Solución de problemas de almacenes de claves externos - AWS Key Management Service
Herramientas de solución de problemasErrores de configuraciónErrores de conexión del almacén de claves externoErrores de latencia y tiempo de esperaErrores en las credenciales de autenticaciónErrores de estados de las clavesErrores de descifradoErrores de clave externaProblemas con el proxyProblemas de autorización de proxy

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Solución de problemas de almacenes de claves externos

La resolución de la mayoría de los problemas con los almacenes de claves externos se indica mediante el mensaje de error que muestra AWS KMS con cada excepción, o mediante el código de error de conexión que devuelve AWS KMS cuando se produce un error al intentar conectar el almacén de claves externo a su proxy del almacén de claves externo. Sin embargo, algunos problemas son un poco más complejos.

Al diagnosticar un problema con un almacén de claves externo, localice primero la causa. Esto reducirá la gama de soluciones y hará que la solución de problemas sea más eficiente.

  • AWS KMS: el problema puede estar dentro de AWS KMS; por ejemplo, un valor incorrecto en la configuración del almacén de claves externo.

  • Externo: el problema puede originarse fuera de AWS KMS, incluidos problemas con la configuración o el funcionamiento del proxy del almacén de claves externo, el administrador de claves externo, las claves externas o el servicio de punto de conexión de VPC.

  • Redes: puede tratarse de un problema de conectividad o de red, como un problema con el punto de conexión del proxy, el puerto o el dominio o nombre DNS privado.

nota

Cuando las operaciones de administración en almacenes de claves externos fallan, se generan varias excepciones diferentes. Sin embargo, las operaciones criptográficas AWS KMS devuelven KMSInvalidStateException por todos los errores relacionados con la configuración externa o el estado de conexión del almacén de claves externo. Para identificar el problema, utilice el texto del mensaje de error adjunto.

La operación ConnectCustomKeyStore se realiza de manera correcta rápidamente antes de que se complete el proceso de conexión. Para determinar si el proceso de conexión se ha realizado correctamente, consulte el estado de conexión del almacén de claves externo. Si el proceso de conexión falla, AWS KMS devuelve un código de error de conexión que explica la causa y sugiere una solución.

Herramientas de solución de problemas para almacenes de claves externos

AWS KMS proporciona varias herramientas para ayudarlo a identificar y resolver problemas con el almacén de claves externo y sus claves. Utilice estas herramientas junto con las herramientas proporcionadas con su proxy del almacén de claves externo y su administrador de claves externo.

nota

El proxy del almacén de claves externo y el administrador de claves externo pueden proporcionar métodos más sencillos para crear y mantener el almacén de claves externo y sus claves de KMS. Para obtener más detalles, consulte la documentación de sus herramientas externas.

Excepciones y mensajes de error de AWS KMS

AWS KMS proporciona un mensaje de error detallado sobre cualquier problema que encuentre. Puede encontrar información adicional sobre las excepciones de AWS KMS en la Referencia de la API de AWS Key Management Service y en los SDK de AWS. Incluso si está utilizando la consola de AWS KMS, estas referencias pueden resultarle útiles. Por ejemplo, consulte la lista de errores de la operación CreateCustomKeyStores.

Para optimizar el rendimiento del proxy del almacén de claves externo, AWS KMS devuelve excepciones en función de la fiabilidad del proxy dentro de un período de agregación determinado de 5 minutos. En caso de que se obtenga una respuesta 500 Internal Server Error, 503 Service Unavailable o tiempo de espera de conexión agotado, un proxy de alta fiabilidad devuelve KMSInternalException funcionar y activa un reintento automático para garantizar que las solicitudes se realicen correctamente. Sin embargo, un proxy de baja fiabilidad devuelve KMSInvalidStateException. Para obtener más información, consulte Monitoreo de un almacén de claves externo.

Si el problema se presenta en un servicio de AWS diferente, por ejemplo, cuando usa una clave de KMS en su almacén de claves externo para proteger un recurso de otro servicio de AWS, el servicio de AWS podría brindar información adicional para ayudarlo a identificar el problema. Si el servicio de AWS no proporciona el mensaje, puede ver el mensaje de error en los registros de CloudTrail que registran el uso de su clave de KMS.

Registros de CloudTrail

Todas las operaciones de la API de AWS KMS, incluidas las acciones de la consola de AWS KMS, se registran en registros de AWS CloudTrail. AWS KMS hace una entrada de registro para las operaciones realizadas correctamente y las operaciones fallidas. Para las operaciones fallidas, la entrada del registro incluye el nombre de la excepción de AWS KMS (errorCode) y el mensaje de error (errorMessage). Puede utilizar esta información como ayuda para identificar y resolver el error. Para ver un ejemplo, consulte Error de descifrado con una clave de KMS en un almacén de claves externo.

La entrada de registro también incluye el ID de la solicitud. Si la solicitud llegó a su proxy del almacén de claves externo, puede utilizar el ID de solicitud de la entrada de registro para buscar la solicitud correspondiente en sus registros de proxy, si su proxy los proporciona.

Métricas de CloudWatch

AWS KMS registra métricas detalladas de Amazon CloudWatch sobre el funcionamiento y el rendimiento de su almacén de claves externo, como la latencia, la limitación, los errores de proxy, el estado del administrador de claves externo, el número de días que faltan para que caduque el certificado TLS y la antigüedad notificada de sus credenciales de autenticación de proxy. Puede utilizar estas métricas para desarrollar modelos de datos para el funcionamiento de su almacén de claves externo y alarmas de CloudWatch que le avisen de problemas inminentes antes de que se produzcan.

importante

AWS KMS recomienda crear alarmas de CloudWatch para monitorear las métricas del almacén de claves externo. Estas alarmas le avisarán de las señales tempranas de problemas antes de que se presenten.

Gráficos de monitorización

AWS KMS muestra gráficos de las métricas de CloudWatch del almacén de claves externo en la página de detalles de cada almacén de claves externo de la consola de AWS KMS. Puede utilizar los datos de los gráficos para localizar el origen de los errores, detectar problemas inminentes, establecer bases de referencia y determinar los umbrales de alarma de CloudWatch. Para obtener más detalles sobre la interpretación de los gráficos de monitoreo y el uso de sus datos, consulte Monitoreo de almacenes de claves externos.

Visualización de almacenes de claves externos y claves de KMS

AWS KMS muestra información detallada sobre los almacenes de claves externos y las claves de KMS del almacén de claves externo en la consola de AWS KMS y en la respuesta a las operaciones DescribeCustomKeyStores y DescribeKey. Estas pantallas incluyen campos especiales para almacenes de claves externos y claves de KMS con información que puede utilizar para solucionar problemas, como el estado de conexión del almacén de claves externo y el ID de clave externa asociada a la clave de KMS. Para obtener más información, consulte Visualización de almacenes de claves externos.

XKS Proxy Test Client

AWS KMS proporciona un cliente de prueba de código abierto que comprueba que el proxy del almacén de claves externo cumple con la Especificación de la API de proxy del almacén de claves externo de AWS KMS. Puede utilizar este cliente de prueba para identificar y resolver problemas con su proxy del almacén de claves externo.

Errores de configuración

Al crear un almacén de claves externo, especifica los valores de propiedades que comprenden la configuración del almacén de claves externo, como la credencial de autenticación del proxy, el punto de conexión URI del proxy, la ruta URI del proxy y el nombre del servicio de punto de conexión de VPC. Cuando AWS KMS detecta un error en un valor de propiedad, la operación falla y devuelve un error que indica el valor defectuoso.

Muchos problemas de configuración se pueden resolver al corregir el valor incorrecto. Puede corregir una ruta URI del proxy o una credencial de autenticación del proxy no válidas sin desconectar el almacén de claves externo. Para obtener las definiciones de estos valores, incluidos los requisitos de exclusividad, consulte Cumplir los requisitos previos. Para obtener instrucciones sobre cómo actualizar estos valores, consulte Edición de las propiedades del almacén de claves externo.

Para evitar errores con la ruta URI del proxy y los valores de la credencial de autenticación del proxy, al crear o actualizar el almacén de claves externo, cargue un archivo de configuración del proxy en la consola de AWS KMS. Se trata de un archivo basado en JSON con la ruta URI del proxy y los valores de la credencial de autenticación del proxy que proporciona el proxy del almacén de claves externo o el administrador de claves externo. No puede usar un archivo de configuración del proxy con las operaciones de la API de AWS KMS, pero puede usar los valores del archivo para proporcionar valores de parámetros para sus solicitudes de API que coincidan con los valores del proxy.

Errores de configuración general

Excepciones: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), XksProxyInvalidConfigurationException (operaciones de administración, excepto CreateKey)

Códigos de error de conexión: XKS_PROXY_INVALID_CONFIGURATION, XKS_PROXY_INVALID_TLS_CONFIGURATION

En el caso de los almacenes de claves externos con conectividad a puntos de conexión públicos, AWS KMS prueba los valores de propiedades al crear y actualizar el almacén de claves externo. En el caso de los almacenes de claves externos con conectividad al servicio de punto de conexión de VPC, AWS KMS prueba los valores de propiedades al conectar y actualizar el almacén de claves externo.

nota

La operación ConnectCustomKeyStore, que es asincrónica, puede realizarse correctamente aunque falle el intento de conectar el almacén de claves externo a su proxy del almacén de claves externo. En ese caso, no hay ninguna excepción, pero el estado de conexión del almacén de claves externo es Failed (Error) y aparece un código de error de conexión que explica el mensaje de error. Para obtener más información, consulte Errores de conexión del almacén de claves externo.

Si AWS KMS detecta un error en un valor de propiedad, la operación falla y devuelve una XksProxyInvalidConfigurationException con uno de los siguientes mensajes de error.

El proxy del almacén de claves externo rechazó la solicitud porque la ruta URI no era válida. Verifique la ruta URI del almacén de claves externo y actualícela si es necesario.

  • La ruta URI del proxy es la ruta base para las solicitudes de AWS KMS a las API de proxy. Si esta ruta es incorrecta, fallarán todas las solicitudes al proxy. Para ver la ruta URI del proxy actual del almacén de claves externo, utilice la consola de AWS KMS o la operación DescribeCustomKeyStores. Para encontrar la ruta URI del proxy correcta, consulte la documentación del proxy del almacén de claves externo. Para obtener ayuda para corregir el valor de la ruta URI del proxy, consulte Edición de las propiedades del almacén de claves externo.

  • La ruta URI del proxy del almacén de claves externo puede cambiar con las actualizaciones del proxy del almacén de claves externo o del administrador de claves externo. Para obtener información sobre estos cambios, consulte la documentación del proxy del almacén de claves externo o administrador de claves externo.

XKS_PROXY_INVALID_TLS_CONFIGURATION

AWS KMS no puede establecer una conexión TLS con el proxy del almacén de claves externo. Verifique la configuración de TLS, incluido su certificado.

  • Todos los proxy del almacén de claves externo requieren un certificado TLS. El certificado TLS debe ser emitido por una autoridad de certificación (CA) pública que sea compatible con almacenes de claves externos. Para obtener una lista de las CA compatibles, consulte Autoridades de certificación de confianza en la Especificación de la API de proxy del almacén de claves externo de AWS KMS.

  • Para la conectividad a puntos de conexión públicos, el nombre común (CN) del asunto del certificado TLS debe coincidir con el nombre de dominio del punto de conexión URI del proxy del proxy del almacén de claves externo. Por ejemplo, si el punto de conexión público es https://myproxy.xks.example.com, el TLS, el CN del certificado TLS debe ser myproxy.xks.example.com o *.xks.example.com.

  • Para la conectividad al servicio de punto de conexión de VPC, el nombre común (CN) del asunto del certificado TLS debe coincidir con el nombre DNS privado del servicio de punto de conexión de VPC. Por ejemplo, si el nombre DNS privado es myproxy-private.xks.example.com, el CN del certificado TLS debe ser myproxy-private.xks.example.com o *.xks.example.com.

  • El certificado TLS no puede estar caducado. Para obtener la fecha de caducidad de un certificado TLS, utilice herramientas SSL, como OpenSSL. Para supervisar la fecha de caducidad de un certificado TLS asociado a un almacén de claves externo, utilice la métrica XksProxyCertificateDaysToExpire de CloudWatch. El número de días que faltan para la fecha de caducidad de la certificación TLS también aparece en la sección Monitoring (Monitoreo) de la consola de AWS KMS.

  • Si utiliza una conectividad a puntos de conexión públicos, utilice las herramientas de prueba de SSL para probar la configuración de SSL. Los errores de conexión TLS pueden deberse a un encadenamiento incorrecto de certificados.

Errores de configuración de conectividad al servicio de punto de conexión de VPC

Excepciones: XksProxyVpcEndpointServiceNotFoundException, XksProxyVpcEndpointServiceInvalidConfigurationException

Además de los problemas de conectividad generales, es posible que se presenten los siguientes problemas al crear, conectar o actualizar un almacén de claves externo con conectividad al servicio de punto de conexión de VPC. AWS KMS prueba los valores de propiedades de un almacén de claves externo con conectividad al servicio de punto de conexión de VPC al crear, conectar y actualizar el almacén de claves externo. Cuando las operaciones de administración fallan debido a errores de configuración, generan las siguientes excepciones:

XksProxyVpcEndpointServiceNotFoundException

Esto podría deberse a una de las siguientes causas:

  • Un nombre del servicio de punto de conexión de VPC incorrecto. Compruebe que el nombre del servicio de punto de conexión de VPC del almacén de claves externo sea correcto y que coincida con el valor del punto de conexión URI del proxy del almacén de claves externo. Para encontrar el nombre del servicio de punto de conexión de VPC, utilice la consola de Amazon VPC o la operación DescribeVpcEndpointServices. Para encontrar el nombre del servicio de punto de conexión de VPC y el punto de conexión URI del proxy de un almacén de claves externo existente, utilice la consola de AWS KMS o la operación DescribeCustomKeyStores. Para obtener más información, consulte Visualización de almacenes de claves externos.

  • El servicio de punto de conexión de VPC puede estar en una Región de AWS diferente al almacén de claves externo. Verifique que el servicio de punto de conexión de VPC y el almacén de claves externo estén en la misma región. (El nombre externo del nombre de región, como us-east-1, forma parte del nombre del servicio de punto de conexión de VPC, como com.amazonaws.vpce.us-east-1.vpce-svc-example). Para obtener una lista de los requisitos del servicio de punto de conexión de VPC para un almacén de claves externo, consulte Servicio de punto de conexión de VPC. No puede mover un servicio de punto de conexión de VPC ni un almacén de claves externo a otra región. Sin embargo, puede crear un nuevo almacén de claves externo en la misma región que el servicio de punto de conexión de VPC. Para más detalles, consulte Configuración de la conectividad del servicio de punto de conexión de VPC y Creación de un almacén de claves externo.

  • AWS KMS no es una entidad principal permitida para el servicio de punto de conexión de VPC. La lista de Entidades principales permitidas para el servicio de punto de conexión de VPC debe incluir el valor cks.kms.<region>.amazonaws.com, por ejemplo cks.kms.eu-west-3.amazonaws.com. Para obtener instrucciones sobre cómo agregar este valor, consulte Administrar permisos en la Guía de AWS PrivateLink.

XksProxyVpcEndpointServiceInvalidConfigurationException

Este error se produce cuando el servicio de punto de conexión de VPC no cumple uno de los siguientes requisitos:

  • La VPC requiere al menos dos subredes privadas, cada una en una zona de disponibilidad diferente. Para agregar una subred a la VPC, consulte Crear una subred en la VPC en la Guía del usuario de Amazon VPC.

  • El tipo de servicio de punto de conexión de VPC debe usar un equilibrador de carga de red, no un equilibrador de carga de puerta de enlace.

  • No debe exigirse la aceptación del servicio de punto de conexión de VPC (la aceptación obligatoria debe ser falsa). Si se requiere la aceptación manual de cada solicitud de conexión, AWS KMS no puede utilizar el servicio de punto de conexión de VPC para conectarse al proxy del almacén de claves externo. Para obtener más información, consulte Aceptar o rechazar solicitudes de conexión en la Guía de AWS PrivateLink.

  • El servicio de punto de conexión de VPC debe tener un nombre DNS privado que sea un subdominio de un dominio público. Por ejemplo, si el nombre DNS privado es https://myproxy-private.xks.example.com, los dominios xks.example.com o example.com deben tener un servidor de DNS público. Para ver o cambiar el nombre DNS privado del servicio de punto de conexión de VPC, consulte Administrar nombres DNS de los servicios de punto de conexión de VPC en la Guía de AWS PrivateLink.

  • El estado de verificación de dominio del dominio de su nombre DNS privado debe ser verified. Para ver y actualizar el estado de verificación del dominio de nombre DNS privado, consulte Paso 5: Verificar el dominio de su nombre DNS privado. Es posible que el estado de verificación actualizado tarde unos minutos en aparecer después de agregar el registro de texto requerido.

    nota

    Un dominio DNS privado solo se puede verificar si es el subdominio de un dominio público. De lo contrario, el estado de verificación del dominio de DNS privado no cambiará, incluso después de agregar el registro TXT requerido.

  • El nombre DNS privado del servicio de punto de conexión de VPC debe coincidir con el valor del punto de conexión URI del proxy para el almacén de claves externo. Para un almacén de claves externo con conectividad al servicio de punto de conexión de VPC, el punto de conexión URI del proxy debe ser https:// seguido del nombre DNS privado del servicio de punto de conexión de VPC. Para ver el valor del punto de conexión URI del proxy, consulte Visualización de almacenes de claves externos. Para cambiar el valor del punto de conexión URI del proxy, consulte Edición de las propiedades del almacén de claves externo.

Errores de conexión del almacén de claves externo

El proceso de conexión de un almacén de claves externo a su proxy de almacén de claves externo tarda unos cinco minutos en completarse. A menos que el error sea rápido, la operación ConnectCustomKeyStore devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar si el almacén de claves externo está conectado, consulte su estado de conexión. Si la conexión falla, el estado de conexión del almacén de claves externo cambia a FAILED y AWS KMS devuelve un código de error de conexión que explica la causa del error.

nota

Si el estado de conexión de un almacén de claves personalizado es FAILED, deberá desconectar el almacén de claves personalizado antes de conectarlo de nuevo. No puede conectar un almacén de claves personalizado que tenga el estado de conexión FAILED.

Para ver el estado de conexión de un almacén de claves externo:

  • En la respuesta DescribeCustomKeyStores, consulte el valor del elemento ConnectionState.

  • En la consola de AWS KMS, el estado de conexión aparece en la tabla del almacén de claves externo. Además, en la página de detalles de cada almacén de claves externo, aparece el estado de conexión en la sección Configuración general.

Cuando el estado de la conexión es FAILED, el código de error de conexión ayuda a explicar el error.

Para ver el código de error de conexión:

  • En la respuesta DescribeCustomKeyStores, consulte el valor del elemento ConnectionErrorCode. Este elemento aparece en la respuesta DescribeCustomKeyStores solo cuando el ConnectionState es FAILED.

  • Para ver el código de error de conexión en la consola de AWS KMS, vaya a la página de detalles del almacén de claves externo y coloque el cursor sobre el valor Failed (Error).

    Código de error de conexión en la página de detalles del almacén de claves personalizado

Códigos de error de conexión para almacenes de claves externos

Los siguientes códigos de error de conexión aplican a los almacenes de claves externos

INTERNAL_ERROR

AWS KMS no pudo completar la solicitud debido a un error interno. Intente realizar de nuevo la solicitud . Para las solicitudesConnectCustomKeyStore, desconecte el almacén de claves personalizado antes de intentar conectarse de nuevo.

INVALID_CREDENTIALS

Uno o ambos valores de XksProxyAuthenticationCredential no son válidos en el proxy del almacén de claves externo especificado.

NETWORK_ERRORS

Los errores de red de AWS KMS impiden conectar el almacén de claves personalizado a su almacén de claves de respaldo.

XKS_PROXY_ACCESS_DENIED

A las solicitudes AWS KMS se les niega el acceso al proxy del almacén de claves externo. Si el proxy del almacén de claves externo tiene reglas de autorización, compruebe que permitan a AWS KMS comunicarse con el proxy en su nombre.

XKS_PROXY_INVALID_CONFIGURATION

Un error de configuración impide que el almacén de claves externo se conecte a su proxy. Compruebe el valor de XksProxyUriPath.

XKS_PROXY_INVALID_RESPONSE

AWS KMS no puede interpretar la respuesta del proxy del almacén de claves externo. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo.

XKS_PROXY_INVALID_TLS_CONFIGURATION

AWS KMS no se puede conectar al proxy del almacén de claves externo porque la configuración de TLS no es válida. Compruebe que el proxy del almacén de claves externo sea compatible con TLS 1.2 o 1.3. Además, compruebe que el certificado TLS no esté caducado, que coincida con el nombre de host en el valor XksProxyUriEndpoint y que esté firmado por una autoridad de certificación de confianza incluida en la lista de Autoridades de certificación de confianza.

XKS_PROXY_NOT_REACHABLE

AWS KMS no puede comunicarse con el proxy de su almacén de claves externo. Compruebe que XksProxyUriEndpoint y XksProxyUriPath sean correctos. Utilice las herramientas de su proxy del almacén de claves externo para comprobar que el proxy esté activo y disponible en su red. Además, compruebe que las instancias del administrador de claves externo funcionen correctamente. Los intentos de conexión fallan con este código de error de conexión si el proxy informa que todas las instancias del administrador de claves externo no están disponibles.

XKS_PROXY_TIMED_OUT

AWS KMS puede conectarse al proxy del almacén de claves externo, pero el proxy no responde a AWS KMS en el tiempo establecido. Si ve este código de error de conexión varias veces, comuníqueselo al proveedor del proxy del almacén de claves externo.

XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION

La configuración del servicio de punto de conexión de VPC de Amazon no cumple con los requisitos de un almacén de claves externo de AWS KMS.

  • El servicio de punto de conexión de VPC debe ser un servicio de punto de conexión para los puntos de conexión de la interfaz de la Cuenta de AWS de la persona que llama.

  • Debe tener un equilibrador de carga de red (NLB) conectado a al menos dos subredes, cada una en una zona de disponibilidad diferente.

  • La lista de Allow principals debe incluir la entidad principal del servicio de AWS KMS de la región, cks.kms.<region>.amazonaws.com, como cks.kms.us-east-1.amazonaws.com.

  • No debe requerir la aceptación de las solicitudes de conexión.

  • Debe tener un nombre DNS privado. El nombre DNS privado de un almacén de claves externo con conectividad VPC_ENDPOINT_SERVICE debe ser único en su Región de AWS.

  • El dominio del nombre DNS privado debe tener un estado de verificación verified.

  • El certificado TLS especifica el nombre de host DNS privado en el que se puede acceder al punto de conexión.

XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND

AWS KMS no encuentra el servicio de punto de conexión de VPC que utiliza para comunicarse con el proxy del almacén de claves externo. Compruebe que XksProxyVpcEndpointServiceName es correcto y que la entidad principal del servicio de AWS KMS tiene permisos de consumidor del servicio en el servicio de punto de conexión de VPC de Amazon.

Errores de latencia y tiempo de espera

Excepciones: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), XksProxyUriUnreachableException (operaciones de administración)

Códigos de error de conexión: XKS_PROXY_NOT_REACHABLE, XKS_PROXY_TIMED_OUT

Cuando AWS KMS no puede contactarse con el proxy dentro de un intervalo de tiempo de espera de 250 milisegundos, este devuelve una excepción. CreateCustomKeyStore y UpdateCustomKeyStore generan una XksProxyUriUnreachableException. Las operaciones criptográficas generan la KMSInvalidStateException estándar con un mensaje de error que describe el problema. Si ConnectCustomKeyStore falla, AWS KMS devuelve un código de error de conexión que describe el problema.

Los errores de tiempo de espera pueden ser problemas transitorios que se pueden resolver volviendo a intentar la solicitud. Si el problema persiste, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red. Además, compruebe que el punto de conexión URI del proxy, la ruta URI del proxy y el nombre del servicio de punto de conexión de VPC (si lo hubiera) sean correctos en el almacén de claves externo. Además, compruebe que el administrador de claves externo esté cerca de la Región de AWS del almacén de claves externo. Si necesita actualizar alguno de estos valores, consulte Edición de las propiedades del almacén de claves externo.

Para realizar un seguimiento de los patrones de latencia, utilice la métrica de CloudWatch XksProxyLatency y el gráfico de latencia promedio (basado en esa métrica) en la sección Monitoring (Monitoreo) de la consola de AWS KMS. El proxy de su almacén de claves externo también puede generar registros y métricas que rastreen la latencia y los tiempos de espera.

XksProxyUriUnreachableException

AWS KMS no puede comunicarse con el proxy del almacén de claves externo. Esto puede ser un problema de red transitorio. Si aparece este error varias veces, compruebe que el proxy del almacén de claves externo esté activo y conectado a la red, y que el URI del punto de conexión sea correcto en el almacén de claves externo.

  • El proxy del almacén de claves externo no respondió a una solicitud de la API de proxy de AWS KMS dentro del intervalo de tiempo de espera de 250 milisegundos. Esto puede indicar un problema de red transitorio o un problema operativo o de rendimiento con el proxy. Si volver a intentarlo no resuelve el problema, notifíquelo al administrador de proxy del almacén de claves externo.

Los errores de latencia y tiempo de espera suelen manifestarse como errores de conexión. Cuando se produce un error en la operación ConnectCustomKeyStore, el estado de conexión del almacén de claves externo cambia a FAILED y AWS KMS genera un código de error de conexión que explica el error. Para obtener una lista de los códigos de error de conexión y sugerencias para resolverlos, consulte Códigos de error de conexión para almacenes de claves externos. Las listas de códigos de conexión de Todos los almacenes de claves personalizados y Almacenes de claves externos aplican a los almacenes de claves externos. Los siguientes errores de conexión están relacionados con la latencia y los tiempos de espera.

XKS_PROXY_NOT_REACHABLE

-o bien-

CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException

AWS KMS no puede comunicarse con el proxy del almacén de claves externo. Compruebe que el proxy del almacén de claves externo esté activo y conectado a la red y que su ruta URI y su nombre del servicio de VPC o URI de punto de conexión sean correctos en su almacén de claves externo.

Este error puede producirse por las siguientes razones:

  • El proxy del almacén de claves externo no está activo o no está conectado a la red.

  • Hay un error en los valores del punto de conexión URI del proxy, la ruta URI del proxy o el nombre del servicio de punto de conexión de VPC (si corresponde) en la configuración del almacén de claves externo. Para ver la configuración del almacén de claves externo, utilice la operación DescribeCustomKeyStores o consulte la página de detalles del almacén de claves externo en la consola de AWS KMS.

  • Puede haber un error de configuración de red, como un error de puerto, en la ruta de red entre AWS KMS y el proxy del almacén de claves externo. AWS KMS se comunica con el proxy del almacén de claves externo en el puerto 443. Este valor no se puede configurar.

  • Cuando el proxy del almacén de claves externo informa (en una respuesta de GetHealthStatus) que todas las instancias del administrador de claves externo están UNAVAILABLE, la operación ConnectCustomKeyStore falla con un ConnectionErrorCode XKS_PROXY_NOT_REACHABLE. Para obtener ayuda, consulte la documentación del administrador de claves externo.

  • Este error puede deberse a una gran distancia física entre el administrador de claves externo y la Región de AWS con el almacén de claves externo. La latencia de ping (tiempo de ida y vuelta de la red (RTT)) entre la Región de AWS y el administrador de claves externo no debe superar los 35 milisegundos. Puede que tenga que crear un almacén de claves externo en una Región de AWS que esté más cerca del administrador de claves externo o mover el administrador de claves externo a un centro de datos que esté más cerca de la Región de AWS.

XKS_PROXY_TIMED_OUT

-o bien-

CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException

AWS KMS rechazó la solicitud porque el proxy del almacén de claves externo no respondió a tiempo. Intente realizar de nuevo la solicitud . Si ve este error varias veces, infórmelo al administrador de proxy del almacén de claves externo.

Este error puede producirse por las siguientes razones:

  • Este error puede deberse a una gran distancia física entre el administrador de claves externo y el proxy del almacén de claves externo. Si es posible, acerque el proxy del almacén de claves externo al administrador de claves externo.

  • Se pueden producir errores de tiempo de espera cuando el proxy no está diseñado para gestionar el volumen y la frecuencia de las solicitudes de AWS KMS. Si las métricas de CloudWatch indican un problema persistente, notifíquelo al administrador de proxy del almacén de claves externo.

  • Se pueden producir errores de tiempo de espera cuando la conexión entre el administrador de claves externo y Amazon VPC para el almacén de claves externo no funciona correctamente. Si está utilizando AWS Direct Connect, compruebe que su VPC y el administrador de claves externo puedan comunicarse de manera eficaz. Para obtener ayuda con la resolución de cualquier problema, consulte Solución de problemas de AWS Direct Connect en la Guía del usuario de AWS Direct Connect.

XKS_PROXY_TIMED_OUT

-o bien-

CustomKeyStoreInvalidStateException, KMSInvalidStateException, XksProxyUriUnreachableException

El proxy del almacén de claves externo no respondió a la solicitud en el tiempo establecido. Intente realizar de nuevo la solicitud . Si ve este error varias veces, infórmelo al administrador de proxy del almacén de claves externo.

  • Este error puede deberse a una gran distancia física entre el administrador de claves externo y el proxy del almacén de claves externo. Si es posible, acerque el proxy del almacén de claves externo al administrador de claves externo.

Errores en las credenciales de autenticación

Excepciones: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), XksProxyIncorrectAuthenticationCredentialException (operaciones de administración distintas de CreateKey)

Usted establece y mantiene una credencial de autenticación para AWS KMS en el proxy de su almacén de claves externo. A continuación, indica a AWS KMS los valores de las credenciales cuando crea un almacén de claves externo. Para cambiar la credencial de autenticación, realice el cambio en el proxy del almacén de claves externo. A continuación, actualice la credencial del almacén de claves externo. Si su proxy rota la credencial, debe actualizar la credencial del almacén de claves externo.

Si el proxy del almacén de claves externo no autentica una solicitud firmada con la credencial de autenticación de proxy del almacén de claves externo, el efecto depende de la solicitud:

  • CreateCustomKeyStore y UpdateCustomKeyStore fallan con una XksProxyIncorrectAuthenticationCredentialException.

  • ConnectCustomKeyStore se realiza correctamente, pero se produce un error en la conexión. El estado de la conexión es FAILED y el código de error de conexión es INVALID_CREDENTIALS. Para obtener más información, consulte Errores de conexión del almacén de claves externo.

  • Las operaciones criptográficas devuelven KMSInvalidStateException para todos los errores de configuración y estado de conexión externos de un almacén de claves externo. El mensaje de error adjunto describe el problema.

El proxy del almacén de claves externo rechazó la solicitud porque no pudo autenticar AWS KMS. Compruebe las credenciales del almacén de claves externo y actualícelas si es necesario.

Este error puede producirse por las siguientes razones:

  • El ID de clave de acceso o la clave de acceso secreta del almacén de claves externo no coincide con los valores establecidos en el proxy del almacén de claves externo.

    Para corregir este error, actualice la credencial de autenticación de proxy del almacén de claves externo. Puede realizar este cambio sin desconectar el almacén de claves externo.

  • Un proxy inverso entre AWS KMS y el proxy del almacén de claves externo podría estar manipulando los encabezados HTTP de manera que invalida las firmas SigV4. Para corregir este error, notifique al administrador de proxy.

Errores de estados de las claves

Excepciones: KMSInvalidStateException

KMSInvalidStateException se utiliza para dos propósitos distintos para las claves de KMS en almacenes de claves personalizados.

  • Cuando una operación de administración, como CancelKeyDeletion, falla y devuelve esta excepción, indica que el estado de la clave de la clave de KMS no es compatible con la operación.

  • Cuando se produce un error con KMSInvalidStateException en una operación criptográfica en una clave de KMS de un almacén de claves personalizado, puede indicar un problema con el estado de la clave de KMS. Sin embargo, la operación criptográfica AWS KMS devuelve KMSInvalidStateException por todos los errores de configuración externa y los errores de estado de conexión en un almacén de claves externo. Para identificar el problema, utilice el mensaje de error que acompaña a la excepción.

Para encontrar el estado de clave requerido para las operaciones de la API de AWS KMS, consulte Estados de clave de de las claves AWS KMS. Para buscar el estado de clave de una clave KMS en la página Customer managed keys (Claves administradas por el cliente) consulte el campo Status (Estado) de la clave KMS. O utilice la operación DescribeKey y consulte el elemento KeyState en la respuesta. Para obtener más información, consulte Identificación y visualización de claves.

nota

El estado de clave de una clave de KMS en un almacén de claves externo no indica nada sobre el estado de la clave externa asociada. Para obtener información sobre el estado de la clave externa, utilice el administrador de claves externo y las herramientas de proxy del almacén de claves externo.

CustomKeyStoreInvalidStateException se refiere al estado de conexión del almacén de claves externo, no al estado de clave de una clave de KMS.

Una operación criptográfica en una clave KMS de un almacén de claves personalizado puede producir un error porque el estado de la clave KMS es Unavailable o PendingDeletion. (Las teclas deshabilitadas devuelven DisabledException).

  • Una clave de KMS tiene un estado de clave Disabled solo cuando se deshabilita intencionalmente la clave de KMS en la consola de AWS KMS o mediante la operación DisableKey. Mientras una clave de KMS esté deshabilitada, puede consultarla y administrarla, pero no puede usarla en operaciones criptográficas. Para solucionar este problema, habilite la clave. Para obtener más información, consulte Habilitar y deshabilitar claves KMS.

  • Una clave de KMS tiene un estado de clave Unavailable cuando el almacén de claves externo se desconecta de su proxy del almacén de claves externo. Para arreglar una clave de KMS no disponible, vuelva a conectar el almacén de claves externo. Después de volver a conectar el almacén de claves externo, el estado de clave de las claves de KMS en el almacén de claves externo se restaura automáticamente al estado anterior, como Enabled o Disabled.

    Una clave de KMS tiene un estado de clave PendingDeletion cuando se ha programado su eliminación y se encuentra en su periodo de espera. Un error de estado de clave en una clave de KMS que está pendiente de eliminación indica que la clave no se debe eliminar, ya sea porque se utiliza para el cifrado o porque es necesaria para el descifrado. Para volver a habilitar la clave de KMS, cancele la eliminación programada y, a continuación, habilite la clave. Para obtener más información, consulte Programar la eliminación de claves.

Errores de descifrado

Excepciones: KMSInvalidStateException

Cuando se produce un error en una operación de descifrado con una clave KMS en un almacén de claves externo, AWS KMS devuelve el estándar KMSInvalidStateException que utilizan las operaciones criptográficas para todos los errores de configuración externa y de estado de conexión de un almacén de claves externo. El mensaje de error indica el problema.

Para descifrar un texto cifrado que fue cifrado mediante doble cifrado, el administrador de claves externo utiliza primero la clave externa para descifrar la capa exterior del texto cifrado. A continuación, AWS KMS utiliza el material de clave de AWS KMS de la clave de KMS para descifrar la capa interna del texto cifrado. AWS KMS o un administrador de claves externo puede rechazar un texto cifrado no válido o dañado.

Cuando se produce un error en el descifrado, aparecen los siguientes mensajes de error junto a KMSInvalidStateException. Indica un problema con el texto cifrado o el contexto de cifrado opcional de la solicitud.

El proxy del almacén de claves externo rechazó la solicitud porque el texto cifrado especificado o los datos autenticados adicionales están dañados, faltan o no son válidos por algún motivo.

  • Cuando el proxy del almacén de claves externo o el administrador de claves externo informan que un texto cifrado o su contexto de cifrado no son válidos, normalmente indica un problema con el texto cifrado o el contexto de cifrado de la solicitud Decrypt enviada a AWS KMS. Para las operaciones Decrypt, AWS KMS envía al proxy el mismo texto cifrado y contexto de cifrado que recibe en la solicitud Decrypt.

    Este error puede deberse a un problema de red durante el transporte, como un bit invertido. Intente realizar de nuevo la solicitud Decrypt. Si el problema persiste, compruebe que el texto cifrado no esté alterado ni dañado. Además, compruebe que el contexto de cifrado de la solicitud Decrypt a AWS KMS coincida con el contexto de cifrado de la solicitud que cifró los datos.

El texto cifrado que el proxy del almacén de claves externo envió para su descifrado, o el contexto de cifrado, está dañado, falta o no es válido por algún motivo.

  • Cuando AWS KMS rechaza el texto cifrado que recibió del proxy, indica que el administrador de claves externo o el proxy devolvieron un texto cifrado no válido o dañado a AWS KMS.

    Este error puede deberse a un problema de red durante el transporte, como un bit invertido. Intente realizar de nuevo la solicitud Decrypt. Si el problema persiste, compruebe que el administrador de claves externo funciona correctamente y que el proxy del almacén de claves externo no altera el texto cifrado que recibe del administrador de claves externo antes de devolverlo a AWS KMS.

Errores de clave externa

Una clave externa es una clave criptográfica del administrador de claves externo que sirve como material de clave externa para una clave de KMS. AWS KMS no puede acceder directamente a la clave externa. Debe solicitar al administrador de claves externo (a través del proxy del almacén de claves externo) que utilice la clave externa para cifrar datos o descifrar un texto cifrado.

Especifica el ID de clave externa en su administrador de claves externo cuando crea una clave de KMS en su almacén de claves externo. No se puede cambiar el ID de clave externa después de crear la clave de KMS. Para evitar problemas con la clave de KMS, la operación CreateKey solicita al proxy del almacén de claves externo que verifique el ID y la configuración de la clave externa. Si la clave externa no cumple los requisitos para su uso con una clave de KMS, se produce un error en la operación CreateKey y aparece un mensaje de excepción y error que identifica el problema.

Sin embargo, pueden producirse problemas después de que se crea la clave de KMS. Si una operación criptográfica falla debido a un problema con la clave externa, se produce un error y se genera una KMSInvalidStateException con un mensaje de error que indica el problema.

Errores de CreateKey para la clave externa

Excepciones: XksKeyAlreadyInUseException, XksKeyNotFoundException, XksKeyInvalidConfigurationException

La operación CreateKey intenta verificar el ID y las propiedades de la clave externa que proporciona en External key ID (ID de clave externa) (consola) o en el parámetro XksKeyId (API). Esta práctica está diseñada para detectar errores de forma temprana antes de intentar utilizar la clave externa con la clave de KMS.

Clave externa en uso

Cada clave de KMS de un almacén de claves externo debe usar una clave externa diferente. Cuando CreateKey reconoce que el ID de clave externa (XksKeyID) de una clave de KMS no es único en el almacén de claves externo, produce un error con una XksKeyAlreadyInUseException.

Si utiliza varios ID para la misma clave externa, CreateKey no reconocerá el duplicado. Sin embargo, las claves de KMS con la misma clave externa no son interoperables porque tienen diferentes materiales de clave y metadatos de AWS KMS.

No se encontró la clave externa

Cuando el proxy del almacén de claves externo informa que no puede encontrar la clave externa mediante el ID (XksKeyID) de la clave KMS, la operación CreateKey falla y genera una XksKeyNotFoundException con el siguiente mensaje de error.

El proxy del almacén de claves externo rechazó la solicitud porque no pudo encontrar la clave externa.

Este error puede producirse por las siguientes razones:

  • Es posible que el ID de la clave externa (XksKeyId) de la clave de KMS no sea válido. Para encontrar el ID que su proxy de clave externa utiliza para identificar la clave externa, consulte la documentación sobre el proxy del almacén de claves externo o el administrador de claves externo.

  • Puede que se haya eliminado la clave externa de su administrador de claves externo. Para investigar, utilice sus herramientas de administrador de claves externo. Si la clave externa se elimina permanentemente, utilice una clave externa diferente con la clave de KMS. Para obtener una lista de los requisitos de la clave externa, consulte Requisitos para una clave de KMS en un almacén de claves externo.

No se cumplen los requisitos de clave externa

Cuando el proxy del almacén de claves externo informa que la clave externa no cumple con los requisitos para su uso con una clave KMS, la operación CreateKey falla y genera una XksKeyInvalidConfigurationException con uno de los siguientes mensajes de error.

La especificación de clave de la clave externa debe ser AES_256. La especificación de clave de la clave externa especificada es <key-spec>.

  • La clave externa debe ser una clave de cifrado simétrica de 256 bits con una especificación de clave de AES_256. Si la clave externa especificada es de otro tipo, especifique el ID de una clave externa que cumpla este requisito.

El estado de la clave externa debe ser ENABLED (HABILITADA). El estado de la clave externa especificada es <status>.

  • La clave externa debe estar habilitada en el administrador de claves externo. Si la clave externa especificada no está habilitada, utilice las herramientas del administrador de claves externo para habilitarla o especifique una clave externa habilitada.

El uso de clave de la clave externa debe incluir ENCRYPT (CIFRAR) y DECRYPT (DESCIFRAR). El uso de clave de la clave externa especificada es <key-usage>.

  • La clave externa debe configurarse para el cifrado y el descifrado en el administrador de claves externo. Si la clave externa especificada no incluye estas operaciones, utilice las herramientas del administrador de claves externo para cambiar las operaciones o especifique una clave externa diferente.

Errores de operación criptográfica para la clave externa

Excepciones: KMSInvalidStateException

Cuando el proxy del almacén de claves externo no puede encontrar la clave externa asociada a la clave de KMS o la clave externa no cumple los requisitos para su uso con una clave de KMS, se produce un error en la operación criptográfica.

Los problemas de clave externa que se detectan durante una operación criptográfica son más difíciles de resolver que los problemas de clave externa detectados antes de crear la clave de KMS. No se puede cambiar el ID de clave externa después de crear la clave de KMS. Si la clave de KMS aún no ha cifrado ningún dato, puede eliminarla y crear una nueva con un ID de clave externa diferente. Sin embargo, el texto cifrado generado con la clave de KMS no se puede descifrar con ninguna otra clave de KMS, ni siquiera con la misma clave externa, porque las claves tendrán diferentes metadatos de clave y material de clave de AWS KMS diferente. En su lugar, en la medida de lo posible, utilice las herramientas de administración de claves externas para resolver el problema con la clave externa.

Cuando el proxy del almacén de claves externo informa un problema con la clave externa, las operaciones criptográficas devuelven una KMSInvalidStateException con un mensaje de error que identifica el problema.

No se encontró la clave externa

Cuando el proxy del almacén de claves externo informa que no puede encontrar la clave externa mediante el ID de clave externa (XksKeyID) de la clave de KMS, las operaciones criptográficas devuelven una KMSInvalidStateException con el siguiente mensaje de error.

El proxy del almacén de claves externo rechazó la solicitud porque no pudo encontrar la clave externa.

Este error puede producirse por las siguientes razones:

  • El ID de la clave externa (XksKeyId) de la clave de KMS ya no es válido.

    Para encontrar el ID de clave externa asociado a su clave de KMS, consulte los detalles de la clave de KMS. Para encontrar el ID que su proxy de clave externa utiliza para identificar la clave externa, consulte la documentación sobre el proxy del almacén de claves externo o el administrador de claves externo.

    AWS KMS verifica el ID de clave externa cuando crea una clave de KMS en un almacén de claves externo. Sin embargo, el ID puede dejar de ser válido, especialmente si el valor del ID de clave externa es un alias o un nombre mutable. No puede cambiar el ID de clave externa asociado a una clave de KMS existente. Para descifrar cualquier texto cifrado con la clave de KMS, debe volver a asociar la clave externa con el ID de clave externa existente.

    Si aún no ha utilizado la clave de KMS para cifrar datos, puede crear una nueva clave de KMS con un ID de clave externa válido. Sin embargo, si ha generado texto cifrado con la clave de KMS, no puede usar ninguna otra clave de KMS para descifrar el texto cifrado, incluso si usa la misma clave externa.

  • Puede que se haya eliminado la clave externa de su administrador de claves externo. Para investigar, utilice sus herramientas de administrador de claves externo. Si es posible, intente recuperar el material de clave de una copia o respaldo de su administrador de claves externo. Si la clave externa se elimina de forma permanente, cualquier texto cifrado con la clave de KMS asociada será irrecuperable.

Errores de configuración de claves externas

Cuando el proxy del almacén de claves externo informa que la clave externa no cumple con los requisitos para su uso con una clave KMS, la operación criptográfica genera una KMSInvalidStateException con uno de los siguientes mensajes de error.

El proxy del almacén de claves externo rechazó la solicitud porque la clave externa no admite la operación solicitada.

  • La clave externa debe admitir tanto el cifrado como el descifrado. Si el uso de la clave no incluye el cifrado y el descifrado, utilice las herramientas de administración de claves externas para cambiar el uso de la clave.

El proxy del almacén de claves externo rechazó la solicitud porque la clave externa no está habilitada en el administrador de claves externo.

  • La clave externa debe estar habilitada y disponible para su uso en el administrador de claves externo. Si el estado de la clave externa no es Enabled, utilice las herramientas del administrador de claves externo para habilitarla.

Problemas con el proxy

Excepciones:

CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operaciones criptográficas), UnsupportedOperationException, XksProxyUriUnreachableException, XksProxyInvalidResponseException (operaciones de administración distintas de CreateKey)

El proxy del almacén de claves externo es el mediador de toda la comunicación entre AWS KMS y el administrador de claves externo. Traduce las solicitudes genéricas de AWS KMS a un formato que su administrador de claves externo pueda comprender. Si el proxy del almacén de claves externo no cumple con la Especificación de la API de proxy del almacén de claves externo de AWS KMS, si no funciona correctamente o no puede comunicarse con AWS KMS, no podrá crear ni utilizar claves de KMS en su almacén de claves externo.

Si bien muchos errores mencionan el proxy del almacén de claves externo debido a su papel fundamental en la arquitectura del almacén de claves externo, esos problemas pueden originarse en el administrador de claves externo o en la clave externa.

Los problemas de esta sección se refieren a problemas con el diseño o el funcionamiento del proxy del almacén de claves externo. La resolución de estos problemas puede requerir un cambio en el software de proxy. Consulte a su administrador de proxy. Para ayudar a diagnosticar problemas con el proxy, AWS KMS proporciona XKS Proxy Text Client, un cliente de prueba de código abierto que comprueba que el proxy del almacén de claves externo cumple con la Especificación de la API de proxy del almacén de claves externo de AWS KMS.

CustomKeyStoreInvalidStateException, KMSInvalidStateException o XksProxyUriUnreachableException

El proxy del almacén de claves externo se encuentra en mal estado. Si ve este mensaje varias veces, notifíquelo al administrador de proxy del almacén de claves externo.

  • Este error puede indicar un problema operativo o un error de software en el proxy del almacén de claves externo. Puede encontrar las entradas de registro de CloudTrail para la operación de la API de AWS KMS que generó cada error. Este error puede resolverse si vuelve a intentar la operación. Sin embargo, si persiste, notifíquelo al administrador de proxy del almacén de claves externo.

  • Cuando el proxy del almacén de claves externo informa (en una respuesta de GetHealthStatus) que todas las instancias del administrador de claves externo están UNAVAILABLE, los intentos de crear o actualizar un almacén de claves externo fallan con esta excepción. Si el error persiste, consulte la documentación del administrador de claves externo.

CustomKeyStoreInvalidStateException, KMSInvalidStateException o XksProxyInvalidResponseException

AWS KMS no puede interpretar la respuesta del proxy del almacén de claves externo. Si ve este error varias veces, consulte con el administrador de proxy del almacén de claves externo.

  • Las operaciones de AWS KMS generan esta excepción cuando el proxy devuelve una respuesta indefinida que AWS KMS no puede analizar ni interpretar. Este error puede producirse ocasionalmente debido a problemas externos temporales o a errores de red esporádicos. Sin embargo, si persiste, podría indicar que el proxy del almacén de claves externo no cumple con la Especificación de la API de proxy del almacén de claves externo de AWS KMS. Notifique a su proveedor o administrador del almacén de claves externo.

CustomKeyStoreInvalidStateException, KMSInvalidStateException o UnsupportedOperationException

El proxy del almacén de claves externo rechazó la solicitud porque no admite la operación criptográfica solicitada.

Problemas de autorización de proxy

Excepciones: CustomKeyStoreInvalidStateException, KMSInvalidStateException

Algunos proxy del almacén de claves externo implementan requisitos de autorización para el uso de sus claves externas. Se permite, pero no es obligatorio, utilizar un proxy de almacén de claves externo para diseñar e implementar un esquema de autorización que permita a determinados usuarios solicitar ciertas operaciones en determinadas condiciones. Por ejemplo, un proxy puede permitir al usuario cifrar con una clave externa determinada, pero no descifrar con ella. Para obtener más información, consulte Autorización del proxy del almacén de claves externo (opcional).

La autorización del proxy se basa en los metadatos que AWS KMS incluye en sus solicitudes al proxy. Los campos awsSourceVpc y awsSourceVpce se incluyen en los metadatos solo cuando la solicitud proviene de un punto de conexión de VPC y solo cuando la persona que llama está en la misma cuenta que la clave de KMS. 

"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}

Cuando el proxy rechaza una solicitud debido a una falla de autorización, se produce un error en la operación de AWS KMS relacionada. CreateKey genera un CustomKeyStoreInvalidStateException. Las operaciones criptográficas de AWS KMS generan una KMSInvalidStateException. Ambos utilizan el siguiente mensaje de error:

El proxy del almacén de claves externo denegó el acceso a la operación. Compruebe que el usuario y la clave externa estén autorizados para esta operación e intente realizar la solicitud de nuevo.

  • Para resolver el error, utilice el administrador de claves externo o las herramientas de proxy del almacén de claves externo para determinar por qué falló la autorización. A continuación, actualice el procedimiento que provocó la solicitud no autorizada o utilice las herramientas de proxy del almacén de claves externo para actualizar la política de autorización. No puede resolver este error en AWS KMS.