussteht, bedeutet, dass der Schlüssel nicht gelöscht werden sollte – entweder, weil er für die Verschlüsselung verwendet wird oder weil er für die Entschlüsselung erforderlich ist. Um den KMS-Schlüssel erneut zu aktivieren, brechen Sie den geplanten Löschvorgang ab und [aktivieren Sie dann den Schlüssel](enabling-keys.md). Details hierzu finden Sie unter [Löschen von Schlüsseln planen](deleting-keys-scheduling-key-deletion.md).
## Entschlüsselungsfehler
**Ausnahmen:** `KMSInvalidStateException`
Wenn ein [Entschlüsselungsvorgang](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) mit einem KMS-Schlüssel in einem externen Schlüsselspeicher fehlschlägt, wird der Standard AWS KMS `KMSInvalidStateException` zurückgegeben, den kryptografische Operationen für alle externen Konfigurationsfehler und Verbindungsstatusfehler in einem externen Schlüsselspeicher verwenden. Die Fehlermeldung, die das Problem angibt.
Zum Entschlüsseln eines Geheimtexts, der mit [doppelter Verschlüsselung](keystore-external.md#concept-double-encryption) verschlüsselt wurde, verwendet der externe Schlüsselmanager zunächst den externen Schlüssel, um die äußere Geheimtextschicht zu entschlüsseln. AWS KMS Verwendet dann das AWS KMS Schlüsselmaterial im KMS-Schlüssel, um die innere Chiffretextschicht zu entschlüsseln. Ein ungültiger oder beschädigter Geheimtext kann vom externen Schlüsselmanager oder von AWS KMS abgelehnt werden.
Die folgenden Fehlermeldungen werden zusammen mit der `KMSInvalidStateException` angezeigt, wenn die Entschlüsselung fehlschlägt. Sie deuten auf ein Problem mit dem Geheimtext oder dem optionalen Verschlüsselungskontext in der Anfrage hin.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung, da der angegebene Geheimtext oder zusätzliche authentifizierte Daten beschädigt sind, fehlen oder anderweitig ungültig sind. |
+ Wenn der externe Schlüsselspeicher-Proxy oder der externe Schlüsselmanager meldet, dass ein Chiffretext oder sein Verschlüsselungskontext ungültig ist, deutet dies in der Regel auf ein Problem mit dem Chiffretext oder dem Verschlüsselungskontext in der Anforderung hin, an die gesendet wurde. `Decrypt` AWS KMS Bei `Decrypt` Vorgängen AWS KMS sendet der Proxy denselben Chiffretext und denselben Verschlüsselungskontext, den er in der Anfrage empfängt. `Decrypt`
Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die `Decrypt`-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der Geheimtext nicht geändert oder beschädigt wurde. Stellen Sie außerdem sicher, dass der Verschlüsselungskontext in der `Decrypt` Anfrage mit dem Verschlüsselungskontext in der Anfrage AWS KMS übereinstimmt, mit der die Daten verschlüsselt wurden.
| |
| --- |
| Der Geheimtext, den der externe Schlüsselspeicher-Proxy zur Entschlüsselung übermittelt hat, oder der Verschlüsselungskontext ist beschädigt, fehlt oder ist anderweitig ungültig. |
+ Wenn der vom Proxy empfangene AWS KMS Chiffretext zurückgewiesen wird, bedeutet dies, dass der externe Schlüsselmanager oder der Proxy einen ungültigen oder beschädigten Chiffretext zurückgegeben hat. AWS KMS
Dieser Fehler kann durch ein Netzwerkproblem während der Übertragung verursacht werden, etwa durch ein „umgekipptes“ Bit. Wiederholen Sie die `Decrypt`-Anforderung. Wenn das Problem weiterhin besteht, stellen Sie sicher, dass der externe Schlüsselmanager ordnungsgemäß funktioniert und dass der externe Schlüsselspeicher-Proxy den Chiffretext, den er vom externen Schlüsselmanager empfängt, nicht ändert, bevor er ihn zurückgibt. AWS KMS
## Fehler mit externen Schlüsseln
Ein [externer Schlüssel](keystore-external.md#concept-external-key) ist ein kryptografischer Schlüssel im externen Schlüsselmanager, der als externes Schlüsselmaterial für einen KMS-Schlüssel dient. AWS KMS kann nicht direkt auf den externen Schlüssel zugreifen. Es muss den externen Schlüsselmanager über den externen Schlüsselspeicher-Proxy bitten, den externen Schlüssel zum Verschlüsseln von Daten oder zum Entschlüsseln eines Geheimtextes zu verwenden.
Sie geben die ID des externen Schlüssels in seinem externen Schlüsselmanager an, wenn Sie einen KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem der KMS-Schlüssel erstellt wurde. Um Probleme mit dem KMS-Schlüssel zu vermeiden, fordert die `CreateKey`-Operation den externen Schlüsselspeicher-Proxy auf, die ID und Konfiguration des externen Schlüssels zu verifizieren. Wenn der externe Schlüssel nicht den [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel entspricht, schlägt die `CreateKey`-Operation mit einer Ausnahme und einer Fehlermeldung fehl, die Aufschluss über das Problem gibt.
Aber auch nach der Erstellung des KMS-Schlüssels können Probleme auftreten. Wenn eine kryptografische Operation aufgrund eines Problems mit dem externen Schlüssel fehlschlägt, schlägt die Operation fehl und gibt eine `KMSInvalidStateException` mit einer Fehlermeldung zurück, die das Problem angibt.
### CreateKey Fehler für den externen Schlüssel
**Ausnahmen:** `XksKeyAlreadyInUseException`, `XksKeyNotFoundException`, `XksKeyInvalidConfigurationException`
Der [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Vorgang versucht, die ID und die Eigenschaften des externen Schlüssels zu überprüfen, den Sie im Parameter **Externe Schlüssel-ID** (Konsole) oder `XksKeyId` (API) angeben. Dies dient dazu, Fehler frühzeitig zu erkennen, bevor Sie versuchen, den externen Schlüssel zusammen mit dem KMS-Schlüssel zu verwenden.
**Externer Schlüssel wird verwendet**
Jeder KMS-Schlüssel in einem externen Schlüsselspeicher muss einen anderen externen Schlüssel verwenden. Wenn `CreateKey` erkannt wird, dass die externe Schlüssel-ID (XksKeyId) für einen KMS-Schlüssel im externen Schlüsselspeicher nicht eindeutig ist, schlägt der Vorgang mit einer fehl`XksKeyAlreadyInUseException`.
Wenn Sie mehrere IDs für denselben externen Schlüssel verwenden, `CreateKey` wird das Duplikat nicht erkannt. KMS-Schlüssel mit demselben externen Schlüssel sind jedoch nicht interoperabel, da sie unterschiedliche AWS KMS Schlüsselmaterialien und Metadaten haben.
**Externer Schlüssel nicht gefunden**
Wenn der Proxy für den externen Schlüsselspeicher meldet, dass er den externen Schlüssel mithilfe der externen Schlüssel-ID (XksKeyId) für den KMS-Schlüssel nicht finden kann, schlägt der `CreateKey` Vorgang fehl und es wird die folgende Fehlermeldung angezeigt. `XksKeyNotFoundException`
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Die ID des externen Schlüssels (`XksKeyId`) für den KMS-Schlüssel ist möglicherweise ungültig. Die ID Ihres externen Schlüssels, den der Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager.
+ Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Wenn der externe Schlüssel dauerhaft gelöscht wird, verwenden Sie einen anderen externen Schlüssel zusammen mit dem KMS-Schlüssel. Eine Liste der Anforderungen für den externen Schlüssel finden Sie unter [Anforderungen an einen KMS-Schlüssel in einem externen Schlüsselspeicher](create-xks-keys.md#xks-key-requirements).
**Anforderungen an externe Schlüssel nicht erfüllt**
Wenn der externe Schlüsselspeicher-Proxy meldet, dass der externe Schlüssel die [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, schlägt die `CreateKey`-Operation fehl und gibteine `XksKeyInvalidConfigurationException` mit einer der folgenden Fehlermeldungen zurück.
| |
| --- |
| Die Schlüsselspezifikation des externen Schlüssels muss AES\$1256 sein. Die Schlüsselspezifikation des angegebenen externen Schlüssels lautet. |
+ Der externe Schlüssel muss ein symmetrischer 256-Bit-Verschlüsselungsschlüssel mit der Schlüsselspezifikation AES\$1256 sein. Wenn es sich bei dem angegebenen externen Schlüssel um einen anderen Typ handelt, geben Sie die ID eines externen Schlüssels an, der diese Anforderung erfüllt.
| |
| --- |
| Der Status des externen Schlüssels muss ENABLED (AKTIVIERT) sein. Der Status des angegebenen externen Schlüssels ist. |
+ Der externe Schlüssel muss im externen Schlüsselmanager aktiviert sein. Wenn der angegebene externe Schlüssel nicht aktiviert ist, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um ihn zu aktivieren, oder geben Sie einen aktivierten externen Schlüssel an.
| |
| --- |
| Die Schlüsselnutzung des externen Schlüssels muss ENCRYPT (VERSCHLÜSSELN) und DECRYPT (ENTSCHLÜSSELN) beinhalten. Die Schlüsselverwendung des angegebenen externen Schlüssels ist < key-usage >. |
+ Der externe Schlüssel muss für die Verschlüsselung und Entschlüsselung im externen Schlüsselmanager konfiguriert sein. Wenn der angegebene externe Schlüssel diese Operationen nicht beinhaltet, verwenden Sie die Tools Ihres externen Schlüsselmanagers, um die Operationen zu ändern, oder geben Sie einen anderen externen Schlüssel an.
### Kryptografische Operationsfehler für den externen Schlüssel
**Ausnahmen:** `KMSInvalidStateException`
Wenn der externe Schlüsselspeicher-Proxy den mit dem KMS-Schlüssel verknüpften externen Schlüssel nicht finden kann oder der externe Schlüssel die [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, schlägt die kryptografische Operation fehl.
Probleme mit externen Schlüsseln, die bei einer kryptografischen Operation erkannt werden, sind schwieriger zu beheben als Probleme mit externen Schlüsseln, die vor der Erstellung des KMS-Schlüssels erkannt wurden. Sie können die ID des externen Schlüssels nicht mehr ändern, nachdem der KMS-Schlüssel erstellt wurde. Wenn mit dem KMS-Schlüssel noch keine Daten verschlüsselt wurden, können Sie ihn löschen und einen neuen KMS-Schlüssel mit einer anderen ID für den externen Schlüssel erstellen. Mit dem KMS-Schlüssel generierter Chiffretext kann jedoch nicht mit einem anderen KMS-Schlüssel entschlüsselt werden, auch nicht mit einem mit demselben externen Schlüssel, da Schlüssel unterschiedliche Schlüsselmetadaten und anderes Schlüsselmaterial haben. AWS KMS Verwenden Sie stattdessen nach Möglichkeit die Tools Ihres externen Schlüsselmanagers, um das Problem mit dem externen Schlüssel zu beheben.
Wenn der externe Schlüsselspeicher-Proxy ein Problem mit dem externen Schlüssel meldet, geben kryptografische Operationen eine `KMSInvalidStateException` mit einer Fehlermeldung zurück, die das Problem identifiziert.
**Externer Schlüssel nicht gefunden**
Wenn der externe Schlüsselspeicher-Proxy meldet, dass er den externen Schlüssel mithilfe der externen Schlüssel-ID (XksKeyId) für den KMS-Schlüssel nicht finden kann, geben kryptografische Operationen a `KMSInvalidStateException` mit der folgenden Fehlermeldung zurück.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da er den externen Schlüssel nicht finden konnte. |
Dieser Fehler kann aus folgenden Gründen auftreten:
+ Die ID des externen Schlüssels (`XksKeyId`) für den KMS-Schlüssel ist nicht mehr gültig.
Die ID des externen Schlüssels, der Ihrem KMS-Schlüssel zugeordnet ist, finden Sie in den [Details des KMS-Schlüssels](identify-key-types.md#view-xks-key). Die ID, die Ihr externer Schlüssel-Proxy zur Identifizierung des externen Schlüssels verwendet, finden Sie in der Dokumentation zu Ihrem externen Schlüsselspeicher-Proxy oder zu Ihrem externen Schlüsselmanager.
AWS KMS überprüft die externe Schlüssel-ID, wenn ein KMS-Schlüssel in einem externen Schlüsselspeicher erstellt wird. Die ID kann jedoch ungültig werden, insbesondere wenn der Wert der ID des externen Schlüssels ein Alias oder ein veränderbarer Name ist. Sie können die einem vorhandenen KMS-Schlüssel zugeordnete ID des externen Schlüssels nicht ändern. Um einen Geheimtext zu entschlüsseln, der unter dem KMS-Schlüssel verschlüsselt wurde, müssen Sie den externen Schlüssel erneut der vorhandenen ID des externen Schlüssels zuordnen.
Wenn Sie den KMS-Schlüssel noch nicht zum Verschlüsseln von Daten verwendet haben, können Sie einen neuen KMS-Schlüssel mit einer gültigen ID des externen Schlüssels erstellen. Haben Sie jedoch mit dem KMS-Schlüssel Geheimtext generiert, können Sie diesen Geheimtext mit keinem anderen KMS-Schlüssel entschlüsseln, selbst wenn derselbe externe Schlüssel verwendet wird.
+ Möglicherweise wurde der externe Schlüssel aus Ihrem externen Schlüsselmanager gelöscht. Verwenden Sie zur Untersuchung dieses Problems die Tools Ihres externen Schlüsselmanagers. Versuchen Sie nach Möglichkeit, das Schlüsselmaterial aus einer Kopie oder einem Backup Ihres externen Schlüsselmanagers [wiederherzustellen](fix-keystore.md#fix-keystore-recover-backing-key). Wenn der externe Schlüssel dauerhaft gelöscht wird, kann der unter dem zugehörigen KMS-Schlüssel verschlüsselte Geheimtext nicht wiederhergestellt werden.
**Fehler bei der Konfiguration externer Schlüssel**
Wenn der externe Schlüsselspeicher-Proxy meldet, dass der externe Schlüssel die [Anforderungen](create-xks-keys.md#xks-key-requirements) für die Verwendung mit einem KMS-Schlüssel nicht erfüllt, gibt die kryptografische Operation eine `KMSInvalidStateException` mit einer der folgenden Fehlermeldungen zurück.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da der externe Schlüssel die angeforderte Operation nicht unterstützt. |
+ Der externe Schlüssel muss sowohl die Verschlüsselung als auch die Entschlüsselung unterstützen. Wenn die Schlüsselnutzung keine Verschlüsselung und Entschlüsselung beinhaltet, ändern Sie die Schlüsselnutzung mithilfe der Tools Ihres externen Schlüsselmanagers.
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat die Anforderung abgelehnt, da der externe Schlüssel im externen Schlüsselmanager nicht aktiviert ist. |
+ Der externe Schlüssel muss im externen Schlüsselmanager aktiviert und für die Verwendung verfügbar sein. Wenn der Status des externen Schlüssels nicht `Enabled` lautet, aktivieren Sie ihn mithilfe der Tools Ihres externen Schlüsselmanagers.
## Proxy-Probleme
**Ausnahmen:**
`CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (kryptografische Operationen), `UnsupportedOperationException`, `XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (Verwaltungsoperationen außer `CreateKey`)
Der externe Schlüsselspeicher-Proxy vermittelt die gesamte Kommunikation zwischen AWS KMS und dem externen Schlüsselmanager. Er übersetzt generische AWS KMS Anfragen in ein Format, das Ihr externer Schlüsselmanager verstehen kann. Wenn der externe Schlüsselspeicher-Proxy nicht der [API-Spezifikation für den AWS KMS externen Schlüsselspeicher-Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht oder wenn er nicht ordnungsgemäß funktioniert oder nicht mit ihm kommunizieren kann AWS KMS, können Sie in Ihrem externen Schlüsselspeicher keine KMS-Schlüssel erstellen oder verwenden.
In vielen Fehlermeldungen wird der externe Schlüsselspeicher-Proxy erwähnt, weil er eine wichtige Rolle in der Architektur des externen Schlüsselspeichers spielt. Diese Probleme können ihren Ursprung aber im externen Schlüsselmanager oder im externen Schlüssel haben.
Die Probleme in diesem Abschnitt beziehen sich auf Probleme beim Design oder Betrieb des externen Schlüsselspeicher-Proxys. Zum Beheben dieser Probleme ist möglicherweise eine Änderung an der Proxysoftware erforderlich. Wenden Sie sich an den Administrator für Ihren Proxy. Um Sie bei der Diagnose von Proxy-Problemen zu unterstützen, stellt AWS KMS einen Open-Source-Testclient bereit ([XKS-Proxy-Textclient](https://github.com/aws-samples/aws-kms-xksproxy-test-client)), der überprüft, ob Ihr externer Schlüsselspeicher-Proxy der [API-Spezifikation von AWS KMS für externe Schlüsselspeicher-Proxys](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` oder `XksProxyUriUnreachableException`Der externe Schlüsselspeicher-Proxy hat einen fehlerhaften Status. Wenn Sie diese Meldung wiederholt sehen, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy. |
+ Dieser Fehler kann auf ein Betriebsproblem oder einen Softwarefehler im externen Schlüsselspeicher-Proxy hindeuten. Sie können CloudTrail Protokolleinträge für den AWS KMS API-Vorgang finden, der die einzelnen Fehler generiert hat. Dieser Fehler kann möglicherweise durch das erneute Ausführen der Operation behoben werden. Sollte er jedoch weiterhin bestehen, benachrichtigen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy.
+ Wenn der externe Schlüsselspeicher-Proxy (in einer [GetHealthStatus](keystore-external.md#concept-proxy-apis)Antwort) meldet, dass alle externen Schlüsselmanager-Instanzen vorhanden sind`UNAVAILABLE`, schlagen Versuche, einen externen Schlüsselspeicher zu erstellen oder zu aktualisieren, mit dieser Ausnahme fehl. Wenn dieser Fehler weiterhin besteht, lesen Sie in der Dokumentation Ihres externen Schlüsselmanagers nach.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` oder `XksProxyInvalidResponseException`AWS KMS kann die Antwort des externen Schlüsselspeicher-Proxys nicht interpretieren. Wenn Sie diesen Fehler wiederholt sehen, ziehen Sie den Administrator für Ihren externen Schlüsselspeicher-Proxy zurate. |
+ AWS KMS Operationen erzeugen diese Ausnahme, wenn der Proxy eine undefinierte Antwort zurückgibt, die AWS KMS nicht analysiert oder interpretiert werden kann. Dieser Fehler kann gelegentlich aufgrund vorübergehender externer Probleme oder sporadischer Netzwerkfehler auftreten. Wenn das Problem jedoch weiterhin besteht, kann dies darauf hindeuten, dass der externe Schlüsselspeicher-Proxy nicht der [API-Spezifikation von AWS KMS für den externen Schlüsselspeicher-Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/) entspricht. Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` oder `UnsupportedOperationException` Der externe Schlüsselspeicher-Proxy lehnte die Anforderung ab, da er die angeforderte kryptografische Operation nicht unterstützt. |
+ [Der externe Schlüsselspeicher-Proxy sollte alle Proxys unterstützen, die in der [AWS KMS External Key Store Proxy API-Spezifikation APIs](https://github.com/aws/aws-kms-xksproxy-api-spec/) definiert sind.](keystore-external.md#concept-proxy-apis) Dieser Fehler deutet darauf hin, dass der Proxy die Operation, die mit der Anforderung zusammenhängt, nicht unterstützt. Informieren Sie den Administrator oder Anbieter Ihres externen Schlüsselspeichers.
## Probleme mit der Proxy-Autorisierung
**Ausnahmen:** `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`
Einige externe Schlüsselspeicher-Proxys implementieren Autorisierungsanforderungen für die Verwendung ihrer externen Schlüssel. Ein externer Schlüsselspeicher-Proxy ist berechtigt, aber nicht verpflichtet, ein Autorisierungsschema zu entwerfen und zu implementieren, das es bestimmten Benutzern erlaubt, bestimmte Operationen unter bestimmten Bedingungen anzufordern. Beispielsweise könnte ein Proxy zulassen, dass ein:e Benutzer:in die Verschlüsselung mit einem bestimmten externen Schlüssel durchführt, aber nicht die Entschlüsselung mit diesem Schlüssel. Weitere Informationen finden Sie unter [Proxy-Autorisierung für externen Schlüsselspeicher (optional)](authorize-xks-key-store.md#xks-proxy-authorization).
Die Proxyautorisierung basiert auf Metadaten, die in den Anfragen an den Proxy AWS KMS enthalten sind. Die Felder `awsSourceVpc` und `awsSourceVpce` sind nur dann in den Metadaten enthalten, wenn die Anforderung von einem VPC-Endpunkt stammt – und auch nur, wenn der Aufrufer im selben Konto wie der KMS-Schlüssel ist.
```
"requestMetadata": {
"awsPrincipalArn": string,
"awsSourceVpc": string, // optional
"awsSourceVpce": string, // optional
"kmsKeyArn": string,
"kmsOperation": string,
"kmsRequestId": string,
"kmsViaService": string // optional
}
```
Wenn der Proxy eine Anfrage aufgrund eines Autorisierungsfehlers ablehnt, schlägt der entsprechende AWS KMS Vorgang fehl. `CreateKey`kehrt zurück`CustomKeyStoreInvalidStateException`. AWS KMS kryptografische Operationen kehren zurück`KMSInvalidStateException`. Beide verwenden die folgende Fehlermeldung:
| |
| --- |
| Der externe Schlüsselspeicher-Proxy hat den Zugriff auf die Operation verweigert. Stellen Sie sicher, dass sowohl der:die Benutzer:in als auch der externe Schlüssel für diese Operation autorisiert ist, und führen Sie die Anforderung erneut aus. |
+ Um den Fehler zu beheben, ermitteln Sie mithilfe Ihres externen Schlüsselmanagers oder mithilfe der Tools für Ihren externen Schlüsselspeicher-Proxy, warum die Autorisierung fehlgeschlagen ist. Aktualisieren Sie anschließend das Verfahren, das zur unbefugten Anforderung geführt hat, oder verwenden Sie die Tools für Ihren externen Schlüsselspeicher-Proxy, um die Autorisierungsrichtlinie zu aktualisieren. Dieser Fehler lässt sich in AWS KMS nicht beheben.