Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Visualización de almacenes de claves externos
Puede consultar los almacenes de claves externos de cada cuenta y región mediante la consola de AWS KMS o mediante la operación DescribeCustomKeyStores.
Al consultar un almacén de claves externo, puede ver lo siguiente:
-
Información básica sobre el almacén de claves, incluido su nombre fácil de recordar, ID, tipo de almacén de claves y fecha de creación.
-
Información de configuración para el proxy del almacén de claves externo, incluidos el tipo de conectividad, el punto de conexión URI del proxy y su ruta y el ID de clave de acceso de su credencial de autenticación de proxy actual.
-
Si el proxy del almacén de claves externo utiliza la conectividad al servicio de punto de conexión de VPC, la consola muestra el nombre del servicio de punto de conexión de VPC.
-
El estado de conexión actual.
nota
Un valor de estado de conexión Disconnected (Desconectado) indica que el almacén de claves externo nunca se ha conectado o que se ha desconectado intencionadamente de su proxy del almacén de claves externo. Sin embargo, si los intentos de usar una clave de KMS en un almacén de claves externo conectado no son fructíferos, puede deberse a un problema con el almacén de claves externo o el proxy. Para obtener ayuda, consulte Errores de conexión del almacén de claves externo.
Una sección de monitoreo con gráficos de las métricas de Amazon CloudWatch diseñada para ayudarlo a detectar y resolver problemas con su almacén de claves externo. Para obtener ayuda con la interpretación de los gráficos, utilizarlos en la planificación y la solución de problemas y crear alarmas de CloudWatch basadas en las métricas de los gráficos, consulte Monitoreo de almacenes de claves externos.
Propiedades del almacén de claves externo
Las siguientes propiedades de un almacén de claves externo están visibles en la consola de AWS KMS y en la respuesta DescribeCustomKeyStores.
Propiedades del almacén de claves personalizado
Los siguientes valores aparecen en la sección Configuración general de la página de detalles de cada almacén de claves personalizado. Estas propiedades aplican a todos los almacenes de claves personalizados, incluidos los almacenes de claves de AWS CloudHSM y los almacenes de claves externos.
- ID del almacén de claves personalizadas
-
Un ID único que AWS KMS asigna al almacén de claves personalizado.
- Nombre del almacén de claves personalizadas
-
Un nombre fácil de recordar que asigna al almacén de claves personalizado al crearlo. Puede cambiar este valor en cualquier momento.
- Tipo de almacén de claves personalizado
-
El tipo de almacén de claves personalizado. Los valores válidos son AWS CloudHSM (
AWS_CLOUDHSM) o Almacén de claves externo (EXTERNAL_KEY_STORE). No se puede cambiar el tipo después de crear el almacén de claves personalizado. - Fecha de creación
-
Fecha en la que se creó el almacén de claves personalizado. Este valor se muestra en la hora local de la Región de AWS.
- Estado de la conexión
-
Indica si el almacén de claves personalizado está conectado a su almacén de claves de respaldo. El estado de conexión será
DISCONNECTEDsolo si el almacén de claves personalizado nunca se ha conectado al almacén de claves de respaldo o se ha desconectado intencionadamente. Para obtener más información, consulte Estado de la conexión.
Propiedades de configuración del almacén de claves externo
Los siguientes valores aparecen en la sección Configuración del proxy del almacén de claves externo de la página de detalles de cada almacén de claves externo y en el elemento XksProxyConfiguration de la respuesta DescribeCustomKeyStores. Para obtener una descripción detallada de cada campo, incluidos los requisitos de exclusividad y ayuda para determinar el valor correcto de cada campo, consulte Cumplir los requisitos previos en el tema Creación de un almacén de claves externo.
- Conectividad de proxy
Indica si el almacén de claves externo utiliza conectividad de puntos de conexión públicos o conectividad del servicio de punto de conexión de VPC.
- Punto de conexión URI del proxy
-
El punto de conexión que AWS KMS utiliza para conectarse al proxy del almacén de claves externo.
- Ruta URI del proxy
-
La ruta desde el punto de conexión URI del proxy donde AWS KMS envía las solicitudes de API de proxy.
- Credencial de proxy: ID de clave de acceso
-
Parte de la credencial de autenticación de proxy que establece en el proxy de su almacén de claves externo. El ID de clave de acceso identifica la clave de acceso secreta de la credencial.
AWS KMS utiliza el proceso de firma SigV4 y la credencial de autenticación de proxy para firmar sus solicitudes en el proxy de su almacén de claves externo. La credencial de la firma permite al proxy del almacén de claves externo autenticar las solicitudes en su nombre desde AWS KMS.
- Nombre del servicio de punto de conexión de VPC
-
El nombre del servicio de punto de conexión de VPC de Amazon que admite su almacén de claves externo. Este valor solo aparece cuando el almacén de claves externo utiliza la conectividad del servicio de punto de conexión de VPC. Puede localizar su proxy de almacén de claves externo en la VPC o utilizar el servicio de punto de conexión de VPC para comunicarse de forma segura con su proxy de almacén de claves externo.
Visualización de sus propiedades del almacén de claves externo
Puede ver sus almacenes de claves externos y sus propiedades asociadas mediante la consola de AWS KMS o mediante la operación DescribeCustomKeyStores.
Para ver los almacenes de claves externos de una cuenta y región determinados, use el siguiente procedimiento.
-
Inicie sesión en la AWS Management Console y abra la consola AWS Key Management Service (AWS KMS) en https://console.aws.amazon.com/kms
. -
Para cambiar la Región de AWS, utilice el Selector de regiones ubicado en la esquina superior derecha de la página.
En el panel de navegación, elija Custom key stores (Almacenes de claves personalizados), External key stores (Almacenes de claves externos).
-
Para ver información detallada sobre un almacén de claves externo, elija el nombre de almacén de claves.
Para ver los almacenes de claves externos, use la operación DescribeCustomKeyStores. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de la cuenta y región. Pero puede usar el parámetro CustomKeyStoreId o CustomKeyStoreName (pero no ambos) para limitar el resultado de un almacén de claves personalizado determinado.
Para los almacenes de claves personalizados, el resultado consiste en el ID, el nombre y el tipo del almacén de claves personalizado y el estado de conexión del almacén de claves. Si el estado de conexión es FAILED, el resultado también incluirá un ConnectionErrorCode que describe el motivo del error. Para obtener ayuda para interpretar el ConnectionErrorCode para un almacén de claves externo, consulte Códigos de error de conexión para almacenes de claves externos.
Para los almacenes de claves externos, el resultado también incluye el elemento XksProxyConfiguration. Este elemento incluye el tipo de conectividad, el punto de conexión URI del proxy, la ruta URI del proxy y el ID de clave de acceso de la credencial de autenticación del proxy.
En los ejemplos de esta sección, se utiliza la AWS Command Line Interface (AWS CLI)
Por ejemplo, el siguiente comando devuelve todos los almacenes de claves personalizados de la cuenta y la región. Puede usar los parámetros Limit y Marker para desplazarse por los almacenes de claves personalizados del resultado.
$aws kms describe-custom-key-stores
El siguiente comando usa el parámetro CustomKeyStoreName para obtener únicamente el almacén de claves externo con el nombre fácil de recordar ExampleXksPublic. Este ejemplo de almacén de claves utiliza conectividad a puntos de conexión públicos. Está conectado a su proxy del almacén de claves externo.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksPublic{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleXksPublic", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-14T20:17:36.419000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE12345670EXAMPLE", "Connectivity": "PUBLIC_ENDPOINT", "UriEndpoint": "https://xks.example.com:6443", "UriPath": "/example/prefix/kms/xks/v1" } } ] }
El siguiente comando obtiene un ejemplo de almacén de claves externo con conectividad del servicio de punto de conexión de VPC. En este ejemplo, el almacén de claves externo está conectado a su proxy del almacén de claves externo.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "CONNECTED", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
Un ConnectionState Disconnected indica que no se ha conectado nunca un almacén de claves externo o que se ha desconectado de su proxy del almacén de claves externo de forma intencionada. Sin embargo, si los intentos de usar una clave de KMS en un almacén de claves externo conectado no son fructíferos, puede deberse a un problema con el proxy del almacén de claves externo u otros componentes externos.
Si el ConnectionState del almacén de claves externo es FAILED, la respuesta DescribeCustomKeyStores incluirá un elemento ConnectionErrorCode que explica el motivo del error.
Por ejemplo, en el siguiente resultado, el valor XKS_PROXY_TIMED_OUT indica que AWS KMS se puede conectar al proxy del almacén de claves externo, pero la conexión falló porque el proxy del almacén de claves externo no respondió a AWS KMS durante el tiempo establecido. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo. Para obtener ayuda con esto y los errores de conexión, consulte Solución de problemas de almacenes de claves externos.
$aws kms describe-custom-key-stores --custom-key-store-nameExampleXksVpc{ "CustomKeyStores": [ { "CustomKeyStoreId": "cks-9876543210fedcba9", "CustomKeyStoreName": "ExampleXksVpc", "ConnectionState": "FAILED", "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT", "CreationDate": "2022-12-13T18:34:10.675000+00:00", "CustomKeyStoreType": "EXTERNAL_KEY_STORE", "XksProxyConfiguration": { "AccessKeyId": "ABCDE98765432EXAMPLE", "Connectivity": "VPC_ENDPOINT_SERVICE", "UriEndpoint": "https://example-proxy-uri-endpoint-vpc", "UriPath": "/example/prefix/kms/xks/v1", "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example" } } ] }
