Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Almacenes de claves externos
Los almacenes de claves externos le permiten proteger sus AWS recursos mediante claves criptográficas externas. AWS Esta función avanzada está diseñada para cargas de trabajo reguladas que debe proteger con claves de cifrado almacenadas en un sistema de administración de claves externo controlado por usted. Los almacenes de claves externos respaldan el [compromiso de soberanía AWS digital](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) y te dan el control soberano sobre tus datos AWS, incluida la posibilidad de cifrarlos con material clave que te pertenezca y que controle fuera de él. AWS
Un *almacén de claves externo* es un [almacén de claves personalizado](key-store-overview.md#custom-key-store-overview) respaldado por un *administrador de claves externo* que usted posee y administra de AWS forma externa. El administrador de claves externo puede ser un módulo de seguridad de hardware físico o virtual (HSMs), o cualquier sistema basado en hardware o software capaz de generar y utilizar claves criptográficas. El administrador de claves externo realiza las operaciones de cifrado y descifrado que utilizan una clave KMS en un almacén de claves externo utilizando el material de claves criptográficas, una función conocida como *guardar* sus propias claves (). HYOKs
AWS KMS nunca interactúa directamente con su administrador de claves externo y no puede crear, ver, administrar ni eliminar sus claves. En su lugar, solo AWS KMS interactúa con el software de [proxy de almacenamiento de claves externo](#concept-xks-proxy) (proxy XKS) que usted proporcione. El proxy del almacén de claves externo interviene en todas las comunicaciones entre AWS KMS y el administrador de claves externo. Transmite todas las solicitudes AWS KMS a su administrador de claves externo y transmite las respuestas de su administrador de claves externo a AWS KMSél. El proxy del almacén de claves externo también traduce las solicitudes genéricas AWS KMS a un formato específico del proveedor que su administrador de claves externo pueda entender, lo que le permite utilizar almacenes de claves externos con administradores de claves de diversos proveedores.
Puede utilizar las claves de KMS en un almacén de claves externo para el cifrado del cliente, incluso con el [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/). Sin embargo, los almacenes de claves externos son un recurso importante para el cifrado del lado del servidor, ya que le permiten proteger sus AWS recursos en múltiples ubicaciones Servicios de AWS con sus claves criptográficas fuera de ellas. AWS Servicios de AWS que admiten [claves administradas por el cliente](concepts.md#customer-mgn-key) para el cifrado simétrico también admiten claves KMS en un almacén de claves externo. Para obtener más información sobre el soporte, consulte la [Integración de servicios de AWS](https://aws.amazon.com/kms/features/#AWS_service_integration).
Los almacenes de claves externos permiten utilizarlos AWS KMS para cargas de trabajo reguladas, en las que las claves de cifrado deben almacenarse y utilizarse fuera de ellas. AWS Sin embargo, representan una desviación importante del modelo estándar de responsabilidad compartida y requieren cargas operativas adicionales. Para la mayoría de los clientes, el mayor riesgo para la disponibilidad y la latencia superará los beneficios de seguridad de los almacenes de claves externos.
Los almacenes de claves externos le permiten controlar la raíz de la confianza. Los datos cifrados con las claves de KMS de su almacén de claves externo solo se pueden descifrar mediante el administrador de claves externo que usted controle. Si revoca temporalmente el acceso a su administrador de claves externo, por ejemplo, desconectando el almacén de claves externo o desconectando su administrador de claves externo del proxy del almacén de claves externo, AWS pierde todo el acceso a sus claves criptográficas hasta que lo restaure. Durante ese intervalo, el texto cifrado encriptado con las claves de KMS no se puede descifrar. Si revoca permanentemente el acceso al administrador de claves externo, todo el texto cifrado encriptado con una clave de KMS en su almacén de claves externo no se podrá recuperar. Las únicas excepciones son los AWS servicios que almacenan en caché brevemente las claves de [datos protegidas por las claves](data-keys.md) de KMS. Estas claves de datos seguirán en funcionamiento hasta que desactive el recurso o caduque la memoria caché. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).
Los almacenes de claves externos desbloquean los pocos casos de uso para cargas de trabajo reguladas, en las que las claves de cifrado deben permanecer exclusivamente bajo su control y ser inaccesibles para ellas. AWS Sin embargo, se trata de un cambio importante en la forma en que opera la infraestructura basada en la nube y un cambio significativo en el modelo de responsabilidad compartida. Para la mayoría de las cargas de trabajo, la carga operativa adicional y los mayores riesgos para la disponibilidad y el rendimiento superarán los beneficios de seguridad de los almacenes de claves externos.
**¿Necesito un almacén de claves externo?**
Para la mayoría de los usuarios, el almacén de AWS KMS claves predeterminado, que está protegido por [módulos de seguridad de hardware validados por el FIPS 140-3 de nivel de seguridad 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), cumple con sus requisitos de seguridad, control y normativa. Los usuarios de almacenes de claves externos incurren en altos costos, cargas de mantenimiento y solución de problemas, además de riesgos para la latencia, la disponibilidad y la fiabilidad.
Si piensa en un almacén de claves externo, tómese un tiempo para comprender las alternativas, como un [almacén de AWS CloudHSM claves](keystore-cloudhsm.md) respaldado por un AWS CloudHSM clúster del que sea propietario y que usted administre, y claves de KMS con [material de claves importado](importing-keys.md) que genere usted mismo HSMs y que pueda eliminar de las claves de KMS cuando lo desee. En particular, la importación de material de clave con un intervalo de caducidad muy breve podría proporcionar un nivel de control similar sin los riesgos de rendimiento o disponibilidad.
Un almacén de claves externo puede ser la solución adecuada para su organización si tiene los siguientes requisitos:
+ Debe utilizar claves criptográficas en su administrador de claves local o en un administrador de claves AWS que no esté bajo su control.
+ Debe demostrar que sus claves criptográficas se conservan únicamente bajo su control fuera de la nube.
+ Debe cifrar y descifrar mediante claves criptográficas con autorización independiente.
+ El material de claves debe estar sujeto a una ruta de auditoría secundaria e independiente.
Si elige un almacén de claves externo, limite su uso a las cargas de trabajo que requieran protección con claves criptográficas fuera de AWS.
**Modelo de responsabilidad compartida**
Las claves KMS estándar utilizan material clave que se genera y se utiliza para su AWS KMS propiedad y administración. HSMs Usted establece las políticas de control de acceso en sus claves de KMS y las configura para Servicios de AWS que usen claves de KMS para proteger sus recursos. AWS KMS asume la responsabilidad de la seguridad, la disponibilidad, la latencia y la durabilidad del material clave de sus claves de KMS.
Las claves de KMS de los almacenes de claves externos se basan en el material de clave y las operaciones de su administrador de claves externo. Como tal, el equilibrio de responsabilidades cambia en su dirección. Usted es responsable de la seguridad, la fiabilidad, la durabilidad y el rendimiento de las claves criptográficas de su administrador de claves externo. AWS KMS es responsable de responder con prontitud a las solicitudes y de comunicarse con el proxy de su almacén de claves externo, así como de mantener nuestros estándares de seguridad. [*Para garantizar que cada clave externa almacene el texto cifrado al menos con la misma seguridad que el AWS KMS texto cifrado estándar, AWS KMS primero cifra todo el texto sin formato con material AWS KMS clave específico de su clave KMS y, a continuación, lo envía a su administrador de claves externo para que lo cifre con su clave externa, un procedimiento conocido como doble cifrado.*](#concept-double-encryption) Como resultado, ni AWS KMS ni el propietario del material de clave externo pueden descifrar por sí solos el texto cifrado con doble cifrado.
Usted es responsable de mantener un administrador de claves externo que cumpla con sus estándares reglamentarios y de rendimiento. También es responsable de proporcionar y mantener un proxy del almacén de claves externo que cumpla con la [especificación de la API del proxy del almacén de claves externo de AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) y de garantizar la disponibilidad y la durabilidad del material de claves. También debe crear, configurar y mantener un almacén de claves externo. Cuando se produzcan errores causados por componentes que usted mantiene, debe estar preparado para identificarlos y resolverlos, de modo que los AWS servicios puedan acceder a sus recursos sin interrupciones indebidas. AWS KMS proporciona una [guía de solución](xks-troubleshooting.md) de problemas para ayudarle a determinar la causa de los problemas y las soluciones más probables.
Revisa las [ CloudWatch métricas y dimensiones de Amazon](monitoring-cloudwatch.md#kms-metrics) que AWS KMS registran los almacenes de claves externos. AWS KMS le recomienda encarecidamente que cree CloudWatch alarmas para supervisar su almacén de claves externo, de modo que pueda detectar los primeros signos de problemas operativos y de rendimiento antes de que se produzcan.
**¿Qué está cambiando?**
Los almacenes de claves externos solo admiten claves de KMS de cifrado simétrico. En su interior AWS KMS, las claves de KMS se utilizan y administran en un almacén de claves externo prácticamente de la misma manera que se administran otras [claves administradas por el cliente](concepts.md#customer-mgn-key), lo que incluye la [configuración de políticas de control de acceso](authorize-xks-key-store.md) y la [supervisión del uso de las claves](monitoring-overview.md). Para solicitar una operación criptográfica APIs con una clave de KMS en un almacén de claves externo, se utiliza lo mismo con los mismos parámetros que se utilizan para cualquier clave de KMS. El precio también es el mismo que el de las claves de KMS estándar. Para obtener más información, consulte [Claves KMS en un almacén de claves externo](keystore-external-key-manage.md) y [Precios de AWS Key Management Service](https://aws.amazon.com/kms/pricing/).
Sin embargo, con los almacenes de claves externos cambian los siguientes principios:
+ Usted es responsable de la disponibilidad, la durabilidad y la latencia de las operaciones de claves.
+ Usted es responsable de todos los costos de desarrollo, compra, operación y licencias de su sistema de administración de claves externo.
+ Puede implementar la [autorización independiente](authorize-xks-key-store.md#xks-proxy-authorization) de todas las solicitudes desde AWS KMS su proxy de almacén de claves externo.
+ Puede supervisar, auditar y registrar todas las operaciones de su proxy de almacén de claves externo y todas las operaciones de su administrador de claves externo relacionadas con AWS KMS las solicitudes.
**¿Por dónde empiezo?**
Para crear y administrar un almacén de claves externo, debe [elegir la opción de conectividad proxy del almacén de claves externo](choose-xks-connectivity.md), [reunir los requisitos previos](create-xks-keystore.md#xks-requirements) y [crear y configurar el almacén de claves externo](create-xks-keystore.md).
**Cuotas**
AWS KMS permite hasta [10 almacenes de claves personalizados](resource-limits.md) en cada Cuenta de AWS región, incluidos los almacenes de [AWS CloudHSM claves y los almacenes](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) de [claves externos](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), independientemente del estado de conexión. Además, hay cuotas de solicitudes de AWS KMS sobre el [uso de claves KMS en un almacén de claves externo](requests-per-second.md#rps-key-stores).
Si eliges la [conectividad de proxy de VPC](#concept-xks-connectivity) para tu proxy de almacén de claves externo, es posible que también haya cuotas en los componentes necesarios VPCs, como las subredes y los balanceadores de carga de red. Para obtener más información sobre estas cuotas, utilice la [consola de Service Quotas](https://console.aws.amazon.com/servicequotas/home).
**Regiones**
Para minimizar la latencia de la red, cree los componentes del almacén de claves externo en la Región de AWS más cercana a su [administrador de claves externo](#concept-ekm). Si es posible, elija una región con un tiempo de ida y vuelta (RTT) de la red de 35 milisegundos o menos.
Los almacenes de claves externos son compatibles Regiones de AWS en todos los países AWS KMS admitidos, excepto en China (Beijing) y China (Ningxia).
**Características no admitidas**
AWS KMS no admite las siguientes funciones en los almacenes de claves personalizadas.
+ [Claves de KMS asimétricas](symmetric-asymmetric.md)
+ [Claves KMS HMAC](hmac.md)
+ [Claves KMS con material de claves importado](importing-keys.md)
+ [Rotación automática de claves](rotate-keys.md)
+ [Claves de varias regiones](multi-region-keys-overview.md)
**Más información:**
+ [Anunciamos el almacén de claves externo de AWS KMS](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) en el *blog de noticias de AWS *.
## Conceptos del almacén de claves externo
Conozca los términos y conceptos básicos que se utilizan en almacenes de claves externos.
### Almacén de claves externo
Un *almacén de claves externo* es un [almacén de claves AWS KMS personalizado](key-store-overview.md#custom-key-store-overview) respaldado por un administrador de claves externo al AWS que usted posee y administra. Cada clave de KMS de un almacén de claves externo está asociada a una [clave externa](#concept-external-key) del administrador de claves externo. Cuando utiliza una clave de KMS en un almacén de claves externo para el cifrado o el descifrado, la operación se realiza en el administrador de claves externo mediante su clave externa, una función conocida como *Guardar sus propias claves* (HYOK). Esta función está diseñada para organizaciones que deben mantener las claves criptográficas en su propio administrador de claves externo.
Los almacenes de claves externos garantizan que las claves criptográficas y las operaciones que protegen sus AWS recursos permanezcan en el administrador de claves externo que está bajo su control. AWS KMS envía solicitudes a su administrador de claves externo para cifrar y descifrar datos, pero AWS KMS no puede crear, eliminar ni administrar ninguna clave externa. Todas las solicitudes AWS KMS a su administrador de claves externo están mediadas por un componente de software [proxy de almacenamiento de claves externo](#concept-xks-proxy) que usted suministra, posee y administra.
AWS Los servicios que admiten [claves administradas por el AWS KMS cliente](concepts.md) pueden usar las claves KMS de su almacén de claves externo para proteger sus datos. Como resultado, sus datos se protegen en última instancia mediante sus claves mediante las operaciones de cifrado de su administrador de claves externo.
Las claves de KMS de un almacén de claves externo tienen modelos de confianza, [acuerdos de responsabilidad compartida](#xks-shared-responsibility) y expectativas de rendimiento fundamentalmente diferentes a los de las claves de KMS estándar. Con los almacenes de claves externos, usted es responsable de la seguridad e integridad del material de clave y de las operaciones criptográficas. La disponibilidad y la latencia de las claves de KMS en un almacén de claves externo se ven afectadas por el equipo, el software, los componentes de red y la distancia entre AWS KMS y el administrador de claves externo. También es probable que incurra en costes adicionales para el administrador de claves externo y para la infraestructura de redes y equilibrio de carga que necesita para comunicarse con su administrador de claves externo AWS KMS
Puede utilizar su almacén de claves externo como parte de una estrategia más abarcativa de protección de datos. Para cada AWS recurso que proteja, puede decidir cuáles requieren una clave KMS en un almacén de claves externo y cuáles pueden protegerse mediante una clave KMS estándar. Esto le brinda la flexibilidad de elegir claves de KMS para clasificaciones de datos, aplicaciones o proyectos específicos.
### Administrador de claves externo
Un *administrador de claves externo* es un componente ajeno a AWS que puede generar claves simétricas AES de 256 bits y realizar un cifrado y descifrado simétricos. El administrador de claves externo para un almacén de claves externo puede ser un módulo de seguridad de hardware (HSM) físico, un HSM virtual o un administrador de claves de software con o sin un componente de HSM. Puede estar ubicado en cualquier lugar fuera de AWS, incluso en sus instalaciones, en un centro de datos local o remoto o en cualquier nube. Su almacén de claves externo puede estar respaldado por un único administrador de claves externo o por varias instancias de administrador de claves relacionadas que compartan claves criptográficas, como un clúster de HSM. Los almacenes de claves externos están diseñados para dar soporte a una variedad de administradores externos de diferentes proveedores. Para obtener más información sobre la conexión a su administrador de claves externo, consulte [Elección de una opción de conectividad proxy del almacén de claves externo](choose-xks-connectivity.md).
### Clave externa
Cada clave de KMS de un almacén de claves externo está asociada a una clave criptográfica del [administrador de claves externo](#concept-ekm) conocida como *clave externa*. Al cifrar o descifrar con una clave de KMS en su almacén de claves externo, la operación criptográfica se realiza en su [administrador de claves externo](#concept-ekm) utilizando su clave externa.
**aviso**
La clave externa es esencial para el funcionamiento de la clave de KMS. Si se pierde o se elimina la clave externa, el texto cifrado con la clave KMS asociada será irrecuperable.
Para los almacenes de claves externos, la clave externa debe ser una clave AES de 256 bits que esté habilitada y pueda realizar el cifrado y el descifrado. Para obtener información detallada sobre los requisitos de clave externa, consulte [Requisitos para una clave de KMS en un almacén de claves externo](create-xks-keys.md#xks-key-requirements).
AWS KMS no puede crear, eliminar ni administrar ninguna clave externa. El material de claves criptográficas nunca sale de su administrador de claves externo. Cuando crea una clave de KMS en un almacén de claves externo, proporciona el ID de una clave externa (`XksKeyId`). No puede cambiar el ID de clave externa asociado a una clave de KMS, aunque el administrador de claves externo puede cambiar el material de clave asociado al ID de clave externa.
Además de la clave externa, una clave de KMS en un almacén de claves externo también contiene material de clave de AWS KMS . Los datos protegidos por la clave KMS se cifran primero AWS KMS con el material de la AWS KMS clave y, después, mediante el administrador de claves externo con la clave externa. Este proceso de [doble cifrado](#concept-double-encryption) garantiza que el texto cifrado protegido por su clave de KMS esté siempre tan seguro como el texto cifrado protegido solo por AWS KMS.
Muchas claves criptográficas tienen diferentes tipos de identificadores. Al crear una clave de KMS en un almacén de claves externo, proporcione el ID de la clave externa que el [proxy del almacén de claves externo](#concept-xks-proxy) utiliza para hacer referencia a la clave externa. Si utiliza un identificador incorrecto, el intento de crear una clave de KMS en su almacén de claves externo no tendrá éxito.
### Proxy del almacén de claves externo
El proxy de *almacenamiento de claves externo («proxy* XKS») es una aplicación de software propiedad y gestionada por el cliente que interviene en todas las comunicaciones entre AWS KMS el administrador de claves externo y el administrador de claves externo. También traduce AWS KMS las solicitudes genéricas a un formato que el administrador de claves externo específico del proveedor comprenda. Se necesita un proxy del almacén de claves externo para un almacén de claves externo. Cada almacén de claves externo está asociado a un proxy del almacén de claves externo.
![\[Proxy del almacén de claves externo\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-proxy-concept-40.png)
AWS KMS no puede crear, eliminar ni administrar ninguna clave externa. El material de claves criptográficas nunca sale de su administrador de claves externo. Toda la comunicación entre su administrador de claves externo AWS KMS y su administrador de claves externo está mediada por el proxy del almacén de claves externo. AWS KMS envía las solicitudes al proxy del almacén de claves externo y recibe las respuestas del proxy del almacén de claves externo. El proxy del almacén de claves externo es responsable de transmitir las solicitudes AWS KMS a su administrador de claves externo y de transmitir las respuestas de su administrador de claves externo a AWS KMS
Usted posee y administra el proxy del almacén de claves externo de su almacén de claves externo, y es responsable de su mantenimiento y funcionamiento. Puede desarrollar su proxy de almacén de claves externo basándose en la [especificación de la API de proxy de almacén de claves externo](https://github.com/aws/aws-kms-xksproxy-api-spec/) de código abierto que AWS KMS publica o compra una aplicación de proxy a un proveedor. Su proxy del almacén de claves externo puede estar incluido en su administrador de claves externo. Para facilitar el desarrollo de servidores proxy, AWS KMS también proporciona un ejemplo de proxy de almacén de claves externo ([aws-kms-xks-proxy](https://github.com/aws-samples/aws-kms-xks-proxy)) y un cliente de prueba ([xks-kms-xksproxy-test-client](https://github.com/aws-samples/aws-kms-xksproxy-test-client)) que comprueba que el proxy de almacén de claves externo cumple con la especificación.
Para autenticarse, el proxy utiliza certificados AWS KMS TLS del lado del servidor. [Para autenticarse en su proxy, AWS KMS firme todas las solicitudes enviadas a su proxy de almacén de claves externo con una credencial de autenticación de proxy SigV4.](#concept-xks-credential)
El proxy del almacén de claves externo debe ser compatible con HTTP/1.1 o posterior y TLS 1.2 o posterior con al menos uno de los siguientes conjuntos de cifrado:
+ TLS\$1AES\$1256\$1GCM\$1 (TLS 1.3SHA384 )
+ TLS\$1\$1\$1 CHACHA20 (POLY1305TLS 1.3SHA256 )
**nota**
No es AWS GovCloud (US) Region compatible con CHACHA20 TLS\$1 \$1 \$1. POLY1305 SHA256
+ TLS\$1ECDHE\$1RSA\$1CON\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.2)
+ TLS\$1ECDHE\$1ECDSA\$1CON\$1AES\$1256\$1GCM\$1 (TLS 1.2SHA384 )
Para crear y utilizar las claves de KMS en el almacén de claves externo, primero debe [conectar el almacén de claves externo](xks-connect-disconnect.md) a su proxy del almacén de claves externo. También puede desconectar el almacén de claves externo de su proxy cuando lo solicite. Cuando lo haga, todas las claves de KMS del almacén de claves externo dejarán de estar [disponibles](key-state.md); no se podrán utilizar en ninguna operación criptográfica.
### Conectividad proxy del almacén de claves externo
La conectividad proxy del almacén de claves externo («conectividad proxy XKS») describe el método que se utiliza para comunicarse con el proxy del almacén de claves externo. AWS KMS
Especifica la opción de conectividad de proxy al crear el almacén de claves externo y pasa a ser una propiedad del almacén de claves externo. Puede cambiar la opción de conectividad del proxy al actualizar la propiedad del almacén de claves personalizado, pero debe asegurarse de que el proxy del almacén de claves externo pueda seguir accediendo a las mismas claves externas.
AWS KMS admite las siguientes opciones de conectividad.
+ [Conectividad de punto final público](choose-xks-connectivity.md#xks-connectivity-public-endpoint): AWS KMS envía solicitudes para el proxy de su almacén de claves externo a través de Internet a un punto final público que usted controle. Esta opción es fácil de crear y mantener, pero es posible que no cumpla los requisitos de seguridad de todas las instalaciones.
+ [Conectividad del servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity): AWS KMS envía solicitudes a un servicio de punto final de Amazon Virtual Private Cloud (Amazon VPC) que usted crea y mantiene. Puede alojar su proxy de almacén de claves externo dentro de su Amazon VPC o alojar su proxy de almacén de claves externo fuera AWS y usar la Amazon VPC solo para comunicarse. También se puede conectar el almacén de claves externo a un servicio de punto de conexión de Amazon VPC propiedad de otra Cuenta de AWS.
Para obtener más información sobre las opciones de conectividad de proxy del almacén de claves externo, consulte [Elección de una opción de conectividad proxy del almacén de claves externo](choose-xks-connectivity.md).
### Credencial de autenticación de proxy del almacén de claves externo
Para autenticarse en su proxy de almacén de claves externo, AWS KMS firme todas las solicitudes enviadas a su proxy de almacén de claves externo con una credencial de autenticación [Signature V4 (SiGv4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)). Establece y mantiene la credencial de autenticación en el proxy y, a continuación, se la proporciona AWS KMS al crear el almacén externo.
**nota**
La credencial SigV4 que se AWS KMS utiliza para firmar las solicitudes al proxy XKS no está relacionada con ninguna de las credenciales SigV4 asociadas a los principales de su servidor. AWS Identity and Access Management Cuentas de AWS No reutilice ninguna credencial SigV4 de IAM para su proxy del almacén de claves externo.
Cada credencial de autenticación del proxy tiene dos partes. Debe proporcionar ambas partes al crear un almacén de claves externo o actualizar la credencial de autenticación del almacén de claves externo.
+ ID de clave de acceso: identifica la clave de acceso secreta. Puede proporcionar este ID en texto sin formato.
+ Clave de acceso secreta: la parte secreta de la credencial. AWS KMS cifra la clave de acceso secreta de la credencial antes de almacenarla.
Puede [editar la configuración de la credencial](update-xks-keystore.md) en cualquier momento, por ejemplo, al introducir valores incorrectos, al cambiar la credencial en el proxy o cuando el proxy rota la credencial. Para obtener información técnica sobre la AWS KMS autenticación en el proxy del almacén de claves externo, consulte [Autenticación](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/xks_proxy_api_spec.md#authentication) en la especificación de la API del proxy del almacén de claves AWS KMS externo.
Para que pueda cambiar su credencial sin interrumpir las Servicios de AWS que utilizan claves KMS en su almacén de claves externo, le recomendamos que el proxy del almacén de claves externo admita al menos dos credenciales de autenticación válidas. AWS KMS Esto garantiza que la credencial anterior siga funcionando mientras usted proporciona su nueva credencial a AWS KMS.
Para ayudarlo a realizar un seguimiento de la antigüedad de su credencial de autenticación de proxy, AWS KMS define una CloudWatch métrica de Amazon, [XksProxyCredentialAge](monitoring-cloudwatch.md#metric-xks-proxy-credential-age). Puede usar esta métrica para crear una CloudWatch alarma que le notifique cuando la antigüedad de su credencial alcance el umbral que usted establezca.
### Proxy APIs
Para admitir un almacén de claves AWS KMS externo, un proxy de [almacén de claves externo debe implementar el proxy](#concept-xks-proxy) requerido, tal APIs como se describe en la [especificación de la API de proxy del almacén de claves AWS KMS externo](https://github.com/aws/aws-kms-xksproxy-api-spec/). Estas solicitudes de API de proxy son las únicas solicitudes que se AWS KMS envían al proxy. Aunque nunca envíe estas solicitudes directamente, conocerlas puede ayudarlo a solucionar cualquier problema que pueda surgir con el almacén de claves externo o el proxy. Por ejemplo, AWS KMS incluye información sobre la latencia y las tasas de éxito de estas llamadas a la API en sus [ CloudWatch métricas de Amazon](monitoring-cloudwatch.md) para almacenes de claves externos. Para obtener más información, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
En la siguiente tabla se enumeran y describen cada uno de los proxies APIs. También incluye las AWS KMS operaciones que desencadenan una llamada a la API de proxy y cualquier excepción de AWS KMS operación relacionada con la API de proxy.
| API de proxy | Description (Descripción) | AWS KMS Operaciones relacionadas |
| --- | --- | --- |
| Decrypt | AWS KMS envía el texto cifrado que se va a descifrar y el identificador de la [clave externa](#concept-external-key) que se va a utilizar. El algoritmo de cifrado requerido es AES\$1GCM. | [Descifrar, [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) |
| Encrypt | AWS KMS envía los datos que se van a cifrar y el ID de la [clave externa que se va](#concept-external-key) a utilizar. El algoritmo de cifrado requerido es AES\$1GCM. | [Cifrar](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html),, [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) |
| GetHealthStatus | AWS KMS solicita información sobre el estado del proxy y de su administrador de claves externo. El estado de cada administrador de claves externo puede ser uno de los siguientes.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/keystore-external.html) | [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)(para conectividad de [punto final público), [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)(para conectividad](choose-xks-connectivity.md#xks-connectivity-public-endpoint) de [servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity))Si todas las instancias del administrador de claves externo tienen estado `Unavailable`, fallan los intentos de crear o conectar el almacén de claves con [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-latency). |
| GetKeyMetadata | AWS KMS solicita información sobre la [clave externa](#concept-external-key) asociada a una clave de KMS en su almacén de claves externo. La respuesta incluye la especificación de la clave (`AES_256`), el uso de la clave (`[ENCRYPT, DECRYPT]`) y si la clave externa está `ENABLED` o `DISABLED`. | [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Si la especificación de la clave no es `AES_256`, el uso de la clave no es `[ENCRYPT, DECRYPT]` ni el estado es `DISABLED`, la operación de `CreateKey` fallará con `XksKeyInvalidConfigurationException`. |
### Cifrado doble
Los datos cifrados por una clave de KMS en un almacén de claves externo se cifran dos veces. En primer lugar, AWS KMS cifra los datos con material AWS KMS clave específico de la clave KMS. A continuación, su [administrador de claves externo](#concept-ekm) cifra el texto cifrado por AWS KMS con su [clave externa](#concept-external-key). Este proceso se conoce como *doble cifrado*.
El doble cifrado garantiza que los datos cifrados por una clave de KMS en un almacén de claves externo sean tan seguros como el texto cifrado con una clave de KMS estándar. También protege el texto sin formato en tránsito desde AWS KMS el proxy del almacén de claves externo. Con el doble cifrado, conserva el control total de sus textos cifrados. Si revoca el acceso de AWS a su clave externa de forma permanente a través de su proxy externo, todo el texto cifrado que quede en AWS se destruirá mediante una operación criptográfica.
![\[Doble cifrado de datos protegidos por una clave de KMS en un almacén de claves externo\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-double-encrypt-40.png)
Para habilitar el doble cifrado, cada clave de KMS de un almacén de claves externo tiene *dos* claves de respaldo criptográficas:
+ Un material AWS KMS clave exclusivo de la clave KMS. Este material clave se genera y solo se utiliza en los módulos de [seguridad de hardware con certificación AWS KMS FIPS 140-3 de nivel 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) ()HSMs.
+ Una [clave externa](#concept-external-key) de su administrador de claves externo.
El doble cifrado tiene los siguientes efectos:
+ AWS KMS no puede descifrar ningún texto cifrado mediante una clave KMS en un almacén de claves externo sin acceder a las claves externas a través del proxy del almacén de claves externo.
+ No puede descifrar ningún texto cifrado mediante una clave KMS en un almacén de claves externo externo AWS, incluso si dispone de su material de clave externa.
+ No puede volver a crear una clave de KMS que se haya eliminado de un almacén de claves externo, aunque disponga de su material de claves externas. Cada clave de KMS tiene metadatos únicos que incluye en el texto cifrado simétrico. Una nueva clave de KMS no podría descifrar el texto cifrado con la clave original, incluso si utilizara el mismo material de clave externa.
Para ver un ejemplo de doble cifrado en la práctica, consulte [Cómo funcionan los almacenes de claves externos](#xks-how-it-works).
## Cómo funcionan los almacenes de claves externos
El [almacén de claves externo](#concept-external-key-store), el [proxy del almacén de claves externo](#concept-xks-proxy) y el [administrador de claves externo](#concept-ekm) trabajan en conjunto para proteger los recursos de AWS . El siguiente procedimiento muestra el flujo de trabajo de cifrado típico de Servicio de AWS que cifra cada objeto con una clave de datos única protegida por una clave de KMS. En este caso, ha elegido una clave de KMS en un almacén de claves externo para proteger el objeto. El ejemplo muestra cómo se AWS KMS utiliza el [doble cifrado](#concept-double-encryption) para proteger la clave de datos en tránsito y garantizar que el texto cifrado generado por una clave KMS en un almacén de claves externo sea siempre al menos tan seguro como el texto cifrado mediante una clave KMS simétrica estándar con el material clave incluido. AWS KMS
Los métodos de cifrado utilizados por cada entidad que se integra varían. Servicio de AWS AWS KMS Para obtener más información, consulte el tema “Protección de datos” del capítulo Seguridad de la documentación de los Servicio de AWS .
![\[Cómo funcionan los almacenes de claves externos\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-how-it-works-jan26.png)
1. Agrega un objeto nuevo a su Servicio de AWS recurso. Para cifrar el objeto, Servicio de AWS envía una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)solicitud para AWS KMS utilizar una clave KMS en su almacén de claves externo.
1. AWS KMS genera una clave de [datos simétrica de 256 bits y se prepara para enviar una copia de la clave](data-keys.md) de datos en texto plano al administrador de claves externo a través del proxy del almacén de claves externo. AWS KMS inicia el proceso de [doble cifrado](#concept-double-encryption) cifrando la clave de datos en texto plano con el [material de clave asociado a la AWS KMS clave](#concept-double-encryption) KMS en el almacén de claves externo.
1. AWS KMS envía una solicitud de [cifrado al](#concept-proxy-apis) proxy del almacén de claves externo asociado al almacén de claves externo. La solicitud incluye el texto cifrado de la clave de datos que se va a cifrar y el ID de la [clave externa](#concept-external-key) asociada a la clave KMS. AWS KMS firma la solicitud con la [credencial de autenticación proxy del proxy](#concept-xks-credential) del almacén de claves externo.
La copia en texto sin formato de la clave de datos no se envía al proxy del almacén de claves externo.
1. El proxy del almacén de claves externo autentica la solicitud y, a continuación, la pasa a su administrador de claves externo.
Algunos servidores proxy de almacenes de claves externos también implementan una [política de autorización](authorize-xks-key-store.md#xks-proxy-authorization) opcional que permite que solo las entidades principales seleccionadas realicen operaciones en condiciones específicas.
1. El administrador de claves externo cifra el texto cifrado de la clave de datos mediante la clave externa especificada. El administrador de claves externo devuelve la clave de datos con doble cifrado al proxy del almacén de claves externo, que la devuelve a AWS KMS.
1. AWS KMS devuelve la clave de datos en texto plano y la copia doblemente cifrada de esa clave de datos al. Servicio de AWS
1. Servicio de AWS Utiliza la clave de datos de texto sin formato para cifrar el objeto de recurso, destruye la clave de datos de texto sin formato y almacena la clave de datos cifrada con el objeto cifrado.
Algunos Servicios de AWS pueden almacenar en caché la clave de datos de texto sin formato para utilizarla en varios objetos o reutilizarla mientras el recurso está en uso. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).
Para descifrar el objeto cifrado, Servicio de AWS deben devolver la clave de datos cifrados a una solicitud AWS KMS de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Para descifrar la clave de datos cifrada, AWS KMS debe devolverla al proxy del almacén de claves externo con el ID de la clave externa. Si la solicitud de descifrado al proxy del almacén de claves externo falla por algún motivo, AWS KMS no puede descifrar la clave de datos cifrados y Servicio de AWS no puede descifrar el objeto cifrado.
# Control de acceso al almacén de claves externo
Todas las funciones de control de AWS KMS acceso ([políticas clave](key-policies.md), [políticas de IAM](iam-policies.md) y [concesiones](grants.md)) que se utilizan con las claves KMS estándar funcionan de la misma manera para las claves KMS de un almacén de claves externo. Puede usar las políticas de IAM para controlar el acceso a las operaciones de la API que crean y administran almacenes de claves externos. Las políticas de IAM y las políticas clave se utilizan para controlar el acceso al AWS KMS keys almacén de claves externo. También puedes usar políticas de [control de servicios para tu AWS organización y políticas](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) de [punto final de VPC para controlar el acceso a las](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy) claves de KMS en tu almacén de claves externo.
Le recomendamos que únicamente otorgue a los usuarios y roles los permisos necesarios para las tareas que es probable que se vayan a realizar.
**Topics**
+ [Autorizar a administradores de almacenes de claves externos](#authorize-xks-managers)
+ [Autorización de usuarios de claves de KMS en almacenes de claves externos](#authorize-xks-users)
+ [AWS KMS Autorizar la comunicación con el proxy de tu almacén de claves externo](#allowlist-kms-xks)
+ [Autorización del proxy del almacén de claves externo (opcional)](#xks-proxy-authorization)
+ [Autenticación mTLS (obsoleta)](#xks-mtls)
## Autorizar a administradores de almacenes de claves externos
Las entidades principales que crean y administran un almacén de claves externo necesitan permisos para las operaciones del almacén de claves personalizado. En la siguiente lista, se describen los permisos mínimos necesarios para los administradores del almacén de claves externo. Como un almacén de claves personalizado no es un AWS recurso, no puedes conceder permisos a un almacén de claves externo para los principales de otros. Cuentas de AWS
+ `kms:CreateCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:ConnectCustomKeyStore`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `kms:DeleteCustomKeyStore`
Para crear un almacén de claves externo con la [conectividad del servicio de puntos de enlace de Amazon VPC y el servicio](choose-xks-connectivity.md#xks-vpc-connectivity) de puntos de enlace de VPC sea propiedad de otra persona Cuenta de AWS, también necesitará el siguiente permiso:
+ `ec2:DescribeVPCEndpointServices`
Las entidades principales que crean un almacén de claves externo necesitan permiso para crear y configurar los componentes del almacén de claves externo. Las entidades principales pueden crear almacenes de claves externos solo en sus propias cuentas. Para crear un almacén de claves externo con [conectividad a los servicios de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity), las entidades principales deben tener permiso para crear los siguientes componentes:
+ Una VPC de Amazon
+ Subredes públicas y privadas
+ Un equilibrador de carga de red y grupo de destino
+ Un servicio de punto de conexión de Amazon VPC
Para obtener más información, consulte [Identity and Access Management para Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), [Identity and Access Management para puntos de conexión de VPC y servicios de puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) y [Elastic Load Balancing API permissions](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html) (Permisos de la API de Elastic Load Balancing).
## Autorización de usuarios de claves de KMS en almacenes de claves externos
Los responsables que crean y administran AWS KMS keys tu almacén de claves externo necesitan [los mismos permisos](create-keys.md#create-key-permissions) que quienes crean y administran cualquier clave de KMS. AWS KMS La [política de claves predeterminada](key-policy-default.md) para claves de KMS en un almacén de claves externo es idéntica a la política de claves predeterminada para claves de KMS en AWS KMS. El [control de acceso basado en atributos](abac.md) (ABAC), que utiliza etiquetas y alias para controlar el acceso a las claves de KMS, también es efectivo para claves de KMS en almacenes de claves externos.
Las entidades principales que usan las claves KMS en el almacén de claves personalizado para [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore) requieren permiso para realizar la operación criptográfica con la clave KMS, por ejemplo, [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Puede proporcionar estos permisos en una política de IAM o en una política de claves. Sin embargo, no necesitan más permisos para utilizar una clave KMS en un almacén de claves personalizado.
Para establecer un permiso que se aplique solo a las claves de KMS en un almacén de claves externo, utilice la condición de política [`kms:KeyOrigin`](conditions-kms.md#conditions-kms-key-origin) con un valor de `EXTERNAL_KEY_STORE`. Puedes usar esta condición para limitar el CreateKey permiso de [KMS:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) o cualquier permiso específico de un recurso clave de KMS. Por ejemplo, la siguiente política de IAM permite a la identidad a la que está asociada llamar a las operaciones especificadas en cualquier clave de KMS de la cuenta, siempre que las claves de KMS se encuentren en un almacén de claves externo. Ten en cuenta que puedes limitar el permiso a las claves de KMS de un almacén de claves externo y a las claves de KMS de un almacén de claves externo concreto de la cuenta Cuenta de AWS, pero no a ningún almacén de claves externo en concreto.
```
{
"Sid": "AllowKeysInExternalKeyStores",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
"Condition": {
"StringEquals": {
"kms:KeyOrigin": "EXTERNAL_KEY_STORE"
}
}
}
```
## AWS KMS Autorizar la comunicación con el proxy de tu almacén de claves externo
AWS KMS se comunica con su administrador de claves externo únicamente a través del [proxy de almacén de claves externo](keystore-external.md#concept-xks-proxy) que usted proporcione. AWS KMS se autentica en su proxy firmando sus solicitudes mediante el [proceso de firma de la versión 4 (SiGv4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) con la [credencial de autenticación del proxy del almacén de claves externo que especifique](keystore-external.md#concept-xks-credential). Si utiliza la [conectividad de un punto final público](choose-xks-connectivity.md#xks-connectivity-public-endpoint) para su proxy de almacén de claves externo, AWS KMS no necesita ningún permiso adicional.
Sin embargo, si utiliza la [conectividad del servicio de puntos de enlace de VPC](choose-xks-connectivity.md#xks-vpc-connectivity), debe conceder AWS KMS permiso para crear un punto de enlace de interfaz para su servicio de puntos de enlace de Amazon VPC. Este permiso es necesario independientemente de si el proxy del almacén de claves externo está en su VPC o si el proxy del almacén de claves externo está ubicado en otro lugar, pero utiliza el servicio de punto final de la VPC para comunicarse con él. AWS KMS
AWS KMS Para permitir la creación de un punto final de interfaz, utilice la [consola de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o la [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)operación. Conceda permisos para la siguiente entidad principal: `cks.kms..amazonaws.com`.
Si su servicio de puntos de conexión de Amazon VPC es propiedad de una persona Cuenta de AWS distinta a la Cuenta de AWS propietaria del almacén de claves externo (XKS), también tendrá que permitir que XKS acceda al servicio de puntos de conexión de VPC. Para ello, incluya [el Cuenta de AWS ID de XKS en una lista de permitidos como principal](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) para el servicio de puntos de conexión de Amazon VPC.
------
#### [ Same Cuenta de AWS ]
Si su servicio de punto final de VPC es propiedad de la Cuenta de AWS misma propiedad que su almacén de claves externo, debe agregarlo AWS KMS a la lista **Permitir entidades principales de su servicio de** punto final de VPC.
En el siguiente ejemplo, se utiliza el [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI comando AWS KMS para permitir la conexión al servicio de punto final de la VPC especificado en la región EE.UU. Oeste (Oregón) (us-west-2). Antes de usar este comando, sustituya el ID de servicio de Amazon VPC por valores válidos para su configuración. Región de AWS
```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'
```
Para eliminar este permiso, utilice la [consola de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o el parámetro [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)with. `RemoveAllowedPrincipals`
------
#### [ Cross Cuenta de AWS ]
Cuando su servicio de punto final de VPC sea propiedad del otro Cuenta de AWS, debe agregar ambos AWS KMS y su almacén de claves externo a la lista **Permitir principales de su servicio de punto** final de VPC.
En el siguiente ejemplo, se utiliza el [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI comando para permitir que tanto AWS KMS el almacén de claves externo (XKS) como el almacén de claves externo (XKS) se conecten al servicio de punto final de la VPC especificado en la región EE.UU. Oeste (Oregón) (us-west-2). Antes de ejecutar este comando, reemplace el ID de servicio de Amazon VPC, la Región de AWS y el ARN de la entidad principal de IAM con valores válidos para su configuración. El principal de IAM debe sustituirse por un principal del propietario del XKS. Cuenta de AWS
En este ejemplo, `arn:aws:iam::123456789012:role/cks_role` es la entidad principal de IAM en la cuenta de propietario de XKS, que se utilizará para crear, actualizar o conectar el XKS a su servicio de punto de conexión de VPC. Si desea permitir que todas las entidades principales de la cuenta de propietario de XKS accedan a su servicio de punto de conexión de VPC, puede especificar `arn:aws:iam::123456789012:root`.
```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'
```
Para eliminar este permiso, utilice la [consola de Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o el parámetro [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)with. `RemoveAllowedPrincipals`
------
## Autorización del proxy del almacén de claves externo (opcional)
Algunos proxy del almacén de claves externo implementan requisitos de autorización para el uso de sus claves externas. Se permite, pero no es obligatorio, utilizar un proxy del almacén de claves externo para diseñar e implementar un esquema de autorización que permita a determinados usuarios solicitar ciertas operaciones únicamente en determinadas condiciones. Por ejemplo, un proxy puede configurarse para permitir al usuario A cifrar con una clave externa determinada, pero no descifrar con ella.
La autorización de proxy es independiente de la [autenticación de proxy basada en SIGv4](keystore-external.md#concept-xks-credential) que se AWS KMS requiere para todos los proxies de almacenamiento de claves externo. También es independiente de las políticas de clave, las políticas de IAM y las concesiones que autorizan el acceso a las operaciones que afectan al almacén de claves externo o a sus claves de KMS.
Para permitir la autorización por parte del proxy del almacén de claves externo, AWS KMS incluye metadatos en cada [solicitud de API de proxy](keystore-external.md#concept-proxy-apis), como la persona que llama, la clave de KMS, la AWS KMS operación y (si la hubiera). Servicio de AWS Los metadatos de solicitud para la versión 1 (v1) de la API del proxy de clave externa son los siguientes.
```
"requestMetadata": {
"awsPrincipalArn": string,
"awsSourceVpc": string, // optional
"awsSourceVpce": string, // optional
"kmsKeyArn": string,
"kmsOperation": string,
"kmsRequestId": string,
"kmsViaService": string // optional
}
```
Por ejemplo, puedes configurar tu proxy para que permita las solicitudes de un director en particular (`awsPrincipalArn`), pero solo cuando la solicitud la realice en nombre del principal Servicio de AWS (`kmsViaService`).
Si se produce un error en la autorización del proxy, se produce un error en la AWS KMS operación relacionada y aparece un mensaje en el que se explica el error. Para obtener más información, consulte [Problemas de autorización de proxy](xks-troubleshooting.md#fix-xks-authorization).
## Autenticación mTLS (obsoleta)
Las versiones anteriores de esta guía mencionaban la *seguridad mutua de la capa de transporte* (mTLS) como un mecanismo de autenticación secundario opcional para autenticar las solicitudes. AWS KMS Con los mTLS, ambas partes (AWS KMS como cliente y el proxy XKS como servidor) que se comunican a través de un canal TLS utilizan certificados para autenticarse mutuamente.
Sin embargo, los cambios en la [política del programa root de Chrome (sección 4.2.2)](https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-7/#422-pki-hierarchies-included-in-the-chrome-root-store) prohíben que los usuarios root de Chrome que sean CAs de confianza pública emitan certificados con la extensión ClientAuth Extended Key Usage (EKU) después del 15 de junio de 2026. Como resultado, ya no AWS KMS se puede obtener un certificado de cliente adecuado para mTLS de [Amazon Trust Services](https://www.amazontrust.com/repository/). Cualquier proxy XKS que se utilice para crear un nuevo almacén de claves externo AWS KMS después del 16 de marzo de 2026 no debe requerir mTLS. Después del 15 de junio de 2026, ningún proxy XKS configurado para requerir mTLS no podrá comunicarse con él. AWS KMS Los clientes deben confiar en la autenticación SigV4 para verificar el origen de las solicitudes. AWS KMS Para obtener más información, consulte [Credencial de autenticación de proxy de almacén de claves externo](keystore-external.md#concept-xks-credential).
# Elección de una opción de conectividad proxy del almacén de claves externo
Antes de crear el almacén de claves externo, elija la opción de conectividad que determine cómo AWS KMS se comunica con los componentes del almacén de claves externo. La opción de conectividad que elija determina el resto del proceso de planificación.
Si va a crear un almacén de claves externo, debe determinar cómo AWS KMS se comunica con el [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy). Esta elección determinará qué componentes necesita y cómo los configura. AWS KMS admite las siguientes opciones de conectividad.
+ [Conectividad de punto de conexión público](#xks-connectivity-public-endpoint)
+ [Conectividad del servicio del punto de conexión de VPC](#xks-vpc-connectivity)
Elija la opción que se ajuste a sus objetivos de rendimiento y seguridad.
Antes de empezar, [confirme que necesita un almacén de claves externo](keystore-external.md#do-i-need-xks). La mayoría de los clientes pueden usar claves KMS respaldadas por material AWS KMS clave.
**Consideraciones**
+ Si el proxy del almacén de claves externo está integrado en el administrador de claves externo, es posible que la conectividad esté predeterminada. Para obtener orientación, consulte la documentación de su administrador de claves externo o proxy del almacén de claves externo.
+ Puede [cambiar la opción de conectividad proxy del almacén de claves externo](update-xks-keystore.md) incluso en un almacén de claves externo en funcionamiento. Sin embargo, el proceso debe planificarse y ejecutarse en detalle para minimizar las interrupciones, evitar errores y garantizar el acceso continuo a las claves criptográficas que cifran los datos.
## Conectividad de punto de conexión público
AWS KMS se conecta al proxy del almacén de claves externo (proxy XKS) a través de Internet mediante un punto final público.
Esta opción de conectividad es más fácil de configurar y mantener, y se alinea bien con algunos modelos de administración de claves. Sin embargo, es posible que no cumpla con los requisitos de seguridad de algunas organizaciones.
![\[Conectividad de punto de conexión público\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-public-endpoint-60.png)
**Requisitos**
Si elige la conectividad de punto de conexión público, se requiere lo siguiente.
+ El proxy de su almacén de claves externo debe estar accesible en un punto de conexión que se pueda enrutar públicamente.
+ Puede utilizar el mismo punto de conexión público para varios almacenes de claves externos, siempre que utilicen valores de [ruta URI de proxy](create-xks-keystore.md#require-path) diferentes.
+ No puede usar el mismo punto final para un almacén de claves externo con conectividad de punto final público y cualquier almacén de claves externo con conectividad de servicios de punto final de VPC en el mismo lugar Región de AWS, incluso si los almacenes de claves están en diferentes. Cuentas de AWS
+ Debe obtener un certificado TLS emitido por una autoridad de certificación pública compatible con almacenes de claves externos. Para obtener una lista, consulte [Autoridades de certificación de confianza](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).
El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre de dominio en el [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint) para el proxy del almacén de claves externo. Por ejemplo, si el punto de conexión público es `https://myproxy.xks.example.com`, el TLS, el CN del certificado TLS debe ser `myproxy.xks.example.com` o `*.xks.example.com`.
+ Asegúrese de que todos los firewalls que se encuentren entre el proxy del almacén de claves externo AWS KMS y el servidor proxy permitan el tráfico desde y hacia el puerto 443 del proxy. AWS KMS se comunica a través del puerto 443. IPv4 Este valor no se puede configurar.
Para conocer todos los requisitos de un almacén de claves externo, consulte [Ensamblaje de los requisitos previos](create-xks-keystore.md#xks-requirements).
## Conectividad del servicio del punto de conexión de VPC
AWS KMS se conecta al proxy del almacén de claves externo (proxy XKS) mediante la creación de un punto de enlace de interfaz a un servicio de punto final de Amazon VPC que usted cree y configure. Usted es responsable de [crear el servicio de punto de conexión de VPC](vpc-connectivity.md) y de conectar la VPC al administrador de claves externo.
Su servicio de punto final puede usar cualquiera de las [opciones de network-to-Amazon VPC compatibles para las](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) comunicaciones, incluidas. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/)
Esta opción de conectividad es más complicada de configurar y mantener. Pero lo utiliza AWS PrivateLink, lo que le permite AWS KMS conectarse de forma privada a su Amazon VPC y a su proxy de almacén de claves externo sin utilizar la Internet pública.
Puede localizar su proxy del almacén de claves externo en su VPC de Amazon.
![\[Conectividad del servicio de punto de conexión de VPC: proxy XKS en su VPC\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)
Como alternativa, puede ubicar el proxy de su almacén de claves externo fuera del servicio de puntos de conexión de Amazon VPC Nube de AWS y utilizarlo únicamente para comunicarse de forma segura con él. AWS KMS
![\[Conectividad del servicio de punto final de VPC: proxy XKS fuera de AWS\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)
También puede conectar un almacén de claves externo a un servicio de punto final de Amazon VPC propiedad de otra persona. Cuenta de AWS Ambos Cuentas de AWS necesitan los [permisos necesarios](authorize-xks-key-store.md#authorize-xks-managers) para permitir las comunicaciones entre AWS KMS y el servicio de punto final de la VPC.
**Más información:**
+ Revise el proceso de creación de un almacén de claves externo, incluido [el ensamblaje de los requisitos previos](create-xks-keystore.md#xks-requirements). Lo ayudará a asegurarse de que dispone de todos los componentes que necesita para crear su almacén de claves externo.
+ Aprenda a [controlar el acceso a su almacén de claves externo](authorize-xks-key-store.md), incluidos los permisos que requieren los administradores y usuarios del almacén de claves externo.
+ Obtén información sobre las [ CloudWatch métricas y dimensiones de Amazon](monitoring-cloudwatch.md#kms-metrics) que AWS KMS registran los almacenes clave externos. Le recomendamos encarecidamente que cree alarmas para monitorear su almacén de claves externo y así poder detectar los primeros signos de problemas operativos y de rendimiento.
# Configuración de la conectividad del servicio de punto de conexión de VPC
Utilice las instrucciones de esta sección para crear y configurar AWS los recursos y los componentes relacionados necesarios para un almacén de claves externo que utilice la conectividad del [servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Los recursos que se enumeran para esta opción de conectividad complementan los [recursos necesarios para todos los almacenes de claves externos](create-xks-keystore.md#xks-requirements). Después de crear y configurar los recursos necesarios, puede [crear su almacén de claves externo](create-xks-keystore.md).
Puede ubicar el proxy de su almacén de claves externo en su Amazon VPC o ubicar el proxy fuera de su servicio de punto final de VPC AWS y usarlo para comunicarse.
Antes de empezar, [confirme que necesita un almacén de claves externo](keystore-external.md#do-i-need-xks). La mayoría de los clientes pueden usar claves de KMS respaldadas por material AWS KMS clave.
**nota**
Es posible que algunos de los elementos necesarios para la conectividad del servicio de punto de conexión de VPC estén incluidos en el administrador de claves externo. Además, es posible que el software tenga requisitos de configuración adicionales. Antes de crear y configurar los AWS recursos de esta sección, consulte la documentación del proxy y del administrador de claves.
**Topics**
+ [Requisitos para la conectividad del servicio del punto de conexión de VPC](#xks-vpce-service-requirements)
+ [Paso 1: Crear una VPCde Amazon y subredes](#xks-create-vpc)
+ [Paso 2: Crear un grupo de destino](#xks-target-group)
+ [Paso 3: Crear un equilibrador de carga de red](#xks-nlb)
+ [Paso 4: Crear un servicio de punto de conexión de VPC](#xks-vpc-svc)
+ [Paso 5: Verificar el dominio de su nombre DNS privado](#xks-private-dns)
+ [Paso 6: Autorizar AWS KMS la conexión al servicio de punto final de la VPC](#xks-vpc-authorize-kms)
## Requisitos para la conectividad del servicio del punto de conexión de VPC
Si elige la conectividad del servicio de punto de conexión de VPC para su almacén de claves externo, necesitará los siguientes recursos.
+ Una VPC de Amazon que esté conectada a su administrador de claves externo. Debe tener al menos dos [subredes](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) privadas en dos zonas de disponibilidad diferentes.
Puede utilizar una VPC de Amazon existente para su almacén de claves externo, siempre que [cumpla los requisitos](#xks-vpc-requirements) para su uso con un almacén de claves externo. Varios almacenes de claves externos pueden compartir una VPC de Amazon, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y un nombre DNS privado.
+ Un [servicio de punto de conexión de VPC de Amazon proporcionado por un AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) con un [Equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) y un [grupo de destino](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html).
El servicio de punto de conexión no puede requerir aceptación. Además, debe agregar AWS KMS como entidad principal permitida. Esto permite AWS KMS crear puntos finales de interfaz para que pueda comunicarse con el proxy externo del almacén de claves.
+ Un nombre de DNS privado para el servicio de punto de conexión de VPC que es único en su Región de AWS.
El nombre DNS privado debe ser un subdominio de un dominio público de nivel superior. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, debe ser un subdominio de un dominio público, como `xks.example.com` o `example.com`.
Debe [verificar la propiedad](#xks-private-dns) del dominio de DNS para el nombre DNS privado.
+ Un certificado TLS emitido por una [autoridad de certificación pública admitida](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) para su proxy del almacén de claves externo.
El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre DNS privado. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, el CN del certificado TLS debe ser `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ Para minimizar la latencia de la red, cree sus AWS componentes en el [soporte Región de AWS](keystore-external.md#xks-regions) que esté más cerca de su [administrador de claves externo](keystore-external.md#concept-ekm). Si es posible, elija una región con un tiempo de ida y vuelta (RTT) de la red de 35 milisegundos o menos.
Para conocer todos los requisitos de un almacén de claves externo, consulte [Ensamblaje de los requisitos previos](create-xks-keystore.md#xks-requirements).
## Paso 1: Crear una VPCde Amazon y subredes
La conectividad del servicio de punto de conexión de VPC requiere una VPC de Amazon que esté conectada a su administrador de claves externo con al menos dos subredes privadas. Puede crear una VPC de Amazon o utilizar una VPC de Amazon existente que cumpla con los requisitos para los almacenes de claves externos. Para obtener ayuda con la creación de una nueva VPC de Amazon, consulte [Crear una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) en la *Guía del usuario de Amazon Virtual Private Cloud*.
### Requisitos para su VPC de Amazon
Para trabajar con almacenes de claves externos el servicio de punto de conexión de Amazon VPC debe tener las siguientes propiedades.
+ Debe estar en la misma [región admitida](keystore-external.md#xks-regions) que su almacén de claves externo.
+ Requiere al menos dos subredes privadas, cada una en una zona de disponibilidad diferente.
+ El intervalo de direcciones IP privadas de su VPC de Amazon no debe superponerse con el intervalo de direcciones IP privadas del centro de datos que aloja su [administrador de claves externo](keystore-external.md#concept-ekm).
+ Se deben utilizar todos los componentes IPv4.
Tiene muchas opciones para conectar la VPC de Amazon a su proxy del almacén de claves externo. Elija la opción que se ajuste a sus necesidades de rendimiento y seguridad. Para ver una lista, consulte [Conectar la VPC a otras redes](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) y Opciones de conectividad de la [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Para obtener más detalles, consulte [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) y la [Guía del usuario de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).
### Creación de una VPC de Amazon para su almacén de claves externo
Use las siguientes instrucciones para crear la VPC de Amazon para su almacén de claves externo. Solo se requiere una VPC de Amazon si elige la opción de [conectividad del servicio de punto de conexión de VPC](choose-xks-connectivity.md). Puede utilizar una VPC de Amazon existente que cumpla los requisitos para un almacén de claves externo.
Siga las instrucciones que se indican en el tema [Crear una VPC, subredes y otros recursos de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| IPv4 Bloque CIDR | Introduzca las direcciones IP de la VPC. El intervalo de direcciones IP privadas de su VPC de Amazon no debe superponerse con el intervalo de direcciones IP privadas del centro de datos que aloja su [administrador de claves externo](keystore-external.md#concept-ekm). |
| Número de zonas de disponibilidad () AZs | 2 o más |
| Número de subredes públicas | No se requiere ninguna (0) |
| Número de subredes privadas | Una para cada AZ |
| Puerta de enlace NAT | No se requiere ninguna. |
| Puntos de conexión de VPC | No se requiere ninguna. |
| Enable DNS hostnames | Sí |
| Habilitar la resolución de DNS | Sí |
Asegúrese de probar la comunicación de la VPC. Por ejemplo, si su proxy de almacén de claves externo no se encuentra en su VPC de Amazon, cree una instancia de Amazon EC2 en su VPC de Amazon y compruebe que la VPC de Amazon pueda comunicarse con su proxy del almacén de claves externo.
### Conexión de la VPC al administrador de claves externo
Conecte la VPC al centro de datos que aloja su administrador de claves externo mediante cualquiera de las [opciones de conectividad de red](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) que admite la VPC de Amazon. Asegúrese de que la instancia de Amazon EC2 en la VPC (o el proxy del almacén de claves externo, si está en la VPC) pueda comunicarse con el centro de datos y el administrador de claves externo.
## Paso 2: Crear un grupo de destino
Antes de crear el servicio de punto de conexión de VPC requerido, cree los componentes necesarios, un equilibrador de carga de red (NLB) y un grupo de destino. El equilibrador de carga de red (NLB) distribuye las solicitudes entre varios objetivos en buen estado, cualquiera de los cuales puede atender la solicitud. En este paso, crea un grupo de destino con al menos dos servidores para su proxy del almacén de claves externo y registra sus direcciones IP en el grupo de destino.
Siga las instrucciones que se indican en el tema [Configuración de un grupo de destino](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Tipo de destino | Direcciones IP |
| Protocolo | TCP |
| Puerto | 443 |
| Tipo de dirección IP | IPv4 |
| VPC | Elija la VPC en la que va a crear el servicio de punto de conexión de VPC para su almacén de claves externo. |
| Protocolo y ruta de comprobación de estado | El protocolo y la ruta de comprobación de estado variarán según la configuración del proxy del almacén de claves externo. Consulte la documentación de su administrador de claves externo o proxy del almacén de claves externo.Para obtener información general sobre la configuración de comprobaciones de estado para sus grupos de destino, consulte [Comprobaciones de estado para sus grupos de destino](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) en la Guía del usuario del equilibrador de carga elástico para el equilibrador de carga de red. |
| Network | Otra dirección IP privada |
| IPv4 dirección | Las direcciones privadas del proxy de su almacén de claves externo |
| Puertos | 443 |
## Paso 3: Crear un equilibrador de carga de red
El equilibrador de carga de red distribuye el tráfico de la red, incluidas las solicitudes de AWS KMS a su proxy del almacén de claves externo, a los destinos configurados.
Siga las instrucciones del tema [Configuración de un equilibrador de carga y un oyente](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) para configurar y agregar un oyente y crear un equilibrador de carga con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Esquema | Internal |
| Tipo de dirección IP | IPv4 |
| Asignación de redes | Elija la VPC en la que va a crear el servicio de punto de conexión de VPC para su almacén de claves externo. |
| Correspondencia | Elija las dos zonas de disponibilidad (al menos dos) que configuró para las subredes de VPC. Compruebe los nombres de las subredes y la dirección IP privada. |
| Protocolo | TCP |
| Puerto | 443 |
| Acción predeterminada: Reenviar a | Elija el [grupo de destino](#xks-target-group) para su equilibrador de carga de red. |
## Paso 4: Crear un servicio de punto de conexión de VPC
Por lo general, se crea un punto de conexión para un servicio. Sin embargo, cuando crea un servicio de punto final de VPC, usted es el proveedor y AWS KMS crea un punto final para su servicio. Para un almacén de claves externo, cree un servicio de punto de conexión de VPC con el equilibrador de carga de red que creó en el paso anterior. El servicio de punto final de la VPC puede estar en el Cuenta de AWS mismo almacén de claves externo o en uno diferente. Cuenta de AWS
Varios almacenes de claves externos pueden compartir una VPC de Amazon, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y un nombre DNS privado.
Siga las instrucciones del tema [Crear un servicio de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) para crear un servicio de punto de conexión de VPC con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.
| Campo | Valor |
| --- | --- |
| Tipo de equilibrador de carga | Network |
| Equilibradores de carga disponibles | Elija el [equilibrador de carga de red](#xks-nlb) que creó en el paso anterior.Si el nuevo equilibrador de carga no aparece en la lista, compruebe que su estado esté activo. Es posible que el estado del equilibrador de carga tarde unos minutos en cambiar de aprovisionamiento a activo. |
| Se requiere aceptación | False. Anule la selección de la casilla de verificación.*No requieren aceptación*. AWS KMS no se puede conectar al servicio de punto final de la VPC sin una aceptación manual. Si se requiere la aceptación, los intentos de [crear el almacén de claves externo](create-xks-keystore.md) fallan con una excepción `XksProxyInvalidConfigurationException`. |
| Habilitación de nombre DNS privado | Asociar un nombre DNS privado con el servicio |
| Nombre de DNS privado | Introduzca un nombre DNS privado que sea único en su Región de AWS. El nombre DNS privado debe ser un subdominio de un dominio público de nivel superior. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, debe ser un subdominio de un dominio público, como `xks.example.com` o `example.com`.Este nombre DNS privado debe coincidir con el nombre común del asunto (CN) del certificado TLS configurado en el proxy del almacén de claves externo. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, el CN del certificado TLS debe ser `myproxy-private.xks.example.com` o `*.xks.example.com`.Si el certificado y el nombre DNS privado no coinciden, los intentos de conectar un almacén de claves externo a su proxy del almacén de claves externo fallan con un código de error de conexión de `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Para obtener más información, consulte [Errores de configuración general](xks-troubleshooting.md#fix-xks-gen-configuration). |
| Tipos de direcciones IP compatibles | IPv4 |
## Paso 5: Verificar el dominio de su nombre DNS privado
Al crear el servicio de punto de conexión de VPC, su estado de verificación de dominio es `pendingVerification`. Antes de utilizar el servicio de punto de conexión de VPC para crear un almacén de claves externo, este estado debe ser `verified`. Para verificar que es el propietario del dominio asociado con su nombre DNS privado, debe crear un registro TXT en un servidor DNS público.
Por ejemplo, si el nombre de DNS privado de su servicio de punto final de VPC es`myproxy-private.xks.example.com`, debe crear un registro TXT en un dominio público, como `xks.example.com` o`example.com`, el que sea público. AWS PrivateLink busca el registro TXT primero en `xks.example.com` y después en`example.com`.
**sugerencia**
Después de agregar un registro TXT, es posible que el **estado de verificación del dominio** tarde unos minutos en cambiar de `pendingVerification` a `verify`.
Para empezar, busque el estado de verificación de su dominio mediante uno de los siguientes métodos. Los valores válidos son `verified`, `pendingVerification` y `failed`.
+ En la [consola de VPC de Amazon](https://console.aws.amazon.com/vpc), seleccione **Endpoint services** (Servicios de punto de conexión) y elija su servicio de punto de conexión. En el panel de detalles, consulte **Estado de verificación del dominio**.
+ Utilice la operación [DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html). El valor `State` está en el campo `ServiceConfigurations.PrivateDnsNameConfiguration.State`.
Si el estado de verificación no es `verified`, siga las instrucciones del tema [Verificación de la propiedad del dominio](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) para agregar un registro TXT al servidor de DNS de su dominio y comprobar que el registro TXT esté publicado. A continuación, vuelva a comprobar el estado de la verificación.
No es necesario crear un registro A para el nombre de dominio DNS privado. Cuando AWS KMS crea un punto de enlace de interfaz para el servicio de punto final de la VPC, crea AWS PrivateLink automáticamente una zona alojada con el registro A necesario para el nombre de dominio privado de la AWS KMS VPC. Para almacenes de claves externos con conectividad de servicio de punto de conexión de VPC, esto sucede cuando [conecta su almacén de claves externo](xks-connect-disconnect.md) a su proxy de almacén de claves externo.
## Paso 6: Autorizar AWS KMS la conexión al servicio de punto final de la VPC
Consulte los siguientes procedimientos para gestionar los permisos del servicio de punto de conexión de Amazon VPC. Cada paso depende de la conectividad y la configuración entre el almacén de claves externo, el servicio de punto de conexión de VPC y la Cuenta de AWS.
------
#### [ Same Cuenta de AWS ]
Si su servicio de punto final de VPC es propiedad de la Cuenta de AWS misma propiedad que su almacén de claves externo, debe agregarlo AWS KMS a la lista **Permitir entidades principales de su servicio de** punto final de VPC. Esto permite AWS KMS crear puntos de enlace de interfaz para su servicio de punto final de VPC. Si no AWS KMS es un principal permitido, los intentos de crear un almacén de claves externo fallarán con una `XksProxyVpcEndpointServiceNotFoundException` excepción.
Siga las instrucciones del tema [Administrar permisos](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) de la *Guía de AWS PrivateLink *. Use el siguiente valor obligatorio.
| Campo | Valor |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.goskope.comPor ejemplo, `cks.kms.us-east-1.amazonaws.com` |
------
#### [ Cross Cuenta de AWS ]
Si su servicio de punto final de VPC es propiedad de otra persona, Cuenta de AWS debe añadir ambos AWS KMS y su cuenta a la lista de usuarios **principales permitidos.** Esto permite que AWS KMS su almacén de claves externo cree puntos de conexión de interfaz para su servicio de puntos de enlace de VPC. Si AWS KMS no es una entidad principal permitida, los intentos de crear un almacén de claves externo fallarán con una excepción `XksProxyVpcEndpointServiceNotFoundException`. Deberá proporcionar el Cuenta de AWS ARN en el que reside el almacén de claves externo.
Siga las instrucciones del tema [Administrar permisos](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) de la *Guía de AWS PrivateLink *. Use el siguiente valor obligatorio.
| Campo | Valor |
| --- | --- |
| AWS KMS ARN | cks.kms..amazonaws.com.rproxy.goskope.comPor ejemplo, `cks.kms.us-east-1.amazonaws.com` |
| Cuenta de AWS ARN | arn:aws:iam::111122223333:role/role\$1namePor ejemplo, `arn:aws:iam::123456789012:role/cks_role` |
------
**Siguiente:** [Creación de un almacén de claves externo](create-xks-keystore.md)
# Creación de un almacén de claves externo
Puede crear uno o varios almacenes de claves externos en cada Cuenta de AWS región. Cada almacén de claves externo debe estar asociado a un administrador de claves externo y a un proxy de AWS almacenamiento de claves externo (proxy XKS) que medie la comunicación entre su administrador de claves externo AWS KMS y su administrador de claves externo. Para obtener más información, consulte [Elección de una opción de conectividad proxy del almacén de claves externo](choose-xks-connectivity.md). Antes de empezar, [confirme que necesita un almacén de claves externo](keystore-external.md#do-i-need-xks). La mayoría de los clientes pueden usar claves KMS respaldadas por material AWS KMS clave.
**sugerencia**
Algunos administradores de claves externos proporcionan un método más sencillo para crear un almacén de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.
Antes de crear un almacén de claves externo, debe [cumplir los requisitos previos](#xks-requirements). Durante el proceso de creación, usted especifica las propiedades del almacén de claves externo. Lo que es más importante, debe indicar si su almacén de claves externo AWS KMS utiliza un [punto final público](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o un [servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity) para conectarse a su proxy de almacén de claves externo. También especificas los detalles de la conexión, incluido el extremo URI del proxy y la ruta dentro de ese punto final del proxy desde donde se AWS KMS envían las solicitudes de API al proxy.
**Consideraciones**
+ El KMS no puede comunicarse IPv6 con almacenes de claves externos.
+ Si utiliza la conectividad de un punto final público, asegúrese de que AWS KMS pueda comunicarse con su proxy a través de Internet mediante una conexión HTTPS. Esto incluye configurar el TLS en el proxy del almacén de claves externo y garantizar que cualquier firewall entre el proxy AWS KMS y el proxy permita el IPv4 tráfico hacia y desde el puerto 443 del proxy. Al crear un almacén de claves externo con conectividad de punto final público, AWS KMS prueba la conexión enviando una solicitud de estado al proxy del almacén de claves externo. Esta prueba comprueba que se puede acceder al punto de conexión y que el proxy del almacén de claves externo aceptará una solicitud firmada con la [credencial de autenticación del proxy del almacén de claves externo](keystore-external.md#concept-xks-credential). Si se produce un error en esta solicitud de prueba, se produce un error en la operación para crear el almacén de claves externo.
+ Si utiliza la conectividad al servicio de punto de conexión de VPC, asegúrese de que el equilibrador de carga de red, el nombre DNS privado y el servicio de punto de conexión de VPC estén configurados correctamente y en funcionamiento. Si el proxy del almacén de claves externo no está en la VPC, debe asegurarse de que el servicio de punto final de la VPC pueda comunicarse con el proxy del almacén de claves externo. (AWS KMS comprueba la conectividad del servicio de punto final de la VPC al [conectar el almacén de claves externo](xks-connect-disconnect.md) a su proxy de almacén de claves externo).
+ AWS KMS registra [ CloudWatch las métricas y dimensiones de Amazon](monitoring-cloudwatch.md#kms-metrics), especialmente para los almacenes de claves externos. Los gráficos de supervisión basados en algunas de estas métricas aparecen en la AWS KMS consola para cada almacén de claves externo. Le recomendamos encarecidamente que utilice estas métricas para crear alarmas que monitoreen su almacén de claves externo. Estas alarmas le avisan de las señales tempranas de problemas operativos y de rendimiento antes de que se produzcan. Para obtener instrucciones, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
+ Los almacenes de claves externos están sujetos a [cuotas de recursos](resource-limits.md#cks-resource-quota). El uso de claves de KMS en un almacén de claves externo está sujeto a [las cuotas de solicitud](requests-per-second.md#rps-key-stores). Revise estas cuotas antes de diseñar la implementación de su almacén de claves externo.
**nota**
Revise su configuración para ver si hay dependencias circulares que puedan impedir que funcione.
Por ejemplo, si crea un proxy de almacén de claves externo con AWS recursos, asegúrese de que el funcionamiento del proxy no requiera la disponibilidad de una clave de KMS en un almacén de claves externo al que se acceda a través de ese proxy.
Todos los nuevos almacenes de claves externos se crean en un estado desconectado. Antes de poder crear claves de KMS en su almacén de claves externo, debe [conectarlo](about-xks-connecting.md) a su proxy del almacén de claves externo. Para cambiar las propiedades del almacén de claves externo, [edite la configuración del almacén de claves externo](update-xks-keystore.md).
**Topics**
+ [Cumplir los requisitos previos](#xks-requirements)
+ [Creación de un nuevo almacén de claves externo](#create-xks)
## Cumplir los requisitos previos
Antes de crear un almacén de claves externo, debe reunir los componentes necesarios, incluido el [administrador de claves externo](keystore-external.md#concept-ekm) que utilizará como soporte para el almacén de claves externo y el [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy), que traduce AWS KMS las solicitudes a un formato que el administrador de claves externo pueda entender.
Los siguientes componentes son necesarios para todos los almacenes de claves externos. Además de estos componentes, debe proporcionar los componentes que admitan la [opción de conectividad al proxy del almacén de claves externo](choose-xks-connectivity.md) que elija.
**sugerencia**
Su administrador de claves externo puede incluir algunos de estos componentes o puede que estén configurados para usted. Para obtener más detalles, consulte la documentación del administrador de claves externo.
Si va a crear su almacén de claves externo en la AWS KMS consola, tiene la opción de cargar un [archivo de configuración de proxy](#proxy-configuration-file) basado en JSON que especifique la [ruta URI del proxy y la credencial](#require-path) de [autenticación del proxy](keystore-external.md#concept-xks-credential). Algunos proxy del almacén de claves externos generan este archivo por usted. Para obtener más información, consulte la documentación del proxy del almacén de claves externo o el administrador de claves externo.
### Administrador de claves externo
Cada almacén de claves externo requiere al menos una instancia del [administrador de claves externo](keystore-external.md#concept-ekm). Puede ser un módulo de seguridad de hardware (HSM) físico o virtual o un software de administración de claves.
Puede usar un único administrador de claves, pero le recomendamos al menos dos instancias del administrador de claves relacionadas que compartan claves criptográficas por motivos de redundancia. El almacén de claves externo no requiere el uso exclusivo del administrador de claves externo. Sin embargo, el administrador de claves externo debe tener la capacidad de gestionar la frecuencia prevista de las solicitudes de cifrado y descifrado de los AWS servicios que utilizan claves KMS en el almacén de claves externo para proteger sus recursos. El administrador de claves externo debe configurarse para administrar hasta 1800 solicitudes por segundo y responder dentro del tiempo de espera de 250 milisegundos para cada solicitud. Se recomienda ubicar el administrador de claves externo cerca de an para Región de AWS que el tiempo de ida y vuelta (RTT) de la red sea de 35 milisegundos o menos.
Si su proxy del almacén de claves externo lo permite, puede cambiar el administrador de claves externo que asocia a su proxy del almacén de claves externo, pero el nuevo administrador de claves externo debe ser una copia de seguridad o una instantánea con el mismo material de claves. Si la clave externa que asocias a una clave KMS ya no está disponible para el proxy del almacén de claves externo, AWS KMS no podrás descifrar el texto cifrado con la clave KMS.
El proxy del almacén de claves externo debe poder acceder al administrador de claves externo. Si la [GetHealthStatus](keystore-external.md#xks-concepts)respuesta del proxy indica que todas las instancias del administrador de claves externo lo están`Unavailable`, todos los intentos de crear un almacén de claves externo fallan con un. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-proxy)
### Proxy del almacén de claves externo
Debe especificar un [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy) (proxy XKS) que cumpla con los requisitos de diseño de la [especificación de la API de proxy del almacén de claves externo de AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/). Puede desarrollar o comprar un proxy de almacén de claves externo, o utilizar un proxy de almacén de claves externo proporcionado por su administrador de claves externo o integrado en él. AWS KMS recomienda que el proxy de almacenamiento de claves externo esté configurado para gestionar hasta 1800 solicitudes por segundo y responder dentro del tiempo de espera de 250 milisegundos para cada solicitud. Le recomendamos que ubique el administrador de claves externo cerca de un, de Región de AWS modo que el tiempo de ida y vuelta de la red (RTT) sea de 35 milisegundos o menos.
Puede utilizar un proxy del almacén de claves externo para más de un almacén de claves externo, pero cada almacén de claves externo debe tener un punto de conexión y una ruta de URI únicos dentro del proxy del almacén de claves externo para sus solicitudes.
Si utiliza la conectividad a un servicio de punto de conexión de VPC, puede localizar su proxy del almacén de claves externo en su VPC de Amazon, pero no es obligatorio. Puede ubicar su proxy fuera, por ejemplo AWS, en su centro de datos privado, y usar el servicio de punto final de VPC solo para comunicarse con el proxy.
### Credencial de autenticación del proxy
Para crear un almacén de claves externo, debe especificar su credencial de autenticación del proxy del almacén de claves externo (`XksProxyAuthenticationCredential`).
Debe establecer una [credencial de autenticación](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) para su proxy AWS KMS de almacén de claves externo. AWS KMS se autentica en su proxy firmando sus solicitudes mediante el [proceso de firma de la versión 4 (SiGv4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) con la credencial de autenticación del proxy del almacén de claves externo. Debe especificar una credencial de autenticación cuando se crea el almacén de claves externo y [se puede cambiar](update-xks-keystore.md) en cualquier momento. Si su proxy rota la credencial, asegúrese de actualizar los valores de la credencial del almacén de claves externo.
La credencial de autenticación del proxy tiene dos partes. Debe proporcionar ambas partes para su almacén de claves externo.
+ ID de clave de acceso: identifica la clave de acceso secreta. Puede proporcionar este ID en texto sin formato.
+ Clave de acceso secreta: la parte secreta de la credencial. AWS KMS cifra la clave de acceso secreta de la credencial antes de almacenarla.
La credencial de SigV4 que se AWS KMS utiliza para firmar las solicitudes al proxy del almacén de claves externo no está relacionada con ninguna de las credenciales de SigV4 asociadas a los principales de sus cuentas. AWS Identity and Access Management AWS No reutilice ninguna credencial SigV4 de IAM para su proxy del almacén de claves externo.
### Conectividad de proxy
Para crear un almacén de claves externo, debe especificar su opción de conectividad del proxy del almacén de claves externo (`XksProxyConnectivity`).
AWS KMS puede comunicarse con el proxy de su almacén de claves externo mediante un [punto de conexión público](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o un servicio de [punto final de Amazon Virtual Private Cloud (Amazon VPC)](choose-xks-connectivity.md#xks-vpc-connectivity). Si bien un punto de conexión público es más sencillo de configurar y mantener, es posible que no cumpla con los requisitos de seguridad de todas las instalaciones. Si elige la opción de conectividad del servicio de punto de conexión de VPC de Amazon, debe crear y mantener los componentes necesarios, incluida una VPC de Amazon con al menos dos subredes en dos zonas de disponibilidad diferentes, un servicio del punto de conexión de VPC con un equilibrador de carga de red y un grupo de destino, y un nombre DNS privado para el servicio de punto de conexión de VPC.
Puede [cambiar la opción de conectividad del proxy](update-xks-keystore.md) para su almacén de claves externo. Sin embargo, debe asegurar la disponibilidad continua del material de claves asociado a las claves de KMS en su almacén de claves externo. De lo contrario, AWS KMS no podrá descifrar ningún texto cifrado con esas claves de KMS.
Para obtener ayuda para decidir qué opción de conectividad de proxy es mejor para su almacén de claves externo, consulte [Elección de una opción de conectividad proxy del almacén de claves externo](choose-xks-connectivity.md). Para obtener ayuda para crear una configuración de la conectividad del servicio del punto de conexión de VPC, consulte [Configuración de la conectividad del servicio de punto de conexión de VPC](vpc-connectivity.md).
### Punto de conexión URI del proxy
Para crear un almacén de claves externo, debe especificar el punto final (`XksProxyUriEndpoint`) que se AWS KMS utiliza para enviar las solicitudes al proxy del almacén de claves externo.
El protocolo debe ser HTTPS. AWS KMS se comunica a través IPv4 del puerto 443. No especifique el puerto en el valor del punto de conexión URI del proxy.
+ [Conectividad al punto de conexión público](choose-xks-connectivity.md#xks-connectivity-public-endpoint): especifique el punto de conexión disponible públicamente para su proxy del almacén de claves externo. Se debe poder acceder a este punto de conexión antes de crear el almacén de claves externo.
+ [Conectividad al servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity): especifique `https://` seguido del nombre DNS privado del servicio de punto de conexión de VPC.
El certificado del servidor TLS configurado en el proxy del almacén de claves externo debe coincidir con el nombre de dominio del punto de conexión URI y debe ser emitido por una autoridad de certificación compatible con los almacenes de claves externos. Para obtener una lista, consulte [Autoridades de certificación de confianza](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). La autoridad de certificación exigirá una prueba de la propiedad del dominio antes de emitir el certificado TLS.
El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre DNS privado. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, el CN del certificado TLS debe ser `myproxy-private.xks.example.com` o `*.xks.example.com`.
Puede [cambiar el punto de conexión de la URI del proxy](update-xks-keystore.md), pero asegúrese de que el proxy del almacén de claves externo tenga acceso al material de claves asociado a las claves de KMS de su almacén de claves externo. De lo contrario, AWS KMS no podrá descifrar ningún texto cifrado con esas claves KMS.
**Requisitos de singularidad**
+ El valor combinado del punto de conexión del URI del proxy (`XksProxyUriEndpoint`) y el valor de la ruta URI del proxy (`XksProxyUriPath`) deben ser únicos en la Cuenta de AWS y en la región.
+ Los almacenes de claves externos con conectividad al punto de conexión público pueden compartir el mismo punto de conexión URI del proxy, siempre que tengan valores de ruta URI de proxy diferentes.
+ Un almacén de claves externo con conectividad de punto final público no puede usar el mismo valor de punto final de URI de proxy que ningún almacén de claves externo con conectividad de servicios de punto final de VPC en el mismo nivel Región de AWS, incluso si los almacenes de claves están en diferentes lugares. Cuentas de AWS
+ Cada almacén de claves externo con conectividad al punto de conexión de VPC debe tener su propio nombre DNS privado. El punto final del URI del proxy (nombre de DNS privado) debe ser único en la región Cuenta de AWS and.
### Ruta URI del proxy
Para crear un almacén de claves externo, debe especificar la ruta base en el proxy del almacén de claves externo al [proxy requerido APIs](keystore-external.md#concept-proxy-apis). El valor debe empezar `/` y terminar con/kms/xks/v1, donde `v1` representa la versión de la AWS KMS API del proxy del almacén de claves externo. Esta ruta puede incluir un prefijo opcional entre los elementos necesarios, por ejemplo `/example-prefix/kms/xks/v1`. Para encontrar este valor, consulte la documentación de su proxy del almacén de claves externo.
AWS KMS envía las solicitudes de proxy a la dirección especificada mediante la concatenación del punto final del URI del proxy y la ruta del URI del proxy. Por ejemplo, si el punto final del URI del proxy es `https://myproxy.xks.example.com` y la ruta del URI del proxy es`/kms/xks/v1`, AWS KMS envía sus solicitudes de API de proxy a. `https://myproxy.xks.example.com/kms/xks/v1`
Puede [cambiar la ruta URI del proxy](update-xks-keystore.md), pero asegúrese de que el proxy del almacén de claves externo tenga acceso al material de claves asociado a las claves de KMS de su almacén de claves externo. De lo contrario, AWS KMS no podrá descifrar ningún texto cifrado con esas claves de KMS.
**Requisitos de singularidad**
+ El valor combinado del punto de conexión del URI del proxy (`XksProxyUriEndpoint`) y el valor de la ruta URI del proxy (`XksProxyUriPath`) deben ser únicos en la Cuenta de AWS y en la región.
### Servicio de punto de conexión de VPC
Especifica el nombre del servicio de punto de conexión de VPC de Amazon que se utiliza para comunicarse con el proxy del almacén de claves externo. Este componente solo es necesario para los almacenes de claves externos que utilizan la conectividad a servicios de punto de conexión de VPC. Para obtener ayuda para establecer y configurar el servicio de punto de conexión de VPC para un almacén de claves externo, consulte [Configuración de la conectividad del servicio de punto de conexión de VPC](vpc-connectivity.md).
El servicio de punto de conexión de VPC debe tener las siguientes propiedades:
+ El servicio de punto de conexión de VPC puede estar en la misma Cuenta de AWS que el almacén de claves externo o en una diferente.
+ El servicio de punto final de la VPC debe residir en el mismo lugar Región de AWS que el almacén de claves externo.
+ Deberás proporcionar el Cuenta de AWS ID del servicio de punto final de la VPC si reside en otro. Cuenta de AWS
+ Debe tener un equilibrador de carga de red (NLB) conectado a al menos dos subredes, cada una en una zona de disponibilidad diferente.
+ La *lista de principales permitidos* para el servicio de punto final de la VPC debe incluir AWS KMS el principal de servicio de la región`cks.kms..amazonaws.com`:, por ejemplo. `cks.kms.us-east-1.amazonaws.com`
+ Si su servicio de puntos de conexión de Amazon VPC es propiedad de una persona Cuenta de AWS distinta a la Cuenta de AWS propietaria del almacén de claves externo (XKS), también tendrá que permitir que XKS acceda al servicio de puntos de conexión de VPC. Para ello, incluya [el Cuenta de AWS ID de XKS en una lista de permitidos como principal](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) para el servicio de puntos de conexión de Amazon VPC.
+ No debe requerir la aceptación de las solicitudes de conexión.
+ Debe tener un nombre DNS privado dentro de un dominio público de nivel superior. Por ejemplo, podría tener un nombre DNS privado myproxy-private.xks.example.com en el dominio `xks.example.com` público.
El nombre DNS privado de un almacén de claves externo con conectividad al servicio de punto de conexión de VPC debe ser único en su Región de AWS.
+ El [estado de verificación de dominio](vpc-connectivity.md#xks-private-dns) del dominio de su nombre DNS privado debe ser `verified`.
+ El certificado de servidor TLS configurado en el proxy del almacén de claves externo debe especificar el nombre de host DNS privado en el que se puede acceder al punto de conexión.
**Requisitos de singularidad**
+ Los almacenes de claves externos con conectividad al punto de conexión de VPC pueden compartir una `Amazon VPC`, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y nombre DNS privado.
### Archivo de configuración del proxy
Un *archivo de configuración del proxy* es un archivo opcional basado en JSON que contiene valores para la [ruta URI del proxy](#require-path) y las propiedades de las [credenciales de autenticación del proxy](#require-credential) del almacén de claves externo. Al crear o [editar un almacén de claves externo](update-xks-keystore.md) en la consola de AWS KMS , puede cargar un archivo de configuración del proxy para proporcionar los valores de configuración del almacén de claves externo. El uso de este archivo evita errores al escribir y pegar, y garantiza que los valores del almacén de claves externo coincidan con los valores del proxy del almacén de claves externo.
Los archivos de configuración del proxy los genera el proxy del almacén de claves externo. Para saber si su proxy del almacén de claves externo ofrece un archivo de configuración del proxy, consulte la documentación del proxy del almacén de claves externo.
A continuación, se muestra un ejemplo de un archivo de configuración de proxy bien estructurado con valores ficticios.
```
{
"XksProxyUriPath": "/example-prefix/kms/xks/v1",
"XksProxyAuthenticationCredential": {
"AccessKeyId": "ABCDE12345670EXAMPLE",
"RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
}
}
```
Solo puede cargar un archivo de configuración de proxy cuando cree o edite un almacén de claves externo en la consola. AWS KMS No puede usarlo con las [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operaciones [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)o, pero puede usar los valores del archivo de configuración del proxy para asegurarse de que los valores de los parámetros son correctos.
## Creación de un nuevo almacén de claves externo
Una vez que haya reunido los requisitos previos necesarios, puede crear un nuevo almacén de claves externo en la AWS KMS consola o mediante la [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operación.
### Uso de la consola AWS KMS
Antes de crear un almacén de claves externo, [elija el tipo de conectividad de proxy](choose-xks-connectivity.md) y asegúrese de haber creado y configurado todos los [componentes necesarios](#xks-requirements). Si necesita ayuda para encontrar alguno de los valores requeridos, consulte la documentación del proxy de su almacén de claves externo o del software de administración de claves.
**nota**
Al crear un almacén de claves externo en Consola de administración de AWS, puede cargar un *archivo de configuración de proxy* basado en JSON con los valores de la [ruta URI del proxy y la credencial](#require-path) de [autenticación del proxy](#require-credential). Algunos proxy generan este archivo por usted. No es obligatorio.
1. [Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Seleccione **Create external key store** (Crear almacén de claves externo).
1. Escriba un nombre fácil de recordar para el almacén de claves externo. El nombre debe ser único entre todos los almacenes de claves externos de su cuenta.
**importante**
No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en los CloudTrail registros y otros resultados.
1. Elija el tipo de [conectividad del proxy](#require-connectivity).
Su elección de conectividad del proxy determina los [componentes necesarios](#xks-requirements) para su proxy del almacén de claves externo. Si necesita ayuda para tomar esta decisión, consulte [Elección de una opción de conectividad proxy del almacén de claves externo](choose-xks-connectivity.md).
1. Seleccione el **servicio de punto de conexión de VPC entre cuentas** si su servicio de punto de conexión de VPC reside en una Cuenta de AWS diferente. A continuación, introduzca el Cuenta de AWS ID del propietario del punto final de la VPC en el campo ID de la cuenta del propietario del **servicio del punto final de la VPC**.
1. Elija o introduzca el nombre del [servicio de punto de conexión de VPC](#require-vpc-service-name) para este almacén de claves externo. Este paso solo aparece cuando el tipo de conectividad al proxy del almacén de claves externo es el **servicio de punto de conexión de VPC**.
El servicio de punto final de la VPC y su VPCs deben cumplir los requisitos de un almacén de claves externo. Para obtener más información, consulte [Cumplir los requisitos previos](#xks-requirements).
1. Elija o introduzca el nombre del [servicio de punto de conexión de VPC](#require-vpc-service-name) para este almacén de claves externo. Este paso solo aparece cuando el tipo de conectividad al proxy del almacén de claves externo es el **servicio de punto de conexión de VPC**.
El servicio de punto final de la VPC y su VPCs deben cumplir los requisitos de un almacén de claves externo. Para obtener más información, consulte [Cumplir los requisitos previos](#xks-requirements).
1. Introduzca el [punto de conexión de la URI de su proxy](#require-endpoint). El protocolo debe ser HTTPS. AWS KMS se comunica a través IPv4 del puerto 443. No especifique el puerto en el valor del punto de conexión URI del proxy.
Si AWS KMS reconoce el servicio de punto final de VPC que especificó en el paso anterior, completará este campo por usted.
Para la conectividad al punto de conexión público, introduzca una URI de punto de conexión disponible públicamente. Para la conectividad de punto de conexión de VPC, introduzca `https://` seguido del nombre DNS privado del servicio de punto de conexión de VPC.
1. Para introducir los valores del prefijo de [ruta URI del proxy](#require-path) y de [la credencial de autenticación del proxy](#require-credential), cargue un archivo de configuración de proxy o introduzca los valores manualmente.
+ Si tiene un [archivo de configuración de proxy](#proxy-configuration-file) opcional que contiene valores para la [ruta URI del proxy](#require-path.title) y la [credencial de autenticación del proxy](#require-credential), elija **Upload configuration file** (Cargar archivo de configuración). Siga los pasos para cargar el archivo.
Cuando se carga el archivo, la consola muestra los valores del archivo en campos editables. Puede cambiar los valores ahora o [editarlos](update-xks-keystore.md) después de crear el almacén de claves externo.
Para mostrar el valor de la clave de acceso secreta, seleccione **Show secret access key** (Mostrar clave de acceso secreta).
+ Si no tiene un archivo de configuración de proxy, puede introducir la ruta URI del proxy y los valores de las credenciales de autenticación del proxy manualmente.
1. Si no dispone de un archivo de configuración de proxy, puede introducir la URI de proxy manualmente. La consola proporciona el valor**/kms/xks/v1** requerido.
Si la [ruta URI de su proxy](#require-path) incluye un prefijo opcional, como el `example-prefix` en `/example-prefix/kms/xks/v1`, introduzca el prefijo en el campo del **prefijo de ruta URI del proxy**. De lo contrario, deje el campo en blanco.
1. Si no dispone de un archivo de configuración de proxy, puede introducir su [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) manualmente. Se requieren tanto el ID de clave de acceso como la clave de acceso secreta.
+ En **Proxy credential: Access key ID** (Credencial de proxy: ID de clave de acceso), introduzca el ID de clave de acceso de la credencial de autenticación del proxy. El ID de clave de acceso identifica la clave de acceso secreta.
+ En **Proxy credential: Secret access key** (Credencial de proxy: clave de acceso secreta), introduzca el ID de clave de acceso secreta de la credencial de autenticación del proxy.
Para mostrar el valor de la clave de acceso secreta, seleccione **Show secret access key** (Mostrar clave de acceso secreta).
Este procedimiento no establece ni cambia la credencial de autenticación que estableció en su proxy del almacén de claves externo. Simplemente asocia estos valores con su almacén de claves externo. Para obtener información sobre la configuración, el cambio y la credencial de autenticación del proxy rotativo, consulte la documentación del proxy del almacén de claves externo o del software de administración de claves.
Si la credencial de autenticación del proxy cambia, [edite la configuración de credenciales](update-xks-keystore.md) del almacén de claves externo.
1. Seleccione **Create external key store** (Crear almacén de claves externo).
Si el proceso se ejecuta correctamente, el nuevo almacén de claves externo aparecerá en la lista de almacenes de claves externos de la cuenta y la región. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [CreateKey errores en la clave externa](xks-troubleshooting.md#fix-external-key-create).
**Siguiente**: los nuevos almacenes de claves externos no se conectan de forma automática. Para poder crear AWS KMS keys en su almacén de claves externo, debe [conectar el almacén de claves externo](xks-connect-disconnect.md) a su proxy de almacén de claves externo.
### Uso de la AWS KMS API
Puede utilizar la [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operación para crear un nuevo almacén de claves externo. Para obtener ayuda para encontrar los parámetros requeridos, consulte la documentación del proxy de su almacén de claves externo o del software de administración de claves.
**sugerencia**
No puede cargar un [archivo de configuración de proxy](#proxy-configuration-file) cuando utilice la operación `CreateCustomKeyStore`. Sin embargo, puede utilizar los valores del archivo de configuración del proxy para asegurarse de que los valores de los parámetros son correctos.
Para crear un almacén de claves externo, la operación `CreateCustomKeyStore` requiere los siguientes valores de parámetros.
+ `CustomKeyStoreName`: un nombre fácil de recordar para el almacén de claves externo que es exclusivo de la cuenta.
**importante**
No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados.
+ `CustomKeyStoreType`: especifique `EXTERNAL_KEY_STORE`.
+ [`XksProxyConnectivity`](#require-connectivity): especifique `PUBLIC_ENDPOINT` o `VPC_ENDPOINT_SERVICE`.
+ [`XksProxyAuthenticationCredential`](keystore-external.md#concept-xks-credential): especifique el ID de clave de acceso y la clave de acceso secreta.
+ [`XksProxyUriEndpoint`](#require-endpoint): el punto de conexión que AWS KMS utiliza para comunicarse con el proxy de su almacén de claves externo.
+ [`XksProxyUriPath`](#require-path)— La ruta desde el proxy hasta el proxy APIs.
+ [`XksProxyVpcEndpointServiceName`](#require-vpc-service-name): es obligatorio solo cuando su valor `XksProxyConnectivity` es `VPC_ENDPOINT_SERVICE`.
**nota**
Si utiliza la AWS CLI versión 1.0, ejecute el siguiente comando antes de especificar un parámetro con un valor HTTP o HTTPS, como el `XksProxyUriEndpoint` parámetro.
```
aws configure set cli_follow_urlparam false
```
De lo contrario, la AWS CLI versión 1.0 reemplaza el valor del parámetro por el contenido que se encuentra en esa dirección URI, lo que provoca el siguiente error:
```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve
https:// : received non 200 status code of 404
```
En los siguientes ejemplos se utilizan valores ficticios. Antes de ejecutar el comando, sustituya los valores por valores válidos para el almacén de claves externo.
Cree un almacén de claves externo con conectividad a los puntos de conexión públicos.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleExternalKeyStorePublic \
--custom-key-store-type EXTERNAL_KEY_STORE \
--xks-proxy-connectivity PUBLIC_ENDPOINT \
--xks-proxy-uri-endpoint https://myproxy.xks.example.com \
--xks-proxy-uri-path /kms/xks/v1 \
--xks-proxy-authentication-credential AccessKeyId=,RawSecretAccessKey=
```
Cree un almacén de claves externo con conectividad al servicio de punto de conexión de VPC.
```
$ aws kms create-custom-key-store
--custom-key-store-name ExampleExternalKeyStoreVPC \
--custom-key-store-type EXTERNAL_KEY_STORE \
--xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
--xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
--xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
--xks-proxy-uri-path /kms/xks/v1 \
--xks-proxy-authentication-credential AccessKeyId=,RawSecretAccessKey=
```
Si la operación se ejecuta correctamente, `CreateCustomKeyStore` devolverá el ID del almacén de claves personalizado, tal y como se muestra en la siguiente respuesta de ejemplo.
```
{
"CustomKeyStoreId": cks-1234567890abcdef0
}
```
Si la operación falla, corrija el error que indica la excepción e inténtelo de nuevo. Para obtener ayuda adicional, consulte [Solución de problemas de almacenes de claves externos](xks-troubleshooting.md).
**Siguiente**: para usar el almacén de claves externo, [conéctelo a su proxy del almacén de claves externo](xks-connect-disconnect.md).
# Edición de las propiedades del almacén de claves externo
Puede editar las propiedades seleccionadas de un almacén de claves externo existente.
Puede editar algunas propiedades mientras el almacén de claves externo esté conectado o desconectado. Para otras propiedades, primero debe [desconectar el almacén de claves externo](xks-connect-disconnect.md) de su proxy del almacén de claves externo. El [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo debe ser `DISCONNECTED`. Mientras su almacén de claves externo esté desconectado, puede administrar el almacén de claves y sus claves de KMS, pero no puede crear ni usar las claves de KMS en el almacén de claves externo. Para averiguar el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación o consulte la sección **Configuración general** de la página de detalles del almacén de claves externo.
Antes de actualizar las propiedades del almacén de claves externo, AWS KMS envía una [GetHealthStatus](keystore-external.md#concept-proxy-apis)solicitud al proxy del almacén de claves externo con los nuevos valores. Si la solicitud se realiza correctamente, indica que puede conectarse y autenticarse en un proxy del almacén de claves externo con los valores de propiedad actualizados. Si la solicitud falla, la operación de edición falla con una excepción que identifica el error.
Cuando finalice la operación de edición, los valores de las propiedades actualizados del almacén de claves externo aparecerán en la AWS KMS consola y en la `DescribeCustomKeyStores` respuesta. No obstante, pueden pasar hasta cinco minutos hasta que los cambios surtan efecto.
Si edita el almacén de claves externo en la AWS KMS consola, tiene la opción de cargar un [archivo de configuración de proxy](create-xks-keystore.md#proxy-configuration-file) basado en JSON que especifique la [ruta URI del proxy y la credencial](create-xks-keystore.md#require-path) de [autenticación del proxy](keystore-external.md#concept-xks-credential). Algunos proxy del almacén de claves externos generan este archivo por usted. Para obtener más información, consulte la documentación del proxy del almacén de claves externo o el administrador de claves externo.
**aviso**
Los valores actualizados de las propiedades deben conectar el almacén de claves externo a un proxy para el mismo administrador de claves externo que los valores anteriores, o para obtener una copia de seguridad o una instantánea del administrador de claves externo con las mismas claves criptográficas. Si su almacén de claves externo pierde permanentemente el acceso a las claves externas asociadas a sus claves de KMS, el texto cifrado encriptado con esas claves externas no se podrá recuperar. En concreto, cambiar la conectividad del proxy de un almacén de claves externo puede AWS KMS impedir el acceso a las claves externas.
**sugerencia**
Algunos administradores de claves externos proporcionan un método más sencillo para editar las propiedades de un almacén de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.
Puede cambiar las siguientes propiedades de un almacén de claves externo.
| Propiedades editables del almacén de claves externo | Cualquier estado de conexión | Estado Disconnected (Desconectado) obligatorio |
| --- | --- | --- |
| Nombre del almacén de claves personalizadas Un nombre fácil de recordar obligatorio para el almacén de claves personalizado. No incluya información confidencial en este campo. Este campo puede mostrarse en texto plano en CloudTrail los registros y otros resultados. | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/icon-successful.png) | |
| [Credencial de autenticación proxy](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredential(Debe especificar el ID de clave de acceso y la clave de acceso secreta, incluso si cambia solo un elemento). | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/icon-successful.png) | |
| [Ruta de URI del proxy](create-xks-keystore.md#require-path) () XksProxyUriPath | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/icon-successful.png) | |
| [Conectividad proxy](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(También debe actualizar el punto de conexión de la URI del proxy. Si va a cambiar a la conectividad al servicio de punto de conexión de VPC, debe especificar un nombre de servicio de punto de conexión de VPC del proxy). | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/icon-successful.png) |
| [Punto final del URI del proxy](create-xks-keystore.md#require-endpoint) (XksProxyUriEndpoint)Si cambia la URI del punto de conexión del proxy, es posible que también tenga que cambiar el certificado TLS asociado. | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/icon-successful.png) |
| [Nombre del servicio de punto final de VPC proxy](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceName(Este campo es obligatorio para la conectividad al servicio de punto de conexión de VPC) | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/icon-successful.png) |
| [Propietario del servicio de punto final de VPC](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwner(Este campo es obligatorio para la conectividad al servicio de punto de conexión de VPC) | | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/icon-successful.png) |
## Edición de sus propiedades del almacén de claves externo
Puede editar las propiedades del almacén de claves externo en la AWS KMS consola o mediante la [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación.
### Uso de la AWS KMS consola
Al editar un almacén de claves, puede cambiar cualquiera de los valores editables. Algunos cambios requieren que el almacén de claves externo esté desconectado de su proxy del almacén de claves externo.
Si está editando la ruta URI del proxy o la credencial de autenticación del proxy, puede introducir los nuevos valores o cargar un [archivo de configuración del proxy](create-xks-keystore.md#proxy-configuration-file) del almacén de claves externo que incluya los nuevos valores.
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Elija el almacén de claves que quiere editar.
1. Si es necesario, desconecte el almacén de claves externo de su proxy del almacén de claves externo. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Disconnect** (Desconectar).
1. Desde el menú **Key store actions** (Acciones del almacén de claves), seleccione **Edit** (Editar).
1. Cambie una o más de las propiedades editables del almacén de claves externo. También puede cargar un [archivo de configuración del proxy](create-xks-keystore.md#proxy-configuration-file) con valores para la ruta URI del proxy y la credencial de autenticación del proxy. Puede utilizar un archivo de configuración de proxy incluso si algunos valores especificados en el archivo no han cambiado.
1. Elija **Update external key store** (Actualizar el almacén de claves externo).
1. Revise la advertencia y, si decide continuar, confirme la advertencia y, a continuación, seleccione **Update external key store** (Actualizar almacén de claves externo).
Si el procedimiento se ejecuta correctamente, aparecerá un mensaje donde se describen las propiedades que ha editado. Si el procedimiento da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo.
1. Si es necesario, vuelva a conectar el almacén de claves externo. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Connect** (Conectar).
Puede dejar el almacén de claves externo desconectado. Pero mientras esté desconectado, no podrá crear las claves de KMS en el almacén de claves externo ni usar las claves de KMS del almacén de claves externo en [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore).
### Uso de la API AWS KMS
Para cambiar las propiedades de un almacén de claves externo, utilice la [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación. Puede cambiar varias propiedades de un almacén de claves externo en la misma operación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades.
Utilice el parámetro `CustomKeyStoreId` para identificar el almacén de claves externo. Utilice los demás parámetros para cambiar las propiedades. No puede usar un [archivo de configuración del proxy](create-xks-keystore.md#proxy-configuration-file) con la operación `UpdateCustomKeyStore`. El archivo de configuración del proxy solo es compatible con la AWS KMS consola. Sin embargo, puede utilizar el archivo de configuración del proxy como ayuda para determinar los valores de los parámetros correctos para el proxy del almacén de claves externo.
En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
Antes de empezar, [si es necesario](#update-xks-keystore), [desconecte el almacén de claves externo](xks-connect-disconnect.md) de su proxy del almacén de claves externo. Tras la actualización, si es necesario, puede [volver a conectar el almacén de claves externo](xks-connect-disconnect.md) a su proxy del almacén de claves externo. Puede dejar el almacén de claves externo en el estado desconectado, pero deberá volver a conectarlo antes de crear claves de KMS nuevas en el almacén de claves, o para utilizar las claves de KMS existentes en el almacén de claves para operaciones criptográficas.
**nota**
Si utiliza la AWS CLI versión 1.0, ejecute el siguiente comando antes de especificar un parámetro con un valor HTTP o HTTPS, como el `XksProxyUriEndpoint` parámetro.
```
aws configure set cli_follow_urlparam false
```
De lo contrario, la AWS CLI versión 1.0 reemplaza el valor del parámetro por el contenido que se encuentra en esa dirección URI, lo que provoca el siguiente error:
```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve
https:// : received non 200 status code of 404
```
#### Cambio del nombre del almacén de claves externo
En el primer ejemplo, se utiliza la [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación para cambiar el nombre descriptivo del almacén de claves externo a`XksKeyStore`. El comando utiliza el parámetro `CustomKeyStoreId` para especificar el almacén de claves personalizado y `CustomKeyStoreName` para especificar el nuevo nombre del almacén de claves personalizado. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```
#### Cambio de la credencial de autenticación del proxy
En el siguiente ejemplo, se actualiza la credencial de autenticación del proxy que AWS KMS utiliza para autenticarse en el proxy del almacén de claves externo. Puede usar un comando como este para actualizar la credencial si está rotada en su proxy.
Primero actualice la credencial del proxy del almacén de claves externo. A continuación, utilice esta función para informar del cambio a AWS KMS. (Su proxy admitirá brevemente la credencial antigua y la nueva para que tenga tiempo de actualizarla). AWS KMS
Siempre debe especificar el ID de clave de acceso y la clave de acceso secreta en la credencial, incluso si solo se cambia un valor.
Los dos primeros comandos configuran variables para conservar los valores de las credenciales. Las operaciones `UpdateCustomKeyStore` utilizan el parámetro `CustomKeyStoreId` para identificar el almacén de claves externo. Utiliza el parámetro `XksProxyAuthenticationCredential` con sus campos `AccessKeyId` y `RawSecretAccessKey` para especificar la nueva credencial. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
```
$ accessKeyID=access key id
$ secretAccessKey=secret access key
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-authentication-credential \
AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```
#### Cambio de la ruta URI del proxy
El siguiente ejemplo actualiza la ruta URI del proxy (`XksProxyUriPath`). La combinación del punto final del URI del proxy y la ruta del URI del proxy debe ser única en la región Cuenta de AWS and. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-uri-path /kms/xks/v1
```
#### Cambio a la conectividad del servicio del punto de conexión de VPC
En el siguiente ejemplo, se utiliza la [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operación para cambiar el tipo de conectividad del proxy del almacén de claves externo a`VPC_ENDPOINT_SERVICE`. Para realizar este cambio, debe especificar los valores necesarios para la conectividad del servicio de punto de conexión de VPC, incluido el nombre del servicio de punto de conexión de VPC (`XksProxyVpcEndpointServiceName`) y un valor de punto de conexión URI del proxy (`XksProxyUriEndpoint`) que incluya el nombre DNS privado del servicio de punto de conexión de VPC. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
--xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
--xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```
#### Cambio a la conectividad de puntos de conexión públicos
En el siguiente ejemplo, se cambia el tipo de conectividad del proxy del almacén de claves externo a `PUBLIC_ENDPOINT`. Al realizar este cambio, debe actualizar el valor del punto de conexión URI (`XksProxyUriEndpoint`) del proxy. Sustituya todos los valores de ejemplo por valores reales para su almacén de claves externo.
**nota**
La conectividad al punto de conexión de VPC proporciona mayor seguridad que la conectividad al punto de conexión público. Antes de cambiar a la conectividad al punto de conexión público, considere otras opciones, como localizar el proxy del almacén de claves externo en las instalaciones y utilizar la VPC solo para la comunicación.
```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
--xks-proxy-connectivity "PUBLIC_ENDPOINT" \
--xks-proxy-uri-endpoint https://myproxy.xks.example.com
```
# Visualización de almacenes de claves externos
Puede ver los almacenes de claves externos de cada cuenta y región mediante la AWS KMS consola o mediante la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación.
Al consultar un almacén de claves externo, puede ver lo siguiente:
+ Información básica sobre el almacén de claves, incluido su nombre fácil de recordar, ID, tipo de almacén de claves y fecha de creación.
+ Información de configuración para el [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy), incluidos el [tipo de conectividad](keystore-external.md#concept-xks-connectivity), el [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint) y su [ruta](create-xks-keystore.md#require-path) y el [ID de clave de acceso](keystore-external.md#concept-xks-credential) de su [credencial de autenticación de proxy](keystore-external.md#concept-xks-credential) actual.
+ Si el proxy del almacén de claves externo utiliza la [conectividad al servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity), la consola muestra el nombre del servicio de punto de conexión de VPC.
+ El [estado de conexión](xks-connect-disconnect.md#xks-connection-state) actual.
**nota**
Un valor de estado de conexión **Disconnected** (Desconectado) indica que el almacén de claves externo nunca se ha conectado o que se ha desconectado intencionadamente de su proxy del almacén de claves externo. Sin embargo, si los intentos de usar una clave de KMS en un almacén de claves externo conectado no son fructíferos, puede deberse a un problema con el almacén de claves externo o el proxy. Para obtener ayuda, consulte [Errores de conexión del almacén de claves externo](xks-troubleshooting.md#fix-xks-connection).
+ Una sección de [monitorización](xks-monitoring.md) con gráficos de [ CloudWatch las métricas de Amazon](monitoring-cloudwatch.md#kms-metrics) diseñada para ayudarte a detectar y resolver problemas con tu almacén de claves externo. Si necesitas ayuda para interpretar los gráficos, utilizarlos en la planificación y la resolución de problemas y crear CloudWatch alarmas en función de las métricas de los gráficos, consulta[Monitoreo de almacenes de claves externos](xks-monitoring.md).
## Propiedades del almacén de claves externo
Las siguientes propiedades de un almacén de claves externo están visibles en la AWS KMS consola y en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta.
### Propiedades del almacén de claves personalizado
Los siguientes valores aparecen en la sección de **configuración general** de la página de detalles de cada almacén de claves personalizado. Estas propiedades se aplican a todos los almacenes de claves personalizados, incluidos los almacenes de AWS CloudHSM claves y los almacenes de claves externos.
**ID del almacén de claves personalizadas**
Un identificador único que se AWS KMS asigna al almacén de claves personalizado.
**Nombre del almacén de claves personalizadas**
Un nombre fácil de recordar que asigna al almacén de claves personalizado al crearlo. Puede cambiar este valor en cualquier momento.
**Tipo de almacén de claves personalizado**
El tipo de almacén de claves personalizado. Los valores válidos son AWS CloudHSM (`AWS_CLOUDHSM`) o Almacén de claves externo (`EXTERNAL_KEY_STORE`). No se puede cambiar el tipo después de crear el almacén de claves personalizado.
**Fecha de creación**
Fecha en la que se creó el almacén de claves personalizado. Este valor se muestra en la hora local de la Región de AWS.
**Estado de la conexión**
Indica si el almacén de claves personalizado está conectado a su almacén de claves de respaldo. El estado de conexión será `DISCONNECTED` solo si el almacén de claves personalizado nunca se ha conectado al almacén de claves de respaldo o se ha desconectado intencionadamente. Para obtener más información, consulte [Estado de la conexión](xks-connect-disconnect.md#xks-connection-state).
### Propiedades de configuración del almacén de claves externo
Los siguientes valores aparecen en la sección de **configuración del proxy del almacén de claves externo** de la página de detalles de cada almacén de claves externo y en el `XksProxyConfiguration` elemento de la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta. Para obtener una descripción detallada de cada campo, incluidos los requisitos de exclusividad y ayuda para determinar el valor correcto de cada campo, consulte [Cumplir los requisitos previos](create-xks-keystore.md#xks-requirements) en el tema *Creación de un almacén de claves externo*.
**Conectividad de proxy**
Indica si el almacén de claves externo utiliza [conectividad de puntos de conexión públicos](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o [conectividad del servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity).
**Punto de conexión URI del proxy**
El punto final que se AWS KMS utiliza para conectarse al [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy).
**Ruta URI del proxy**
La ruta desde el punto final del URI del proxy desde el que se AWS KMS envían [las solicitudes de API del proxy](keystore-external.md#concept-proxy-apis).
**Credencial de proxy: ID de clave de acceso**
Parte de la [credencial de autenticación de proxy](keystore-external.md#concept-xks-credential) que establece en el proxy de su almacén de claves externo. El ID de clave de acceso identifica la clave de acceso secreta de la credencial.
AWS KMS utiliza el proceso de firma SigV4 y la credencial de autenticación del proxy para firmar sus solicitudes en el proxy del almacén de claves externo. La credencial de la firma permite que el proxy del almacén de claves externo autentique las solicitudes en tu nombre. AWS KMS
**Nombre del servicio de punto de conexión de VPC**
El nombre del servicio de punto de conexión de VPC de Amazon que admite su almacén de claves externo. Este valor solo aparece cuando el almacén de claves externo utiliza la [conectividad del servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Puede localizar su proxy de almacén de claves externo en la VPC o utilizar el servicio de punto de conexión de VPC para comunicarse de forma segura con su proxy de almacén de claves externo.
**ID de propietario de servicio de punto de conexión de VPC**
El nombre del servicio de punto de conexión de Amazon VPC que admite su almacén de claves externo. Este valor solo aparece cuando el almacén de claves externo utiliza la [conectividad del servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Puede localizar su proxy de almacén de claves externo en la VPC o utilizar el servicio de punto de conexión de VPC para comunicarse de forma segura con su proxy de almacén de claves externo.
## Visualización de sus propiedades del almacén de claves externo
Puede ver su almacén de claves externo y sus propiedades asociadas en la AWS KMS consola o mediante la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación.
### Uso de la AWS KMS consola
Para ver los almacenes de claves externos de una cuenta y región determinados, use el siguiente procedimiento.
1. Inicie sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrala en [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Para ver información detallada sobre un almacén de claves externo, elija el nombre de almacén de claves.
### Uso de la API AWS KMS
Para ver los almacenes de claves externos, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de la cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar el resultado de un almacén de claves personalizado determinado.
Para los almacenes de claves personalizados, el resultado consiste en el ID, el nombre y el tipo del almacén de claves personalizado y el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves. Si el estado de conexión es `FAILED`, el resultado también incluirá un `ConnectionErrorCode` que describe el motivo del error. Para obtener ayuda para interpretar el `ConnectionErrorCode` para un almacén de claves externo, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).
Para los almacenes de claves externos, el resultado también incluye el elemento `XksProxyConfiguration`. Este elemento incluye el [tipo de conectividad](create-xks-keystore.md#require-connectivity), el [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint), [la ruta URI del proxy](create-xks-keystore.md#require-path) y el ID de clave de acceso de la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential).
En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
Por ejemplo, el siguiente comando devuelve todos los almacenes de claves personalizados de la cuenta y la región. Puede usar los parámetros `Limit` y `Marker` para desplazarse por los almacenes de claves personalizados del resultado.
```
$ aws kms describe-custom-key-stores
```
El siguiente comando usa el parámetro `CustomKeyStoreName` para obtener únicamente el almacén de claves externo con el nombre fácil de recordar `ExampleXksPublic`. Este ejemplo de almacén de claves utiliza conectividad a puntos de conexión públicos. Está conectado a su proxy del almacén de claves externo.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-1234567890abcdef0",
"CustomKeyStoreName": "ExampleXksPublic",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-14T20:17:36.419000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE12345670EXAMPLE",
"Connectivity": "PUBLIC_ENDPOINT",
"UriEndpoint": "https://xks.example.com:6443",
"UriPath": "/example/prefix/kms/xks/v1"
}
}
]
}
```
El siguiente comando obtiene un ejemplo de almacén de claves externo con conectividad del servicio de punto de conexión de VPC. En este ejemplo, el almacén de claves externo está conectado a su proxy del almacén de claves externo.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Un [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) `Disconnected` indica que no se ha conectado nunca un almacén de claves externo o que se ha desconectado de su proxy del almacén de claves externo de forma intencionada. Sin embargo, si los intentos de usar una clave de KMS en un almacén de claves externo conectado no son fructíferos, puede deberse a un problema con el proxy del almacén de claves externo u otros componentes externos.
Si el `ConnectionState` del almacén de claves externo es `FAILED`, la respuesta `DescribeCustomKeyStores` incluirá un elemento `ConnectionErrorCode` que explica el motivo del error.
Por ejemplo, en el siguiente resultado, el `XKS_PROXY_TIMED_OUT` valor indica que AWS KMS se puede conectar al proxy del almacén de claves externo, pero la conexión falló porque el proxy del almacén de claves externo no respondió AWS KMS en el tiempo asignado. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo. Para obtener ayuda con esto y los errores de conexión, consulte [Solución de problemas de almacenes de claves externos](xks-troubleshooting.md).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
# Monitoreo de almacenes de claves externos
AWS KMS recopila las métricas de cada interacción con un almacén de claves externo y las publica en su CloudWatch cuenta. Estas métricas se utilizan para generar los gráficos en la sección de seguimiento de la página de detalles para cada almacén de claves externo. El siguiente tema detalla cómo usar los gráficos para identificar y solucionar problemas operativos y de configuración que afectan su almacén de claves externo. Te recomendamos que utilices las CloudWatch métricas para configurar alarmas que te notifiquen cuando tu almacén de claves externo no funcione como esperabas. Para obtener más información, consulta [Monitoring with Amazon CloudWatch](monitoring-cloudwatch.md).
**Topics**
+ [Visualización de los gráficos](#xks-monitoring-navigate)
+ [Interpretación de los gráficos](#interpreting-graphs)
## Visualización de los gráficos
Puede ver los gráficos en diferentes niveles de detalle. De forma predeterminada, cada gráfico utiliza un intervalo de tiempo de tres horas y un [periodo](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) de agregación de cinco minutos. Puede ajustar la vista del gráfico dentro de la consola, pero sus cambios volverán a la configuración predeterminada cuando se cierre la página de detalles del almacén de claves externo o se actualice el navegador. Para obtener ayuda con la CloudWatch terminología de Amazon, consulta [ CloudWatch Conceptos de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html).
### Visualización de detalles de puntos de datos
Los datos de cada gráfico se recopilan mediante [métricas de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics). Para ver más información sobre un punto de datos específico, coloque el ratón sobre el punto de datos del gráfico lineal. Esto mostrará una ventana emergente con más información sobre la métrica de la que se derivó el gráfico. Cada elemento de la lista muestra el valor de [dimensión](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) registrado en ese punto de datos. La ventana emergente muestra un valor nulo (**–**) si no hay datos métricos disponibles para el valor de la dimensión en ese punto de datos. Algunos gráficos registran varias dimensiones y valores para un único punto de datos. Otros gráficos, como el [gráfico de fiabilidad](#reliability-graph), utilizan los datos recopilados por la métrica para calcular un valor único. Cada elemento de la lista está asociado con un color de gráfico de líneas diferente.
### Modificación del intervalo de tiempo
Para modificar el [intervalo de tiempo](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html), seleccione uno de los intervalos de tiempo predefinidos en la esquina superior derecha de la sección de monitoreo. Los intervalos de tiempo predefinidos abarcan de 1 hora a 1 semana (**1 h**, **3 h**, **12 h**, **1 día**, **3 días** o **1 sem.**). Esto ajusta el intervalo de tiempo de todos los gráficos. Si quieres ver un gráfico específico en un intervalo de tiempo diferente, o si quieres establecer un intervalo de tiempo personalizado, amplía el gráfico o visualízalo en la CloudWatch consola de Amazon.
### Acercar un gráfico
Puede usar la [función de zoom del minimapa](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html) para enfocarse en secciones de gráficos de líneas y porciones apiladas de los gráficos sin cambiar entre vistas ampliadas y alejadas. Por ejemplo, puede usar la función de zoom del minimapa para enfocarse en un pico en un gráfico, de modo que pueda comparar el pico con otros gráficos en la sección de monitoreo de la misma línea de tiempo.
1. Elija y arrastre el área del gráfico en la que desea centrarse y, a continuación, suéltela.
1. Para restablecer el tamaño del gráfico, elija el icono **Reset zoom** (Restablecer el zoom) que parece una lupa con un símbolo menos (-) en su interior.
### Ampliación de un gráfico
Para ampliar un gráfico, seleccione el icono de menú situado en la esquina superior derecha de un gráfico individual y, a continuación, seleccione **Enlarge** (Ampliar). También puede seleccionar el icono de ampliación que aparece junto al icono del menú al pasar el ratón sobre un gráfico.
Al ampliar un gráfico, puede modificar aún más la vista de un gráfico especificando un periodo diferente, un intervalo de tiempo personalizado o un intervalo de actualización. Estos cambios volverán a la configuración predeterminada cuando cierre la vista ampliada.
Modificación del periodo
1. Seleccione el menú **Period options** (Opciones de periodo). De forma predeterminada, este menú muestra el valor: **5 minutos**.
1. Elija un periodo, los periodos predefinidos van de 1 segundo a 30 días.
Por ejemplo, puede elegir una vista de un minuto, que puede ser útil a la hora de solucionar problemas. O bien puede elegir una vista menos detallada de una hora. Esto puede ser útil cuando desee ver un intervalo de tiempo mayor (por ejemplo, tres días) para poder identificar las tendencias a lo largo del tiempo. Para obtener más información, consulta [Períodos](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) en la *Guía del CloudWatch usuario de Amazon*.
Modificación del intervalo de tiempo o la zona horaria
1. Seleccione uno de los intervalos de tiempo predefinidos, que van desde 1 hora hasta 1 semana (**1 h**, **3 h**, **12 h**, **1 día**, **3 días** o **1 semana**). También puede elegir **Custom** (Personalizado) para establecer su propio intervalo de tiempo.
1. Elija **Custom** (Personalizado).
1. *Intervalo de tiempo:* seleccione la pestaña **Absolute** (Absoluto) en la esquina superior izquierda del cuadro. Utilice el selector de calendario o los cuadros de campos de texto para especificar el intervalo de tiempo.
1. *Zona horaria:* elija el menú desplegable ubicado en la esquina superior derecha del cuadro. Puede cambiar la zona horaria a **UTC** (UTC) o **Local time zone** (Zona horaria local).
1. Después de especificar un intervalo de tiempo, seleccione **Apply** (Aplicar).
Modifique la frecuencia con la que se actualizan los datos de su gráfico
1. Elija el menú **Refresh options** (Opciones de actualización) en la esquina superior derecha.
1. Elija un intervalo de actualización [**Off** (desactivado), **10 seconds** (10 segundos), **1 minute** (1 minuto), **2 minutes** (2 minutes), **5 minutes** (5 minutos) o **15 minutes**(15 minutos)].
### Ver gráficos en la CloudWatch consola de Amazon
Los gráficos de la sección de monitorización se derivan de métricas predefinidas que se AWS KMS publican en Amazon CloudWatch. Puede abrirlos en la CloudWatch consola y guardarlos en los CloudWatch paneles. Si tiene varios almacenes de claves externos, puede abrir sus gráficos respectivos CloudWatch y guardarlos en un único panel para comparar su estado y uso.
**Añadir al CloudWatch panel**
Selecciona **Añadir al panel** en la esquina superior derecha para añadir todos los gráficos a un CloudWatch panel de Amazon. Puede seleccionar un tablero existente o crear uno nuevo. Para obtener información sobre el uso de este panel para crear vistas personalizadas de los gráficos y las alarmas, consulte [Uso de los CloudWatch paneles de Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) en la *Guía del CloudWatch usuario de Amazon*.
**Ver en métricas CloudWatch**
Selecciona el icono de menú en la esquina superior derecha de un gráfico individual y selecciona **Ver en métricas** para ver este gráfico en la CloudWatch consola de Amazon. Desde la CloudWatch consola, puedes añadir este único gráfico a un panel y modificar los rangos de tiempo, los períodos y los intervalos de actualización. Para obtener más información, consulta Cómo [graficar métricas](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) en la *Guía del CloudWatch usuario de Amazon*.
## Interpretación de los gráficos
AWS KMS proporciona varios gráficos para supervisar el estado del almacén de claves externo de la AWS KMS consola. Estos gráficos se configuran automáticamente y se derivan de [las métricas de AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics).
Los datos del gráfico se recopilan como parte de las llamadas que realiza a su almacén de claves externo y claves externas. Es posible que vea datos rellenando los gráficos durante un intervalo de tiempo en el que no ha realizado ninguna llamada. Estos datos provienen de las `GetHealthStatus` llamadas periódicas que AWS KMS realiza en su nombre para comprobar el estado de su almacén de claves, proxy y administrador de claves externo. Si sus gráficos muestran el mensaje **No data available** (No hay datos disponibles), entonces no hubo llamadas registradas durante ese intervalo de tiempo o su almacén de claves externo está en un estado [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state). Es posible que pueda identificar la hora en que se desconectó su almacén de claves externo [ajustando su vista](#graph-time-range) a un intervalo de tiempo más amplio.
**Topics**
+ [Número total de solicitudes](#total-requests-graph)
+ [Fiabilidad](#reliability-graph)
+ [Latencia](#latency-graph)
+ [Las 5 excepciones principales](#top-5-exceptions-graph)
+ [Días para el vencimiento del certificado](#cert-expire-graph)
### Número total de solicitudes
El número total de AWS KMS solicitudes que se reciben para un almacén de claves externo específico durante un intervalo de tiempo determinado. Utilice este gráfico para determinar si corre el riesgo de sufrir una limitación.
AWS KMS recomienda que su administrador de claves externo pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si se acerca a las 540 000 llamadas en un periodo de cinco minutos, corre el riesgo de sufrir una limitación.
Puede controlar el número de solicitudes de operaciones criptográficas en las claves de KMS en su almacén de claves externo, que se acelera AWS KMS con la métrica. [ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling)
Si recibe errores `KMSInvalidStateException` muy frecuentes con un mensaje que explica que la solicitud fue rechazada “debido a una tasa de solicitudes muy alta”, podría indicar que su administrador de claves externo o el proxy del almacén de claves externo no pueden seguir el ritmo de la tasa de solicitudes actual. Si es posible, reduzca el porcentaje de solicitudes. También podría considerar solicitar una disminución en el valor de la cuota de solicitudes del almacén de claves personalizado. Reducir este valor de cuota puede aumentar la limitación, pero indica que se AWS KMS está rechazando el exceso de solicitudes rápidamente antes de enviarlas al proxy del almacén de claves externo o al administrador de claves externo. Para solicitar una reducción de la cuota, visite [el Centro AWS Support](https://console.aws.amazon.com/support/home) y cree un caso.
El gráfico del total de solicitudes se obtiene de la métrica [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors), que recopila datos sobre las respuestas correctas y fallidas que AWS KMS recibe del proxy del almacén de claves externo. Al [ver un punto de datos específico](#graph-data-point), la ventana emergente muestra el valor de la `CustomKeyStoreId` dimensión junto con el número total de AWS KMS solicitudes registradas en ese punto de datos. El `CustomKeyStoreId` siempre será el mismo.
### Fiabilidad
El porcentaje de AWS KMS solicitudes para las que el proxy del almacén de claves externo arrojó una respuesta correcta o un error que no se pudo volver a intentar. Utilice este gráfico para evaluar el estado operativo de su proxy del almacén de claves externo.
Cuando el gráfico muestra un valor inferior al 100 %, indica los casos en los que el proxy no respondió o respondió con un error reintentable. Esto puede indicar problemas con la red, lentitud del proxy del almacén de claves externo o del administrador de claves externo, o errores de implementación.
Si la solicitud incluye una credencial incorrecta y su proxy responde con una `AuthenticationFailedException`, el gráfico seguirá indicando una fiabilidad del 100 % porque el proxy identificó un valor incorrecto en la [solicitud de la API del proxy del almacén de claves externo](keystore-external.md#concept-proxy-apis) y, por lo tanto, es de esperar que se produzca un error. Si el porcentaje del gráfico de fiabilidad es del 100 %, entonces el proxy del almacén de claves externo responde según lo esperado. Si el gráfico muestra un valor inferior al 100 %, el proxy respondió con un error reintentable o se agotó el tiempo de espera. Por ejemplo, si el proxy responde con una respuesta de `ThrottlingException` debido a una tasa de solicitudes muy alta, mostrará un porcentaje de fiabilidad más bajo porque el proxy no pudo identificar un problema específico en la solicitud que provocó el error. Esto se debe a que los errores reintentables son probablemente problemas transitorios que se pueden resolver reintentando la solicitud.
Las siguientes respuestas de error reducirán el porcentaje de fiabilidad. Puede usar el gráfico [Las 5 excepciones principales](#top-5-exceptions-graph) y la métrica [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) para controlar con más detalle la frecuencia con la que su proxy devuelve cada error reintentable.
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`
El gráfico de fiabilidad se deriva de la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica, que recopila datos sobre las respuestas correctas y no satisfactorias que se AWS KMS reciben del proxy del almacén de claves externo. El porcentaje de fiabilidad solo disminuirá si la respuesta tiene un valor de `ErrorType` de `Retryable`. Al [ver un punto de datos específico](#graph-data-point), la ventana emergente muestra el valor de la `CustomKeyStoreId` dimensión junto con el porcentaje de confiabilidad de AWS KMS las solicitudes registradas en ese punto de datos. El `CustomKeyStoreId` siempre será el mismo.
Te recomendamos usar la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica para crear una CloudWatch alarma que te avise de posibles problemas de red y te avise cuando se registren más de cinco errores reintentables en un período de un minuto. Para obtener más información, consulte [Creación de una alarma para los errores reintentables](xks-alarms.md#retryable-errors-alarm).
### Latencia
El número de milisegundos que tarda un proxy de almacén de claves externo en responder a una solicitud. AWS KMS Utilice este gráfico para evaluar el rendimiento de su proxy del almacén de claves externo y de su administrador de claves externo.
AWS KMS espera que el proxy del almacén de claves externo responda a cada solicitud en un plazo de 250 milisegundos. En caso de que se agote el tiempo de espera de la red, AWS KMS volverá a intentar la solicitud una vez. Si el proxy falla por segunda vez, la latencia registrada es el límite de tiempo de espera combinado para ambos intentos de solicitud y el gráfico mostrará aproximadamente 500 milisegundos. En todos los demás casos en los que el proxy no responde dentro del límite de tiempo de espera de 250 milisegundos, la latencia registrada es de 250 milisegundos. Si el proxy se agota con frecuencia en las operaciones de cifrado y descifrado, consulte a su administrador de proxy externo. Para obtener ayuda con la solución de problemas de latencia, consulte [Errores de latencia y tiempo de espera](xks-troubleshooting.md#fix-xks-latency).
Las respuestas lentas también pueden indicar que el administrador de claves externo no puede gestionar el tráfico de solicitudes actual. AWS KMS recomienda que su administrador de claves externo pueda gestionar hasta 1800 solicitudes de operaciones criptográficas por segundo. Si su administrador de claves externo no puede gestionar la tasa de 1800 solicitudes por segundo, considere solicitar una reducción de su [cuota de solicitudes de claves de KMS en un almacén de claves personalizado](requests-per-second.md#rps-key-stores). Las solicitudes de operaciones criptográficas que utilizan las claves de KMS en su almacén de claves externo van a responder rápido a los errores con una [excepción de limitación](throttling.md), en lugar de ser procesadas y luego rechazadas por su proxy del almacén de claves externo o administrador de claves externo.
El gráfico de latencia se realiza a partir de la métrica [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency). Al consultar un [punto de datos específico](#graph-data-point), la ventana emergente muestra los valores de dimensión `KmsOperation` y `XksOperation` correspondientes junto con la latencia promedio registrada para las operaciones en ese punto de datos. Los elementos de la lista se ordenan de mayor a menor latencia.
Te recomendamos usar la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) métrica para crear una CloudWatch alarma que te notifique cuando la latencia se acerque al límite de tiempo de espera. Para obtener más información, consulte [Creación de una alarma para el tiempo de espera de respuesta](xks-alarms.md#latency-alarm).
### Las 5 excepciones principales
Las cinco excepciones principales para operaciones criptográficas y de administración fallidas durante un intervalo de tiempo determinado. Utilice este gráfico para realizar un seguimiento de los errores más frecuentes, de modo que pueda priorizar sus esfuerzos de ingeniería.
Este recuento incluye las excepciones que se AWS KMS reciben del proxy del almacén de claves externo y las `XksProxyUnreachableException` que se AWS KMS devuelven internamente cuando no puede establecer comunicación con el proxy del almacén de claves externo.
Las altas tasas de errores reintentables pueden indicar errores de red, mientras que las altas tasas de errores no reintentables pueden indicar un problema con la configuración del almacén de claves externo. Por ejemplo, un pico de entrada `AuthenticationFailedExceptions` indica una discrepancia entre las credenciales de autenticación configuradas en AWS KMS el proxy del almacén de claves externo. Para ver la configuración de su almacén de claves externo, consulte [Visualización de almacenes de claves externos](view-xks-keystore.md). Para editar la configuración de su almacén de claves externo, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
Las excepciones que se AWS KMS reciben del proxy del almacén de claves externo son diferentes de las que se muestran cuando se produce AWS KMS un error en una operación. AWS KMS Las operaciones criptográficas muestran un valor `KMSInvalidStateException` para todos los errores relacionados con la configuración externa o el estado de conexión del almacén de claves externo. Para identificar el problema, utilice el texto del mensaje de error adjunto.
En la siguiente tabla se muestran las excepciones que pueden aparecer en el gráfico de las cinco excepciones principales y las excepciones correspondientes que aparecen AWS KMS en la pantalla.
| Tipo de error | Excepción mostrada en el gráfico | Excepción que se te AWS KMS devolvió |
| --- | --- | --- |
| No reintentable | AccessDeniedException Para obtener ayuda sobre la resolución de problemas, consulte [Problemas de autorización de proxy](xks-troubleshooting.md#fix-xks-authorization). | **`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | AuthenticationFailedException Para obtener ayuda sobre la resolución de problemas, consulte [Errores en las credenciales de autenticación](xks-troubleshooting.md#fix-xks-credentials). | **`XksProxyIncorrectAuthenticationCredentialException`** en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`.**`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| Reintentable | **`DependencyTimeoutException`** Para obtener ayuda sobre la resolución de problemas, consulte [Errores de latencia y tiempo de espera](xks-troubleshooting.md#fix-xks-latency). | **`XksProxyUriUnreachableException`** en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| Reintentable | **`InternalException`** El proxy del almacén de claves externo rechazó la solicitud porque no puede comunicarse con el administrador de claves externo. Compruebe que la configuración del proxy del almacén de claves externo sea correcta y que el administrador de claves externo esté disponible. | **`XksProxyInvalidResponseException`** en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | **`InvalidCiphertextException`** Para obtener ayuda sobre la resolución de problemas, consulte [Errores de descifrado](xks-troubleshooting.md#fix-xks-decrypt). | **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | **`InvalidKeyUsageException`** Para obtener ayuda sobre la resolución de problemas, consulte [Errores de operación criptográfica para la clave externa](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | **`InvalidStateException`** Para obtener ayuda sobre la resolución de problemas, consulte [Errores de operación criptográfica para la clave externa](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | **`InvalidUriPathException`** Para obtener ayuda sobre la resolución de problemas, consulte [Errores de configuración general](xks-troubleshooting.md#fix-xks-gen-configuration). | **`XksProxyInvalidConfigurationException`** en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | **`KeyNotFoundException`** Para obtener ayuda sobre la resolución de problemas, consulte [Errores de clave externa](xks-troubleshooting.md#fix-external-key). | **`XksKeyNotFoundException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| Reintentable | **`ThrottlingException`** El proxy del almacén de claves externo rechazó la solicitud debido a una tasa de solicitudes muy alta. Reduzca la frecuencia de las llamadas con las claves de KMS en este almacén de claves externo. | **`XksProxyUriUnreachableException`** en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | **`UnsupportedOperationException`** Para obtener ayuda sobre la resolución de problemas, consulte [Errores de operación criptográfica para la clave externa](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidResponseException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| No reintentable | **`ValidationException`** Para obtener ayuda sobre la resolución de problemas, consulte [Problemas con el proxy](xks-troubleshooting.md#fix-xks-proxy). | **`XksProxyInvalidResponseException`** en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
| Reintentable | **`XksProxyUnreachableException`** Si aparece este error varias veces, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red, y que su ruta URI y su nombre de servicio de VPC o URI de punto de conexión sean correctos en su almacén de claves externo. | **`XksProxyUriUnreachableException`** en respuesta a operaciones `CreateCustomKeyStore` y `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** en respuesta a operaciones `CreateKey`. **`KMSInvalidStateException`** en respuesta a operaciones criptográficas. |
El gráfico de las 5 excepciones principales se deriva de la métrica [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors). Al ver un [punto de datos específico](#graph-data-point), la ventana emergente muestra el valor de la dimensión `ExceptionName` junto con la cantidad de veces que se registró la excepción en ese punto de datos. Los cinco elementos de la lista están ordenados de la excepción más frecuente a la menos frecuente.
Recomendamos utilizar la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) métrica para crear una CloudWatch alarma que le notifique los posibles problemas de configuración y le avise cuando se registren más de cinco errores que no se pueden volver a intentar en un período de un minuto. Para obtener más información, consulte [Creación de una alarma para los errores no reintentables](xks-alarms.md#nonretryable-errors-alarm).
### Días para el vencimiento del certificado
El número de días que faltan para que venza el certificado TLS del punto de conexión del proxy del almacén de claves externo (`XksProxyUriEndpoint`). Utilice este gráfico para monitorear el próximo vencimiento de su certificado TLS.
Cuando el certificado caduque, AWS KMS no podrá comunicarse con el proxy del almacén de claves externo. No se podrá acceder a todos los datos protegidos por las claves de KMS en su almacén de claves externo hasta que renueve el certificado.
El gráfico de días para el vencimiento del certificado se deriva de la métrica [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire). Recomendamos encarecidamente utilizar esta métrica para crear una CloudWatch alarma que le notifique la próxima caducidad. El vencimiento del certificado puede impedirle acceder a los recursos cifrados. Configure la alarma para que su organización tenga tiempo de renovar el certificado antes de que venza. Para obtener más información, consulte [Creación de una alarma para el vencimiento del certificado](xks-alarms.md#cert-expire-alarm).
# Conexión y desconexión de almacenes de claves externos
Los nuevos almacenes de claves externos no están conectados. Para crear y usar AWS KMS keys en su almacén de claves externo, debe conectar su almacén de claves externo a su [proxy de almacén de claves externo](keystore-external.md#concept-xks-proxy). Puede conectar y desconectar su almacén de claves externo en cualquier momento y [ver su estado de conexión](view-xks-keystore.md).
Mientras el almacén de claves externo esté desconectado, AWS KMS no podrá comunicarse con el proxy del almacén de claves externo. Como resultado, puede ver y administrar su almacén de claves externo y sus claves de KMS existentes. Sin embargo, no puede crear claves de KMS en su almacén de claves externo ni utilizar sus claves de KMS en operaciones criptográficas. Puede que tenga que desconectar el almacén de claves externo en algún momento, por ejemplo, al editar sus propiedades, por lo que debería planificar ante eventualidades. La desconexión del almacén de claves podría interrumpir el funcionamiento de AWS los servicios que utilizan sus claves KMS.
No es obligatorio conectar el almacén de claves externo. Puede dejar un almacén de claves externo desconectado de forma indefinida y conectarlo únicamente cuando tenga que usarlo. Sin embargo, le recomendamos que compruebe la conexión de forma periódica para verificar que la configuración es correcta y que se puede conectar.
Al desconectar un almacén de claves personalizado, las claves de KMS del almacén de claves quedan inutilizables de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con [claves de datos](data-keys.md) protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).
**nota**
Los almacenes de claves externos tienen un estado `DISCONNECTED` solo cuando el almacén de claves nunca se ha conectado o lo desconecta explícitamente. Un estado `CONNECTED` no indica que el almacén de claves externo o sus componentes de soporte estén funcionando de manera eficiente. Para obtener información sobre el rendimiento de los componentes del almacén de claves externo, consulte los gráficos de la sección **Monitoreo** de la página de detalles de cada almacén de claves externo. Para obtener más información, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
El administrador de claves externo puede proporcionar métodos adicionales para detener y reiniciar la comunicación entre el almacén de claves AWS KMS externo y el proxy del almacén de claves externo, o entre el proxy del almacén de claves externo y el administrador de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.
**Topics**
+ [Estado de la conexión](#xks-connection-state)
+ [Conexión de un almacén de claves externo](about-xks-connecting.md)
+ [Desconexión de un almacén de claves externo](about-xks-disconnecting.md)
## Estado de la conexión
La conexión y la desconexión cambian el *estado de conexión* del almacén de claves personalizado. Los valores del estado de conexión son los mismos para los almacenes de AWS CloudHSM claves y los almacenes de claves externos.
Para ver el estado de conexión del almacén de claves personalizado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operación o la AWS KMS consola. El **Connection state** (Estado de la conexión) aparece en cada tabla de almacén de claves personalizado, en la sección **General configuration** (Configuración general), y en la pestaña **Cryptographic configuration** (Configuración criptográfica) de las claves de KMS de un almacén de claves personalizado. Para más detalles, consulte [Ver un almacén de AWS CloudHSM claves](view-keystore.md) y [Visualización de almacenes de claves externos](view-xks-keystore.md).
Un almacén de claves personalizado puede tener uno de los siguientes estados de conexión:
+ `CONNECTED`: el almacén de claves personalizado está conectado a su almacén de claves de respaldo. Puede crear y usar claves de KMS en el almacén de claves personalizado.
El *almacén de claves de respaldo* de un almacén de AWS CloudHSM claves es su AWS CloudHSM clúster asociado. El *almacén de claves de respaldo* de un almacén de claves externo es el proxy del almacén de claves externo y el administrador de claves externo que admite.
El estado CONNECTED (CONECTADO) significa que la conexión se ha realizado correctamente y que el almacén de claves personalizado no se ha desconectado intencionadamente. No indica que la conexión funcione correctamente. Para obtener información sobre el estado del AWS CloudHSM clúster asociado a su almacén de AWS CloudHSM claves, consulte [Obtener CloudWatch métricas AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html) en la Guía del AWS CloudHSM usuario. Para obtener información sobre el estado y el funcionamiento del almacén de claves externo, consulte los gráficos de la sección **Monitoreo** de la página de detalles de cada almacén de claves externo. Para obtener más información, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
+ `CONNECTING`: el proceso de conectar un almacén de claves personalizado está en curso. Este es un estado transitorio.
+ `DISCONNECTED`: El almacén de claves personalizado nunca se conectó a su soporte o se desconectó intencionadamente mediante la AWS KMS consola o la [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html)operación.
+ `DISCONNECTING`: el proceso de desconexión de un almacén de claves personalizado está en curso. Este es un estado transitorio.
+ `FAILED`: se produjo un error al intentar conectar el almacén de claves personalizado. Lo que `ConnectionErrorCode` aparece en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)respuesta indica el problema.
Para conectar un almacén de claves personalizado, su estado de conexión debe ser `DISCONNECTED`. Si el estado de la conexión es `FAILED`, utilice el `ConnectionErrorCode` para identificar y resolver el problema. Luego, desconecte el almacén de claves personalizado antes de intentar conectarse de nuevo. Si desea ayuda con las conexiones que dan error, consulte [Errores de conexión del almacén de claves externo](xks-troubleshooting.md#fix-xks-connection). Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).
Para ver el código de error de conexión:
+ En la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta, vea el valor del `ConnectionErrorCode` elemento. Este elemento aparece en la respuesta `DescribeCustomKeyStores` solo cuando el `ConnectionState` es `FAILED`.
+ Para ver el código de error de conexión en la AWS KMS consola, vaya a la página de detalles del almacén de claves externo y coloque el cursor sobre el valor de **error**.
![\[Código de error de conexión en la página de detalles del almacén de claves personalizado\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/connection-error-code.png)
# Conexión de un almacén de claves externo
Cuando el almacén de claves externo esté conectado, puede [crear las claves de KMS en él](create-cmk-keystore.md) y usar las claves de KMS existentes en [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore).
El proceso que conecta un almacén de claves externo a su proxy del almacén de claves externo difiere en función de la conectividad del almacén de claves externo.
+ Cuando conectas un almacén de claves externo con [conectividad de punto final público](keystore-external.md#concept-xks-connectivity), AWS KMS envía una [GetHealthStatus solicitud](keystore-external.md#concept-proxy-apis) al proxy del almacén de claves externo para validar el [extremo URI del proxy, la ruta URI](create-xks-keystore.md#require-endpoint) [del proxy](create-xks-keystore.md#require-path) y la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential). Una respuesta correcta del proxy confirma que el [punto de conexión de la URI del proxy](create-xks-keystore.md#require-endpoint) y [la ruta de la URI del proxy](create-xks-keystore.md#require-path) son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) para el almacén de claves externo.
+ Al conectar un almacén de claves externo con [conectividad del servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity) a su proxy de almacén de claves externo, AWS KMS hace lo siguiente:
+ Confirma que se ha [verificado](vpc-connectivity.md#xks-private-dns) el dominio del nombre DNS privado especificado en el [punto de conexión de URI del proxy](create-xks-keystore.md#require-endpoint).
+ Crea un punto final de interfaz desde una AWS KMS VPC hasta su servicio de punto final de VPC.
+ Crea una zona alojada privada para el nombre DNS privado especificado en el punto de conexión de URI del proxy
+ Envía una [GetHealthStatussolicitud](keystore-external.md#concept-proxy-apis) al proxy del almacén de claves externo. Una respuesta correcta del proxy confirma que el [punto de conexión de la URI del proxy](create-xks-keystore.md#require-endpoint) y [la ruta de la URI del proxy](create-xks-keystore.md#require-path) son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) para el almacén de claves externo.
La operación de conexión inicia el proceso de conexión del almacén de claves personalizado, pero conectar un almacén de claves externo a su proxy externo tarda aproximadamente cinco minutos. Una respuesta correcta de la operación de conexión no indica que el almacén de claves externo esté conectado. Para confirmar que la conexión se ha realizado correctamente, utilice la AWS KMS consola o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operación para ver el [estado de la conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo.
Cuando el estado de la conexión es`FAILED`, se muestra un código de error de conexión en la AWS KMS consola y se añade a la `DescribeCustomKeyStore` respuesta. Para obtener ayuda para interpretar los códigos de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).
## Conexión y reconexión a su almacén de claves externo
Puede conectar o volver a conectar el almacén de claves externo en la AWS KMS consola o mediante esta [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación.
### Uso de la consola AWS KMS
Puede utilizar la AWS KMS consola para conectar un almacén de claves externo a su proxy de almacén de claves externo.
1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Elija la fila del almacén de claves externo que desee conectar.
Si el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo es **FAILED** (ERROR), deberá [desconectar el almacén de claves externo](disconnect-keystore.md#disconnect-keystore-console) antes de conectarlo.
1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Connect** (Conectar).
El proceso de conexión suele tardar unos cinco minutos en completarse. Cuando se completa la operación, el [estado de la conexión](xks-connect-disconnect.md#xks-connection-state) cambia a **CONNECTED** (CONECTADO).
Si el estado de conexión es **Failed** (Error), coloque el cursor sobre el estado de la conexión para ver el *código de error de conexión*, que explica la causa del error. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes). Para conectar un almacén de claves externo con un estado de conexión **Failed** (Error), primero debe [desconectar el almacén de claves personalizado](disconnect-keystore.md#disconnect-keystore-console).
### Uso de la API AWS KMS
Para conectar un almacén de claves externo desconectado, utilice la [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación.
Antes de realizar la conexión, el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo debe ser `DISCONNECTED`. Si el estado de conexión actual es `FAILED`, [desconecte el almacén de claves externo](about-xks-disconnecting.md#disconnect-xks-api) y conéctelo de nuevo.
El proceso de conexión tarda hasta cinco minutos en completarse. A menos que el error sea rápido, la operación `ConnectCustomKeyStore` devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar si el almacén de claves externo está conectado, consulte el estado de la conexión en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta.
En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
Para identificar el almacén de claves externo, use el ID del almacén de claves personalizado. Puede encontrar el ID en la página de **almacenes de claves personalizados** de la consola o mediante la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
En cambio, la operación `ConnectCustomKeyStore` no devuelve el `ConnectionState` en su respuesta. Para comprobar que el almacén de claves externo está conectado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de `ConnectionState` `CONNECTED` indica que el almacén de claves externo está conectado a su proxy del almacén de claves externo.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Si el valor de `ConnectionState` en la respuesta `DescribeCustomKeyStores` es `FAILED`, el elemento `ConnectionErrorCode` indica el motivo del error.
En el siguiente ejemplo, el `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valor de `ConnectionErrorCode` indica que no AWS KMS puede encontrar el servicio de punto final de la VPC que utiliza para comunicarse con el proxy del almacén de claves externo. Compruebe que `XksProxyVpcEndpointServiceName` es correcto, que el principal del AWS KMS servicio es un principal permitido en el servicio de puntos de enlace de Amazon VPC y que el servicio de puntos de enlace de VPC no requiere la aceptación de las solicitudes de conexión. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
# Desconexión de un almacén de claves externo
Al desconectar un almacén de claves externo con [conectividad a un servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity) de su proxy del almacén de claves externo, AWS KMS elimina el punto de conexión de su interfaz al servicio del punto de conexión de VPC y elimina la infraestructura de red que creó para respaldar la conexión. No se requiere ningún proceso equivalente para los almacenes de claves externos con puntos de conexión públicos. Esta acción no afecta al servicio del punto de conexión de VPC ni a ninguno de sus componentes de soporte, ni al proxy del almacén de claves externo ni a ningún componente externo.
Mientras el almacén de claves externo esté desconectado, AWS KMS no envía ninguna solicitud al proxy del almacén de claves externo. El estado de conexión del almacén de claves externo es `DISCONNECTED`. Las claves de KMS del almacén de claves externo desconectado se encuentran en el [estado de clave `UNAVAILABLE`](key-state.md) (a menos que estén [pendientes de eliminación](deleting-keys.md)), lo que significa que no se pueden utilizar en operaciones criptográficas. Sin embargo, aún puede ver y administrar su almacén de claves externo y sus claves de KMS existentes.
El estado desconectado está diseñado para ser temporal y reversible. Puede volver a conectar el almacén de claves externo en cualquier momento. Por lo general, no es necesaria ninguna reconfiguración. Sin embargo, si alguna de las propiedades del proxy del almacén de claves externo asociado cambió mientras estaba desconectado, como la rotación de su [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential), debe [editar la configuración del almacén de claves externo](update-xks-keystore.md) antes de volver a conectarse.
**nota**
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
Para realizar una mejor estimación del efecto de desconectar el almacén de claves externo, identifique las claves de KMS en el almacén de claves externo y [determine su uso en el pasado](deleting-keys-determining-usage.md).
Puede desconectar el almacén de claves externo por los motivos siguientes:
+ **Para editar sus propiedades.** Puede editar el nombre del almacén de claves personalizado, la ruta URI del proxy y la credencial de autenticación del proxy mientras el almacén de claves externo esté conectado. Sin embargo, para editar el tipo de conectividad del proxy, el punto de conexión URI del proxy o el nombre del servicio de punto de conexión de VPC, primero debe desconectar el almacén de claves externo. Para obtener más información, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
+ **Para detener todas las comunicaciones** entre AWS KMS y el proxy del almacén de claves externo. También puede detener la comunicación entre AWS KMS y su proxy deshabilitando su punto final o el servicio de punto final de VPC. Además, el proxy del almacén de claves externo o el software de administración de claves pueden proporcionar mecanismos adicionales para AWS KMS impedir la comunicación con el proxy o impedir que el proxy acceda a su administrador de claves externo.
+ **Para deshabilitar todas las claves de KMS** en el almacén de claves externo. Puede [deshabilitar y volver a activar las claves KMS](enabling-keys.md) en un almacén de claves externo mediante la AWS KMS consola o la [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación. Estas operaciones se completan rápidamente (sujeto a eventual consistencia), pero actúan en una clave de KMS cada vez. La desconexión del almacén de claves externo cambia el estado de clave de todas las claves de KMS en el almacén de claves externo a `Unavailable`, lo que evita que se utilicen en operaciones criptográficas.
+ **Para reparar un error en la conexión**. Si el intento de conexión al almacén de claves externo falla (el estado de la conexión del almacén de claves externo es `FAILED`), deberá desconectar el almacén de claves externo antes de intentar conectarlo de nuevo.
## Desconexión de su almacén de claves externo
Puede desconectar el almacén de claves externo de la AWS KMS consola o mediante esta [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación.
### Uso de la AWS KMS consola
Puede utilizar la AWS KMS consola para conectar un almacén de claves externo a su proxy de almacén de claves externo. Este proceso tarda alrededor de 5 minutos en completarse.
1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Elija la fila del almacén de claves externo que desee desconectar.
1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Disconnect** (Desconectar).
Cuando la operación finalizada, el estado de conexión cambia de **DISCONNECTING (DESCONECTANDO)** a **DISCONNECTED (DESCONECTADO)**. Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [Errores de conexión del almacén de claves externo](xks-troubleshooting.md#fix-xks-connection).
### Uso de la API AWS KMS
Para desconectar un almacén de claves externo conectado, utilice la [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. El proceso tarda hasta cinco minutos en completarse. Para encontrar el estado de la conexión del almacén de claves externo, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación.
En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
En este ejemplo, se desconecta un almacén de claves externo con la conectividad del servicio del punto de conexión de VPC. Antes de ejecutar este ejemplo, reemplace el ID del almacén de claves personalizado de ejemplo por uno válido.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Para comprobar que el almacén de claves externo está desconectado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de `ConnectionState` `DISCONNECTED` indica que el almacén de claves externo ya no está conectado a su proxy del almacén de claves externo.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "DISCONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
# Eliminación de un almacén de claves externo
Al eliminar un almacén de claves externo, AWS KMS elimina todos los metadatos sobre el almacén de claves externo AWS KMS, incluida la información sobre su proxy de almacén de claves externo. Esta operación no afecta al [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy), al [administrador de claves externo](keystore-external.md#concept-ekm), a [las claves externas](keystore-external.md#concept-external-key) ni a ningún AWS recurso que haya creado para respaldar el almacén de claves externo, como una Amazon VPC o un servicio de punto final de VPC.
Antes de eliminar un almacén de claves externo, debe [eliminar todas las claves de KMS del almacén de claves](deleting-keys.md) y [desconectar el almacén de claves](xks-connect-disconnect.md) de su proxy del almacén de claves externo. De lo contrario, fallarán los intentos de eliminar el almacén de claves.
Eliminar un almacén de claves externo es irreversible, pero puede crear un nuevo almacén de claves externo y asociarlo al mismo proxy del almacén de claves externo y al mismo administrador de claves externo. Sin embargo, no puede volver a crear las claves KMS de cifrado simétrico en el almacén de claves externo, aunque tenga acceso al mismo material de claves externas. AWS KMS incluye los metadatos en el texto cifrado simétrico exclusivo de cada clave KMS. Esta función de seguridad garantiza que solo la clave de KMS que cifró los datos pueda descifrarlos.
En lugar de eliminar el almacén de claves externo, considere la posibilidad de desconectarlo. Mientras un almacén de claves externo esté desconectado, puede administrar el almacén de claves externo y su almacenamiento, AWS KMS keys pero no puede crear ni usar claves KMS en el almacén de claves externo. Puede volver a conectar el almacén de claves externo en cualquier momento y reanudar el uso de sus claves de KMS para cifrar y descifrar datos. Un proxy del almacén de claves externo desconectado o sus claves de KMS no disponibles no incurren en ningún costo.
Puede eliminar el almacén de claves externo en la AWS KMS consola o mediante esta [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operación.
## Uso de la AWS KMS consola
Puede utilizar la AWS KMS consola para eliminar un almacén de claves externo.
1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Busque la fila que representa el almacén de claves externo que quiere eliminar. Si el **estado de conexión** del almacén de claves externo no es **DISCONNECTED** (DESCONECTADO), debe [desconectar el almacén de claves externo](about-xks-disconnecting.md#disconnect-xks-console) antes de eliminarlo.
1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Delete** (Eliminar).
Cuando la operación finalice, aparecerá un mensaje de confirmación y el almacén de claves externo ya no aparecerá en la lista de almacenes de claves. Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [Solución de problemas de almacenes de claves externos](xks-troubleshooting.md).
## Uso de la API AWS KMS
Para eliminar un almacén de claves externo, utilice la [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades.
Para empezar, desconecte el almacén de claves externo. Antes de ejecutar este comando, reemplace el ID del almacén de claves personalizado de ejemplo por uno válido.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Una vez desconectado el almacén de claves externo, puede utilizar la [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operación para eliminarlo.
```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Para confirmar que se ha eliminado el almacén de claves externo, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación.
```
$ aws kms describe-custom-key-stores
{
"CustomKeyStores": []
}
```
Si especifica un nombre o ID de almacén de claves personalizado que ya no existe, AWS KMS devuelve una `CustomKeyStoreNotFoundException` excepción.
```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
An error occurred (CustomKeyStoreNotFoundException) when calling the DescribeCustomKeyStore operation:
```
# Solución de problemas de almacenes de claves externos
La solución de la mayoría de los problemas con los almacenes de claves externos se indica mediante el mensaje de error que AWS KMS aparece con cada excepción o mediante el [código de error de conexión](#fix-xks-connection) que aparece AWS KMS cuando se produce un error al intentar [conectar el almacén de claves externo](xks-connect-disconnect.md) a su proxy de almacén de claves externo. Sin embargo, algunos problemas son un poco más complejos.
Al diagnosticar un problema con un almacén de claves externo, localice primero la causa. Esto reducirá la gama de soluciones y hará que la solución de problemas sea más eficiente.
+ AWS KMS — El problema puede estar dentro AWS KMS, por ejemplo, un valor incorrecto en la [configuración del almacén de claves externo](create-xks-keystore.md#xks-requirements).
+ Externo: el problema puede originarse fuera de AWS KMS, incluidos los problemas con la configuración o el funcionamiento del proxy del almacén de claves externo, el administrador de claves externo, las claves externas o el servicio de punto final de la VPC.
+ Redes: puede tratarse de un problema de conectividad o de red, como un problema con el punto de conexión del proxy, el puerto, la pila de IP o el dominio o nombre DNS privado.
**nota**
Cuando las operaciones de administración en almacenes de claves externos fallan, se generan varias excepciones diferentes. Sin embargo, las operaciones AWS KMS criptográficas se `KMSInvalidStateException` repiten cuando se producen errores relacionados con la configuración externa o el estado de conexión del almacén de claves externo. Para identificar el problema, utilice el texto del mensaje de error adjunto.
La [ConnectCustomKeyStore](xks-connect-disconnect.md)operación se realiza rápidamente antes de que se complete el proceso de conexión. Para determinar si el proceso de conexión se ha realizado correctamente, consulte el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo. Si el proceso de conexión falla, AWS KMS devuelve un [código de error de conexión](#xks-connection-error-codes) que explica la causa y sugiere una solución.
**Topics**
+ [Herramientas de solución de problemas para almacenes de claves externos](#xks-troubleshooting-tools)
+ [Errores de configuración](#fix-xks-configuration)
+ [Errores de conexión del almacén de claves externo](#fix-xks-connection)
+ [Errores de latencia y tiempo de espera](#fix-xks-latency)
+ [Errores en las credenciales de autenticación](#fix-xks-credentials)
+ [Errores de estados de las claves](#fix-unavailable-xks-keys)
+ [Errores de descifrado](#fix-xks-decrypt)
+ [Errores de clave externa](#fix-external-key)
+ [Problemas con el proxy](#fix-xks-proxy)
+ [Problemas de autorización de proxy](#fix-xks-authorization)
## Herramientas de solución de problemas para almacenes de claves externos
AWS KMS proporciona varias herramientas para ayudarle a identificar y resolver problemas con el almacén de claves externo y sus claves. Utilice estas herramientas junto con las herramientas proporcionadas con su proxy del almacén de claves externo y su administrador de claves externo.
**nota**
El proxy del almacén de claves externo y el administrador de claves externo pueden proporcionar métodos más sencillos para crear y mantener el almacén de claves externo y sus claves de KMS. Para obtener más detalles, consulte la documentación de sus herramientas externas.
**AWS KMS excepciones y mensajes de error**
AWS KMS proporciona un mensaje de error detallado sobre cualquier problema que encuentre. Puedes encontrar información adicional sobre AWS KMS las excepciones en la [https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) y AWS SDKs. Incluso si utilizas la AWS KMS consola, estas referencias pueden resultarte útiles. Por ejemplo, consulte la lista de [errores](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) de la operación `CreateCustomKeyStores`.
Para optimizar el rendimiento del proxy del almacén de claves externo, AWS KMS devuelve excepciones en función de la fiabilidad del proxy dentro de un período de agregación determinado de 5 minutos. En caso de que se obtenga una respuesta 500 Internal Server Error, 503 Service Unavailable o tiempo de espera de conexión agotado, un proxy de alta fiabilidad devuelve `KMSInternalException` funcionar y activa un reintento automático para garantizar que las solicitudes se realicen correctamente. Sin embargo, un proxy de baja fiabilidad devuelve `KMSInvalidStateException`. Para obtener más información, consulte [Monitoreo de un almacén de claves externo](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).
Si el problema surge en otro AWS servicio, por ejemplo, cuando utilizas una clave KMS en tu almacén de claves externo para proteger un recurso de otro AWS servicio, es posible que el AWS servicio proporcione información adicional que te ayude a identificar el problema. Si el AWS servicio no proporciona el mensaje, puedes ver el mensaje de error en los [CloudTrail registros](logging-using-cloudtrail.md) que registran el uso de tu clave KMS.
**[CloudTrail logs](logging-using-cloudtrail.md)**
Todas las operaciones de la AWS KMS API, incluidas las acciones de la AWS KMS consola, se registran en AWS CloudTrail los registros. AWS KMS registra una entrada de registro para las operaciones correctas y fallidas. Para las operaciones fallidas, la entrada del registro incluye el nombre de la excepción de AWS KMS (`errorCode`) y el mensaje de error (`errorMessage`). Puede utilizar esta información como ayuda para identificar y resolver el error. Para ver un ejemplo, consulta [Error de descifrado con una clave de KMS en un almacén de claves externo](ct-decrypt.md#ct-decrypt-xks-fail).
La entrada de registro también incluye el ID de la solicitud. Si la solicitud llegó a su proxy del almacén de claves externo, puede utilizar el ID de solicitud de la entrada de registro para buscar la solicitud correspondiente en sus registros de proxy, si su proxy los proporciona.
**[CloudWatch métricas](monitoring-cloudwatch.md#kms-metrics)**
AWS KMS registra CloudWatch estadísticas detalladas de Amazon sobre el funcionamiento y el rendimiento de tu almacén de claves externo, como la latencia, la limitación, los errores de proxy, el estado del administrador de claves externo, el número de días que faltan para que caduque tu certificado TLS y la antigüedad declarada de tus credenciales de autenticación de proxy. Puede utilizar estas métricas para desarrollar modelos de datos para el funcionamiento de su almacén de claves externo y CloudWatch alarmas que le avisen de problemas inminentes antes de que se produzcan.
AWS KMS recomienda crear CloudWatch alarmas para supervisar las métricas del almacén de claves externo. Estas alarmas le avisarán de las señales tempranas de problemas antes de que se presenten.
**[Gráficos de monitorización](xks-monitoring.md)**
AWS KMS muestra gráficos de las CloudWatch métricas del almacén de claves externo en la página de detalles de cada almacén de claves externo de la AWS KMS consola. Puede utilizar los datos de los gráficos para localizar el origen de los errores, detectar problemas inminentes, establecer líneas de base y refinar los umbrales de alarma. CloudWatch Para obtener más detalles sobre la interpretación de los gráficos de monitoreo y el uso de sus datos, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
**Visualización de almacenes de claves externos y claves de KMS**
AWS KMS muestra información detallada sobre los almacenes de claves externos y las claves de KMS del almacén de claves externo de la AWS KMS consola, así como sobre la respuesta a las operaciones y. [DescribeCustomKeyStores[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Estas pantallas incluyen campos especiales para almacenes de claves externos y claves de KMS con información que puede utilizar para solucionar problemas, como el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo y el ID de clave externa asociada a la clave de KMS. Para obtener más información, consulte [Visualización de almacenes de claves externos](view-xks-keystore.md).
**[XKS Proxy Test Client](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**
AWS KMS proporciona un cliente de prueba de código abierto que verifica que el proxy del almacén de claves externo cumpla con la especificación de la [API de proxy del almacén de claves AWS KMS externo](https://github.com/aws/aws-kms-xksproxy-api-spec/). Puede utilizar este cliente de prueba para identificar y resolver problemas con su proxy del almacén de claves externo.
## Errores de configuración
Al crear un almacén de claves externo, especifica los valores de propiedades que comprenden la *configuración* del almacén de claves externo, como la [credencial de autenticación del proxy](create-xks-keystore.md#require-credential), el [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint), la [ruta URI del proxy](create-xks-keystore.md#require-path) y el [nombre del servicio de punto de conexión de VPC](create-xks-keystore.md#require-vpc-service-name). Cuando AWS KMS detecta un error en el valor de una propiedad, la operación no se realiza correctamente y devuelve un error que indica que el valor es incorrecto.
Muchos problemas de configuración se pueden resolver al corregir el valor incorrecto. Puede corregir una ruta URI del proxy o una credencial de autenticación del proxy no válidas sin desconectar el almacén de claves externo. Para obtener las definiciones de estos valores, incluidos los requisitos de exclusividad, consulte [Cumplir los requisitos previos](create-xks-keystore.md#xks-requirements). Para obtener instrucciones sobre cómo actualizar estos valores, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
Para evitar errores con la ruta URI del proxy y los valores de la credencial de autenticación del proxy, al crear o actualizar el almacén de claves externo, cargue un [archivo de configuración del proxy](create-xks-keystore.md#proxy-configuration-file) en la consola de AWS KMS . Se trata de un archivo basado en JSON con la ruta URI del proxy y los valores de la credencial de autenticación del proxy que proporciona el proxy del almacén de claves externo o el administrador de claves externo. No puedes usar un archivo de configuración de proxy con las operaciones de la AWS KMS API, pero puedes usar los valores del archivo para ayudarte a proporcionar valores de parámetros para tus solicitudes de API que coincidan con los valores de tu proxy.
### Errores de configuración general
**Excepciones**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operaciones criptográficas), `XksProxyInvalidConfigurationException` (operaciones de administración, excepto `CreateKey`)
[**Códigos de error de conexión**](#xks-connection-error-codes): `XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`
En el caso de los almacenes de claves externos con [conectividad de punto final público](choose-xks-connectivity.md#xks-connectivity-public-endpoint), AWS KMS comprueba los valores de las propiedades al crear y actualizar el almacén de claves externo. En el caso de los almacenes de claves externos con [conectividad al servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity), AWS KMS prueba los valores de propiedades al conectar y actualizar el almacén de claves externo.
**nota**
La operación `ConnectCustomKeyStore`, que es asincrónica, puede realizarse correctamente aunque falle el intento de conectar el almacén de claves externo a su proxy del almacén de claves externo. En ese caso, no hay ninguna excepción, pero el estado de conexión del almacén de claves externo es Failed (Error) y aparece un código de error de conexión que explica el mensaje de error. Para obtener más información, consulte [Errores de conexión del almacén de claves externo](#fix-xks-connection).
Si AWS KMS detecta un error en el valor de una propiedad, se produce un error en la operación y se devuelve `XksProxyInvalidConfigurationException` con uno de los siguientes mensajes de error.
| |
| --- |
| El proxy del almacén de claves externo rechazó la solicitud porque la ruta URI no era válida. Verifique la ruta URI del almacén de claves externo y actualícela si es necesario. |
+ La [ruta URI del proxy](create-xks-keystore.md#require-path) es la ruta base para AWS KMS las solicitudes al proxy APIs. Si esta ruta es incorrecta, fallarán todas las solicitudes al proxy. Para [ver la ruta URI del proxy actual](view-xks-keystore.md) del almacén de claves externo, utilice la consola de AWS KMS o la operación `DescribeCustomKeyStores`. Para encontrar la ruta URI del proxy correcta, consulte la documentación del proxy del almacén de claves externo. Para obtener ayuda para corregir el valor de la ruta URI del proxy, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
+ La ruta URI del proxy del almacén de claves externo puede cambiar con las actualizaciones del proxy del almacén de claves externo o del administrador de claves externo. Para obtener información sobre estos cambios, consulte la documentación del proxy del almacén de claves externo o administrador de claves externo.
| |
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS no puede establecer una conexión TLS con el proxy del almacén de claves externo. Verifique la configuración de TLS, incluido su certificado. |
+ Todos los proxy del almacén de claves externo requieren un certificado TLS. El certificado TLS debe ser emitido por una autoridad de certificación (CA) pública que sea compatible con almacenes de claves externos. Para obtener una lista de las admitidas CAs, consulte [las autoridades certificadoras de confianza](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) en la especificación de la API de proxy del almacén de claves AWS KMS externo.
+ Para la conectividad a puntos de conexión públicos, el nombre común (CN) del asunto del certificado TLS debe coincidir con el nombre de dominio del [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint) del proxy del almacén de claves externo. Por ejemplo, si el punto de conexión público es https://myproxy.xks.example.com, el TLS, el CN del certificado TLS debe ser `myproxy.xks.example.com` o `*.xks.example.com`.
+ Para la conectividad al servicio de punto de conexión de VPC, el nombre común (CN) del asunto del certificado TLS debe coincidir con el nombre DNS privado del [servicio de punto de conexión de VPC](create-xks-keystore.md#require-vpc-service-name). Por ejemplo, si el nombre DNS privado es myproxy-private.xks.example.com, el CN del certificado TLS debe ser `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ El certificado TLS no puede estar caducado. Para obtener la fecha de caducidad de un certificado TLS, utilice herramientas SSL, como [OpenSSL](https://www.openssl.org/). Para controlar la fecha de caducidad de un certificado TLS asociado a un almacén de claves externo, usa la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch métrica. El número de días que faltan para la fecha de caducidad de la certificación TLS también aparece en la [sección **Supervisión**](xks-monitoring.md) de la AWS KMS consola.
+ Si utiliza una [conectividad a puntos de conexión públicos](choose-xks-connectivity.md#xks-connectivity-public-endpoint), utilice las herramientas de prueba de SSL para probar la configuración de SSL. Los errores de conexión TLS pueden deberse a un encadenamiento incorrecto de certificados.
### Errores de configuración de conectividad al servicio de punto de conexión de VPC
**Excepciones**: `XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`
Además de los problemas de conectividad generales, es posible que se produzcan los siguientes problemas al crear, conectar o actualizar un almacén de claves externo con la conectividad del servicio de punto final de VPC. AWS KMS prueba los valores de las propiedades de un almacén de claves externo con la conectividad del servicio de punto final de VPC al [crear](create-xks-keystore.md), [conectar](xks-connect-disconnect.md) y [actualizar](update-xks-keystore.md) el almacén de claves externo. Cuando las operaciones de administración fallan debido a errores de configuración, generan las siguientes excepciones:
| |
| --- |
| XksProxyVpcEndpointServiceNotFoundException |
Esto podría deberse a una de las siguientes causas:
+ Un nombre del servicio de punto de conexión de VPC incorrecto. Compruebe que el nombre del servicio de punto de conexión de VPC del almacén de claves externo sea correcto y que coincida con el valor del punto de conexión URI del proxy del almacén de claves externo. Para encontrar el nombre del servicio de punto final de la VPC, utilice la [consola de Amazon VPC](https://console.aws.amazon.com/vpc) o la operación. [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html) Para encontrar el nombre del servicio de punto final de la VPC y el extremo URI del proxy de un almacén de claves externo existente, utilice la AWS KMS consola o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. Para obtener más información, consulte [Visualización de almacenes de claves externos](view-xks-keystore.md).
+ El servicio de punto final de la VPC puede estar en un almacén de claves Región de AWS diferente al externo. Verifique que el servicio de punto de conexión de VPC y el almacén de claves externo estén en la misma región. (El nombre externo del nombre de la región, por ejemplo, forma parte del nombre del servicio de punto final de la VPC`us-east-1`, como com.amazonaws.vpce.us-east-1. vpce-svc-example.) Para obtener una lista de los requisitos del servicio de punto de conexión de VPC para un almacén de claves externo, consulte [Servicio de punto de conexión de VPC](create-xks-keystore.md#require-vpc-service-name). No puede mover un servicio de punto de conexión de VPC ni un almacén de claves externo a otra región. Sin embargo, puede crear un nuevo almacén de claves externo en la misma región que el servicio de punto de conexión de VPC. Para más detalles, consulte [Configuración de la conectividad del servicio de punto de conexión de VPC](vpc-connectivity.md) y [Creación de un almacén de claves externo](create-xks-keystore.md).
+ AWS KMS no es un principal permitido para el servicio de punto final de la VPC. La lista de **Entidades principales permitidas** para el servicio de punto de conexión de VPC debe incluir el valor `cks.kms..amazonaws.com`, por ejemplo `cks.kms.eu-west-3.amazonaws.com`. Para obtener instrucciones sobre cómo agregar este valor, consulte [Administrar permisos](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) en la *Guía de AWS PrivateLink *.
| |
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException |
Este error se produce cuando el servicio de punto de conexión de VPC no cumple uno de los siguientes requisitos:
+ La VPC requiere al menos dos subredes privadas, cada una en una zona de disponibilidad diferente. Para agregar una subred a la VPC, consulte [Crear una subred en la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets) en la *Guía del usuario de Amazon VPC*.
+ El [tipo de servicio de punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) debe usar un equilibrador de carga de red, no un equilibrador de carga de puerta de enlace.
+ No debe exigirse la aceptación del servicio de punto de conexión de VPC (la **aceptación obligatoria** debe ser falsa). Si se requiere la aceptación manual de cada solicitud de conexión, AWS KMS no podrá utilizar el servicio de punto final de la VPC para conectarse al proxy del almacén de claves externo. Para obtener más información, consulte [Aceptar o rechazar solicitudes de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) en la *Guía de AWS PrivateLink *.
+ El servicio de punto de conexión de VPC debe tener un nombre DNS privado que sea un subdominio de un dominio público. Por ejemplo, si el nombre DNS privado es `https://myproxy-private.xks.example.com`, los dominios `xks.example.com` o `example.com` deben tener un servidor de DNS público. Para ver o cambiar el nombre DNS privado del servicio de punto de conexión de VPC, consulte [Administrar nombres DNS de los servicios de punto de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) en la *Guía de AWS PrivateLink *.
+ El **estado de verificación de dominio** del dominio de su nombre DNS privado debe ser `verified`. Para ver y actualizar el estado de verificación del dominio de nombre DNS privado, consulte [Paso 5: Verificar el dominio de su nombre DNS privado](vpc-connectivity.md#xks-private-dns). Es posible que el estado de verificación actualizado tarde unos minutos en aparecer después de agregar el registro de texto requerido.
**nota**
Un dominio DNS privado solo se puede verificar si es el subdominio de un dominio público. De lo contrario, el estado de verificación del dominio de DNS privado no cambiará, incluso después de agregar el registro TXT requerido.
+ Asegúrese de que los firewalls situados entre AWS KMS y el proxy del almacén de claves externo permitan el tráfico hacia y desde el puerto 443 del proxy. AWS KMS se comunica a través del puerto 443. IPv4 Este valor no se puede configurar.
+ El nombre DNS privado del servicio de punto de conexión de VPC debe coincidir con el valor del [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint) para el almacén de claves externo. Para un almacén de claves externo con conectividad al servicio de punto de conexión de VPC, el punto de conexión URI del proxy debe ser `https://` seguido del nombre DNS privado del servicio de punto de conexión de VPC. Para ver el valor del punto de conexión URI del proxy, consulte [Visualización de almacenes de claves externos](view-xks-keystore.md). Para cambiar el valor del punto de conexión URI del proxy, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
## Errores de conexión del almacén de claves externo
El [proceso de conexión de un almacén de claves externo](about-xks-connecting.md) a su proxy de almacén de claves externo tarda unos cinco minutos en completarse. A menos que el error sea rápido, la operación `ConnectCustomKeyStore` devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar si el almacén de claves externo está conectado, consulte su [estado de conexión](xks-connect-disconnect.md#xks-connection-state). Si la conexión falla, el estado de conexión del almacén de claves externo cambia `FAILED` y AWS KMS devuelve un [código de error de conexión](#xks-connection-error-codes) que explica la causa del error.
**nota**
Si el estado de conexión de un almacén de claves personalizado es `FAILED`, deberá desconectar el almacén de claves personalizado antes de conectarlo de nuevo. No puede conectar un almacén de claves personalizado que tenga el estado de conexión `FAILED`.
Para ver el estado de conexión de un almacén de claves externo:
+ En la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta, vea el valor del `ConnectionState` elemento.
+ En la AWS KMS consola, el **estado de la conexión** aparece en la tabla del almacén de claves externo. Además, en la página de detalles de cada almacén de claves externo, aparece el **estado de conexión** en la sección **Configuración general**.
Cuando el estado de la conexión es `FAILED`, el código de error de conexión ayuda a explicar el error.
Para ver el código de error de conexión:
+ En la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta, vea el valor del `ConnectionErrorCode` elemento. Este elemento aparece en la respuesta `DescribeCustomKeyStores` solo cuando el `ConnectionState` es `FAILED`.
+ Para ver el código de error de conexión en la AWS KMS consola, vaya a la página de detalles del almacén de claves externo y coloque el cursor sobre el valor de **error**.
![\[Código de error de conexión en la página de detalles del almacén de claves personalizado\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/connection-error-code.png)
### Códigos de error de conexión para almacenes de claves externos
Los siguientes códigos de error de conexión aplican a los almacenes de claves externos
`INTERNAL_ERROR`
AWS KMS no se pudo completar la solicitud debido a un error interno. Intente realizar de nuevo la solicitud . Para las solicitudes`ConnectCustomKeyStore`, desconecte el almacén de claves personalizado antes de intentar conectarse de nuevo.
`INVALID_CREDENTIALS`
Uno o ambos valores de `XksProxyAuthenticationCredential` no son válidos en el proxy del almacén de claves externo especificado.
`NETWORK_ERRORS`
Los errores de red AWS KMS impiden conectar el almacén de claves personalizado al almacén de claves secundario.
`XKS_PROXY_ACCESS_DENIED`
AWS KMS a las solicitudes se les deniega el acceso al proxy del almacén de claves externo. Si el proxy del almacén de claves externo tiene reglas de autorización, compruebe que permitan a AWS KMS comunicarse con el proxy en su nombre.
`XKS_PROXY_INVALID_CONFIGURATION`
Un error de configuración impide que el almacén de claves externo se conecte a su proxy. Compruebe el valor de `XksProxyUriPath`.
`XKS_PROXY_INVALID_RESPONSE`
AWS KMS no puede interpretar la respuesta del proxy del almacén de claves externo. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo.
`XKS_PROXY_INVALID_TLS_CONFIGURATION`
AWS KMS no puede conectarse al proxy del almacén de claves externo porque la configuración de TLS no es válida. Compruebe que el proxy del almacén de claves externo sea compatible con TLS 1.2 o 1.3. Además, compruebe que el certificado TLS no esté caducado, que coincida con el nombre de host en el valor `XksProxyUriEndpoint` y que esté firmado por una autoridad de certificación de confianza incluida en la lista de [Autoridades de certificación de confianza](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).
`XKS_PROXY_NOT_REACHABLE`
AWS KMS no puede comunicarse con el proxy del almacén de claves externo. Compruebe que `XksProxyUriEndpoint` y `XksProxyUriPath` sean correctos. Utilice las herramientas de su proxy del almacén de claves externo para comprobar que el proxy esté activo y disponible en su red. Además, compruebe que las instancias del administrador de claves externo funcionen correctamente. Los intentos de conexión fallan con este código de error de conexión si el proxy informa que todas las instancias del administrador de claves externo no están disponibles.
`XKS_PROXY_TIMED_OUT`
AWS KMS puede conectarse al proxy del almacén de claves externo, pero el proxy no responde AWS KMS en el tiempo asignado. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo.
`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`
La configuración del servicio de puntos de conexión de Amazon VPC no cumple con los requisitos de un almacén de claves AWS KMS externo.
+ El servicio de punto de conexión de VPC debe ser un servicio de punto de conexión para los puntos de conexión de la interfaz de la Cuenta de AWS de la persona que llama.
+ Debe tener un equilibrador de carga de red (NLB) conectado a al menos dos subredes, cada una en una zona de disponibilidad diferente.
+ La `Allow principals` lista debe incluir el principal AWS KMS de servicio de la región`cks.kms..amazonaws.com`, por ejemplo`cks.kms.us-east-1.amazonaws.com`.
+ *No* debe requerir la [aceptación](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) de las solicitudes de conexión.
+ Debe tener un nombre DNS privado. El nombre DNS privado de un almacén de claves externo con conectividad `VPC_ENDPOINT_SERVICE` debe ser único en su Región de AWS.
+ El dominio del nombre DNS privado debe tener un [estado de verificación](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) `verified`.
+ El [certificado TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) especifica el nombre de host DNS privado en el que se puede acceder al punto de conexión.
`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`
AWS KMS no encuentra el servicio de punto final de la VPC que utiliza para comunicarse con el proxy del almacén de claves externo. Compruebe que `XksProxyVpcEndpointServiceName` es correcto y que la entidad principal del servicio de AWS KMS tiene permisos de consumidor del servicio en el servicio de punto de conexión de VPC de Amazon.
## Errores de latencia y tiempo de espera
**Excepciones**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operaciones criptográficas), `XksProxyUriUnreachableException` (operaciones de administración)
[**Códigos de error de conexión**](#xks-connection-error-codes): `XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`
Si no AWS KMS puede contactar con el proxy dentro del intervalo de tiempo de espera de 250 milisegundos, devuelve una excepción. `CreateCustomKeyStore`y `UpdateCustomKeyStore` volver. `XksProxyUriUnreachableException` Las operaciones criptográficas generan la `KMSInvalidStateException` estándar con un mensaje de error que describe el problema. Si `ConnectCustomKeyStore` falla, AWS KMS devuelve un [código de error de conexión](#fix-xks-connection) que describe el problema.
Los errores de tiempo de espera pueden ser problemas transitorios que se pueden resolver volviendo a intentar la solicitud. Si el problema persiste, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red. Además, compruebe que el punto de conexión URI del proxy, la ruta URI del proxy y el nombre del servicio de punto de conexión de VPC (si lo hubiera) sean correctos en el almacén de claves externo. Compruebe también que el administrador de claves externo esté cerca del almacén Región de AWS de claves externo. Si necesita actualizar alguno de estos valores, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
Para realizar un seguimiento de los patrones de latencia, utiliza la [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch métrica y el gráfico de **latencia media** (basado en esa métrica) de la [sección **Supervisión**](xks-monitoring.md) de la AWS KMS consola. El proxy de su almacén de claves externo también puede generar registros y métricas que rastreen la latencia y los tiempos de espera.
| |
| --- |
| `XksProxyUriUnreachableException`AWS KMS no se puede comunicar con el proxy del almacén de claves externo. Esto puede ser un problema de red transitorio. Si aparece este error varias veces, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red, y que el URI del punto de conexión sea correcto en el almacén de claves externo. |
+ El proxy del almacén de claves externo no respondió a una solicitud de API de AWS KMS proxy dentro del intervalo de espera de 250 milisegundos. Esto puede indicar un problema de red transitorio o un problema operativo o de rendimiento con el proxy. Si volver a intentarlo no resuelve el problema, notifíquelo al administrador de proxy del almacén de claves externo.
Los errores de latencia y tiempo de espera suelen manifestarse como errores de conexión. Cuando se produce un error en la [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación, el *estado de conexión* del almacén de claves externo cambia `FAILED` y AWS KMS devuelve un *código de error de conexión* que explica el error. Para obtener una lista de los códigos de error de conexión y sugerencias para resolverlos, consulte [Códigos de error de conexión para almacenes de claves externos](#xks-connection-error-codes). Las listas de códigos de conexión de **Todos los almacenes de claves personalizados** y **Almacenes de claves externos** aplican a los almacenes de claves externos. Los siguientes errores de conexión están relacionados con la latencia y los tiempos de espera.
| |
| --- |
| `XKS_PROXY_NOT_REACHABLE`-o bien-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS no se puede comunicar con el proxy del almacén de claves externo. Compruebe que el proxy del almacén de claves externo esté activo y conectado a la red y que su ruta URI y su nombre del servicio de VPC o URI de punto de conexión sean correctos en su almacén de claves externo. |
Este error puede producirse por las siguientes razones:
+ El proxy del almacén de claves externo no está activo o no está conectado a la red.
+ Hay un error en los valores del [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint), la [ruta URI del proxy](create-xks-keystore.md#require-path) o el [nombre del servicio de punto de conexión de VPC](create-xks-keystore.md#require-vpc-service-name) (si corresponde) en la configuración del almacén de claves externo. Para ver la configuración del almacén de claves externo, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación o [consulte la página de detalles](view-xks-keystore.md) del almacén de claves externo en la AWS KMS consola.
+ Es posible que haya un error de configuración de red, como un error de puerto, en la ruta de red entre AWS KMS y el proxy del almacén de claves externo. AWS KMS se comunica con el proxy del almacén de claves externo en el puerto 443 IPv4. Este valor no se puede configurar.
+ Cuando el proxy del almacén de claves externo informa (en una [GetHealthStatus](keystore-external.md#concept-proxy-apis)respuesta) de que todas las instancias del administrador de claves externo `UNAVAILABLE` lo están, la [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación falla con un `ConnectionErrorCode` de`XKS_PROXY_NOT_REACHABLE`. Para obtener ayuda, consulte la documentación del administrador de claves externo.
+ Este error puede deberse a una gran distancia física entre el administrador de claves externo y el Región de AWS almacén de claves externo. La latencia del ping (tiempo de ida y vuelta de la red (RTT)) entre el administrador de claves externo Región de AWS y el administrador de claves externo no debe ser superior a 35 milisegundos. Puede que tenga que crear un almacén de claves externo en uno Región de AWS que esté más cerca del administrador de claves externo o mover el administrador de claves externo a un centro de datos que esté más cerca del Región de AWS.
| |
| --- |
| `XKS_PROXY_TIMED_OUT`-o bien-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS rechazó la solicitud porque el proxy del almacén de claves externo no respondió a tiempo. Intente realizar de nuevo la solicitud . Si ve este error varias veces, infórmelo al administrador de proxy del almacén de claves externo. |
Este error puede producirse por las siguientes razones:
+ Este error puede deberse a una gran distancia física entre el administrador de claves externo y el proxy del almacén de claves externo. Si es posible, acerque el proxy del almacén de claves externo al administrador de claves externo.
+ Los errores de tiempo de espera pueden producirse cuando el proxy no está diseñado para gestionar el volumen y la frecuencia de las solicitudes procedentes AWS KMS de él. Si tus CloudWatch métricas indican un problema persistente, notifícalo al administrador del proxy externo del almacén de claves.
+ Se pueden producir errores de tiempo de espera cuando la conexión entre el administrador de claves externo y Amazon VPC para el almacén de claves externo no funciona correctamente. Si lo está utilizando AWS Direct Connect, compruebe que la VPC y el administrador de claves externo se puedan comunicar de forma eficaz. Para obtener ayuda para resolver cualquier problema, consulte [Solución de problemas AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html) en la Guía del Direct Connect usuario.
| |
| --- |
| `XKS_PROXY_TIMED_OUT`-o bien-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` El proxy del almacén de claves externo no respondió a la solicitud en el tiempo establecido. Intente realizar de nuevo la solicitud . Si ve este error varias veces, infórmelo al administrador de proxy del almacén de claves externo. |
+ Este error puede deberse a una gran distancia física entre el administrador de claves externo y el proxy del almacén de claves externo. Si es posible, acerque el proxy del almacén de claves externo al administrador de claves externo.
## Errores en las credenciales de autenticación
**Excepciones**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operaciones criptográficas), `XksProxyIncorrectAuthenticationCredentialException` (operaciones de administración distintas de `CreateKey`)
Debe establecer y mantener una credencial de autenticación para su proxy AWS KMS de almacén de claves externo. A continuación, indica AWS KMS los valores de las credenciales al crear un almacén de claves externo. Para cambiar la credencial de autenticación, realice el cambio en el proxy del almacén de claves externo. A continuación, [actualice la credencial](update-xks-keystore.md#xks-edit-name) del almacén de claves externo. Si su proxy rota la credencial, debe [actualizar la credencial](update-xks-keystore.md#xks-edit-name) del almacén de claves externo.
Si el proxy del almacén de claves externo no autentica una solicitud firmada con la [credencial de autenticación de proxy](keystore-external.md#concept-xks-credential) del almacén de claves externo, el efecto depende de la solicitud:
+ `CreateCustomKeyStore` y `UpdateCustomKeyStore` fallan con una `XksProxyIncorrectAuthenticationCredentialException`.
+ `ConnectCustomKeyStore` se realiza correctamente, pero se produce un error en la conexión. El estado de la conexión es `FAILED` y el código de error de conexión es `INVALID_CREDENTIALS`. Para obtener más información, consulte [Errores de conexión del almacén de claves externo](#fix-xks-connection).
+ Las operaciones criptográficas devuelven `KMSInvalidStateException` para todos los errores de configuración y estado de conexión externos de un almacén de claves externo. El mensaje de error adjunto describe el problema.
| |
| --- |
| El proxy del almacén de claves externo rechazó la solicitud porque no pudo autenticar AWS KMS. Compruebe las credenciales del almacén de claves externo y actualícelas si es necesario. |
Este error puede producirse por las siguientes razones:
+ El ID de clave de acceso o la clave de acceso secreta del almacén de claves externo no coincide con los valores establecidos en el proxy del almacén de claves externo.
Para corregir este error, [actualice la credencial de autenticación de proxy](update-xks-keystore.md#xks-edit-name) del almacén de claves externo. Puede realizar este cambio sin desconectar el almacén de claves externo.
+ Un proxy inverso entre AWS KMS y el proxy del almacén de claves externo podría manipular los encabezados HTTP de forma que se invalidaran las firmas de SiGv4. Para corregir este error, notifique al administrador de proxy.
## Errores de estados de las claves
**Excepciones**: `KMSInvalidStateException`
`KMSInvalidStateException` se utiliza para dos propósitos distintos para las claves de KMS en almacenes de claves personalizados.
+ Cuando una operación de administración, como `CancelKeyDeletion`, falla y devuelve esta excepción, indica que el [estado de la clave](key-state.md) de la clave de KMS no es compatible con la operación.
+ Cuando se produce un error con `KMSInvalidStateException` en una [operación criptográfica](kms-cryptography.md#cryptographic-operations) en una clave de KMS de un almacén de claves personalizado, puede indicar un problema con el estado de la clave de KMS. Sin embargo, la operación AWS KMS criptográfica se devuelve `KMSInvalidStateException` para todos los errores de configuración externa y de estado de conexión en un almacén de claves externo. Para identificar el problema, utilice el mensaje de error que acompaña a la excepción.
Para encontrar el estado clave necesario para las operaciones de una AWS KMS API, consulte[Estados clave de AWS KMS las claves](key-state.md). Para buscar el estado de clave de una clave KMS en la página **Customer managed keys (Claves administradas por el cliente)** consulte el campo **Status (Estado)** de la clave KMS. O bien, utilice la [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operación y visualice el `KeyState` elemento en la respuesta. Para obtener más información, consulte [Identificación y visualización de claves](viewing-keys.md).
**nota**
El estado de clave de una clave de KMS en un almacén de claves externo no indica nada sobre el estado de la [clave externa](keystore-external.md#concept-external-key) asociada. Para obtener información sobre el estado de la clave externa, utilice el administrador de claves externo y las herramientas de proxy del almacén de claves externo.
`CustomKeyStoreInvalidStateException` se refiere al [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo, no al [estado de clave](key-state.md) de una clave de KMS.
Una operación criptográfica en una clave KMS de un almacén de claves personalizado puede producir un error porque el estado de la clave KMS es `Unavailable` o `PendingDeletion`. (Las teclas deshabilitadas devuelven `DisabledException`).
+ Una clave de KMS tiene un estado de `Disabled` clave solo cuando se deshabilita intencionadamente la clave de KMS en la AWS KMS consola o mediante esta [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación. Mientras una clave de KMS esté deshabilitada, puede consultarla y administrarla, pero no puede usarla en operaciones criptográficas. Para solucionar este problema, habilite la clave. Para obtener más información, consulte [Habilitar y deshabilitar claves](enabling-keys.md).
+ Una clave de KMS tiene un estado de clave `Unavailable` cuando el almacén de claves externo se desconecta de su proxy del almacén de claves externo. Para arreglar una clave de KMS no disponible, [vuelva a conectar el almacén de claves externo](xks-connect-disconnect.md). Después de volver a conectar el almacén de claves externo, el estado de clave de las claves de KMS en el almacén de claves externo se restaura automáticamente al estado anterior, como `Enabled` o `Disabled`.
Una clave de KMS tiene un estado de clave `PendingDeletion` cuando se ha programado su eliminación y se encuentra en su periodo de espera. Un error de estado de clave en una clave de KMS que está pendiente de eliminación indica que la clave no se debe eliminar, ya sea porque se utiliza para el cifrado o porque es necesaria para el descifrado. Para volver a habilitar la clave de KMS, cancele la eliminación programada y, a continuación, [habilite la clave](enabling-keys.md). Para obtener más información, consulte [Programar la eliminación de claves](deleting-keys-scheduling-key-deletion.md).
## Errores de descifrado
**Excepciones**: `KMSInvalidStateException`
Cuando se produce un error en una operación de [descifrado](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) con una clave KMS de un almacén de claves externo, AWS KMS devuelve el estándar `KMSInvalidStateException` que utilizan las operaciones criptográficas para todos los errores de configuración externa y de estado de conexión en un almacén de claves externo. El mensaje de error indica el problema.
Para descifrar un texto cifrado que fue cifrado mediante [doble cifrado](keystore-external.md#concept-double-encryption), el administrador de claves externo utiliza primero la clave externa para descifrar la capa exterior del texto cifrado. A continuación, AWS KMS utiliza el material AWS KMS clave de la clave KMS para descifrar la capa interna del texto cifrado. AWS KMS o un administrador de claves externo puede rechazar un texto cifrado no válido o dañado.
Cuando se produce un error en el descifrado, aparecen los siguientes mensajes de error junto a `KMSInvalidStateException`. Indica un problema con el texto cifrado o el contexto de cifrado opcional de la solicitud.
| |
| --- |
| El proxy del almacén de claves externo rechazó la solicitud porque el texto cifrado especificado o los datos autenticados adicionales están dañados, faltan o no son válidos por algún motivo. |
+ Cuando el proxy del almacén de claves externo o el administrador de claves externo informan que un texto cifrado o su contexto de cifrado no son válidos, normalmente indica que hay un problema con el texto cifrado o el contexto de cifrado de la solicitud enviada a. `Decrypt` AWS KMS Para `Decrypt` las operaciones, AWS KMS envía al proxy el mismo texto cifrado y el mismo contexto de cifrado que recibe en la solicitud. `Decrypt`
Este error puede deberse a un problema de red durante el transporte, como un bit invertido. Intente realizar de nuevo la solicitud `Decrypt`. Si el problema persiste, compruebe que el texto cifrado no esté alterado ni dañado. Además, compruebe que el contexto de cifrado de la `Decrypt` solicitud AWS KMS coincide con el contexto de cifrado de la solicitud que cifró los datos.
| |
| --- |
| El texto cifrado que el proxy del almacén de claves externo envió para su descifrado, o el contexto de cifrado, está dañado, falta o no es válido por algún motivo. |
+ Cuando AWS KMS rechaza el texto cifrado que recibió del proxy, indica que el administrador de claves externo o el proxy devolvieron un texto cifrado no válido o dañado. AWS KMS
Este error puede deberse a un problema de red durante el transporte, como un bit invertido. Intente realizar de nuevo la solicitud `Decrypt`. Si el problema persiste, compruebe que el administrador de claves externo funciona correctamente y que el proxy del almacén de claves externo no altera el texto cifrado que recibe del administrador de claves externo antes de devolverlo a. AWS KMS
## Errores de clave externa
Una [clave externa](keystore-external.md#concept-external-key) es una clave criptográfica del administrador de claves externo que sirve como material de clave externa para una clave de KMS. AWS KMS no puede acceder directamente a la clave externa. Debe solicitar al administrador de claves externo (a través del proxy del almacén de claves externo) que utilice la clave externa para cifrar datos o descifrar un texto cifrado.
Especifica el ID de clave externa en su administrador de claves externo cuando crea una clave de KMS en su almacén de claves externo. No se puede cambiar el ID de clave externa después de crear la clave de KMS. Para evitar problemas con la clave de KMS, la operación `CreateKey` solicita al proxy del almacén de claves externo que verifique el ID y la configuración de la clave externa. Si la clave externa no [cumple los requisitos](create-xks-keys.md#xks-key-requirements) para su uso con una clave de KMS, se produce un error en la operación `CreateKey` y aparece un mensaje de excepción y error que identifica el problema.
Sin embargo, pueden producirse problemas después de que se crea la clave de KMS. Si una operación criptográfica falla debido a un problema con la clave externa, se produce un error y se genera una `KMSInvalidStateException` con un mensaje de error que indica el problema.
### CreateKey errores en la clave externa
**Excepciones**: `XksKeyAlreadyInUseException`, `XksKeyNotFoundException`, `XksKeyInvalidConfigurationException`
La [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operación intenta comprobar el identificador y las propiedades de la clave externa que se proporciona en el parámetro **ID de clave externa** (consola) o `XksKeyId` (API). Esta práctica está diseñada para detectar errores de forma temprana antes de intentar utilizar la clave externa con la clave de KMS.
**Clave externa en uso**
Cada clave de KMS de un almacén de claves externo debe usar una clave externa diferente. Cuando `CreateKey` reconoce que el identificador de clave externa (XksKeyId) de una clave de KMS no es único en el almacén de claves externo, se produce un error con un`XksKeyAlreadyInUseException`.
Si usa varios IDs para la misma clave externa, `CreateKey` no reconocerá el duplicado. Sin embargo, las claves de KMS con la misma clave externa no son interoperables porque tienen diferentes metadatos y materiales de AWS KMS claves.
**No se encontró la clave externa**
Cuando el proxy del almacén de claves externo informa que no puede encontrar la clave externa utilizando el identificador de clave externa (XksKeyId) de la clave KMS, la `CreateKey` operación falla y vuelve `XksKeyNotFoundException` con el siguiente mensaje de error.
| |
| --- |
| El proxy del almacén de claves externo rechazó la solicitud porque no pudo encontrar la clave externa. |
Este error puede producirse por las siguientes razones:
+ Es posible que el ID de la clave externa (`XksKeyId`) de la clave de KMS no sea válido. Para encontrar el ID que su proxy de clave externa utiliza para identificar la clave externa, consulte la documentación sobre el proxy del almacén de claves externo o el administrador de claves externo.
+ Puede que se haya eliminado la clave externa de su administrador de claves externo. Para investigar, utilice sus herramientas de administrador de claves externo. Si la clave externa se elimina permanentemente, utilice una clave externa diferente con la clave de KMS. Para obtener una lista de los requisitos de la clave externa, consulte [Requisitos para una clave de KMS en un almacén de claves externo](create-xks-keys.md#xks-key-requirements).
**No se cumplen los requisitos de clave externa**
Cuando el proxy del almacén de claves externo informa que la clave externa no [cumple con los requisitos](create-xks-keys.md#xks-key-requirements) para su uso con una clave KMS, la operación `CreateKey` falla y genera una `XksKeyInvalidConfigurationException` con uno de los siguientes mensajes de error.
| |
| --- |
| La especificación de clave de la clave externa debe ser AES\$1256. La especificación clave de la clave externa especificada es. |
+ La clave externa debe ser una clave de cifrado simétrica de 256 bits con una especificación de clave de AES\$1256. Si la clave externa especificada es de otro tipo, especifique el ID de una clave externa que cumpla este requisito.
| |
| --- |
| El estado de la clave externa debe ser ENABLED (HABILITADA). El estado de la clave externa especificada es. |
+ La clave externa debe estar habilitada en el administrador de claves externo. Si la clave externa especificada no está habilitada, utilice las herramientas del administrador de claves externo para habilitarla o especifique una clave externa habilitada.
| |
| --- |
| El uso de clave de la clave externa debe incluir ENCRYPT (CIFRAR) y DECRYPT (DESCIFRAR). El uso de la clave externa especificada es < key-usage >. |
+ La clave externa debe configurarse para el cifrado y el descifrado en el administrador de claves externo. Si la clave externa especificada no incluye estas operaciones, utilice las herramientas del administrador de claves externo para cambiar las operaciones o especifique una clave externa diferente.
### Errores de operación criptográfica para la clave externa
**Excepciones**: `KMSInvalidStateException`
Cuando el proxy del almacén de claves externo no puede encontrar la clave externa asociada a la clave de KMS o la clave externa no [cumple los requisitos](create-xks-keys.md#xks-key-requirements) para su uso con una clave de KMS, se produce un error en la operación criptográfica.
Los problemas de clave externa que se detectan durante una operación criptográfica son más difíciles de resolver que los problemas de clave externa detectados antes de crear la clave de KMS. No se puede cambiar el ID de clave externa después de crear la clave de KMS. Si la clave de KMS aún no ha cifrado ningún dato, puede eliminarla y crear una nueva con un ID de clave externa diferente. Sin embargo, el texto cifrado generado con la clave KMS no se puede descifrar con ninguna otra clave KMS, ni siquiera con la misma clave externa, ya que las claves tendrán metadatos y materiales clave diferentes AWS KMS . En su lugar, en la medida de lo posible, utilice las herramientas de administración de claves externas para resolver el problema con la clave externa.
Cuando el proxy del almacén de claves externo informa un problema con la clave externa, las operaciones criptográficas devuelven una `KMSInvalidStateException` con un mensaje de error que identifica el problema.
**No se encontró la clave externa**
Cuando el proxy del almacén de claves externo informa que no puede encontrar la clave externa utilizando el identificador de clave externa (XksKeyId) de la clave KMS, las operaciones criptográficas devuelven un mensaje de error `KMSInvalidStateException` con el siguiente mensaje de error.
| |
| --- |
| El proxy del almacén de claves externo rechazó la solicitud porque no pudo encontrar la clave externa. |
Este error puede producirse por las siguientes razones:
+ El ID de la clave externa (`XksKeyId`) de la clave de KMS ya no es válido.
Para encontrar el ID de clave externa asociado a su clave de KMS, [consulte los detalles de la clave de KMS](identify-key-types.md#view-xks-key). Para encontrar el ID que su proxy de clave externa utiliza para identificar la clave externa, consulte la documentación sobre el proxy del almacén de claves externo o el administrador de claves externo.
AWS KMS verifica el ID de clave externa cuando crea una clave KMS en un almacén de claves externo. Sin embargo, el ID puede dejar de ser válido, especialmente si el valor del ID de clave externa es un alias o un nombre mutable. No puede cambiar el ID de clave externa asociado a una clave de KMS existente. Para descifrar cualquier texto cifrado con la clave de KMS, debe volver a asociar la clave externa con el ID de clave externa existente.
Si aún no ha utilizado la clave de KMS para cifrar datos, puede crear una nueva clave de KMS con un ID de clave externa válido. Sin embargo, si ha generado texto cifrado con la clave de KMS, no puede usar ninguna otra clave de KMS para descifrar el texto cifrado, incluso si usa la misma clave externa.
+ Puede que se haya eliminado la clave externa de su administrador de claves externo. Para investigar, utilice sus herramientas de administrador de claves externo. Si es posible, intente [recuperar el material de clave](fix-keystore.md#fix-keystore-recover-backing-key) de una copia o respaldo de su administrador de claves externo. Si la clave externa se elimina de forma permanente, cualquier texto cifrado con la clave de KMS asociada será irrecuperable.
**Errores de configuración de claves externas**
Cuando el proxy del almacén de claves externo informa que la clave externa no [cumple con los requisitos](create-xks-keys.md#xks-key-requirements) para su uso con una clave KMS, la operación criptográfica genera una `KMSInvalidStateException` con uno de los siguientes mensajes de error.
| |
| --- |
| El proxy del almacén de claves externo rechazó la solicitud porque la clave externa no admite la operación solicitada. |
+ La clave externa debe admitir tanto el cifrado como el descifrado. Si el uso de la clave no incluye el cifrado y el descifrado, utilice las herramientas de administración de claves externas para cambiar el uso de la clave.
| |
| --- |
| El proxy del almacén de claves externo rechazó la solicitud porque la clave externa no está habilitada en el administrador de claves externo. |
+ La clave externa debe estar habilitada y disponible para su uso en el administrador de claves externo. Si el estado de la clave externa no es `Enabled`, utilice las herramientas del administrador de claves externo para habilitarla.
## Problemas con el proxy
**Excepciones:**
`CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operaciones criptográficas), `UnsupportedOperationException`, `XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (operaciones de administración distintas de `CreateKey`)
El proxy del almacén de claves externo interviene en todas las comunicaciones entre AWS KMS y el administrador de claves externo. Traduce AWS KMS las solicitudes genéricas a un formato que su administrador de claves externo pueda entender. Si el proxy del almacén de claves externo no cumple con la [especificación de la API de proxy del almacén de claves AWS KMS externo](https://github.com/aws/aws-kms-xksproxy-api-spec/), o si no funciona correctamente o no se puede comunicar con él AWS KMS, no podrás crear ni usar claves de KMS en tu almacén de claves externo.
Si bien muchos errores mencionan el proxy del almacén de claves externo debido a su papel fundamental en la arquitectura del almacén de claves externo, esos problemas pueden originarse en el administrador de claves externo o en la clave externa.
Los problemas de esta sección se refieren a problemas con el diseño o el funcionamiento del proxy del almacén de claves externo. La resolución de estos problemas puede requerir un cambio en el software de proxy. Consulte a su administrador de proxy. Para ayudar a diagnosticar problemas con el proxy, AWS KMS proporciona [XKS Proxy Text Client](https://github.com/aws-samples/aws-kms-xksproxy-test-client), un cliente de prueba de código abierto que comprueba que el proxy del almacén de claves externo cumple con la [Especificación de la API de proxy del almacén de claves externo de AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/).
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `XksProxyUriUnreachableException`El proxy del almacén de claves externo se encuentra en mal estado. Si ve este mensaje varias veces, notifíquelo al administrador de proxy del almacén de claves externo. |
+ Este error puede indicar un problema operativo o un error de software en el proxy del almacén de claves externo. Puedes encontrar las entradas de CloudTrail registro de la operación de AWS KMS API que generó cada error. Este error puede resolverse si vuelve a intentar la operación. Sin embargo, si persiste, notifíquelo al administrador de proxy del almacén de claves externo.
+ Cuando el proxy del almacén de claves externo informa (en una [GetHealthStatus](keystore-external.md#concept-proxy-apis)respuesta) de que todas las instancias del administrador de claves externo lo están`UNAVAILABLE`, los intentos de crear o actualizar un almacén de claves externo fallan, con esta excepción. Si el error persiste, consulte la documentación del administrador de claves externo.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `XksProxyInvalidResponseException`AWS KMS no puede interpretar la respuesta del proxy del almacén de claves externo. Si ve este error varias veces, consulte con el administrador de proxy del almacén de claves externo. |
+ AWS KMS las operaciones generan esta excepción cuando el proxy devuelve una respuesta indefinida que AWS KMS no se puede analizar ni interpretar. Este error puede producirse ocasionalmente debido a problemas externos temporales o a errores de red esporádicos. Sin embargo, si persiste, podría indicar que el proxy del almacén de claves externo no cumple con la [Especificación de la API de proxy del almacén de claves externo de AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/). Notifique a su proveedor o administrador del almacén de claves externo.
| |
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `UnsupportedOperationException` El proxy del almacén de claves externo rechazó la solicitud porque no admite la operación criptográfica solicitada. |
+ El proxy del almacén de claves externo debe admitir todos los [proxies APIs](keystore-external.md#concept-proxy-apis) definidos en la [especificación de la API de proxy del almacén de claves AWS KMS externo](https://github.com/aws/aws-kms-xksproxy-api-spec/). Este error indica que el proxy no admite la operación relacionada con la solicitud. Notifique a su proveedor o administrador del almacén de claves externo.
## Problemas de autorización de proxy
**Excepciones**: `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`
Algunos proxy del almacén de claves externo implementan requisitos de autorización para el uso de sus claves externas. Se permite, pero no es obligatorio, utilizar un proxy de almacén de claves externo para diseñar e implementar un esquema de autorización que permita a determinados usuarios solicitar ciertas operaciones en determinadas condiciones. Por ejemplo, un proxy puede permitir al usuario cifrar con una clave externa determinada, pero no descifrar con ella. Para obtener más información, consulte [Autorización del proxy del almacén de claves externo (opcional)](authorize-xks-key-store.md#xks-proxy-authorization).
La autorización del proxy se basa en los metadatos que AWS KMS incluye en sus solicitudes al proxy. Los campos `awsSourceVpc` y `awsSourceVpce` se incluyen en los metadatos solo cuando la solicitud proviene de un punto de conexión de VPC y solo cuando la persona que llama está en la misma cuenta que la clave de KMS.
```
"requestMetadata": {
"awsPrincipalArn": string,
"awsSourceVpc": string, // optional
"awsSourceVpce": string, // optional
"kmsKeyArn": string,
"kmsOperation": string,
"kmsRequestId": string,
"kmsViaService": string // optional
}
```
Cuando el proxy rechaza una solicitud debido a un error de autorización, se produce un error en la AWS KMS operación relacionada. `CreateKey`devuelve`CustomKeyStoreInvalidStateException`. AWS KMS las operaciones criptográficas regresan`KMSInvalidStateException`. Ambos utilizan el siguiente mensaje de error:
| |
| --- |
| El proxy del almacén de claves externo denegó el acceso a la operación. Compruebe que el usuario y la clave externa estén autorizados para esta operación e intente realizar la solicitud de nuevo. |
+ Para resolver el error, utilice el administrador de claves externo o las herramientas de proxy del almacén de claves externo para determinar por qué falló la autorización. A continuación, actualice el procedimiento que provocó la solicitud no autorizada o utilice las herramientas de proxy del almacén de claves externo para actualizar la política de autorización. No puede resolver este error en AWS KMS.