Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Toko kunci eksternal
<a name="keystore-external"></a>

Penyimpanan kunci eksternal memungkinkan Anda untuk melindungi AWS sumber daya Anda menggunakan kunci kriptografi di luar. AWS Fitur canggih ini dirancang untuk beban kerja yang diatur yang harus Anda lindungi dengan kunci enkripsi yang disimpan dalam sistem manajemen kunci eksternal yang Anda kontrol. Toko kunci eksternal mendukung [janji kedaulatan AWS digital untuk memberi Anda kontrol kedaulatan](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) atas data Anda AWS, termasuk kemampuan untuk mengenkripsi dengan materi utama yang Anda miliki dan kendalikan di luar. AWS

*Toko kunci eksternal adalah toko* [kunci khusus](key-store-overview.md#custom-key-store-overview) yang didukung oleh *manajer kunci eksternal* yang Anda miliki dan kelola di luar AWS. Manajer kunci eksternal Anda dapat berupa modul keamanan perangkat keras fisik atau virtual (HSMs), atau sistem berbasis perangkat keras atau berbasis perangkat lunak apa pun yang mampu menghasilkan dan menggunakan kunci kriptografi. Operasi enkripsi dan dekripsi yang menggunakan kunci KMS di penyimpanan kunci eksternal dilakukan oleh manajer kunci eksternal Anda menggunakan bahan kunci kriptografi Anda, fitur yang dikenal sebagai *hold your own* keys (). HYOKs 

AWS KMS tidak pernah berinteraksi langsung dengan pengelola kunci eksternal Anda, dan tidak dapat membuat, melihat, mengelola, atau menghapus kunci Anda. Sebaliknya, AWS KMS berinteraksi hanya dengan perangkat lunak [proxy penyimpanan kunci eksternal (proxy](#concept-xks-proxy) XKS) yang Anda sediakan. Proxy penyimpanan kunci eksternal Anda memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Ini mentransmisikan semua permintaan dari AWS KMS ke manajer kunci eksternal Anda, dan mengirimkan tanggapan dari manajer kunci eksternal Anda kembali ke. AWS KMS Proxy penyimpanan kunci eksternal juga menerjemahkan permintaan generik dari AWS KMS ke dalam format khusus vendor yang dapat dipahami oleh manajer kunci eksternal Anda, memungkinkan Anda untuk menggunakan toko kunci eksternal dengan manajer kunci dari berbagai vendor.

Anda dapat menggunakan kunci KMS di penyimpanan kunci eksternal untuk enkripsi sisi klien, termasuk dengan file. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/) Tetapi penyimpanan kunci eksternal adalah sumber daya penting untuk enkripsi sisi server, memungkinkan Anda untuk melindungi AWS sumber daya Anda dalam beberapa Layanan AWS dengan kunci kriptografi Anda di luar. AWS Layanan AWS yang mendukung [kunci yang dikelola pelanggan](concepts.md#customer-mgn-key) untuk enkripsi simetris juga mendukung kunci KMS di toko kunci eksternal. Untuk detail dukungan layanan, lihat [Integrasi AWS Layanan](https://aws.amazon.com/kms/features/#AWS_service_integration).

Penyimpanan kunci eksternal memungkinkan Anda AWS KMS untuk menggunakan beban kerja yang diatur di mana kunci enkripsi harus disimpan dan digunakan di luar. AWS Tetapi mereka adalah penyimpangan besar dari model tanggung jawab bersama standar, dan membutuhkan beban operasional tambahan. Risiko yang lebih besar terhadap ketersediaan dan latensi akan, bagi sebagian besar pelanggan, melebihi manfaat keamanan yang dirasakan dari toko kunci eksternal.

Toko kunci eksternal memungkinkan Anda mengontrol akar kepercayaan. Data yang dienkripsi di bawah kunci KMS di toko kunci eksternal Anda dapat didekripsi hanya dengan menggunakan pengelola kunci eksternal yang Anda kontrol. Jika Anda mencabut sementara akses ke manajer kunci eksternal Anda, seperti dengan memutuskan penyimpanan kunci eksternal atau memutuskan koneksi manajer kunci eksternal Anda dari proxy penyimpanan kunci eksternal, AWS kehilangan semua akses ke kunci kriptografi Anda sampai Anda mengembalikannya. Selama interval itu, ciphertext yang dienkripsi di bawah kunci KMS Anda tidak dapat didekripsi. Jika Anda secara permanen mencabut akses ke pengelola kunci eksternal Anda, semua ciphertext yang dienkripsi di bawah kunci KMS di toko kunci eksternal Anda menjadi tidak dapat dipulihkan. Satu-satunya pengecualian adalah AWS layanan yang secara singkat menyimpan [kunci data yang dilindungi oleh kunci](data-keys.md) KMS Anda. Kunci data ini terus berfungsi sampai Anda menonaktifkan sumber daya atau cache kedaluwarsa. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

Penyimpanan kunci eksternal membuka blokir beberapa kasus penggunaan untuk beban kerja yang diatur di mana kunci enkripsi harus tetap berada di bawah kendali Anda dan tidak dapat diakses. AWS Tetapi ini adalah perubahan besar dalam cara Anda mengoperasikan infrastruktur berbasis cloud dan perubahan signifikan dalam model tanggung jawab bersama. Untuk sebagian besar beban kerja, beban operasional tambahan dan risiko yang lebih besar terhadap ketersediaan dan kinerja akan melebihi manfaat keamanan yang dirasakan dari toko kunci eksternal.



**Apakah saya memerlukan toko kunci eksternal?**

Bagi sebagian besar pengguna, penyimpanan AWS KMS kunci default, yang dilindungi oleh [modul keamanan perangkat keras yang divalidasi FIPS 140-3 Security Level 3, memenuhi persyaratan keamanan](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), kontrol, dan peraturan mereka. Pengguna toko kunci eksternal dikenakan biaya yang besar, pemeliharaan, dan beban pemecahan masalah, dan risiko terhadap latensi, ketersediaan, dan keandalan.

Saat mempertimbangkan penyimpanan kunci eksternal, luangkan waktu untuk memahami alternatifnya, termasuk [toko AWS CloudHSM kunci](keystore-cloudhsm.md) yang didukung oleh AWS CloudHSM cluster yang Anda miliki dan kelola, dan kunci KMS dengan [materi kunci impor](importing-keys.md) yang Anda hasilkan sendiri HSMs dan dapat dihapus dari kunci KMS sesuai permintaan. Secara khusus, mengimpor bahan kunci dengan interval kedaluwarsa yang sangat singkat dapat memberikan tingkat kontrol yang sama tanpa risiko kinerja atau ketersediaan.

Penyimpanan kunci eksternal mungkin merupakan solusi yang tepat untuk organisasi Anda jika Anda memiliki persyaratan berikut:
+ Anda diharuskan menggunakan kunci kriptografi di pengelola kunci lokal atau pengelola kunci di luar AWS yang Anda kendalikan.
+ Anda harus menunjukkan bahwa kunci kriptografi Anda disimpan hanya di bawah kendali Anda di luar cloud.
+ Anda harus mengenkripsi dan mendekripsi menggunakan kunci kriptografi dengan otorisasi independen.
+ Material kunci harus tunduk pada jalur audit sekunder yang independen.

Jika Anda memilih penyimpanan kunci eksternal, batasi penggunaannya untuk beban kerja yang memerlukan perlindungan dengan kunci kriptografi di luar. AWS



**Model tanggung jawab bersama**

Kunci KMS standar menggunakan bahan kunci yang dihasilkan dan digunakan dalam HSMs yang AWS KMS memiliki dan mengelola. Anda membuat kebijakan kontrol akses pada kunci KMS Anda dan mengonfigurasinya Layanan AWS menggunakan kunci KMS untuk melindungi sumber daya Anda. AWS KMS bertanggung jawab atas keamanan, ketersediaan, latensi, dan daya tahan material utama dalam kunci KMS Anda.

Kunci KMS di toko kunci eksternal bergantung pada materi utama dan operasi di manajer kunci eksternal Anda. Dengan demikian, keseimbangan tanggung jawab bergeser ke arah Anda. Anda bertanggung jawab atas keamanan, keandalan, daya tahan, dan kinerja kunci kriptografi di manajer kunci eksternal Anda. AWS KMS bertanggung jawab untuk segera menanggapi permintaan dan berkomunikasi dengan proxy penyimpanan kunci eksternal Anda, dan untuk menjaga standar keamanan kami. [*Untuk memastikan bahwa setiap kunci eksternal menyimpan ciphertext setidaknya sekuat AWS KMS ciphertext standar, AWS KMS pertama-tama mengenkripsi semua plaintext dengan materi AWS KMS kunci khusus untuk kunci KMS Anda, dan kemudian mengirimkannya ke pengelola kunci eksternal Anda untuk enkripsi dengan kunci eksternal Anda, prosedur yang dikenal sebagai enkripsi ganda.*](#concept-double-encryption) Akibatnya, baik AWS KMS maupun pemilik materi kunci eksternal tidak dapat mendekripsi ciphertext terenkripsi ganda saja.

Anda bertanggung jawab untuk memelihara manajer kunci eksternal yang memenuhi standar peraturan dan kinerja Anda, untuk memasok dan memelihara proxy penyimpanan kunci eksternal yang sesuai dengan [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/), dan untuk memastikan ketersediaan dan daya tahan materi utama Anda. Anda juga harus membuat, mengkonfigurasi, dan memelihara penyimpanan kunci eksternal. Ketika kesalahan muncul yang disebabkan oleh komponen yang Anda pertahankan, Anda harus siap untuk mengidentifikasi dan menyelesaikan kesalahan sehingga AWS layanan dapat mengakses sumber daya Anda tanpa gangguan yang tidak semestinya. AWS KMS memberikan [panduan pemecahan masalah](xks-troubleshooting.md) untuk membantu Anda menentukan penyebab masalah dan resolusi yang paling mungkin. 

Tinjau [ CloudWatch metrik dan dimensi Amazon](monitoring-cloudwatch.md#kms-metrics) yang AWS KMS mencatat untuk penyimpanan kunci eksternal. AWS KMS sangat menyarankan agar Anda membuat CloudWatch alarm untuk memantau penyimpanan kunci eksternal Anda sehingga Anda dapat mendeteksi tanda-tanda awal masalah kinerja dan operasional sebelum terjadi.

**Apa yang berubah?**

Toko kunci eksternal hanya mendukung kunci KMS enkripsi simetris. Di dalam AWS KMS, Anda menggunakan dan mengelola kunci KMS di penyimpanan kunci eksternal dengan cara yang sama seperti Anda mengelola [kunci yang dikelola pelanggan](concepts.md#customer-mgn-key) lainnya, termasuk [pengaturan kebijakan kontrol akses](authorize-xks-key-store.md) dan [pemantauan penggunaan kunci](monitoring-overview.md). Anda menggunakan parameter yang sama APIs dengan parameter yang sama untuk meminta operasi kriptografi dengan kunci KMS di penyimpanan kunci eksternal yang Anda gunakan untuk kunci KMS apa pun. Harga juga sama dengan kunci KMS standar. Untuk detailnya, lihat [Kunci KMS di toko kunci eksternal](keystore-external-key-manage.md) dan [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing/).

Namun, dengan penyimpanan kunci eksternal, prinsip-prinsip berikut berubah:
+ Anda bertanggung jawab atas ketersediaan, daya tahan, dan latensi operasi utama.
+ Anda bertanggung jawab atas semua biaya untuk mengembangkan, membeli, mengoperasikan, dan melisensikan sistem manajer kunci eksternal Anda.
+ Anda dapat menerapkan [otorisasi independen](authorize-xks-key-store.md#xks-proxy-authorization) dari semua permintaan dari AWS KMS proxy penyimpanan kunci eksternal Anda.
+ Anda dapat memantau, mengaudit, dan mencatat semua operasi proxy penyimpanan kunci eksternal Anda, dan semua operasi manajer kunci eksternal Anda yang terkait dengan AWS KMS permintaan.

**Di mana saya mulai?**

Untuk membuat dan mengelola penyimpanan kunci eksternal, Anda harus [memilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md), [merakit prasyarat](create-xks-keystore.md#xks-requirements), dan [membuat dan mengonfigurasi penyimpanan kunci eksternal Anda](create-xks-keystore.md).

**Kuota**

AWS KMS memungkinkan hingga [10 toko kunci khusus](resource-limits.md) di masing-masing Akun AWS dan Wilayah, termasuk toko utama dan [toko AWS CloudHSM kunci](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) [eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), terlepas dari status koneksinya. Selain itu, ada kuota AWS KMS permintaan tentang [penggunaan kunci KMS di toko kunci eksternal](requests-per-second.md#rps-key-stores). 

Jika Anda memilih [konektivitas proxy VPC](#concept-xks-connectivity) untuk proxy penyimpanan kunci eksternal Anda, mungkin juga ada kuota pada komponen yang diperlukan, seperti, subnet VPCs, dan penyeimbang beban jaringan. Untuk informasi tentang kuota ini, gunakan konsol [Service Quotas](https://console.aws.amazon.com/servicequotas/home).



**Daerah**

Untuk meminimalkan latensi jaringan, buat komponen penyimpanan kunci eksternal Anda yang Wilayah AWS paling dekat dengan [pengelola kunci eksternal](#concept-ekm) Anda. Jika memungkinkan, pilih Wilayah dengan waktu pulang-pergi jaringan (RTT) 35 milidetik atau kurang.

Toko kunci eksternal didukung Wilayah AWS di semua yang AWS KMS didukung kecuali untuk Tiongkok (Beijing) dan Tiongkok (Ningxia). 

**Fitur yang tidak didukung**

AWS KMS tidak mendukung fitur-fitur berikut di toko kunci khusus.
+ [Kunci Asymmetric KMS](symmetric-asymmetric.md)
+ [Kunci HMAC KMS](hmac.md)
+ [Kunci KMS dengan bahan kunci impor](importing-keys.md)
+ [Rotasi kunci otomatis](rotate-keys.md)
+ [Kunci Multi-Region](multi-region-keys-overview.md)

**Pelajari lebih lanjut**:
+ [Mengumumkan Toko Kunci AWS KMS Eksternal](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) di *Blog AWS Berita*.

## Konsep toko kunci eksternal
<a name="xks-concepts"></a>

Pelajari istilah dan konsep dasar yang digunakan di toko kunci eksternal.

### Toko kunci eksternal
<a name="concept-external-key-store"></a>

*Toko kunci eksternal adalah toko* [kunci AWS KMS khusus](key-store-overview.md#custom-key-store-overview) yang didukung oleh manajer kunci eksternal di luar AWS yang Anda miliki dan kelola. Setiap kunci KMS di penyimpanan kunci eksternal dikaitkan dengan [kunci eksternal di manajer kunci](#concept-external-key) eksternal Anda. Ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal untuk enkripsi atau dekripsi, operasi dilakukan di manajer kunci eksternal Anda menggunakan kunci eksternal Anda, pengaturan yang dikenal sebagai *Tahan Kunci Anda Sendiri* (HYOK). Fitur ini dirancang untuk organisasi yang diperlukan untuk mempertahankan kunci kriptografi mereka di manajer kunci eksternal mereka sendiri.

Penyimpanan kunci eksternal memastikan bahwa kunci kriptografi dan operasi yang melindungi AWS sumber daya Anda tetap berada di manajer kunci eksternal Anda di bawah kendali Anda. AWS KMS mengirimkan permintaan ke pengelola kunci eksternal Anda untuk mengenkripsi dan mendekripsi data, tetapi AWS KMS tidak dapat membuat, menghapus, atau mengelola kunci eksternal apa pun. Semua permintaan dari AWS KMS manajer kunci eksternal Anda dimediasi oleh komponen perangkat lunak [proxy penyimpanan kunci eksternal](#concept-xks-proxy) yang Anda suplai, miliki, dan kelola. 

AWS layanan yang mendukung [kunci yang dikelola AWS KMS pelanggan](concepts.md) dapat menggunakan kunci KMS di toko kunci eksternal Anda untuk melindungi data Anda. Akibatnya, data Anda pada akhirnya dilindungi oleh kunci Anda menggunakan operasi enkripsi Anda di pengelola kunci eksternal Anda.

Kunci KMS di toko kunci eksternal memiliki model kepercayaan yang berbeda secara fundamental, [pengaturan tanggung jawab bersama](#xks-shared-responsibility), dan harapan kinerja daripada kunci KMS standar. Dengan toko kunci eksternal, Anda bertanggung jawab atas keamanan dan integritas materi utama dan operasi kriptografi. Ketersediaan dan latensi kunci KMS di toko kunci eksternal dipengaruhi oleh perangkat keras, perangkat lunak, komponen jaringan, dan jarak antara AWS KMS dan manajer kunci eksternal Anda. Anda juga cenderung mengeluarkan biaya tambahan untuk manajer kunci eksternal Anda dan untuk infrastruktur jaringan dan load balancing yang Anda butuhkan untuk manajer kunci eksternal Anda untuk berkomunikasi dengan AWS KMS

Anda dapat menggunakan penyimpanan kunci eksternal Anda sebagai bagian dari strategi perlindungan data Anda yang lebih luas. Untuk setiap AWS sumber daya yang Anda lindungi, Anda dapat memutuskan mana yang memerlukan kunci KMS di toko kunci eksternal dan mana yang dapat dilindungi oleh kunci KMS standar. Ini memberi Anda fleksibilitas untuk memilih kunci KMS untuk klasifikasi data, aplikasi, atau proyek tertentu.

### Manajer kunci eksternal
<a name="concept-ekm"></a>

*Manajer kunci eksternal* adalah komponen di luar AWS yang dapat menghasilkan kunci simetris AES 256-bit dan melakukan enkripsi dan dekripsi simetris. Manajer kunci eksternal untuk penyimpanan kunci eksternal dapat berupa modul keamanan perangkat keras fisik (HSM), HSM virtual, atau manajer kunci perangkat lunak dengan atau tanpa komponen HSM. Ini dapat ditemukan di mana saja di luar AWS, termasuk di tempat Anda, di pusat data lokal atau jarak jauh, atau di cloud apa pun. Penyimpanan kunci eksternal Anda dapat didukung oleh satu manajer kunci eksternal atau beberapa contoh manajer kunci terkait yang berbagi kunci kriptografi, seperti klaster HSM. Toko kunci eksternal dirancang untuk mendukung berbagai manajer eksternal dari vendor yang berbeda. Untuk detail tentang menghubungkan ke pengelola kunci eksternal Anda, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md).

### Kunci eksternal
<a name="concept-external-key"></a>

Setiap kunci KMS di toko kunci eksternal dikaitkan dengan kunci kriptografi di [manajer kunci eksternal](#concept-ekm) Anda yang dikenal sebagai kunci *eksternal*. Ketika Anda mengenkripsi atau mendekripsi dengan kunci KMS di toko kunci eksternal Anda, operasi kriptografi dilakukan di [manajer kunci eksternal Anda menggunakan kunci eksternal](#concept-ekm) Anda.

**Awas**  
Kunci eksternal sangat penting untuk pengoperasian kunci KMS. Jika kunci eksternal hilang atau dihapus, ciphertext yang dienkripsi di bawah kunci KMS terkait tidak dapat dipulihkan.

Untuk penyimpanan kunci eksternal, kunci eksternal harus berupa kunci AES 256-bit yang diaktifkan dan dapat melakukan enkripsi dan dekripsi. Untuk persyaratan kunci eksternal yang terperinci, lihat[Persyaratan untuk kunci KMS di toko kunci eksternal](create-xks-keys.md#xks-key-requirements).

AWS KMS tidak dapat membuat, menghapus, atau mengelola kunci eksternal apa pun. Materi kunci kriptografi Anda tidak pernah meninggalkan manajer kunci eksternal Anda.Saat Anda membuat kunci KMS di penyimpanan kunci eksternal, Anda memberikan ID kunci eksternal (). `XksKeyId` Anda tidak dapat mengubah ID kunci eksternal yang terkait dengan kunci KMS, meskipun pengelola kunci eksternal Anda dapat memutar materi kunci yang terkait dengan ID kunci eksternal.

Selain kunci eksternal Anda, kunci KMS di toko kunci eksternal juga memiliki materi AWS KMS utama. Data yang dilindungi oleh kunci KMS dienkripsi terlebih dahulu dengan AWS KMS menggunakan materi AWS KMS kunci, dan kemudian oleh pengelola kunci eksternal Anda menggunakan kunci eksternal Anda. Proses [enkripsi ganda](#concept-double-encryption) ini memastikan bahwa ciphertext yang dilindungi oleh kunci KMS Anda selalu setidaknya sekuat ciphertext yang hanya dilindungi oleh. AWS KMS

Banyak kunci kriptografi memiliki berbagai jenis pengidentifikasi. Saat membuat kunci KMS di penyimpanan kunci eksternal, berikan ID kunci eksternal yang digunakan [proxy penyimpanan kunci eksternal](#concept-xks-proxy) untuk merujuk ke kunci eksternal. Jika Anda menggunakan pengenal yang salah, upaya Anda untuk membuat kunci KMS di penyimpanan kunci eksternal Anda gagal.

### Proksi penyimpanan kunci eksternal
<a name="concept-xks-proxy"></a>

*Proxy penyimpanan kunci eksternal* (“XKS proxy”) adalah aplikasi perangkat lunak milik pelanggan dan dikelola pelanggan yang memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Ini juga menerjemahkan AWS KMS permintaan generik ke dalam format yang dipahami oleh manajer kunci eksternal khusus vendor Anda. Proxy penyimpanan kunci eksternal diperlukan untuk penyimpanan kunci eksternal. Setiap penyimpanan kunci eksternal dikaitkan dengan satu proxy penyimpanan kunci eksternal.

![\[Proksi penyimpanan kunci eksternal\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-proxy-concept-40.png)


AWS KMS tidak dapat membuat, menghapus, atau mengelola kunci eksternal apa pun. Materi kunci kriptografi Anda tidak pernah meninggalkan manajer kunci eksternal Anda. Semua komunikasi antara AWS KMS dan manajer kunci eksternal Anda dimediasi oleh proxy penyimpanan kunci eksternal Anda. AWS KMS mengirimkan permintaan ke proxy penyimpanan kunci eksternal dan menerima tanggapan dari proxy penyimpanan kunci eksternal. Proxy penyimpanan kunci eksternal bertanggung jawab untuk mengirimkan permintaan dari AWS KMS manajer kunci eksternal Anda dan mengirimkan tanggapan dari manajer kunci eksternal Anda kembali ke AWS KMS

Anda memiliki dan mengelola proxy penyimpanan kunci eksternal untuk toko kunci eksternal Anda, dan Anda bertanggung jawab atas pemeliharaan dan operasinya. Anda dapat mengembangkan proxy penyimpanan kunci eksternal berdasarkan [spesifikasi API proxy toko kunci eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/) sumber terbuka yang AWS KMS menerbitkan atau membeli aplikasi proxy dari vendor. Proxy penyimpanan kunci eksternal Anda mungkin disertakan dalam pengelola kunci eksternal Anda. Untuk mendukung pengembangan proxy, AWS KMS juga menyediakan contoh proxy penyimpanan kunci eksternal ([aws-kms-xks-proxy](https://github.com/aws-samples/aws-kms-xks-proxy)) dan klien pengujian ([xks-kms-xksproxy-test-client](https://github.com/aws-samples/aws-kms-xksproxy-test-client)) yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan spesifikasi.

Untuk mengautentikasi AWS KMS, proxy menggunakan sertifikat TLS sisi server. [Untuk mengautentikasi ke proxy Anda, AWS KMS tandatangani semua permintaan ke proxy penyimpanan kunci eksternal Anda dengan kredensi otentikasi proxy SiGv4.](#concept-xks-credential)

Proxy penyimpanan kunci eksternal Anda harus mendukung HTTP/1.1 atau yang lebih baru dan TLS 1.2 atau yang lebih baru dengan setidaknya satu dari rangkaian sandi berikut:
+ TLS\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.3)
+ TLS\$1 \$1 CHACHA20 POLY1305 \$1 SHA256 (TLS 1.3)
**catatan**  
 AWS GovCloud (US) Region Tidak mendukung TLS\$1 \$1 \$1CHACHA20. POLY1305 SHA256
+ TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.2)
+ TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.2)

Untuk membuat dan menggunakan kunci KMS di toko kunci eksternal Anda, Anda harus terlebih dahulu [menghubungkan toko kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal. Anda juga dapat memutuskan penyimpanan kunci eksternal Anda dari proksi sesuai permintaan. Ketika Anda melakukannya, semua kunci KMS di penyimpanan kunci eksternal menjadi [tidak tersedia; mereka tidak](key-state.md) dapat digunakan dalam operasi kriptografi apa pun.

### Konektivitas proxy penyimpanan kunci eksternal
<a name="concept-xks-connectivity"></a>

Konektivitas proxy penyimpanan kunci eksternal (“konektivitas proxy XKS”) menjelaskan metode yang AWS KMS digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. 

Anda menentukan opsi konektivitas proxy saat membuat penyimpanan kunci eksternal, dan itu menjadi properti penyimpanan kunci eksternal. Anda dapat mengubah opsi konektivitas proxy Anda dengan memperbarui properti penyimpanan kunci kustom, tetapi Anda harus yakin bahwa proxy penyimpanan kunci eksternal Anda masih dapat mengakses kunci eksternal yang sama.

AWS KMS mendukung opsi konektivitas berikut.
+ [Konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint) — AWS KMS mengirimkan permintaan untuk proxy penyimpanan kunci eksternal Anda melalui internet ke titik akhir publik yang Anda kontrol. Opsi ini mudah dibuat dan dipelihara, tetapi mungkin tidak memenuhi persyaratan keamanan untuk setiap instalasi.
+ [Konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) — AWS KMS mengirimkan permintaan ke layanan endpoint Amazon Virtual Private Cloud (Amazon VPC) yang Anda buat dan pelihara. Anda dapat meng-host proxy penyimpanan kunci eksternal Anda di dalam VPC Amazon Anda, atau meng-host proxy penyimpanan kunci eksternal Anda di luar AWS dan menggunakan VPC Amazon hanya untuk komunikasi. Anda juga dapat menghubungkan toko kunci eksternal Anda ke layanan endpoint VPC Amazon yang dimiliki oleh orang lain. Akun AWS

Untuk detail tentang opsi konektivitas proxy penyimpanan kunci eksternal, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md).

### Kredensi otentikasi proxy penyimpanan kunci eksternal
<a name="concept-xks-credential"></a>

Untuk mengautentikasi ke proxy penyimpanan kunci eksternal Anda, AWS KMS tandatangani semua permintaan ke proxy penyimpanan kunci eksternal Anda dengan kredensi otentikasi [Signature V4 (SigV4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)). Anda membuat dan mempertahankan kredensi otentikasi pada proxy Anda, kemudian memberikan kredensi ini AWS KMS ketika Anda membuat toko eksternal Anda.

**catatan**  
Kredensyal SiGv4 yang AWS KMS digunakan untuk menandatangani permintaan ke proxy XKS tidak terkait dengan kredensyal SigV4 apa pun yang terkait dengan prinsipal di Anda. AWS Identity and Access Management Akun AWS Jangan gunakan kembali kredensyal IAM SiGv4 apa pun untuk proxy penyimpanan kunci eksternal Anda.

Setiap kredensi otentikasi proxy memiliki dua bagian. Anda harus menyediakan kedua bagian saat membuat penyimpanan kunci eksternal atau memperbarui kredensi otentikasi untuk penyimpanan kunci eksternal Anda.
+ ID kunci akses: Mengidentifikasi kunci akses rahasia. Anda dapat memberikan ID ini dalam teks biasa.
+ Kunci akses rahasia: Bagian rahasia dari kredensi. AWS KMS mengenkripsi kunci akses rahasia di kredensi sebelum menyimpannya.

Anda dapat [mengedit setelan kredensyal](update-xks-keystore.md) kapan saja, seperti ketika Anda memasukkan nilai yang salah, ketika Anda mengubah kredensi Anda pada proxy, atau ketika proxy Anda memutar kredensialnya. Untuk detail teknis tentang AWS KMS autentikasi ke proxy penyimpanan kunci eksternal, lihat [Otentikasi di Spesifikasi](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/xks_proxy_api_spec.md#authentication) API Proxy Toko Kunci AWS KMS Eksternal.

Untuk memungkinkan Anda memutar kredensi Anda tanpa mengganggu Layanan AWS yang menggunakan kunci KMS di penyimpanan kunci eksternal Anda, kami menyarankan agar proxy penyimpanan kunci eksternal mendukung setidaknya dua kredensyal otentikasi yang valid untuk. AWS KMS Ini memastikan bahwa kredensi Anda sebelumnya terus berfungsi saat Anda memberikan kredensi baru Anda. AWS KMS

Untuk membantu Anda melacak usia kredensi autentikasi proxy Anda, AWS KMS tentukan metrik Amazon CloudWatch ,. [XksProxyCredentialAge](monitoring-cloudwatch.md#metric-xks-proxy-credential-age) Anda dapat menggunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda ketika usia kredensi Anda mencapai ambang batas yang Anda tetapkan.

### Proksi APIs
<a name="concept-proxy-apis"></a>

Untuk mendukung penyimpanan kunci AWS KMS eksternal, proxy penyimpanan [kunci eksternal harus mengimplementasikan proxy](#concept-xks-proxy) yang diperlukan APIs seperti yang dijelaskan dalam [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Permintaan API proxy ini adalah satu-satunya permintaan yang AWS KMS dikirim ke proxy. Meskipun Anda tidak pernah mengirim permintaan ini secara langsung, mengetahui tentang mereka dapat membantu Anda memperbaiki masalah apa pun yang mungkin timbul dengan penyimpanan kunci eksternal Anda atau proksi nya. Misalnya, AWS KMS sertakan informasi tentang latensi dan tingkat keberhasilan panggilan API ini dalam [ CloudWatch metrik Amazon untuk penyimpanan](monitoring-cloudwatch.md) kunci eksternal. Lihat perinciannya di [Pantau toko kunci eksternal](xks-monitoring.md).

Tabel berikut mencantumkan dan menjelaskan masing-masing proxy APIs. Ini juga mencakup AWS KMS operasi yang memicu panggilan ke API proxy dan pengecualian AWS KMS operasi apa pun yang terkait dengan API proxy.


| API Proksi | Deskripsi |  AWS KMS Operasi terkait | 
| --- | --- | --- | 
| Dekripsi | AWS KMS mengirimkan ciphertext untuk didekripsi, dan ID kunci [eksternal](#concept-external-key) untuk digunakan. Algoritma enkripsi yang diperlukan adalah AES\$1GCM.  | [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) | 
| Enkripsi | AWS KMS mengirimkan data yang akan dienkripsi, dan ID [kunci eksternal](#concept-external-key) untuk digunakan. Algoritma enkripsi yang diperlukan adalah AES\$1GCM.  | [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html),, [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) | 
| GetHealthStatus | AWS KMS meminta informasi tentang status proxy dan manajer kunci eksternal Anda. Status setiap manajer kunci eksternal dapat menjadi salah satu dari berikut ini.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/keystore-external.html) | [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)(untuk [konektivitas titik akhir publik), [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)(untuk konektivitas](choose-xks-connectivity.md#xks-connectivity-public-endpoint) layanan titik [akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity))Jika semua instance pengelola kunci eksternal`Unavailable`, upaya untuk membuat atau menghubungkan penyimpanan kunci gagal. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-latency) | 
| GetKeyMetadata | AWS KMS meminta informasi tentang [kunci eksternal](#concept-external-key) yang terkait dengan kunci KMS di toko kunci eksternal Anda. Responsnya mencakup spesifikasi kunci (`AES_256`), penggunaan kunci (`[ENCRYPT, DECRYPT]`), dan apakah kunci eksternal adalah `ENABLED` atau`DISABLED`. | [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Jika spesifikasi kunci tidak`AES_256`, atau penggunaan kunci tidak`[ENCRYPT, DECRYPT]`, atau statusnya`DISABLED`, `CreateKey` operasi gagal dengan`XksKeyInvalidConfigurationException`. | 

### Enkripsi ganda
<a name="concept-double-encryption"></a>

Data yang dienkripsi oleh kunci KMS di toko kunci eksternal dienkripsi dua kali. Pertama, AWS KMS mengenkripsi data dengan bahan AWS KMS kunci khusus untuk kunci KMS. [Kemudian ciphertext AWS KMS-enkripsi dienkripsi oleh pengelola kunci eksternal Anda menggunakan kunci [eksternal](#concept-ekm) Anda.](#concept-external-key) Proses ini dikenal sebagai *enkripsi ganda*.

Enkripsi ganda memastikan bahwa data yang dienkripsi oleh kunci KMS di penyimpanan kunci eksternal setidaknya sekuat ciphertext yang dienkripsi oleh kunci KMS standar. Ini juga melindungi plaintext Anda dalam perjalanan dari AWS KMS ke proxy toko kunci eksternal Anda. Dengan enkripsi ganda, Anda mempertahankan kendali penuh atas ciphertext Anda. Jika Anda secara permanen mencabut AWS akses ke kunci eksternal Anda melalui proxy eksternal Anda, setiap ciphertext yang tersisa di dalamnya AWS secara efektif diparut kripto.

![\[Enkripsi ganda data yang dilindungi oleh kunci KMS di toko kunci eksternal\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-double-encrypt-40.png)


Untuk mengaktifkan enkripsi ganda, setiap kunci KMS di toko kunci eksternal memiliki *dua* kunci pendukung kriptografi:
+ Bahan AWS KMS kunci yang unik untuk kunci KMS. Bahan utama ini dihasilkan dan hanya digunakan dalam modul keamanan perangkat keras bersertifikat AWS KMS [FIPS 140-3 Security Level 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs
+ [Kunci eksternal](#concept-external-key) di manajer kunci eksternal Anda.

Enkripsi ganda memiliki efek sebagai berikut:
+ AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi oleh kunci KMS di toko kunci eksternal tanpa akses ke kunci eksternal Anda melalui proxy penyimpanan kunci eksternal Anda.
+ Anda tidak dapat mendekripsi ciphertext apa pun yang dienkripsi oleh kunci KMS di penyimpanan kunci eksternal di luar AWS, bahkan jika Anda memiliki materi kunci eksternal.
+ Anda tidak dapat membuat ulang kunci KMS yang telah dihapus dari penyimpanan kunci eksternal, bahkan jika Anda memiliki materi kunci eksternal. Setiap kunci KMS memiliki metadata unik yang disertakan dalam ciphertext simetris. Kunci KMS baru tidak akan dapat mendekripsi ciphertext yang dienkripsi oleh kunci asli, bahkan jika menggunakan bahan kunci eksternal yang sama.

Untuk contoh enkripsi ganda dalam praktiknya, lihat[Cara kerja toko kunci eksternal](#xks-how-it-works).

## Cara kerja toko kunci eksternal
<a name="xks-how-it-works"></a>

Penyimpanan [kunci eksternal](#concept-external-key-store) Anda, [proxy penyimpanan kunci eksternal,](#concept-xks-proxy) dan [manajer kunci eksternal](#concept-ekm) bekerja sama untuk melindungi AWS sumber daya Anda. Prosedur berikut menggambarkan alur kerja enkripsi tipikal Layanan AWS yang mengenkripsi setiap objek di bawah kunci data unik yang dilindungi oleh kunci KMS. Dalam hal ini, Anda telah memilih kunci KMS di toko kunci eksternal untuk melindungi objek. Contoh ini menunjukkan bagaimana AWS KMS menggunakan [enkripsi ganda](#concept-double-encryption) untuk melindungi kunci data dalam perjalanan dan memastikan bahwa ciphertext yang dihasilkan oleh kunci KMS di penyimpanan kunci eksternal selalu setidaknya sekuat ciphertext yang dienkripsi oleh kunci KMS simetris standar dengan materi kunci di dalamnya. AWS KMS

Metode enkripsi yang digunakan oleh masing-masing aktual Layanan AWS yang terintegrasi dengan AWS KMS variatif. Untuk detailnya, lihat topik “Perlindungan data” di bagian Keamanan Layanan AWS dokumentasi.

![\[Cara kerja toko kunci eksternal\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-how-it-works-jan26.png)


1. Anda menambahkan objek baru ke Layanan AWS sumber daya Anda. Untuk mengenkripsi objek, Layanan AWS mengirimkan [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan untuk AWS KMS menggunakan kunci KMS di toko kunci eksternal Anda.

1. AWS KMS menghasilkan [kunci data simetris 256-bit dan bersiap untuk mengirim salinan kunci](data-keys.md) data teks biasa ke manajer kunci eksternal Anda melalui proxy penyimpanan kunci eksternal Anda. AWS KMS memulai proses [enkripsi ganda](#concept-double-encryption) dengan mengenkripsi kunci data plaintext dengan [materi kunci yang terkait dengan AWS KMS kunci](#concept-double-encryption) KMS di penyimpanan kunci eksternal. 

1. AWS KMS mengirimkan permintaan [enkripsi](#concept-proxy-apis) ke proxy penyimpanan kunci eksternal yang terkait dengan penyimpanan kunci eksternal. Permintaan termasuk ciphertext kunci data yang akan dienkripsi dan ID [kunci eksternal yang terkait dengan kunci KMS](#concept-external-key). AWS KMS menandatangani permintaan menggunakan [kredensi otentikasi proxy](#concept-xks-credential) untuk proxy penyimpanan kunci eksternal Anda. 

   Salinan plaintext dari kunci data tidak dikirim ke proxy penyimpanan kunci eksternal.

1. Proxy penyimpanan kunci eksternal mengotentikasi permintaan, dan kemudian meneruskan permintaan enkripsi ke manajer kunci eksternal Anda. 

   Beberapa proxy penyimpanan kunci eksternal juga menerapkan [kebijakan otorisasi](authorize-xks-key-store.md#xks-proxy-authorization) opsional yang memungkinkan hanya prinsipal yang dipilih untuk melakukan operasi dalam kondisi tertentu.

1. Manajer kunci eksternal Anda mengenkripsi ciphertext kunci data menggunakan kunci eksternal yang ditentukan. Manajer kunci eksternal mengembalikan kunci data terenkripsi ganda ke proxy penyimpanan kunci eksternal Anda, yang mengembalikannya ke. AWS KMS

1. AWS KMS mengembalikan kunci data plaintext dan salinan terenkripsi ganda dari kunci data tersebut ke file. Layanan AWS

1.  Layanan AWS Menggunakan kunci data plaintext untuk mengenkripsi objek sumber daya, menghancurkan kunci data plaintext, dan menyimpan kunci data terenkripsi dengan objek terenkripsi. 

   Beberapa Layanan AWS mungkin cache kunci data plaintext untuk digunakan untuk beberapa objek, atau untuk digunakan kembali saat sumber daya sedang digunakan. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

[Untuk mendekripsi objek terenkripsi, Layanan AWS harus mengirim kunci data terenkripsi kembali ke dalam permintaan Dekripsi. AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Untuk mendekripsi kunci data terenkripsi, AWS KMS harus mengirim kunci data terenkripsi kembali ke proxy penyimpanan kunci eksternal Anda dengan ID kunci eksternal. Jika permintaan dekripsi ke proxy penyimpanan kunci eksternal gagal karena alasan apa pun, AWS KMS tidak dapat mendekripsi kunci data terenkripsi, dan tidak dapat mendekripsi objek terenkripsi. Layanan AWS 

# Kontrol akses ke toko kunci eksternal Anda
<a name="authorize-xks-key-store"></a>

Semua fitur kontrol AWS KMS akses — [kebijakan utama, kebijakan](key-policies.md) [IAM](iam-policies.md), dan [hibah](grants.md) — yang Anda gunakan dengan kunci KMS standar, bekerja dengan cara yang sama untuk kunci KMS di penyimpanan kunci eksternal. Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke operasi API yang membuat dan mengelola penyimpanan kunci eksternal. Anda menggunakan kebijakan IAM dan kebijakan utama untuk mengontrol akses ke AWS KMS keys penyimpanan kunci eksternal Anda. Anda juga dapat menggunakan [kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk AWS organisasi dan [kebijakan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy) Anda untuk mengontrol akses ke kunci KMS di penyimpanan kunci eksternal Anda. 

Sebaiknya Anda hanya memberikan izin kepada pengguna dan peran yang mereka perlukan untuk tugas yang mungkin mereka lakukan.

**Topics**
+ [

## Mengotorisasi manajer toko kunci eksternal
](#authorize-xks-managers)
+ [

## Mengotorisasi pengguna kunci KMS di toko kunci eksternal
](#authorize-xks-users)
+ [

## Otorisasi AWS KMS untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda
](#allowlist-kms-xks)
+ [

## Otorisasi proxy penyimpanan kunci eksternal (opsional)
](#xks-proxy-authorization)
+ [

## Autentikasi mTLS (tidak digunakan lagi)
](#xks-mtls)

## Mengotorisasi manajer toko kunci eksternal
<a name="authorize-xks-managers"></a>

Prinsipal yang membuat dan mengelola penyimpanan kunci eksternal memerlukan izin untuk operasi penyimpanan kunci kustom. Daftar berikut menjelaskan izin minimum yang diperlukan untuk pengelola penyimpanan kunci eksternal. Karena penyimpanan kunci khusus bukan AWS sumber daya, Anda tidak dapat memberikan izin ke penyimpanan kunci eksternal untuk prinsipal di tempat lain. Akun AWS
+ `kms:CreateCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:ConnectCustomKeyStore`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `kms:DeleteCustomKeyStore`

Untuk membuat penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir Amazon VPC dan layanan titik](choose-xks-connectivity.md#xks-vpc-connectivity) akhir VPC dimiliki oleh yang berbeda Akun AWS, Anda juga memerlukan izin berikut:
+ `ec2:DescribeVPCEndpointServices`

Prinsipal yang membuat penyimpanan kunci eksternal memerlukan izin untuk membuat dan mengkonfigurasi komponen penyimpanan kunci eksternal. Prinsipal dapat membuat toko kunci eksternal hanya di akun mereka sendiri. Untuk membuat penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), kepala sekolah harus memiliki izin untuk membuat komponen berikut:
+ VPC Amazon
+ Subnet publik dan pribadi
+ Penyeimbang beban jaringan dan kelompok sasaran
+ Layanan titik akhir Amazon VPC

[Untuk detailnya, lihat [Manajemen identitas dan akses untuk VPC Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), [Identitas, dan manajemen akses untuk titik akhir VPC dan layanan titik akhir VPC serta izin API Elastic Load](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) Balancing.](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html)

## Mengotorisasi pengguna kunci KMS di toko kunci eksternal
<a name="authorize-xks-users"></a>

Prinsipal yang membuat dan mengelola AWS KMS keys di toko kunci eksternal Anda memerlukan [izin yang sama dengan](create-keys.md#create-key-permissions) mereka yang membuat dan mengelola kunci KMS apa pun. AWS KMS[Kebijakan kunci default](key-policy-default.md) untuk kunci KMS di penyimpanan kunci eksternal identik dengan kebijakan kunci default untuk kunci KMS di. AWS KMS[Attribute-based access control](abac.md) (ABAC), yang menggunakan tag dan alias untuk mengontrol akses ke kunci KMS, juga efektif pada kunci KMS di toko kunci eksternal.

[Prinsipal yang menggunakan kunci KMS di toko kunci kustom Anda untuk operasi kriptografi memerlukan izin untuk melakukan [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dengan kunci KMS, seperti KMS: Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Anda dapat memberikan izin ini di IAM atau kebijakan kunci. Namun, mereka tidak memerlukan izin tambahan untuk menggunakan kunci KMS di toko kunci khusus.

Untuk menetapkan izin yang hanya berlaku untuk kunci KMS di penyimpanan kunci eksternal, gunakan kondisi [`kms:KeyOrigin`](conditions-kms.md#conditions-kms-key-origin)kebijakan dengan nilai. `EXTERNAL_KEY_STORE` Anda dapat menggunakan kondisi ini untuk membatasi izin [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) atau CreateKey izin apa pun yang khusus untuk sumber daya kunci KMS. Misalnya, kebijakan IAM berikut memungkinkan identitas yang dilampirkan untuk memanggil operasi yang ditentukan pada semua kunci KMS di akun, asalkan kunci KMS berada di penyimpanan kunci eksternal. Perhatikan bahwa Anda dapat membatasi izin ke kunci KMS di toko kunci eksternal, dan kunci KMS di Akun AWS, tetapi tidak untuk penyimpanan kunci eksternal tertentu di akun.

```
{
  "Sid": "AllowKeysInExternalKeyStores",
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL_KEY_STORE"
    }
  }
}
```

## Otorisasi AWS KMS untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda
<a name="allowlist-kms-xks"></a>

AWS KMS berkomunikasi dengan pengelola kunci eksternal Anda hanya melalui [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) yang Anda berikan. AWS KMS mengautentikasi proxy Anda dengan menandatangani permintaannya menggunakan [proses Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) dengan [kredensi otentikasi proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-credential) yang Anda tentukan. Jika Anda menggunakan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint) untuk proxy penyimpanan kunci eksternal Anda, AWS KMS tidak memerlukan izin tambahan apa pun. 

Namun, jika Anda menggunakan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), Anda harus memberikan AWS KMS izin untuk membuat titik akhir antarmuka ke layanan endpoint Amazon VPC Anda. Izin ini diperlukan terlepas dari apakah proxy penyimpanan kunci eksternal ada di VPC Anda atau proxy penyimpanan kunci eksternal berada di tempat lain, tetapi menggunakan layanan titik akhir VPC untuk berkomunikasi dengannya. AWS KMS

 AWS KMS Untuk memungkinkan membuat titik akhir antarmuka, gunakan konsol [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) atau [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)operasinya. Izinkan izin untuk prinsipal berikut:`cks.kms.<region>.amazonaws.com`.

Jika layanan titik akhir VPC Amazon Anda dimiliki oleh yang berbeda Akun AWS selain Akun AWS memiliki penyimpanan kunci eksternal (XKS), Anda juga harus mengizinkan akses XKS ke layanan titik akhir VPC. Untuk melakukannya, [izinkan Akun AWS ID XKS sebagai prinsipal untuk layanan endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) Amazon VPC.

------
#### [ Same Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki Akun AWS sama dengan penyimpanan kunci eksternal Anda, Anda harus menambahkan AWS KMS ke daftar **Izinkan prinsipal** untuk layanan titik akhir VPC Anda.

Contoh berikut menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI perintah untuk memungkinkan untuk terhubung AWS KMS ke layanan titik akhir VPC yang ditentukan di Wilayah AS Barat (Oregon) (us-west-2). Sebelum menggunakan perintah ini, ganti ID layanan Amazon VPC dan Wilayah AWS dengan nilai yang valid untuk konfigurasi Anda.

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'
```

Untuk menghapus izin ini, gunakan [konsol VPC Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) atau [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)dengan parameter. `RemoveAllowedPrincipals`

------
#### [ Cross Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki oleh yang lain Akun AWS, Anda harus menambahkan keduanya AWS KMS dan penyimpanan kunci eksternal Anda ke daftar **Izinkan prinsipal** untuk layanan titik akhir VPC Anda.

Contoh berikut menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI perintah untuk mengizinkan keduanya AWS KMS dan penyimpanan kunci eksternal (XKS) Anda terhubung ke layanan titik akhir VPC yang ditentukan di Wilayah AS Barat (Oregon) (us-west-2). Sebelum menggunakan perintah ini, ganti ID layanan Amazon VPC Wilayah AWS, dan ARN utama IAM dengan nilai yang valid untuk konfigurasi Anda. Prinsipal IAM harus diganti dengan prinsipal di pemilik XKS. Akun AWS

Dalam contoh ini, `arn:aws:iam::123456789012:role/cks_role` adalah prinsipal IAM di akun pemilik XKS, yang akan digunakan untuk membuat, memperbarui, atau menghubungkan XKS ke layanan titik akhir VPC Anda. Jika Anda ingin mengizinkan semua prinsipal di akun pemilik XKS untuk mengakses layanan titik akhir VPC Anda, Anda dapat menentukan. `arn:aws:iam::123456789012:root`

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'
```

Untuk menghapus izin ini, gunakan [konsol VPC Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) atau [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)dengan parameter. `RemoveAllowedPrincipals`

------

## Otorisasi proxy penyimpanan kunci eksternal (opsional)
<a name="xks-proxy-authorization"></a>

Beberapa proxy penyimpanan kunci eksternal menerapkan persyaratan otorisasi untuk penggunaan kunci eksternalnya. Proxy penyimpanan kunci eksternal diizinkan, tetapi tidak diperlukan, untuk merancang dan mengimplementasikan skema otorisasi yang memungkinkan pengguna tertentu untuk meminta operasi tertentu hanya dalam kondisi tertentu. Misalnya, proxy mungkin dikonfigurasi untuk memungkinkan pengguna A mengenkripsi dengan kunci eksternal tertentu, tetapi tidak untuk mendekripsi dengannya.

Otorisasi proxy independen dari [otentikasi proxy berbasis SIGV4 yang AWS KMS memerlukan semua proxy](keystore-external.md#concept-xks-credential) penyimpanan kunci eksternal. Ini juga independen dari kebijakan utama, kebijakan IAM, dan hibah yang mengotorisasi akses ke operasi yang memengaruhi penyimpanan kunci eksternal atau kunci KMS-nya.

Untuk mengaktifkan otorisasi oleh proxy penyimpanan kunci eksternal, AWS KMS sertakan metadata di setiap [permintaan API proxy](keystore-external.md#concept-proxy-apis), termasuk pemanggil, kunci KMS, AWS KMS operasi, (jika ada). Layanan AWS Metadata permintaan untuk versi 1 (v1) dari API proxy kunci eksternal adalah sebagai berikut.

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Misalnya, Anda dapat mengonfigurasi proxy Anda untuk mengizinkan permintaan dari prinsipal tertentu (`awsPrincipalArn`), tetapi hanya jika permintaan dibuat atas nama prinsipal oleh Layanan AWS (`kmsViaService`) tertentu.

Jika otorisasi proxy gagal, AWS KMS operasi terkait gagal dengan pesan yang menjelaskan kesalahan. Untuk detailnya, lihat [Masalah otorisasi proxy](xks-troubleshooting.md#fix-xks-authorization).

## Autentikasi mTLS (tidak digunakan lagi)
<a name="xks-mtls"></a>

Versi sebelumnya dari panduan ini menyebutkan *Mutual Transport Layer Security* (mTLS) sebagai mekanisme otentikasi sekunder opsional untuk mengautentikasi permintaan dari. AWS KMS Dengan mTL, kedua belah pihak (AWS KMS sebagai klien dan proxy XKS sebagai server) berkomunikasi melalui saluran TLS menggunakan sertifikat untuk mengautentikasi satu sama lain.

Namun, perubahan pada [Kebijakan Program Root Chrome (Bagian 4.2.2) melarang root](https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-7/#422-pki-hierarchies-included-in-the-chrome-root-store) tepercaya publik yang CAs termasuk dalam Toko Root Chrome menerbitkan sertifikat dengan ekstensi ClientAuth Extended Key Usage (EKU) setelah 15 Juni 2026. Akibatnya, tidak AWS KMS dapat lagi memperoleh sertifikat klien yang cocok untuk MTL dari [Amazon Trust Services](https://www.amazontrust.com/repository/). Proxy XKS apa pun yang digunakan untuk membuat penyimpanan kunci eksternal baru AWS KMS setelah 16 Maret 2026 tidak boleh memerlukan mTL. Setelah 15 Juni 2026, proxy XKS apa pun yang dikonfigurasi untuk mewajibkan mTL tidak akan dapat berkomunikasi dengannya. AWS KMS Pelanggan harus mengandalkan otentikasi SiGv4 untuk memverifikasi bahwa permintaan berasal. AWS KMS Untuk informasi selengkapnya, lihat [Kredensi otentikasi proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-credential).

# Pilih opsi konektivitas proxy penyimpanan kunci eksternal
<a name="choose-xks-connectivity"></a>

Sebelum membuat penyimpanan kunci eksternal Anda, pilih opsi konektivitas yang menentukan cara AWS KMS berkomunikasi dengan komponen penyimpanan kunci eksternal Anda. Opsi konektivitas yang Anda pilih menentukan sisa proses perencanaan.

Jika Anda membuat penyimpanan kunci eksternal, Anda perlu menentukan bagaimana AWS KMS berkomunikasi dengan [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) Anda. Pilihan ini akan menentukan komponen mana yang Anda butuhkan dan bagaimana Anda mengonfigurasinya. AWS KMS mendukung opsi konektivitas berikut.
+ [Konektivitas titik akhir publik](#xks-connectivity-public-endpoint)
+ [Konektivitas layanan titik akhir VPC](#xks-vpc-connectivity)

Pilih opsi yang memenuhi tujuan kinerja dan keamanan Anda.

Sebelum Anda mulai, [konfirmasikan bahwa Anda memerlukan toko kunci eksternal](keystore-external.md#do-i-need-xks). Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.

**Pertimbangan-pertimbangan**
+ Jika proxy penyimpanan kunci eksternal Anda dibangun ke dalam pengelola kunci eksternal Anda, konektivitas Anda mungkin telah ditentukan sebelumnya. Untuk panduan, lihat dokumentasi untuk pengelola kunci eksternal atau proxy penyimpanan kunci eksternal Anda.
+ Anda dapat [mengubah opsi konektivitas proxy penyimpanan kunci eksternal Anda](update-xks-keystore.md) bahkan di toko kunci eksternal yang beroperasi. Namun, prosesnya harus direncanakan dan dijalankan dengan hati-hati untuk meminimalkan gangguan, menghindari kesalahan, dan memastikan akses berkelanjutan ke kunci kriptografi yang mengenkripsi data Anda.

## Konektivitas titik akhir publik
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS terhubung ke proxy penyimpanan kunci eksternal (proxy XKS) melalui internet menggunakan titik akhir publik.

Opsi konektivitas ini lebih mudah diatur dan dipelihara, dan selaras dengan beberapa model manajemen kunci. Namun, itu mungkin tidak memenuhi persyaratan keamanan beberapa organisasi.

![\[Konektivitas titik akhir publik\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**Persyaratan**

Jika Anda memilih konektivitas titik akhir publik, berikut ini diperlukan. 
+ Proxy penyimpanan kunci eksternal Anda harus dapat dijangkau pada titik akhir yang dapat dirutekan secara publik. 
+ Anda dapat menggunakan titik akhir publik yang sama untuk beberapa penyimpanan kunci eksternal asalkan mereka menggunakan nilai [jalur URI proxy](create-xks-keystore.md#require-path) yang berbeda. 
+ Anda tidak dapat menggunakan titik akhir yang sama untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik dan penyimpanan kunci eksternal apa pun dengan konektivitas layanan titik akhir VPC yang sama Wilayah AWS, meskipun penyimpanan kunci berbeda. Akun AWS
+ Anda harus mendapatkan sertifikat TLS yang dikeluarkan oleh otoritas sertifikat publik yang didukung untuk toko kunci eksternal. Untuk daftar, lihat [Otoritas Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). 

  Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama domain di [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalah`https://myproxy.xks.example.com`, TLS, CN pada sertifikat TLS harus atau. `myproxy.xks.example.com` `*.xks.example.com`
+ Pastikan bahwa setiap firewall antara AWS KMS dan proxy penyimpanan kunci eksternal memungkinkan lalu lintas ke dan dari port 443 pada proxy. AWS KMS berkomunikasi di port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.

Untuk semua persyaratan untuk penyimpanan kunci eksternal, lihat [Merakit prasyarat](create-xks-keystore.md#xks-requirements).

## Konektivitas layanan titik akhir VPC
<a name="xks-vpc-connectivity"></a>

AWS KMS terhubung ke proxy penyimpanan kunci eksternal (proxy XKS) dengan membuat titik akhir antarmuka ke layanan titik akhir VPC Amazon yang Anda buat dan konfigurasikan. Anda bertanggung jawab untuk [membuat layanan titik akhir VPC](vpc-connectivity.md) dan menghubungkan VPC Anda ke pengelola kunci eksternal Anda.

Layanan endpoint Anda dapat menggunakan salah satu opsi [ network-to-AmazonVPC yang didukung](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) untuk komunikasi, termasuk. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) 

Opsi konektivitas ini lebih rumit untuk diatur dan dipelihara. Tetapi menggunakan AWS PrivateLink, yang memungkinkan AWS KMS untuk terhubung secara pribadi ke VPC Amazon Anda dan proxy toko kunci eksternal Anda tanpa menggunakan internet publik.

Anda dapat menemukan proxy toko kunci eksternal Anda di VPC Amazon Anda.

![\[Konektivitas layanan titik akhir VPC - Proxy XKS di VPC Anda\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


Atau, Anda dapat menemukan proxy penyimpanan kunci eksternal di luar AWS Cloud dan menggunakan layanan titik akhir VPC Amazon Anda hanya untuk komunikasi yang aman. AWS KMS

![\[Konektivitas layanan titik akhir VPC - proxy XKS di luar AWS\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


Anda juga dapat menghubungkan toko kunci eksternal ke layanan endpoint VPC Amazon yang dimiliki oleh orang lain. Akun AWS Keduanya Akun AWS membutuhkan [izin yang diperlukan](authorize-xks-key-store.md#authorize-xks-managers) untuk memungkinkan komunikasi antara AWS KMS dan layanan titik akhir VPC 

**Pelajari lebih lanjut**:
+ Tinjau proses untuk membuat toko kunci eksternal, termasuk [merakit prasyarat](create-xks-keystore.md#xks-requirements). Ini akan membantu Anda memastikan bahwa Anda memiliki semua komponen yang Anda butuhkan saat membuat toko kunci eksternal Anda.
+ Pelajari cara [mengontrol akses ke penyimpanan kunci eksternal Anda](authorize-xks-key-store.md), termasuk izin yang diperlukan oleh administrator dan pengguna penyimpanan kunci eksternal. 
+ Pelajari tentang [ CloudWatch metrik dan dimensi Amazon yang AWS KMS direkam](monitoring-cloudwatch.md#kms-metrics) untuk penyimpanan kunci eksternal. Kami sangat menyarankan agar Anda membuat alarm untuk memantau penyimpanan kunci eksternal Anda sehingga Anda dapat mendeteksi tanda-tanda awal masalah kinerja dan operasional.

# Konfigurasikan konektivitas layanan titik akhir VPC
<a name="vpc-connectivity"></a>

Gunakan panduan di bagian ini untuk membuat dan mengonfigurasi AWS sumber daya dan komponen terkait yang diperlukan untuk penyimpanan kunci eksternal yang menggunakan konektivitas layanan [titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Sumber daya yang terdaftar untuk opsi konektivitas ini adalah suplemen untuk [sumber daya yang diperlukan untuk semua toko kunci eksternal](create-xks-keystore.md#xks-requirements). Setelah Anda membuat dan mengkonfigurasi sumber daya yang diperlukan, Anda dapat [membuat penyimpanan kunci eksternal Anda](create-xks-keystore.md).

Anda dapat menemukan proxy penyimpanan kunci eksternal di VPC Amazon atau menemukan proxy di luar AWS dan menggunakan layanan titik akhir VPC Anda untuk komunikasi.

Sebelum Anda mulai, [konfirmasikan bahwa Anda memerlukan toko kunci eksternal](keystore-external.md#do-i-need-xks). Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.

**catatan**  
Beberapa elemen yang diperlukan untuk konektivitas layanan titik akhir VPC mungkin disertakan dalam pengelola kunci eksternal Anda. Selain itu, perangkat lunak Anda mungkin memiliki persyaratan konfigurasi tambahan. Sebelum membuat dan mengonfigurasi AWS sumber daya di bagian ini, lihat dokumentasi proxy dan manajer kunci Anda.

**Topics**
+ [

## Persyaratan untuk konektivitas layanan titik akhir VPC
](#xks-vpce-service-requirements)
+ [

## Langkah 1: Buat VPC Amazon dan subnet
](#xks-create-vpc)
+ [

## Langkah 2: Buat grup target
](#xks-target-group)
+ [

## Langkah 3: Buat penyeimbang beban jaringan
](#xks-nlb)
+ [

## Langkah 4: Buat layanan titik akhir VPC
](#xks-vpc-svc)
+ [

## Langkah 5: Verifikasi domain nama DNS pribadi Anda
](#xks-private-dns)
+ [

## Langkah 6: Otorisasi AWS KMS untuk terhubung ke layanan titik akhir VPC
](#xks-vpc-authorize-kms)

## Persyaratan untuk konektivitas layanan titik akhir VPC
<a name="xks-vpce-service-requirements"></a>

Jika Anda memilih konektivitas layanan titik akhir VPC untuk penyimpanan kunci eksternal Anda, sumber daya berikut diperlukan. 
+ VPC Amazon yang terhubung ke pengelola kunci eksternal Anda. Itu harus memiliki setidaknya dua [subnet](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) pribadi di dua Availability Zone yang berbeda.

  Anda dapat menggunakan VPC Amazon yang ada untuk toko kunci eksternal Anda, asalkan [memenuhi persyaratan](#xks-vpc-requirements) untuk digunakan dengan toko kunci eksternal. Beberapa toko kunci eksternal dapat berbagi VPC Amazon, tetapi setiap toko kunci eksternal harus memiliki layanan titik akhir VPC sendiri dan nama DNS pribadi.
+ [Layanan endpoint VPC Amazon yang didukung oleh AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) [[penyeimbang beban jaringan](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) dan grup target.](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html) 

  Layanan endpoint tidak dapat memerlukan penerimaan. Juga, Anda harus menambahkan AWS KMS sebagai kepala sekolah yang diizinkan. Ini memungkinkan AWS KMS untuk membuat titik akhir antarmuka sehingga dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.
+ Nama DNS pribadi untuk layanan titik akhir VPC yang unik di dalamnya. Wilayah AWS

  Nama DNS pribadi harus merupakan subdomain dari domain publik tingkat tinggi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, itu harus menjadi subdomain dari domain publik seperti `xks.example.com` atau. `example.com`

  Anda harus [memverifikasi kepemilikan](#xks-private-dns) domain DNS untuk nama DNS pribadi.
+ Sertifikat TLS yang dikeluarkan oleh [otoritas sertifikat publik yang didukung](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) untuk proxy penyimpanan kunci eksternal Anda. 

  Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`
+ Untuk meminimalkan latensi jaringan, buat AWS komponen Anda di bagian yang [didukung Wilayah AWS](keystore-external.md#xks-regions) yang paling dekat dengan [pengelola kunci eksternal](keystore-external.md#concept-ekm) Anda. Jika memungkinkan, pilih Wilayah dengan waktu pulang-pergi jaringan (RTT) 35 milidetik atau kurang.

Untuk semua persyaratan untuk penyimpanan kunci eksternal, lihat [Merakit prasyarat](create-xks-keystore.md#xks-requirements).

## Langkah 1: Buat VPC Amazon dan subnet
<a name="xks-create-vpc"></a>

Konektivitas layanan titik akhir VPC memerlukan VPC Amazon yang terhubung ke pengelola kunci eksternal Anda dengan setidaknya dua subnet pribadi. Anda dapat membuat VPC Amazon atau menggunakan VPC Amazon yang sudah ada yang memenuhi persyaratan untuk toko kunci eksternal. Untuk bantuan dalam membuat VPC Amazon baru, lihat [Membuat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) di Panduan Pengguna *Amazon Virtual Private Cloud*.

### Persyaratan untuk VPC Amazon Anda
<a name="xks-vpc-requirements"></a>

Layanan endpoint Amazon VPC harus memiliki properti berikut untuk bekerja dengan toko kunci eksternal.
+ Harus berada di [Wilayah yang didukung](keystore-external.md#xks-regions) sebagai toko kunci eksternal Anda.
+ Memerlukan setidaknya dua subnet pribadi, masing-masing di Availability Zone yang berbeda.
+ Rentang alamat IP pribadi VPC Amazon Anda tidak boleh tumpang tindih dengan rentang alamat IP pribadi dari pusat data yang menghosting manajer kunci [eksternal](keystore-external.md#concept-ekm) Anda.
+ Semua komponen harus digunakan IPv4.

Anda memiliki banyak opsi untuk menghubungkan VPC Amazon ke proxy penyimpanan kunci eksternal Anda. Pilih opsi yang memenuhi kebutuhan kinerja dan keamanan Anda. Untuk daftar, lihat [Connect VPC Anda ke jaringan lain dan opsi konektivitas Network-to-Amazon ](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) [VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Untuk detail selengkapnya [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), lihat, dan [Panduan AWS Site-to-Site VPN Pengguna](https://docs.aws.amazon.com/vpn/latest/s2svpn/).

### Membuat VPC Amazon untuk toko kunci eksternal Anda
<a name="xks-vpc-create"></a>

Gunakan petunjuk berikut untuk membuat VPC Amazon untuk toko kunci eksternal Anda. VPC Amazon hanya diperlukan jika Anda memilih opsi konektivitas layanan titik [akhir VPC](choose-xks-connectivity.md). Anda dapat menggunakan VPC Amazon yang sudah ada yang memenuhi persyaratan untuk penyimpanan kunci eksternal.

Ikuti petunjuk dalam topik [Buat VPC, subnet, dan sumber daya VPC lainnya](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| IPv4 Blok CIDR | Masukkan alamat IP untuk VPC Anda. Rentang alamat IP pribadi VPC Amazon Anda tidak boleh tumpang tindih dengan rentang alamat IP pribadi dari pusat data yang menghosting manajer kunci [eksternal](keystore-external.md#concept-ekm) Anda. | 
| Jumlah Availability Zone (AZs) | 2 atau lebih | 
| Jumlah subnet publik |  Tidak ada yang diperlukan (0)  | 
| Jumlah subnet pribadi | Satu untuk setiap AZ | 
| Gateway NAT | Tidak ada yang diperlukan. | 
| Titik akhir VPC | Tidak ada yang diperlukan. | 
| Aktifkan nama host DNS | Ya | 
| Aktifkan resolusi DNS | Ya | 

Pastikan untuk menguji komunikasi VPC Anda. Misalnya, jika proxy penyimpanan kunci eksternal Anda tidak terletak di VPC Amazon Anda, buat instans Amazon EC2 di VPC Amazon Anda, verifikasi bahwa VPC Amazon dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.

### Menghubungkan VPC ke manajer kunci eksternal
<a name="xks-vpc-to-ekm"></a>

Hubungkan VPC ke pusat data yang menampung pengelola kunci eksternal Anda menggunakan salah satu [opsi konektivitas jaringan](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) yang didukung Amazon VPC. Pastikan instans Amazon EC2 di VPC (atau proxy penyimpanan kunci eksternal, jika ada di VPC), dapat berkomunikasi dengan pusat data dan pengelola kunci eksternal.

## Langkah 2: Buat grup target
<a name="xks-target-group"></a>

Sebelum Anda membuat layanan endpoint VPC yang diperlukan, buat komponen yang diperlukan, network load balancer (NLB) dan grup target. Network load balancer (NLB) mendistribusikan permintaan di antara beberapa target sehat, yang mana pun dapat melayani permintaan. Pada langkah ini, Anda membuat grup target dengan setidaknya dua host untuk proxy penyimpanan kunci eksternal Anda, dan mendaftarkan alamat IP Anda dengan grup target.

Ikuti petunjuk dalam [Mengkonfigurasi topik grup target](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| Tipe target | Alamat IP | 
| Protokol | TCP | 
| Port |  443  | 
| Jenis alamat IP | IPv4 | 
| VPC | Pilih VPC tempat Anda akan membuat layanan titik akhir VPC untuk toko kunci eksternal Anda. | 
| Protokol dan jalur pemeriksaan kesehatan | Protokol dan jalur pemeriksaan kesehatan Anda akan berbeda dengan konfigurasi proxy penyimpanan kunci eksternal Anda. Konsultasikan dokumentasi untuk pengelola kunci eksternal atau proxy penyimpanan kunci eksternal Anda.Untuk informasi umum tentang mengonfigurasi pemeriksaan kesehatan untuk grup target Anda, lihat [Pemeriksaan Kesehatan untuk grup target Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) di Panduan Pengguna Elastic Load Balancing untuk Network Load Balancers. | 
| Jaringan | Alamat IP pribadi lainnya | 
| IPv4 alamat | Alamat pribadi proxy toko kunci eksternal Anda | 
| Port | 443 | 

## Langkah 3: Buat penyeimbang beban jaringan
<a name="xks-nlb"></a>

Penyeimbang beban jaringan mendistribusikan lalu lintas jaringan, termasuk permintaan dari AWS KMS proxy penyimpanan kunci eksternal Anda, ke target yang dikonfigurasi.

Ikuti petunjuk dalam [Konfigurasi penyeimbang beban dan topik pendengar](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) untuk mengonfigurasi dan menambahkan pendengar dan membuat penyeimbang beban menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| Skema | Internal | 
| Jenis alamat IP | IPv4 | 
| Pemetaan jaringan |  Pilih VPC tempat Anda akan membuat layanan titik akhir VPC untuk toko kunci eksternal Anda.  | 
| Pemetaan | Pilih kedua zona ketersediaan (setidaknya dua) yang Anda konfigurasikan untuk subnet VPC Anda. Verifikasi nama subnet dan alamat IP pribadi. | 
| Protokol | TCP | 
| Port | 443 | 
| Tindakan default: Teruskan ke | Pilih [grup target](#xks-target-group) untuk penyeimbang beban jaringan Anda. | 

## Langkah 4: Buat layanan titik akhir VPC
<a name="xks-vpc-svc"></a>

Biasanya, Anda membuat titik akhir ke layanan. Namun, ketika Anda membuat layanan titik akhir VPC, Anda adalah penyedia, dan AWS KMS membuat titik akhir ke layanan Anda. Untuk penyimpanan kunci eksternal, buat layanan titik akhir VPC dengan penyeimbang beban jaringan yang Anda buat di langkah sebelumnya. Layanan titik akhir VPC dapat Akun AWS sama dengan penyimpanan kunci eksternal Anda atau yang lain. Akun AWS

Beberapa toko kunci eksternal dapat berbagi VPC Amazon, tetapi setiap toko kunci eksternal harus memiliki layanan titik akhir VPC sendiri dan nama DNS pribadi.

Ikuti petunjuk dalam topik [Create an endpoint service](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) untuk membuat layanan endpoint VPC Anda dengan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| Jenis penyeimbang beban | Jaringan | 
| Penyeimbang beban yang tersedia | Pilih [penyeimbang beban jaringan](#xks-nlb) yang Anda buat pada langkah sebelumnya.Jika penyeimbang beban baru Anda tidak muncul dalam daftar, verifikasi bahwa statusnya aktif. Mungkin perlu beberapa menit agar status penyeimbang beban berubah dari penyediaan menjadi aktif. | 
| Penerimaan diperlukan | Salah. Hapus centang pada kotak centang.*Tidak memerlukan penerimaan*. AWS KMS tidak dapat terhubung ke layanan titik akhir VPC tanpa penerimaan manual. Jika penerimaan diperlukan, upaya untuk [membuat penyimpanan kunci eksternal](create-xks-keystore.md) gagal dengan `XksProxyInvalidConfigurationException` pengecualian.  | 
| Aktifkan nama DNS pribadi | Kaitkan nama DNS pribadi dengan layanan | 
| Nama DNS pribadi | Masukkan nama DNS pribadi yang unik di dalamnya Wilayah AWS. Nama DNS pribadi harus menjadi subdomain dari domain publik tingkat yang lebih tinggi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, itu harus menjadi subdomain dari domain publik seperti `xks.example.com` atau. `example.com`Nama DNS pribadi ini harus cocok dengan nama umum subjek (CN) dalam sertifikat TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal Anda. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`Jika sertifikat dan nama DNS pribadi tidak cocok, upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal dengan kode kesalahan koneksi. `XKS_PROXY_INVALID_TLS_CONFIGURATION` Lihat perinciannya di [Kesalahan konfigurasi umum](xks-troubleshooting.md#fix-xks-gen-configuration). | 
| Jenis alamat IP yang didukung | IPv4 | 

## Langkah 5: Verifikasi domain nama DNS pribadi Anda
<a name="xks-private-dns"></a>

Saat Anda membuat layanan titik akhir VPC, status verifikasi domainnya adalah. `pendingVerification` Sebelum menggunakan layanan titik akhir VPC untuk membuat penyimpanan kunci eksternal, status ini harus. `verified` Untuk memverifikasi bahwa Anda memiliki domain yang terkait dengan nama DNS pribadi Anda, Anda harus membuat catatan TXT di server DNS publik.

Misalnya, jika nama DNS pribadi untuk layanan `myproxy-private.xks.example.com` titik akhir VPC Anda, Anda harus membuat catatan TXT di domain publik, `xks.example.com` seperti `example.com` atau, mana pun yang bersifat publik. AWS PrivateLink mencari catatan TXT terlebih dahulu `xks.example.com` dan kemudian. `example.com`

**Tip**  
Setelah Anda menambahkan catatan TXT, mungkin perlu beberapa menit untuk mengubah nilai **status verifikasi Domain** dari `pendingVerification` ke. `verify`

Untuk memulai, cari status verifikasi domain Anda menggunakan salah satu metode berikut. Nilai yang valid adalah `verified`, `pendingVerification`, dan `failed`. 
+ Di [konsol VPC Amazon](https://console.aws.amazon.com/vpc), pilih layanan **Endpoint, dan pilih layanan endpoint** Anda. Di panel detail, lihat **Status verifikasi domain**.
+ Gunakan [DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)operasi. `State`Nilainya ada di `ServiceConfigurations.PrivateDnsNameConfiguration.State` lapangan.

Jika status verifikasi tidak`verified`, ikuti petunjuk dalam topik [verifikasi kepemilikan Domain](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) untuk menambahkan catatan TXT ke server DNS domain Anda dan verifikasi bahwa catatan TXT diterbitkan. Kemudian periksa kembali status verifikasi Anda.

Anda tidak diharuskan membuat catatan A untuk nama domain DNS pribadi. Saat AWS KMS membuat titik akhir antarmuka ke layanan titik akhir VPC Anda AWS PrivateLink , secara otomatis membuat zona yang dihosting dengan catatan A yang diperlukan untuk nama domain pribadi di VPC. AWS KMS Untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC, ini terjadi ketika Anda [menghubungkan penyimpanan kunci eksternal Anda ke proxy penyimpanan](xks-connect-disconnect.md) kunci eksternal.

## Langkah 6: Otorisasi AWS KMS untuk terhubung ke layanan titik akhir VPC
<a name="xks-vpc-authorize-kms"></a>

Lihat prosedur berikut untuk mengelola izin layanan titik akhir Amazon VPC Anda. Setiap langkah tergantung pada konektivitas dan konfigurasi antara penyimpanan kunci eksternal Anda, layanan titik akhir VPC, dan. Akun AWS

------
#### [ Same Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki Akun AWS sama dengan penyimpanan kunci eksternal Anda, Anda harus menambahkan AWS KMS ke daftar **Izinkan prinsipal** untuk layanan titik akhir VPC Anda. Ini memungkinkan AWS KMS untuk membuat titik akhir antarmuka ke layanan titik akhir VPC Anda. Jika AWS KMS bukan prinsipal yang diizinkan, upaya untuk membuat penyimpanan kunci eksternal akan gagal dengan `XksProxyVpcEndpointServiceNotFoundException` pengecualian.

Ikuti petunjuk dalam topik [Kelola izin](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) di *AWS PrivateLink Panduan*. Gunakan nilai yang diperlukan berikut.


| Bidang | Nilai | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.goskope.comSebagai contoh, `cks.kms.us-east-1.amazonaws.com`. | 

------
#### [ Cross Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki oleh yang lain, Akun AWS Anda harus menambahkan keduanya AWS KMS dan akun Anda ke daftar **Izinkan** prinsipal. Ini memungkinkan AWS KMS dan penyimpanan kunci eksternal Anda untuk membuat titik akhir antarmuka ke layanan titik akhir VPC Anda. Jika AWS KMS bukan prinsipal yang diizinkan, upaya untuk membuat penyimpanan kunci eksternal akan gagal dengan `XksProxyVpcEndpointServiceNotFoundException` pengecualian. Anda harus menyediakan Akun AWS ARN tempat penyimpanan kunci eksternal berada.

Ikuti petunjuk dalam topik [Kelola izin](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) di *AWS PrivateLink Panduan*. Gunakan nilai yang diperlukan berikut.


| Bidang | Nilai | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.goskope.comSebagai contoh, `cks.kms.us-east-1.amazonaws.com`. | 
| Akun AWS ARN | arn:aws:iam::111122223333:role/role\$1nameSebagai contoh, `arn:aws:iam::123456789012:role/cks_role`. | 

------

**Selanjutnya:** [Buat toko kunci eksternal](create-xks-keystore.md)

# Buat toko kunci eksternal
<a name="create-xks-keystore"></a>

Anda dapat membuat satu atau banyak toko kunci eksternal di masing-masing Akun AWS dan Wilayah. Setiap penyimpanan kunci eksternal harus dikaitkan dengan pengelola kunci eksternal di luar AWS, dan proxy penyimpanan kunci eksternal (proxy XKS) yang memediasi komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Lihat perinciannya di [Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md). Sebelum Anda mulai, [konfirmasikan bahwa Anda memerlukan toko kunci eksternal](keystore-external.md#do-i-need-xks). Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.

**Tip**  
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk membuat penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Sebelum Anda membuat toko kunci eksternal Anda, Anda perlu [merakit prasyarat](#xks-requirements). Selama proses pembuatan, Anda menentukan properti penyimpanan kunci eksternal Anda. Yang terpenting, Anda menunjukkan apakah penyimpanan kunci eksternal Anda AWS KMS menggunakan [titik akhir publik atau layanan titik akhir](choose-xks-connectivity.md#xks-connectivity-public-endpoint) [VPC](choose-xks-connectivity.md#xks-vpc-connectivity) untuk terhubung ke proxy penyimpanan kunci eksternalnya. Anda juga menentukan detail koneksi, termasuk titik akhir URI proxy dan jalur dalam titik akhir proxy tersebut tempat AWS KMS mengirimkan permintaan API ke proxy. 

**Pertimbangan-pertimbangan**
+ KMS tidak dapat berkomunikasi IPv6 dengan toko kunci Eksternal.
+  Jika Anda menggunakan konektivitas titik akhir publik, pastikan itu AWS KMS dapat berkomunikasi dengan proxy Anda melalui internet menggunakan koneksi HTTPS. Ini termasuk mengkonfigurasi TLS pada proxy penyimpanan kunci eksternal dan memastikan bahwa setiap firewall antara AWS KMS dan proxy memungkinkan IPv4 lalu lintas ke dan dari port 443 pada proxy. Saat membuat penyimpanan kunci eksternal dengan konektivitas titik akhir publik, AWS KMS menguji koneksi dengan mengirimkan permintaan status ke proxy penyimpanan kunci eksternal. Tes ini memverifikasi bahwa titik akhir dapat dijangkau dan proxy penyimpanan kunci eksternal Anda akan menerima permintaan yang ditandatangani dengan kredensi otentikasi proxy [penyimpanan kunci eksternal](keystore-external.md#concept-xks-credential) Anda. Jika permintaan pengujian ini gagal, operasi untuk membuat penyimpanan kunci eksternal gagal.
+ Jika Anda menggunakan konektivitas layanan titik akhir VPC, pastikan penyeimbang beban jaringan, nama DNS pribadi, dan layanan titik akhir VPC dikonfigurasi dengan benar dan operasional. Jika proxy penyimpanan kunci eksternal tidak ada di VPC, Anda perlu memastikan bahwa layanan titik akhir VPC dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. (AWS KMS menguji konektivitas layanan titik akhir VPC saat Anda [menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan](xks-connect-disconnect.md) kunci eksternal.)
+ AWS KMS merekam [ CloudWatch metrik dan dimensi Amazon](monitoring-cloudwatch.md#kms-metrics) terutama untuk toko kunci eksternal. Grafik pemantauan berdasarkan beberapa metrik ini muncul di AWS KMS konsol untuk setiap penyimpanan kunci eksternal. Kami sangat menyarankan Anda menggunakan metrik ini untuk membuat alarm yang memantau penyimpanan kunci eksternal Anda. Alarm ini mengingatkan Anda tentang tanda-tanda awal masalah kinerja dan operasional sebelum terjadi. Untuk petunjuk, lihat [Pantau toko kunci eksternal](xks-monitoring.md).
+ Toko kunci eksternal tunduk pada [kuota sumber daya](resource-limits.md#cks-resource-quota). Penggunaan kunci KMS di toko kunci eksternal tunduk pada [kuota permintaan](requests-per-second.md#rps-key-stores). Tinjau kuota ini sebelum merancang implementasi penyimpanan kunci eksternal Anda. 

**catatan**  
Tinjau konfigurasi Anda untuk dependensi melingkar yang mungkin mencegahnya berfungsi.  
Misalnya, jika Anda membuat proxy penyimpanan kunci eksternal menggunakan AWS sumber daya, pastikan bahwa mengoperasikan proxy tidak memerlukan ketersediaan kunci KMS di penyimpanan kunci eksternal yang diakses melalui proxy tersebut.

Semua toko kunci eksternal baru dibuat dalam keadaan terputus. Sebelum Anda dapat membuat kunci KMS toko kunci eksternal Anda, Anda harus [menghubungkannya](about-xks-connecting.md) ke proxy penyimpanan kunci eksternal. Untuk mengubah properti penyimpanan kunci eksternal Anda, [edit pengaturan penyimpanan kunci eksternal Anda](update-xks-keystore.md).

**Topics**
+ [

## Memasang prasyarat
](#xks-requirements)
+ [

## Buat toko kunci eksternal baru
](#create-xks)

## Memasang prasyarat
<a name="xks-requirements"></a>

Sebelum Anda membuat penyimpanan kunci eksternal, Anda perlu merakit komponen yang diperlukan, termasuk [pengelola kunci eksternal](keystore-external.md#concept-ekm) yang akan Anda gunakan untuk mendukung penyimpanan kunci eksternal dan [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) yang menerjemahkan AWS KMS permintaan ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda. 

Komponen berikut diperlukan untuk semua toko kunci eksternal. Selain komponen ini, Anda perlu menyediakan komponen untuk mendukung [opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md) yang Anda pilih.

**Tip**  
Manajer kunci eksternal Anda mungkin menyertakan beberapa komponen ini, atau mereka mungkin dikonfigurasi untuk Anda. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.  
[Jika Anda membuat penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah [file konfigurasi proxy berbasis JSON yang menentukan jalur URI proxy](#proxy-configuration-file)[dan kredensi otentikasi proxy](#require-path).](keystore-external.md#concept-xks-credential) Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.

### Manajer kunci eksternal
<a name="require-ekm"></a>

Setiap penyimpanan kunci eksternal memerlukan setidaknya satu instance [pengelola kunci eksternal](keystore-external.md#concept-ekm). Ini bisa berupa modul keamanan perangkat keras fisik atau virtual (HSM), atau perangkat lunak manajemen kunci.

Anda dapat menggunakan satu manajer kunci, tetapi kami merekomendasikan setidaknya dua contoh manajer kunci terkait yang berbagi kunci kriptografi untuk redundansi. Toko kunci eksternal tidak memerlukan penggunaan eksklusif manajer kunci eksternal. Namun, manajer kunci eksternal harus memiliki kapasitas untuk menangani frekuensi yang diharapkan dari enkripsi dan permintaan dekripsi dari AWS layanan yang menggunakan kunci KMS di penyimpanan kunci eksternal untuk melindungi sumber daya Anda. Manajer kunci eksternal Anda harus dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Jika proxy penyimpanan kunci eksternal Anda mengizinkannya, Anda dapat mengubah pengelola kunci eksternal yang Anda kaitkan dengan proxy penyimpanan kunci eksternal Anda, tetapi manajer kunci eksternal yang baru harus berupa cadangan atau snapshot dengan materi kunci yang sama. Jika kunci eksternal yang Anda kaitkan dengan kunci KMS tidak lagi tersedia untuk proxy penyimpanan kunci eksternal Anda, tidak AWS KMS dapat mendekripsi ciphertext yang dienkripsi dengan kunci KMS.

Manajer kunci eksternal harus dapat diakses oleh proxy penyimpanan kunci eksternal. Jika [GetHealthStatus](keystore-external.md#xks-concepts)respons dari proxy melaporkan bahwa semua instance pengelola kunci eksternal adalah`Unavailable`, semua upaya untuk membuat penyimpanan kunci eksternal gagal dengan file. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-proxy) 

### Proksi penyimpanan kunci eksternal
<a name="require-proxy"></a>

Anda harus menentukan [proxy penyimpanan kunci eksternal (proxy](keystore-external.md#concept-xks-proxy) XKS) yang sesuai dengan persyaratan desain dalam Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Anda dapat mengembangkan atau membeli proxy penyimpanan kunci eksternal, atau menggunakan proxy penyimpanan kunci eksternal yang disediakan oleh atau dibangun ke dalam manajer kunci eksternal Anda. AWS KMS merekomendasikan agar proxy penyimpanan kunci eksternal Anda dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Anda dapat menggunakan proxy penyimpanan kunci eksternal untuk lebih dari satu penyimpanan kunci eksternal, tetapi setiap penyimpanan kunci eksternal harus memiliki titik akhir dan jalur URI yang unik dalam proxy penyimpanan kunci eksternal untuk permintaannya.

Jika Anda menggunakan konektivitas layanan titik akhir VPC, Anda dapat menemukan proxy penyimpanan kunci eksternal di VPC Amazon Anda, tetapi itu tidak diperlukan. Anda dapat menemukan proxy Anda di luar AWS, seperti di pusat data pribadi Anda, dan menggunakan layanan titik akhir VPC hanya untuk berkomunikasi dengan proxy. 

### Kredensi otentikasi proxy
<a name="require-credential"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan kredensi otentikasi proxy penyimpanan kunci eksternal Anda ()`XksProxyAuthenticationCredential`. 

Anda harus membuat [kredensi otentikasi](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) untuk AWS KMS proxy penyimpanan kunci eksternal Anda. AWS KMS mengautentikasi proxy Anda dengan menandatangani permintaannya menggunakan [proses Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) dengan kredensi otentikasi proxy penyimpanan kunci eksternal. Anda menentukan kredensi otentikasi saat membuat penyimpanan kunci eksternal dan [Anda dapat mengubahnya](update-xks-keystore.md) kapan saja. Jika proxy Anda memutar kredensi Anda, pastikan untuk memperbarui nilai kredensi untuk penyimpanan kunci eksternal Anda.

Kredensi otentikasi proxy memiliki dua bagian. Anda harus menyediakan kedua bagian untuk toko kunci eksternal Anda.
+ ID kunci akses: Mengidentifikasi kunci akses rahasia. Anda dapat memberikan ID ini dalam teks biasa.
+ Kunci akses rahasia: Bagian rahasia dari kredensi. AWS KMS mengenkripsi kunci akses rahasia di kredensi sebelum menyimpannya.

Kredensyal SigV4 yang AWS KMS digunakan untuk menandatangani permintaan ke proxy penyimpanan kunci eksternal tidak terkait dengan kredensyal SigV4 apa pun yang terkait dengan prinsip apa pun di akun Anda. AWS Identity and Access Management AWS Jangan gunakan kembali kredensi IAM SiGv4 apa pun untuk proxy penyimpanan kunci eksternal Anda.

### Konektivitas proxy
<a name="require-connectivity"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan opsi konektivitas proxy penyimpanan kunci eksternal Anda (`XksProxyConnectivity`).

AWS KMS dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda dengan menggunakan [titik akhir publik atau layanan titik akhir](choose-xks-connectivity.md#xks-connectivity-public-endpoint) [Amazon Virtual Private Cloud (Amazon VPC)](choose-xks-connectivity.md#xks-vpc-connectivity). Meskipun titik akhir publik lebih mudah untuk dikonfigurasi dan dipelihara, itu mungkin tidak memenuhi persyaratan keamanan untuk setiap instalasi. Jika Anda memilih opsi konektivitas layanan titik akhir VPC Amazon, Anda harus membuat dan memelihara komponen yang diperlukan, termasuk VPC Amazon dengan setidaknya dua subnet di dua Availability Zone yang berbeda, layanan titik akhir VPC dengan penyeimbang beban jaringan dan grup target, dan nama DNS pribadi untuk layanan titik akhir VPC.

Anda dapat [mengubah opsi konektivitas proxy](update-xks-keystore.md) untuk penyimpanan kunci eksternal Anda. Namun, Anda harus memastikan bahwa ketersediaan berkelanjutan dari materi utama yang terkait dengan kunci KMS di toko kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

Untuk bantuan menentukan opsi konektivitas proxy mana yang terbaik untuk penyimpanan kunci eksternal Anda, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md). Untuk bantuan membuat konfigurasi konektivitas layanan titik akhir VPC, lihat. [Konfigurasikan konektivitas layanan titik akhir VPC](vpc-connectivity.md)

### Titik akhir URI proxy
<a name="require-endpoint"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan endpoint (`XksProxyUriEndpoint`) yang AWS KMS digunakan untuk mengirim permintaan ke proxy penyimpanan kunci eksternal. 

Protokol harus HTTPS. AWS KMS berkomunikasi IPv4 di port 443. Jangan tentukan port dalam nilai titik akhir URI proxy.
+ [Konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint) - Tentukan titik akhir yang tersedia untuk umum untuk proxy penyimpanan kunci eksternal Anda. Titik akhir ini harus dapat dijangkau sebelum Anda membuat penyimpanan kunci eksternal Anda. 
+ [Konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) — Tentukan `https://` diikuti dengan nama DNS pribadi dari layanan titik akhir VPC.

Sertifikat server TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus cocok dengan nama domain di titik akhir URI proxy penyimpanan kunci eksternal dan dikeluarkan oleh otoritas sertifikat yang didukung untuk penyimpanan kunci eksternal. Untuk daftar, lihat [Otoritas Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). Otoritas sertifikat Anda akan memerlukan bukti kepemilikan domain sebelum menerbitkan sertifikat TLS. 

Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`

Anda dapat [mengubah titik akhir URI proxy Anda](update-xks-keystore.md), tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan kunci KMS di penyimpanan kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

**Persyaratan keunikan**
+ Nilai gabungan URI endpoint (`XksProxyUriEndpoint`) dan proxy URI path (`XksProxyUriPath`) harus unik di Akun AWS dan Region.
+ Penyimpanan kunci eksternal dengan konektivitas titik akhir publik dapat berbagi titik akhir URI proxy yang sama, asalkan memiliki nilai jalur URI proxy yang berbeda.
+ Penyimpanan kunci eksternal dengan konektivitas titik akhir publik tidak dapat menggunakan nilai titik akhir URI proxy yang sama dengan penyimpanan kunci eksternal mana pun dengan konektivitas layanan titik akhir VPC yang sama Wilayah AWS, meskipun penyimpanan kunci berbeda. Akun AWS
+  Setiap penyimpanan kunci eksternal dengan konektivitas titik akhir VPC harus memiliki nama DNS pribadinya sendiri. Titik akhir URI proxy (nama DNS pribadi) harus unik di Akun AWS dan Wilayah.

### Jalur URI proxy
<a name="require-path"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan jalur dasar di proxy penyimpanan kunci eksternal Anda ke proxy yang [diperlukan APIs](keystore-external.md#concept-proxy-apis). Nilai harus dimulai dengan `/` dan harus diakhiri dengan/kms/xks/v1 di mana `v1` mewakili versi AWS KMS API untuk proxy penyimpanan kunci eksternal. Jalur ini dapat menyertakan awalan opsional antara elemen yang diperlukan seperti`/example-prefix/kms/xks/v1`. Untuk menemukan nilai ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal Anda.

AWS KMS mengirimkan permintaan proxy ke alamat yang ditentukan oleh penggabungan titik akhir URI proxy dan jalur URI proxy. Misalnya, jika titik akhir URI proxy `https://myproxy.xks.example.com` dan jalur URI proxy adalah`/kms/xks/v1`, AWS KMS kirimkan permintaan API proksi ke`https://myproxy.xks.example.com/kms/xks/v1`. 

Anda dapat [mengubah jalur URI proxy Anda](update-xks-keystore.md), tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan kunci KMS di penyimpanan kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

**Persyaratan keunikan**
+ Nilai gabungan URI endpoint (`XksProxyUriEndpoint`) dan proxy URI path (`XksProxyUriPath`) harus unik di Akun AWS dan Region. 

### Layanan titik akhir VPC
<a name="require-vpc-service-name"></a>

Menentukan nama layanan endpoint Amazon VPC yang digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Komponen ini hanya diperlukan untuk penyimpanan kunci eksternal yang menggunakan konektivitas layanan titik akhir VPC. Untuk bantuan menyiapkan dan mengonfigurasi layanan titik akhir VPC Anda untuk penyimpanan kunci eksternal, lihat. [Konfigurasikan konektivitas layanan titik akhir VPC](vpc-connectivity.md)

Layanan titik akhir VPC harus memiliki properti berikut:
+ Layanan titik akhir VPC dapat berada di tempat yang sama atau berbeda dengan penyimpanan kunci Akun AWS eksternal.
  + Layanan titik akhir VPC harus berada di tempat yang Wilayah AWS sama dengan penyimpanan kunci eksternal.
  + Anda harus memberikan Akun AWS ID layanan endpoint VPC jika berada di tempat yang berbeda. Akun AWS
+ Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.
+ *Daftar prinsip izin* untuk layanan titik akhir VPC harus menyertakan prinsip AWS KMS layanan untuk Wilayah:, seperti. `cks.kms.<region>.amazonaws.com` `cks.kms.us-east-1.amazonaws.com`
  + Jika layanan titik akhir VPC Amazon Anda dimiliki oleh yang berbeda Akun AWS selain Akun AWS memiliki penyimpanan kunci eksternal (XKS), Anda juga harus mengizinkan akses XKS ke layanan titik akhir VPC. Untuk melakukannya, [izinkan Akun AWS ID XKS sebagai prinsipal untuk layanan endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) Amazon VPC.
+ Itu tidak boleh memerlukan penerimaan permintaan koneksi. 
+ Itu harus memiliki nama DNS pribadi dalam domain publik tingkat yang lebih tinggi. Misalnya, Anda dapat memiliki nama DNS pribadi myproxy-private.xks.example.com di domain publik. `xks.example.com`

  Nama DNS pribadi untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC harus unik di dalamnya. Wilayah AWS
+ [Status verifikasi domain domain](vpc-connectivity.md#xks-private-dns) nama DNS pribadi harus`verified`. 
+ Sertifikat server TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus menentukan nama host DNS pribadi di mana titik akhir dapat dijangkau.

**Persyaratan keunikan**
+ Toko kunci eksternal dengan konektivitas titik akhir VPC dapat berbagi`Amazon VPC`, tetapi setiap toko kunci eksternal harus memiliki layanan titik akhir VPC sendiri dan nama DNS pribadi.

### File konfigurasi proxy
<a name="proxy-configuration-file"></a>

*File konfigurasi proxy adalah file* berbasis JSON opsional yang berisi nilai untuk [jalur URI proxy](#require-path) dan properti [kredensi otentikasi proxy](#require-credential) dari penyimpanan kunci eksternal Anda. Saat membuat atau [mengedit penyimpanan kunci eksternal](update-xks-keystore.md) di AWS KMS konsol, Anda dapat mengunggah file konfigurasi proxy untuk menyediakan nilai konfigurasi untuk penyimpanan kunci eksternal Anda. Menggunakan file ini menghindari kesalahan pengetikan dan penyisipan, dan memastikan bahwa nilai di penyimpanan kunci eksternal Anda cocok dengan nilai di proxy penyimpanan kunci eksternal Anda. 

File konfigurasi proxy dihasilkan oleh proxy penyimpanan kunci eksternal. Untuk mengetahui apakah proxy penyimpanan kunci eksternal Anda menawarkan file konfigurasi proxy, lihat dokumentasi proxy penyimpanan kunci eksternal Anda.

Berikut ini adalah contoh file konfigurasi proxy yang terbentuk dengan baik dengan nilai fiktif.

```
{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}
```

Anda dapat mengunggah file konfigurasi proxy hanya saat membuat atau mengedit penyimpanan kunci eksternal di AWS KMS konsol. Anda tidak dapat menggunakannya dengan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)atau, tetapi Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

## Buat toko kunci eksternal baru
<a name="create-xks"></a>

Setelah Anda mengumpulkan prasyarat yang diperlukan, Anda dapat membuat toko kunci eksternal baru di AWS KMS konsol atau dengan menggunakan operasi. [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)

### Menggunakan AWS KMS konsol
<a name="create-keystore-console"></a>

Sebelum membuat penyimpanan kunci eksternal, [pilih jenis konektivitas proxy Anda](choose-xks-connectivity.md) dan pastikan bahwa Anda telah membuat dan mengonfigurasi semua [komponen yang diperlukan](#xks-requirements). Jika Anda memerlukan bantuan untuk menemukan salah satu nilai yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda.

**catatan**  
Saat Anda membuat penyimpanan kunci eksternal di Konsol Manajemen AWS, Anda dapat mengunggah *file konfigurasi proxy berbasis JSON dengan nilai untuk jalur URI proxy* [dan kredensi otentikasi](#require-path) [proxy](#require-credential). Beberapa proxy menghasilkan file ini untuk Anda. Hal ini tidak diperlukan.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih **Buat toko kunci eksternal**.

1. Masukkan nama ramah untuk toko kunci eksternal. Nama harus unik di antara semua toko kunci eksternal di akun Anda.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

1. Pilih jenis [konektivitas proxy](#require-connectivity) Anda. 

   Pilihan konektivitas proxy Anda menentukan [komponen yang diperlukan](#xks-requirements) untuk proxy penyimpanan kunci eksternal Anda. Untuk bantuan membuat pilihan ini, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md).

   1. Pilih layanan titik akhir **VPC lintas akun jika layanan titik akhir** VPC Anda berada di tempat yang berbeda. Akun AWS Kemudian masukkan Akun AWS ID untuk pemilik titik akhir VPC di bidang ID akun pemilik layanan **titik akhir VPC**.

   1. Pilih atau masukkan nama [layanan titik akhir VPC](#require-vpc-service-name) untuk penyimpanan kunci eksternal ini. Langkah ini hanya muncul ketika jenis konektivitas proxy penyimpanan kunci eksternal Anda adalah layanan **titik akhir VPC**.

      Layanan titik akhir VPC dan layanan tersebut VPCs harus memenuhi persyaratan untuk penyimpanan kunci eksternal. Lihat perinciannya di [Memasang prasyarat](#xks-requirements).

1. Pilih atau masukkan nama [layanan titik akhir VPC](#require-vpc-service-name) untuk penyimpanan kunci eksternal ini. Langkah ini hanya muncul ketika jenis konektivitas proxy penyimpanan kunci eksternal Anda adalah layanan **titik akhir VPC**.

   Layanan titik akhir VPC dan layanan tersebut VPCs harus memenuhi persyaratan untuk penyimpanan kunci eksternal. Lihat perinciannya di [Memasang prasyarat](#xks-requirements).

1. Masukkan [titik akhir URI proxy](#require-endpoint) Anda. Protokol harus HTTPS. AWS KMS berkomunikasi IPv4 di port 443. Jangan tentukan port dalam nilai titik akhir URI proxy.

   Jika AWS KMS mengenali layanan titik akhir VPC yang Anda tentukan pada langkah sebelumnya, itu melengkapi bidang ini untuk Anda.

   Untuk konektivitas titik akhir publik, masukkan URI titik akhir yang tersedia untuk umum. Untuk konektivitas titik akhir VPC, masukkan `https://` diikuti dengan nama DNS pribadi layanan titik akhir VPC.

1. Untuk memasukkan nilai untuk awalan [jalur URI proxy](#require-path) dan [kredensi otentikasi proxy](#require-credential), unggah file konfigurasi proxy, atau masukkan nilai secara manual.
   + Jika Anda memiliki [file konfigurasi proxy](#proxy-configuration-file) opsional yang berisi nilai untuk [jalur URI proxy](#require-path.title) dan [kredensi otentikasi proxy](#require-credential), pilih **Unggah file konfigurasi**. Ikuti langkah-langkah untuk mengunggah file.

     Saat file diunggah, konsol menampilkan nilai dari file di bidang yang dapat diedit. Anda dapat mengubah nilai sekarang atau [mengedit nilai-nilai ini](update-xks-keystore.md) setelah penyimpanan kunci eksternal dibuat.

     Untuk menampilkan nilai kunci akses rahasia, pilih **Tampilkan kunci akses rahasia**.
   + Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan jalur URI proxy dan nilai kredensi otentikasi proxy secara manual.

     1. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan URI proxy secara manual. Konsol memasok nilai**/kms/xks/v1** yang diperlukan. 

        Jika [jalur URI proxy](#require-path) Anda menyertakan awalan opsional, seperti `example-prefix` in`/example-prefix/kms/xks/v1`, masukkan awalan di bidang **awalan jalur Proxy URI**. Jika tidak, biarkan bidang kosong.

     1. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) Anda secara manual. Baik ID kunci akses dan kunci akses rahasia diperlukan.
        + Dalam **kredensi proxy: ID kunci akses, masukkan ID** kunci akses dari kredensi otentikasi proxy. ID kunci akses mengidentifikasi kunci akses rahasia. 
        + Di **Proxy credential: Secret Access Key, masukkan kunci** akses rahasia dari kredensi otentikasi proxy.

        Untuk menampilkan nilai kunci akses rahasia, pilih **Tampilkan kunci akses rahasia**.

        Prosedur ini tidak mengatur atau mengubah kredensi otentikasi yang Anda buat pada proxy penyimpanan kunci eksternal Anda. Itu hanya mengaitkan nilai-nilai ini dengan toko kunci eksternal Anda. Untuk informasi tentang pengaturan, perubahan, dan kredensi autentikasi proxy yang berputar, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci. 

        Jika kredensi otentikasi proxy Anda berubah, [edit setelan kredensyal untuk penyimpanan](update-xks-keystore.md) kunci eksternal Anda.

1. Pilih **Buat toko kunci eksternal**.

Ketika prosedur berhasil, toko kunci eksternal baru muncul dalam daftar toko kunci eksternal di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [CreateKey kesalahan untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-create).

**Berikutnya**: Toko kunci eksternal baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko kunci eksternal Anda, Anda harus [menghubungkan toko kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal.

### Menggunakan AWS KMS API
<a name="create-keystore-api"></a>

Anda dapat menggunakan [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operasi untuk membuat toko kunci eksternal baru. Untuk bantuan menemukan nilai untuk parameter yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci.

**Tip**  
Anda tidak dapat mengunggah [file konfigurasi proxy](#proxy-configuration-file) saat menggunakan `CreateCustomKeyStore` operasi. Namun, Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

Untuk membuat penyimpanan kunci eksternal, `CreateCustomKeyStore` operasi memerlukan nilai parameter berikut.
+ `CustomKeyStoreName`— Nama ramah untuk toko kunci eksternal yang unik di akun.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.
+ `CustomKeyStoreType`— Tentukan`EXTERNAL_KEY_STORE`.
+ [`XksProxyConnectivity`](#require-connectivity)— Tentukan `PUBLIC_ENDPOINT` atau`VPC_ENDPOINT_SERVICE`.
+ [`XksProxyAuthenticationCredential`](keystore-external.md#concept-xks-credential)— Tentukan ID kunci akses dan kunci akses rahasia. 
+ [`XksProxyUriEndpoint`](#require-endpoint)— Titik akhir yang AWS KMS digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.
+ [`XksProxyUriPath`](#require-path)— Jalur dalam proxy ke proxy APIs. 
+ [`XksProxyVpcEndpointServiceName`](#require-vpc-service-name)— Diperlukan hanya ketika `XksProxyConnectivity` nilai Anda`VPC_ENDPOINT_SERVICE`.

**catatan**  
Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan nilai HTTP atau HTTPS, seperti `XksProxyUriEndpoint` parameter.  

```
aws configure set cli_follow_urlparam false
```
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di alamat URI tersebut, menyebabkan kesalahan berikut:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

Contoh berikut menggunakan nilai fiktif. Sebelum menjalankan perintah, ganti dengan nilai yang valid untuk penyimpanan kunci eksternal Anda.

Buat toko kunci eksternal dengan konektivitas titik akhir publik.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Buat toko kunci eksternal dengan konektivitas layanan titik akhir VPC.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Saat operasi berhasil, `CreateCustomKeyStore` mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).

**Berikutnya**: Untuk menggunakan penyimpanan kunci eksternal, [sambungkan ke proxy penyimpanan kunci eksternal](xks-connect-disconnect.md).

# Edit properti penyimpanan kunci eksternal
<a name="update-xks-keystore"></a>

Anda dapat mengedit properti yang dipilih dari penyimpanan kunci eksternal yang ada. 

Anda dapat mengedit beberapa properti saat penyimpanan kunci eksternal terhubung atau terputus. Untuk properti lain, Anda harus terlebih dahulu [memutuskan penyimpanan kunci eksternal Anda](xks-connect-disconnect.md) dari proxy penyimpanan kunci eksternal. [Status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal harus`DISCONNECTED`. Sementara toko kunci eksternal Anda terputus, Anda dapat mengelola penyimpanan kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci eksternal. Untuk menemukan [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi atau lihat bagian **Konfigurasi umum** pada halaman detail untuk penyimpanan kunci eksternal.

Sebelum memperbarui properti penyimpanan kunci eksternal Anda, AWS KMS kirimkan [GetHealthStatus](keystore-external.md#concept-proxy-apis)permintaan ke proxy penyimpanan kunci eksternal menggunakan nilai baru. Jika permintaan berhasil, ini menunjukkan bahwa Anda dapat menghubungkan dan mengautentikasi ke proxy penyimpanan kunci eksternal dengan nilai properti yang diperbarui. Jika permintaan gagal, operasi edit gagal dengan pengecualian yang mengidentifikasi kesalahan.

Saat operasi edit selesai, nilai properti yang diperbarui untuk penyimpanan kunci eksternal Anda akan muncul di AWS KMS konsol dan `DescribeCustomKeyStores` respons. Namun, perlu waktu hingga lima menit agar perubahan sepenuhnya efektif.

[Jika Anda mengedit penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah [file konfigurasi proxy berbasis JSON yang menentukan jalur URI proxy](create-xks-keystore.md#proxy-configuration-file)[dan kredensi otentikasi proxy](create-xks-keystore.md#require-path).](keystore-external.md#concept-xks-credential) Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.

**Awas**  
Nilai properti yang diperbarui harus menghubungkan penyimpanan kunci eksternal Anda ke proxy untuk pengelola kunci eksternal yang sama dengan nilai sebelumnya, atau untuk cadangan atau snapshot dari pengelola kunci eksternal dengan kunci kriptografi yang sama. Jika penyimpanan kunci eksternal Anda secara permanen kehilangan aksesnya ke kunci eksternal yang terkait dengan kunci KMS-nya, ciphertext yang dienkripsi di bawah kunci eksternal tersebut tidak dapat dipulihkan. Secara khusus, mengubah konektivitas proxy dari penyimpanan kunci eksternal dapat AWS KMS mencegah mengakses kunci eksternal Anda.

**Tip**  
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk mengedit properti penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Anda dapat mengubah properti berikut dari penyimpanan kunci eksternal.


| Properti penyimpanan kunci eksternal yang dapat diedit | Status koneksi apa pun | Memerlukan status Terputus | 
| --- | --- | --- | 
| Nama penyimpanan kunci kustom Nama ramah yang diperlukan untuk toko kunci khusus. Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredential(Anda harus menentukan ID kunci akses dan kunci akses rahasia, bahkan jika Anda hanya mengubah satu elemen.) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Jalur URI proxy](create-xks-keystore.md#require-path) (XksProxyUriPath) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Konektivitas proxy](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(Anda juga harus memperbarui titik akhir URI proxy. Jika Anda mengubah ke konektivitas layanan titik akhir VPC, Anda harus menentukan nama layanan titik akhir VPC proxy.) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 
| [Titik akhir URI proxy](create-xks-keystore.md#require-endpoint) () XksProxyUriEndpointJika Anda mengubah URI titik akhir proxy, Anda mungkin juga perlu mengubah sertifikat TLS terkait. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 
| Nama [layanan titik akhir VPC proxy](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceName(Bidang ini diperlukan untuk konektivitas layanan titik akhir VPC) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 
| Pemilik [layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwner(Bidang ini diperlukan untuk konektivitas layanan titik akhir VPC) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 

## Edit properti toko kunci eksternal Anda
<a name="edit-xks-keystore"></a>

Anda dapat mengedit properti penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="update-keystore-console"></a>

Saat Anda mengedit penyimpanan kunci, Anda dapat mengubah salah satu nilai yang dapat diedit. Beberapa perubahan mengharuskan penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal.

Jika Anda mengedit jalur URI proxy atau kredensi otentikasi proxy, Anda dapat memasukkan nilai baru atau mengunggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) penyimpanan kunci eksternal yang menyertakan nilai baru.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih toko kunci yang ingin Anda edit.

   1. Jika perlu, lepaskan penyimpanan kunci eksternal dari proxy penyimpanan kunci eksternal. Dari menu **Key Store Actions**, pilih **Disconnect**.

1. Dari menu **Key store actions**, pilih **Edit**.

1. Ubah satu atau beberapa properti penyimpanan kunci eksternal yang dapat diedit. Anda juga dapat mengunggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) penyimpanan kunci eksternal dengan nilai untuk jalur URI proxy dan kredensyal otentikasi proksi. Anda dapat menggunakan file konfigurasi proxy meskipun beberapa nilai yang ditentukan dalam file tidak berubah.

1. Pilih **Perbarui toko kunci eksternal**. 

1. Tinjau peringatan, dan jika Anda memutuskan untuk melanjutkan, konfirmasikan peringatan, lalu pilih **Perbarui toko kunci eksternal**.

   Ketika prosedur berhasil, pesan menjelaskan properti yang Anda edit. Ketika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya.

1. Jika perlu, sambungkan kembali toko kunci eksternal. Dari menu **Key Store Actions**, pilih **Connect**.

   Anda dapat membiarkan toko kunci eksternal terputus. [Tetapi saat terputus, Anda tidak dapat membuat kunci KMS di penyimpanan kunci eksternal atau menggunakan kunci KMS di penyimpanan kunci eksternal dalam operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)

### Menggunakan AWS KMS API
<a name="update-keystore-api"></a>

Untuk mengubah properti penyimpanan kunci eksternal, gunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi. Anda dapat mengubah beberapa properti penyimpanan kunci eksternal dalam operasi yang sama. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. 

Gunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan kunci eksternal. Gunakan parameter lain untuk mengubah properti. Anda tidak dapat menggunakan [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) dengan `UpdateCustomKeyStore` operasi. File konfigurasi proxy hanya didukung oleh AWS KMS konsol. Namun, Anda dapat menggunakan file konfigurasi proxy untuk membantu Anda menentukan nilai parameter yang benar untuk proxy penyimpanan kunci eksternal Anda.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Sebelum Anda mulai, [jika perlu](#update-xks-keystore), [lepaskan penyimpanan kunci eksternal](xks-connect-disconnect.md) dari proxy penyimpanan kunci eksternal. Setelah memperbarui, jika perlu, Anda dapat [menghubungkan kembali toko kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal. Anda dapat meninggalkan penyimpanan kunci eksternal dalam keadaan terputus, tetapi Anda harus menghubungkannya kembali sebelum Anda dapat membuat kunci KMS baru di toko kunci atau menggunakan kunci KMS yang ada di toko kunci untuk operasi kriptografi.

**catatan**  
Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan nilai HTTP atau HTTPS, seperti `XksProxyUriEndpoint` parameter.  

```
aws configure set cli_follow_urlparam false
```
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di alamat URI tersebut, menyebabkan kesalahan berikut:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

#### Ubah nama toko kunci eksternal
<a name="xks-edit-name"></a>

Contoh pertama menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi untuk mengubah nama ramah dari penyimpanan kunci eksternal menjadi`XksKeyStore`. Perintah menggunakan parameter `CustomKeyStoreId` untuk mengidentifikasi penyimpanan kunci kustom dan `CustomKeyStoreName` untuk menentukan nama baru untuk penyimpanan kunci kustom. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```

#### Mengubah kredensi otentikasi proxy
<a name="xks-edit-credential"></a>

Contoh berikut memperbarui kredensi otentikasi proxy yang AWS KMS digunakan untuk mengautentikasi ke proxy penyimpanan kunci eksternal. Anda dapat menggunakan perintah seperti ini untuk memperbarui kredensi jika diputar pada proxy Anda.

Perbarui kredensi pada proxy penyimpanan kunci eksternal Anda terlebih dahulu. Kemudian gunakan fitur ini untuk melaporkan perubahan ke AWS KMS. (Proxy Anda akan secara singkat mendukung kredensi lama dan baru sehingga Anda punya waktu untuk memperbarui kredensi Anda.) AWS KMS

Anda harus selalu menentukan ID kunci akses dan kunci akses rahasia di kredensi, meskipun hanya satu nilai yang diubah. 

Dua perintah pertama mengatur variabel untuk menyimpan nilai kredensi. `UpdateCustomKeyStore`Operasi menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan kunci eksternal. Ini menggunakan `XksProxyAuthenticationCredential` parameter dengan `AccessKeyId` dan `RawSecretAccessKey` bidangnya untuk menentukan kredensi baru. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```

#### Ubah jalur URI proxy
<a name="xks-edit-path"></a>

Contoh berikut memperbarui jalur URI proxy (`XksProxyUriPath`). Kombinasi titik akhir URI proxy dan jalur URI proxy harus unik di Akun AWS dan Wilayah. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1
```

#### Ubah ke konektivitas layanan titik akhir VPC
<a name="xks-edit-connectivity-vpc"></a>

Contoh berikut menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi untuk mengubah jenis konektivitas proxy penyimpanan kunci eksternal ke`VPC_ENDPOINT_SERVICE`. Untuk membuat perubahan ini, Anda harus menentukan nilai yang diperlukan untuk konektivitas layanan titik akhir VPC, termasuk nama layanan titik akhir VPC (`XksProxyVpcEndpointServiceName`) dan nilai titik akhir URI proxy () yang menyertakan nama DNS pribadi untuk layanan titik akhir VPC. `XksProxyUriEndpoint` Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```

#### Ubah ke konektivitas titik akhir publik
<a name="xks-edit-connectivity-public"></a>

Contoh berikut mengubah jenis konektivitas proxy penyimpanan kunci eksternal menjadi`PUBLIC_ENDPOINT`. Ketika Anda membuat perubahan ini, Anda harus memperbarui nilai endpoint (`XksProxyUriEndpoint`) URI proxy. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

**catatan**  
Konektivitas titik akhir VPC memberikan keamanan yang lebih besar daripada konektivitas titik akhir publik. Sebelum beralih ke konektivitas titik akhir publik, pertimbangkan opsi lain, termasuk menemukan proxy penyimpanan kunci eksternal Anda di tempat dan menggunakan VPC hanya untuk komunikasi. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com
```

# Lihat toko kunci eksternal
<a name="view-xks-keystore"></a>

Anda dapat melihat toko kunci eksternal di setiap akun dan Wilayah dengan menggunakan AWS KMS konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

Ketika Anda melihat penyimpanan kunci eksternal, Anda dapat melihat yang berikut:
+ Informasi dasar tentang toko kunci, termasuk nama ramah, ID, jenis toko kunci, dan tanggal pembuatannya.
+ Informasi konfigurasi untuk [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy), termasuk [jenis konektivitas](keystore-external.md#concept-xks-connectivity), [titik akhir dan [jalur](create-xks-keystore.md#require-path) URI proxy](create-xks-keystore.md#require-endpoint), dan [ID kunci akses kredensi](keystore-external.md#concept-xks-credential) [otentikasi proxy](keystore-external.md#concept-xks-credential) Anda saat ini.
+ Jika proxy penyimpanan kunci eksternal menggunakan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), konsol akan menampilkan nama layanan titik akhir VPC.
+ [Keadaan koneksi](xks-connect-disconnect.md#xks-connection-state) saat ini. 
**catatan**  
Nilai status koneksi **terputus** menunjukkan bahwa penyimpanan kunci eksternal tidak pernah terhubung, atau sengaja terputus dari proxy penyimpanan kunci eksternal. Namun, jika upaya Anda untuk menggunakan kunci KMS di penyimpanan kunci eksternal yang terhubung gagal, itu mungkin menunjukkan masalah dengan penyimpanan kunci eksternal atau proksi. Untuk bantuan, lihat [Kesalahan koneksi penyimpanan kunci eksternal](xks-troubleshooting.md#fix-xks-connection).
+ Bagian [Pemantauan](xks-monitoring.md) dengan grafik [ CloudWatch metrik Amazon](monitoring-cloudwatch.md#kms-metrics) yang dirancang untuk membantu Anda mendeteksi dan menyelesaikan masalah dengan penyimpanan kunci eksternal Anda. Untuk bantuan menafsirkan grafik, menggunakannya dalam perencanaan dan pemecahan masalah, dan membuat CloudWatch alarm berdasarkan metrik dalam grafik, lihat. [Pantau toko kunci eksternal](xks-monitoring.md)

## Properti penyimpanan kunci eksternal
<a name="view-xks-properties"></a>

Properti berikut dari penyimpanan kunci eksternal terlihat di AWS KMS konsol dan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)responsnya. 

### Properti toko kunci kustom
<a name="view-xks-custom-key-store"></a>

Nilai berikut muncul di bagian **konfigurasi umum** halaman detail untuk setiap toko kunci kustom. Properti ini berlaku untuk semua toko kunci kustom, termasuk toko kunci dan toko AWS CloudHSM kunci eksternal.

**ID penyimpanan kunci kustom**  
ID unik yang ditetapkan AWS KMS ke toko kunci kustom.

**Nama penyimpanan kunci kustom**  
Nama ramah yang Anda tetapkan ke toko kunci kustom saat Anda membuatnya. Anda dapat mengubah nilai ini kapan saja.

**Jenis toko kunci khusus**  
Jenis toko kunci khusus. Nilai yang valid adalah AWS CloudHSM (`AWS_CLOUDHSM`) atau External key store (`EXTERNAL_KEY_STORE`). Anda tidak dapat mengubah jenis setelah Anda membuat toko kunci kustom.

**Tanggal pembuatan**  
Tanggal penyimpanan kunci khusus dibuat. Tanggal ini ditampilkan dalam waktu setempat untuk Wilayah AWS. 

**Status koneksi**  
Menunjukkan apakah toko kunci khusus terhubung ke toko kunci pendukungnya. Status koneksi `DISCONNECTED` hanya jika toko kunci khusus tidak pernah terhubung ke toko kunci pendukungnya, atau sengaja terputus. Lihat perinciannya di [Status koneksi](xks-connect-disconnect.md#xks-connection-state).

### Properti konfigurasi penyimpanan kunci eksternal
<a name="view-xks-configuration"></a>

Nilai-nilai berikut muncul di bagian **konfigurasi proxy penyimpanan kunci eksternal** dari halaman detail untuk setiap penyimpanan kunci eksternal dan dalam `XksProxyConfiguration` elemen [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. Untuk penjelasan rinci tentang setiap bidang, termasuk persyaratan keunikan dan bantuan menentukan nilai yang benar untuk setiap bidang, lihat [Memasang prasyarat](create-xks-keystore.md#xks-requirements) di topik *Membuat penyimpanan kunci eksternal*.

**Konektivitas proxy**  
Menunjukkan apakah penyimpanan kunci eksternal menggunakan [konektivitas titik akhir publik atau konektivitas](choose-xks-connectivity.md#xks-connectivity-public-endpoint) layanan titik [akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity).

**Titik akhir URI proxy**  
Titik akhir yang AWS KMS digunakan untuk terhubung ke [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) Anda. 

**Jalur URI proxy**  
Jalur dari titik akhir URI proxy tempat AWS KMS mengirimkan [permintaan API proxy](keystore-external.md#concept-proxy-apis).

**Kredensi proxy: ID kunci akses**  
Bagian dari [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) yang Anda buat di proxy penyimpanan kunci eksternal Anda. ID kunci akses mengidentifikasi kunci akses rahasia dalam kredensi.   
AWS KMS menggunakan proses penandatanganan SiGv4 dan kredensi otentikasi proxy untuk menandatangani permintaannya ke proxy penyimpanan kunci eksternal Anda. Kredensi dalam tanda tangan memungkinkan proxy penyimpanan kunci eksternal untuk mengautentikasi permintaan atas nama Anda dari. AWS KMS

**Nama layanan titik akhir VPC**  
Nama layanan endpoint Amazon VPC yang mendukung toko kunci eksternal Anda. Nilai ini hanya muncul ketika penyimpanan kunci eksternal menggunakan konektivitas [layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Anda dapat menemukan proxy penyimpanan kunci eksternal Anda di VPC atau menggunakan layanan titik akhir VPC untuk berkomunikasi secara aman dengan proxy penyimpanan kunci eksternal Anda.

**ID pemilik layanan titik akhir VPC**  
ID layanan endpoint Amazon VPC yang mendukung penyimpanan kunci eksternal Anda. Nilai ini hanya muncul ketika penyimpanan kunci eksternal menggunakan konektivitas [layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Anda dapat menemukan proxy penyimpanan kunci eksternal Anda di VPC atau menggunakan layanan titik akhir VPC untuk berkomunikasi secara aman dengan proxy penyimpanan kunci eksternal Anda.

## Lihat properti penyimpanan kunci eksternal Anda
<a name="view-xks"></a>

Anda dapat melihat penyimpanan kunci eksternal dan properti terkaitnya di AWS KMS konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

### Menggunakan AWS KMS konsol
<a name="view-xks-keystore-console"></a>

Untuk melihat penyimpanan kunci eksternal di akun dan Wilayah tertentu, gunakan prosedur berikut.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Untuk melihat informasi rinci tentang toko kunci eksternal, pilih nama toko kunci.

### Menggunakan AWS KMS API
<a name="view-xks-keystore-api"></a>

Untuk melihat toko kunci eksternal Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi output ke penyimpanan kunci kustom tertentu. 

Untuk penyimpanan kunci khusus, output terdiri dari ID penyimpanan kunci kustom, nama, dan jenis, dan [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci. Jika status koneksi`FAILED`, output juga menyertakan a `ConnectionErrorCode` yang menjelaskan alasan kesalahan. Untuk bantuan menafsirkan `ConnectionErrorCode` untuk penyimpanan kunci eksternal, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

Untuk penyimpanan kunci eksternal, output juga mencakup `XksProxyConfiguration` elemen. Elemen ini mencakup [jenis konektivitas](create-xks-keystore.md#require-connectivity), [titik akhir URI proxy](create-xks-keystore.md#require-endpoint), [jalur URI proxy](create-xks-keystore.md#require-path), dan ID kunci akses dari kredensi [otentikasi proxy](keystore-external.md#concept-xks-credential).

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Misalnya, perintah berikut mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Anda dapat menggunakan parameter `Limit` dan `Marker` ke halaman melalui penyimpanan kunci kustom dalam output.

```
$ aws kms describe-custom-key-stores
```

Perintah berikut menggunakan `CustomKeyStoreName` parameter untuk mendapatkan hanya contoh penyimpanan kunci eksternal dengan nama `ExampleXksPublic` ramah. Toko kunci contoh ini menggunakan konektivitas titik akhir publik. Ini terhubung ke proxy penyimpanan kunci eksternal. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleXksPublic",
      "ConnectionState": "CONNECTED",    
      "CreationDate": "2022-12-14T20:17:36.419000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE12345670EXAMPLE",
        "Connectivity": "PUBLIC_ENDPOINT",
        "UriEndpoint": "https://xks.example.com:6443",
        "UriPath": "/example/prefix/kms/xks/v1"
      }
    }
  ]
}
```

Perintah berikut mendapatkan contoh penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. Dalam contoh ini, penyimpanan kunci eksternal terhubung ke proxy penyimpanan kunci eksternal. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

A [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state)`Disconnected`menunjukkan bahwa penyimpanan kunci eksternal tidak pernah terhubung atau sengaja terputus dari proxy penyimpanan kunci eksternalnya. Namun, jika upaya untuk menggunakan kunci KMS di penyimpanan kunci eksternal yang terhubung gagal, itu mungkin menunjukkan masalah dengan proxy penyimpanan kunci eksternal atau komponen eksternal lainnya.

Jika `ConnectionState` penyimpanan kunci eksternal adalah`FAILED`, `DescribeCustomKeyStores` responsnya mencakup `ConnectionErrorCode` elemen yang menjelaskan alasan kesalahan.

Misalnya, dalam output berikut, `XKS_PROXY_TIMED_OUT` nilai menunjukkan AWS KMS dapat terhubung ke proxy penyimpanan kunci eksternal, tetapi koneksi gagal karena proxy penyimpanan kunci eksternal tidak merespons AWS KMS dalam waktu yang ditentukan. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda. Untuk bantuan dengan hal ini dan kegagalan kesalahan koneksi lainnya, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Pantau toko kunci eksternal
<a name="xks-monitoring"></a>

AWS KMS mengumpulkan metrik untuk setiap interaksi dengan toko kunci eksternal dan menerbitkannya di akun Anda. CloudWatch Metrik ini digunakan untuk menghasilkan grafik di bagian pemantauan halaman detail untuk setiap penyimpanan kunci eksternal. Topik berikut merinci cara menggunakan grafik untuk mengidentifikasi dan memecahkan masalah operasional dan konfigurasi yang memengaruhi penyimpanan kunci eksternal Anda. Sebaiknya gunakan CloudWatch metrik untuk menyetel alarm yang memberi tahu Anda saat penyimpanan kunci eksternal Anda tidak berfungsi seperti yang diharapkan. Untuk informasi selengkapnya, lihat [Memantau dengan Amazon CloudWatch](monitoring-cloudwatch.md).

**Topics**
+ [

## Melihat grafik
](#xks-monitoring-navigate)
+ [

## Menafsirkan grafik
](#interpreting-graphs)

## Melihat grafik
<a name="xks-monitoring-navigate"></a>

Anda dapat melihat grafik pada berbagai tingkat detail. Secara default, setiap grafik menggunakan rentang waktu tiga jam dan [periode](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) agregasi lima menit. Anda dapat menyesuaikan tampilan grafik di dalam konsol, tetapi perubahan Anda akan kembali ke pengaturan default ketika halaman detail penyimpanan kunci eksternal ditutup atau browser di-refresh. Untuk bantuan terkait CloudWatch terminologi Amazon, lihat [ CloudWatch Konsep Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html).

### Lihat detail titik data
<a name="graph-data-point"></a>

Data dalam setiap grafik dikumpulkan berdasarkan [AWS KMS metrik](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics). Untuk melihat informasi lebih lanjut tentang titik data tertentu, jeda mouse di atas titik data pada grafik garis. Ini akan menampilkan pop-up dengan informasi lebih lanjut tentang metrik dari mana grafik itu berasal. Setiap item daftar menampilkan nilai [dimensi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) yang direkam pada titik data tersebut. Pop-up menampilkan nilai null (**—**) jika tidak ada data metrik yang tersedia untuk nilai dimensi pada titik data tersebut. Beberapa grafik merekam beberapa dimensi dan nilai untuk satu titik data. Grafik lain, seperti [grafik reliabilitas](#reliability-graph), menggunakan data yang dikumpulkan oleh metrik untuk menghitung nilai unik. Setiap item daftar dikaitkan dengan warna grafik garis yang berbeda.

### Ubah rentang waktu
<a name="graph-time-range"></a>

Untuk mengubah [rentang waktu](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html), pilih salah satu rentang waktu yang telah ditentukan di sudut kanan atas bagian pemantauan. **Rentang waktu yang telah ditentukan dari 1 jam hingga 1 minggu (1 jam, **3 **jam**, **12 jam****, **1d, **3d**, atau 1w)**.** Ini menyesuaikan rentang waktu untuk semua grafik. Jika Anda ingin melihat satu grafik tertentu dalam rentang waktu yang berbeda, atau jika Anda ingin mengatur rentang waktu khusus, perbesar grafik atau lihat di CloudWatch konsol Amazon.

### Memperbesar grafik
<a name="graph-zoom"></a>

Anda dapat menggunakan [fitur zoom peta mini](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html) untuk fokus pada bagian grafik garis dan bagian grafik yang ditumpuk tanpa mengubah antara tampilan yang diperbesar dan diperbesar. Misalnya, Anda dapat menggunakan fitur zoom peta mini untuk fokus pada puncak dalam grafik, sehingga Anda dapat membandingkan lonjakan dengan grafik lain di bagian pemantauan dari garis waktu yang sama. 

1. Pilih dan seret pada area grafik yang ingin Anda fokuskan, dan kemudian lepaskan seretannya.

1. Untuk mengatur ulang zoom, pilih ikon **Atur ulang zoom**, yang terlihat seperti kaca pembesar dengan simbol minus (-) di dalamnya.

### Memperbesar grafik
<a name="graph-enlarge"></a>

Untuk memperbesar grafik, pilih ikon menu di sudut kanan atas grafik individual dan pilih **Perbesar**. Anda juga dapat memilih ikon perbesar yang muncul di sebelah ikon menu saat Anda mengarahkan kursor ke grafik.

Memperbesar grafik memungkinkan Anda untuk memodifikasi tampilan grafik lebih lanjut dengan menentukan periode yang berbeda, rentang waktu khusus, atau interval penyegaran. Perubahan ini akan kembali ke pengaturan default saat Anda menutup tampilan yang diperbesar.

Ubah periode  

1. Pilih menu **opsi Periode**. Secara default, menu ini menampilkan nilai: **5 menit**.

1. Pilih periode, periode yang telah ditentukan berkisar dari 1 detik hingga 30 hari.

   Misalnya, Anda dapat memilih tampilan satu menit, yang dapat berguna ketika pemecahan masalah. Atau, pilih tampilan satu jam yang kurang terperinci. Hal ini dapat berguna ketika melihat rentang waktu yang lebih luas (misalnya, 3 hari) sehingga Anda dapat melihat tren dari waktu ke waktu. Untuk informasi selengkapnya, lihat [Periode](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) di *Panduan CloudWatch Pengguna Amazon*.

Ubah rentang waktu atau zona waktu  

1. **Pilih salah satu rentang waktu yang telah ditentukan, yang berkisar dari 1 jam hingga 1 minggu (1 jam, **3** **jam, **12 jam**, 1d****, **3d**, atau 1w)**.** Atau, Anda dapat memilih **Kustom** untuk mengatur rentang waktu Anda sendiri.

1. Pilih **Kustom**

   1. *Rentang waktu:* pilih tab **Absolute** di sudut kiri atas kotak. Gunakan pemilih kalender atau kotak bidang teks untuk menentukan rentang waktu.

   1. *Zona waktu:* pilih dropdown di sudut kanan atas kotak. Anda dapat mengubah zona waktu ke **UTC** atau **zona waktu lokal**.

1. Setelah Anda menentukan rentang waktu, pilih **Terapkan**.

Ubah seberapa sering data dalam grafik Anda di-refresh  

1. Pilih menu **Refresh options** di pojok kanan atas.

1. Pilih interval penyegaran (**Mati**, **10 Detik**, **1 Menit**, **2 Menit**, **5 Menit**, atau **15 Menit**). 

### Lihat grafik di konsol Amazon CloudWatch
<a name="graph-in-cloudwatch"></a>

Grafik di bagian pemantauan berasal dari metrik yang telah ditentukan sebelumnya yang AWS KMS diterbitkan ke Amazon. CloudWatch Anda dapat membukanya di dalam CloudWatch konsol dan menyimpannya ke CloudWatch dasbor. Jika Anda memiliki beberapa toko kunci eksternal, Anda dapat membuka grafik masing-masing CloudWatch dan menyimpannya ke satu dasbor untuk membandingkan kesehatan dan penggunaannya.

**Tambahkan ke CloudWatch dasbor**  
Pilih **Tambahkan ke dasbor** di sudut kanan atas untuk menambahkan semua grafik ke CloudWatch dasbor Amazon. Anda dapat memilih dasbor yang ada atau membuat yang baru. Untuk informasi tentang penggunaan dasbor ini untuk membuat tampilan grafik dan alarm yang disesuaikan, lihat Menggunakan [ CloudWatchdasbor Amazon di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) Pengguna *Amazon CloudWatch *.

**Lihat dalam CloudWatch metrik**  
Pilih ikon menu di sudut kanan atas grafik individual dan pilih **Lihat dalam metrik** untuk melihat grafik ini di CloudWatch konsol Amazon. Dari CloudWatch konsol, Anda dapat menambahkan grafik tunggal ini ke dasbor dan mengubah rentang waktu, periode, dan interval penyegaran. Untuk informasi selengkapnya, lihat, [Membuat grafik metrik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) di * CloudWatch Panduan Pengguna Amazon*.

## Menafsirkan grafik
<a name="interpreting-graphs"></a>

AWS KMS menyediakan beberapa grafik untuk memantau kesehatan toko kunci eksternal Anda di dalam AWS KMS konsol. Grafik ini secara otomatis dikonfigurasi dan berasal dari [AWS KMS metrik](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics).

Data grafik dikumpulkan sebagai bagian dari panggilan yang Anda lakukan ke penyimpanan kunci eksternal dan kunci eksternal Anda. Anda mungkin melihat data mengisi grafik selama rentang waktu yang Anda tidak melakukan panggilan apa pun, data ini berasal dari `GetHealthStatus` panggilan berkala yang AWS KMS membuat atas nama Anda untuk memeriksa status proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda. Jika grafik Anda menampilkan pesan **Tidak ada data yang tersedia**, maka tidak ada panggilan yang direkam selama rentang waktu tersebut atau penyimpanan kunci eksternal Anda dalam [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state)keadaan. Anda mungkin dapat mengidentifikasi waktu penyimpanan kunci eksternal Anda terputus dengan [menyesuaikan tampilan Anda ke rentang](#graph-time-range) waktu yang lebih luas.

**Topics**
+ [

### Total permintaan
](#total-requests-graph)
+ [

### Keandalan
](#reliability-graph)
+ [

### Latensi
](#latency-graph)
+ [

### 5 pengecualian teratas
](#top-5-exceptions-graph)
+ [

### Hari sertifikat untuk kedaluwarsa
](#cert-expire-graph)

### Total permintaan
<a name="total-requests-graph"></a>

Jumlah total AWS KMS permintaan yang diterima untuk penyimpanan kunci eksternal tertentu selama rentang waktu tertentu. Gunakan grafik ini untuk menentukan apakah Anda berisiko mengalami pelambatan.

AWS KMS merekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika Anda mendekati 540.000 panggilan dalam periode lima menit, Anda berisiko mengalami pelambatan.

Anda dapat memantau jumlah permintaan untuk operasi kriptografi pada kunci KMS di penyimpanan kunci eksternal Anda yang AWS KMS dibatasi dengan metrik. [ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling) 

Jika Anda mendapatkan `KMSInvalidStateException` kesalahan yang sangat sering dengan pesan yang menjelaskan bahwa permintaan ditolak “karena tingkat permintaan yang sangat tinggi,” itu mungkin menunjukkan bahwa manajer kunci eksternal atau proxy penyimpanan kunci eksternal Anda tidak dapat mengimbangi tingkat permintaan saat ini. Jika memungkinkan, turunkan tingkat permintaan Anda. Anda juga dapat mempertimbangkan untuk meminta penurunan nilai kuota permintaan toko kunci kustom Anda. Penurunan nilai kuota ini dapat meningkatkan pembatasan, tetapi ini menunjukkan bahwa AWS KMS menolak permintaan berlebih dengan cepat sebelum dikirim ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk meminta pengurangan kuota, silakan kunjungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home) dan buat kasus.

Grafik permintaan total berasal dari [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik, yang mengumpulkan data tentang respons yang berhasil dan tidak berhasil yang AWS KMS diterima dari proxy penyimpanan kunci eksternal Anda. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai `CustomKeyStoreId` dimensi di samping jumlah total AWS KMS permintaan yang direkam pada titik data tersebut. `CustomKeyStoreId`Akan selalu sama.

### Keandalan
<a name="reliability-graph"></a>

Persentase AWS KMS permintaan yang proxy penyimpanan kunci eksternal mengembalikan respons yang berhasil atau kesalahan yang tidak dapat dicoba ulang. Gunakan grafik ini untuk mengevaluasi kesehatan operasional proxy penyimpanan kunci eksternal Anda.

Ketika grafik menampilkan nilai kurang dari 100%, ini menunjukkan kasus di mana proxy tidak merespons atau merespons dengan kesalahan yang dapat dicoba ulang. Ini dapat menunjukkan masalah dengan jaringan, lambatnya proxy penyimpanan kunci eksternal atau manajer kunci eksternal, atau bug implementasi.

Jika permintaan menyertakan kredensi buruk dan proxy Anda merespons dengan`AuthenticationFailedException`, grafik akan tetap menunjukkan keandalan 100% karena proxy mengidentifikasi nilai yang salah dalam [permintaan API proxy penyimpanan kunci eksternal](keystore-external.md#concept-proxy-apis), dan oleh karena itu kegagalan diharapkan terjadi. Jika persentase grafik reliabilitas Anda 100%, maka proxy penyimpanan kunci eksternal Anda merespons seperti yang diharapkan. Jika grafik menampilkan nilai kurang dari 100%, maka proxy merespons dengan kesalahan yang dapat dicoba ulang atau habis waktu. Misalnya, jika proxy merespons dengan `ThrottlingException` karena tingkat permintaan yang sangat tinggi, itu akan menampilkan persentase keandalan yang lebih rendah karena proxy tidak dapat mengidentifikasi masalah tertentu dalam permintaan yang menyebabkannya gagal. Ini karena kesalahan yang dapat dicoba ulang kemungkinan merupakan masalah sementara yang dapat diselesaikan dengan mencoba kembali permintaan.

Respons kesalahan berikut akan menurunkan persentase keandalan. Anda dapat menggunakan [5 pengecualian teratas](#top-5-exceptions-graph) grafik dan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik untuk memantau lebih lanjut seberapa sering proxy Anda mengembalikan setiap kesalahan yang dapat dicoba ulang.
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`

Grafik reliabilitas berasal dari [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik, yang mengumpulkan data tentang respons yang berhasil dan tidak berhasil yang AWS KMS diterima dari proxy penyimpanan kunci eksternal Anda. Persentase reliabilitas hanya akan lebih rendah jika respons memiliki `ErrorType` nilai`Retryable`. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai `CustomKeyStoreId` dimensi di samping persentase keandalan untuk AWS KMS permintaan yang direkam pada titik data tersebut. `CustomKeyStoreId`Akan selalu sama.

Sebaiknya gunakan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik untuk membuat CloudWatch alarm yang memberi tahu Anda tentang potensi masalah jaringan dengan memberi tahu Anda ketika lebih dari lima kesalahan yang dapat dicoba ulang direkam dalam periode satu menit. Untuk informasi selengkapnya, lihat [Buat alarm untuk kesalahan yang dapat dicoba ulang](xks-alarms.md#retryable-errors-alarm).

### Latensi
<a name="latency-graph"></a>

Jumlah milidetik yang diperlukan untuk proxy penyimpanan kunci eksternal untuk menanggapi AWS KMS permintaan. Gunakan grafik ini untuk mengevaluasi kinerja proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda.

AWS KMS mengharapkan proxy penyimpanan kunci eksternal untuk menanggapi setiap permintaan dalam 250 milidetik. Dalam kasus batas waktu jaringan, AWS KMS akan mencoba lagi permintaan sekali. Jika proxy gagal untuk kedua kalinya, latensi yang direkam adalah batas batas waktu gabungan untuk kedua upaya permintaan dan grafik akan menampilkan sekitar 500 milidetik. Dalam semua kasus lain di mana proxy tidak merespons dalam batas waktu 250 milidetik, latensi yang direkam adalah 250 milidetik. Jika proxy sering habis waktu pada operasi enkripsi dan dekripsi, konsultasikan dengan administrator proxy eksternal Anda. Untuk bantuan memecahkan masalah latensi, lihat. [Kesalahan latensi dan batas waktu](xks-troubleshooting.md#fix-xks-latency)

Respons lambat mungkin juga menunjukkan bahwa pengelola kunci eksternal Anda tidak dapat menangani lalu lintas permintaan saat ini. AWS KMS merekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika pengelola kunci eksternal Anda tidak dapat menangani tarif 1800 permintaan per detik, pertimbangkan untuk meminta penurunan [kuota permintaan Anda untuk kunci KMS di toko kunci khusus](requests-per-second.md#rps-key-stores). Permintaan untuk operasi kriptografi menggunakan kunci KMS di toko kunci eksternal Anda akan gagal dengan cepat dengan [pengecualian pelambatan](throttling.md), daripada diproses dan kemudian ditolak oleh proxy penyimpanan kunci eksternal atau manajer kunci eksternal Anda.

Grafik latensi berasal dari [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrik. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai yang sesuai `KmsOperation` dan `XksOperation` dimensi di samping latensi rata-rata yang direkam untuk operasi pada titik data tersebut. Item daftar diurutkan dari latensi tertinggi ke terendah.

Sebaiknya gunakan [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrik untuk membuat CloudWatch alarm yang memberi tahu Anda saat latensi Anda mendekati batas waktu tunggu. Untuk informasi selengkapnya, lihat [Buat alarm untuk batas waktu respons](xks-alarms.md#latency-alarm).

### 5 pengecualian teratas
<a name="top-5-exceptions-graph"></a>

Lima pengecualian teratas untuk operasi kriptografi dan manajemen yang gagal selama rentang waktu tertentu. Gunakan grafik ini untuk melacak kesalahan yang paling sering terjadi, sehingga Anda dapat memprioritaskan upaya teknik Anda.

Jumlah ini mencakup pengecualian yang AWS KMS diterima dari proxy penyimpanan kunci eksternal dan `XksProxyUnreachableException` yang AWS KMS kembali secara internal ketika tidak dapat menjalin komunikasi dengan proxy penyimpanan kunci eksternal.

Tingkat kesalahan yang dapat dicoba ulang yang tinggi mungkin mengindikasikan kesalahan jaringan, sementara tingkat kesalahan yang tidak dapat dicoba ulang yang tinggi mungkin menunjukkan masalah dengan konfigurasi penyimpanan kunci eksternal Anda. Misalnya, lonjakan `AuthenticationFailedExceptions` menunjukkan perbedaan antara kredensil otentikasi yang dikonfigurasi AWS KMS dan proxy penyimpanan kunci eksternal. Untuk melihat konfigurasi penyimpanan kunci eksternal Anda, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk mengedit pengaturan penyimpanan kunci eksternal Anda, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Pengecualian yang AWS KMS diterima dari proxy penyimpanan kunci eksternal berbeda dari pengecualian yang AWS KMS dikembalikan ketika operasi gagal. AWS KMS operasi kriptografi mengembalikan `KMSInvalidStateException` untuk semua kegagalan yang terkait dengan konfigurasi eksternal atau status koneksi penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan teks pesan kesalahan yang menyertainya.

Tabel berikut menunjukkan pengecualian yang dapat muncul di 5 grafik pengecualian teratas dan pengecualian terkait yang AWS KMS kembali kepada Anda.


| Jenis kesalahan | Pengecualian ditampilkan dalam grafik | Pengecualian yang AWS KMS kembali kepada Anda | 
| --- | --- | --- | 
| Tidak dapat dicoba ulang | AccessDeniedException   Untuk bantuan penyelesaian masalah, lihat [Masalah otorisasi proxy](xks-troubleshooting.md#fix-xks-authorization). | **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | AuthenticationFailedException   Untuk bantuan penyelesaian masalah, lihat [Kesalahan kredensi otentikasi](xks-troubleshooting.md#fix-xks-credentials). | **`XksProxyIncorrectAuthenticationCredentialException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi.**`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`DependencyTimeoutException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan latensi dan batas waktu](xks-troubleshooting.md#fix-xks-latency). | **`XksProxyUriUnreachableException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`InternalException`** Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat berkomunikasi dengan pengelola kunci eksternal. Verifikasi bahwa konfigurasi proxy penyimpanan kunci eksternal sudah benar dan pengelola kunci eksternal tersedia. | **`XksProxyInvalidResponseException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidCiphertextException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan dekripsi](xks-troubleshooting.md#fix-xks-decrypt). | **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidKeyUsageException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan operasi kriptografi untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidStateException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan operasi kriptografi untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidUriPathException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan konfigurasi umum](xks-troubleshooting.md#fix-xks-gen-configuration). | **`XksProxyInvalidConfigurationException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`KeyNotFoundException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan kunci eksternal](xks-troubleshooting.md#fix-external-key). | **`XksKeyNotFoundException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`ThrottlingException`** Proxy penyimpanan kunci eksternal menolak permintaan karena tingkat permintaan yang sangat tinggi. Kurangi frekuensi panggilan Anda menggunakan tombol KMS di toko kunci eksternal ini. | **`XksProxyUriUnreachableException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`UnsupportedOperationException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan operasi kriptografi untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidResponseException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`ValidationException`** Untuk bantuan penyelesaian masalah, lihat [Masalah proxy](xks-troubleshooting.md#fix-xks-proxy). | **`XksProxyInvalidResponseException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`XksProxyUnreachableException`** Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan bahwa jalur URI dan titik akhir URI atau nama layanan VPC sudah benar di penyimpanan kunci eksternal Anda. | **`XksProxyUriUnreachableException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 

Grafik 5 pengecualian teratas berasal dari [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai `ExceptionName` dimensi di samping berapa kali pengecualian direkam pada titik data tersebut. Lima item daftar diurutkan dari pengecualian yang paling sering hingga yang paling sedikit.

Sebaiknya gunakan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik untuk membuat CloudWatch alarm yang memberi tahu Anda tentang potensi masalah konfigurasi dengan memberi tahu Anda ketika lebih dari lima kesalahan yang tidak dapat dicoba ulang direkam dalam periode satu menit. Untuk informasi selengkapnya, lihat [Buat alarm untuk kesalahan yang tidak dapat dicoba ulang](xks-alarms.md#nonretryable-errors-alarm).

### Hari sertifikat untuk kedaluwarsa
<a name="cert-expire-graph"></a>

Jumlah hari hingga sertifikat TLS untuk titik akhir proxy penyimpanan kunci eksternal Anda (`XksProxyUriEndpoint`) kedaluwarsa. Gunakan grafik ini untuk memantau kedaluwarsa sertifikat TLS Anda yang akan datang.

Ketika sertifikat kedaluwarsa, AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Semua data yang dilindungi oleh kunci KMS di toko kunci eksternal Anda menjadi tidak dapat diakses sampai Anda memperbarui sertifikat. 

Grafik sertifikat hari untuk kedaluwarsa berasal dari [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) metrik. Kami sangat menyarankan menggunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda tentang kedaluwarsa yang akan datang. Kedaluwarsa sertifikat dapat mencegah Anda mengakses sumber daya terenkripsi Anda. Atur alarm untuk memberi waktu kepada organisasi Anda untuk memperbarui sertifikat sebelum kedaluwarsa. Lihat informasi yang lebih lengkap di [Buat alarm untuk kedaluwarsa sertifikat](xks-alarms.md#cert-expire-alarm).

# Connect dan lepaskan penyimpanan kunci eksternal
<a name="xks-connect-disconnect"></a>

Toko kunci eksternal baru tidak terhubung. Untuk membuat dan menggunakan AWS KMS keys di toko kunci eksternal Anda, Anda perlu menghubungkan toko kunci eksternal Anda ke [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy). Anda dapat menghubungkan dan memutuskan penyimpanan kunci eksternal Anda kapan saja, dan [melihat status koneksinya](view-xks-keystore.md).

Sementara penyimpanan kunci eksternal Anda terputus, AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Akibatnya, Anda dapat melihat dan mengelola toko kunci eksternal Anda dan kunci KMS yang ada. Namun, Anda tidak dapat membuat kunci KMS di toko kunci eksternal Anda, atau menggunakan kunci KMS-nya dalam operasi kriptografi. Anda mungkin perlu memutuskan penyimpanan kunci eksternal Anda di beberapa titik, seperti saat mengedit propertinya, tetapi rencanakan dengan tepat. Memutuskan sambungan toko kunci dapat mengganggu pengoperasian AWS layanan yang menggunakan kunci KMS-nya. 

Anda tidak diharuskan untuk menghubungkan toko kunci eksternal Anda. Anda dapat meninggalkan penyimpanan kunci eksternal dalam keadaan terputus tanpa batas waktu dan menghubungkannya hanya ketika Anda perlu menggunakannya. Namun, Anda mungkin ingin menguji koneksi secara berkala untuk memverifikasi bahwa pengaturan sudah benar dan dapat tersambung.

Saat Anda memutuskan penyimpanan kunci khusus, kunci KMS di toko kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan [kunci data](data-keys.md) yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

**catatan**  
Penyimpanan kunci eksternal berada dalam `DISCONNECTED` keadaan hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. `CONNECTED`Status tidak menunjukkan bahwa penyimpanan kunci eksternal atau komponen pendukungnya beroperasi secara efisien. Untuk informasi tentang kinerja komponen penyimpanan kunci eksternal Anda, lihat grafik di bagian **Monitoring** pada halaman detail untuk setiap penyimpanan kunci eksternal. Lihat perinciannya di [Pantau toko kunci eksternal](xks-monitoring.md).  
Manajer kunci eksternal Anda mungkin menyediakan metode tambahan untuk menghentikan dan memulai kembali komunikasi antara penyimpanan kunci AWS KMS eksternal Anda dan proxy penyimpanan kunci eksternal Anda, atau antara proxy penyimpanan kunci eksternal dan manajer kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

**Topics**
+ [

## Status koneksi
](#xks-connection-state)
+ [

# Connect toko kunci eksternal
](about-xks-connecting.md)
+ [

# Putuskan sambungan penyimpanan kunci eksternal
](about-xks-disconnecting.md)

## Status koneksi
<a name="xks-connection-state"></a>

Menghubungkan dan memutuskan sambungan mengubah *status koneksi* toko kunci kustom Anda. Nilai status koneksi sama untuk penyimpanan AWS CloudHSM kunci dan penyimpanan kunci eksternal. 

Untuk melihat status koneksi penyimpanan kunci kustom Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operasi atau AWS KMS konsol. **Status koneksi** muncul di setiap tabel penyimpanan kunci kustom, di bagian **konfigurasi umum** dari halaman detail untuk setiap toko kunci kustom, dan pada tab **konfigurasi kriptografi** kunci KMS di toko kunci khusus. Untuk detailnya, lihat [Lihat toko AWS CloudHSM kunci](view-keystore.md) dan [Lihat toko kunci eksternal](view-xks-keystore.md).

Toko kunci khusus dapat memiliki salah satu status koneksi berikut:
+ `CONNECTED`: Toko kunci khusus terhubung ke toko kunci pendukungnya. Anda dapat membuat dan menggunakan kunci KMS di toko kunci khusus.

  *Toko kunci pendukung untuk toko* AWS CloudHSM kunci adalah AWS CloudHSM cluster terkaitnya. Penyimpanan *kunci pendukung untuk penyimpanan* kunci eksternal adalah proxy penyimpanan kunci eksternal dan manajer kunci eksternal yang didukungnya.

  Status CONNECTED berarti bahwa koneksi berhasil dan penyimpanan kunci khusus belum sengaja terputus. Itu tidak menunjukkan bahwa koneksi beroperasi dengan benar. Untuk informasi tentang status AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda, lihat [Mendapatkan CloudWatch metrik AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html) di Panduan AWS CloudHSM Pengguna. Untuk informasi tentang status dan pengoperasian penyimpanan kunci eksternal Anda, lihat grafik di bagian **Pemantauan** halaman detail untuk setiap penyimpanan kunci eksternal. Lihat perinciannya di [Pantau toko kunci eksternal](xks-monitoring.md).
+ `CONNECTING`: Proses menghubungkan toko kunci khusus sedang berlangsung. Ini adalah keadaan sementara.
+ `DISCONNECTED`: Toko kunci khusus tidak pernah terhubung ke dukungannya, atau sengaja terputus dengan menggunakan AWS KMS konsol atau operasi. [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html) 
+ `DISCONNECTING`: Proses pemutusan penyimpanan kunci khusus sedang berlangsung. Ini adalah keadaan sementara.
+ `FAILED`: Upaya untuk menghubungkan toko kunci kustom gagal. `ConnectionErrorCode`Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)respon menunjukkan masalah.

Untuk menghubungkan toko kunci khusus, status koneksinya harus`DISCONNECTED`. Jika status koneksi`FAILED`, gunakan `ConnectionErrorCode` untuk mengidentifikasi dan menyelesaikan masalah. Kemudian lepaskan penyimpanan kunci khusus sebelum mencoba menghubungkannya lagi. Untuk bantuan dengan kegagalan koneksi, lihat [Kesalahan koneksi penyimpanan kunci eksternal](xks-troubleshooting.md#fix-xks-connection). Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

Untuk melihat kode kesalahan koneksi:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionErrorCode` elemen. Elemen ini muncul dalam `DescribeCustomKeyStores` respons hanya ketika `ConnectionState` ada`FAILED`.
+ Untuk melihat kode kesalahan koneksi di AWS KMS konsol, pada halaman detail untuk penyimpanan kunci eksternal dan arahkan kursor ke nilai **Gagal**.  
![\[Kode kesalahan koneksi pada halaman detail toko kunci khusus\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/connection-error-code.png)

# Connect toko kunci eksternal
<a name="about-xks-connecting"></a>

Ketika penyimpanan kunci eksternal Anda terhubung ke proxy penyimpanan kunci eksternal, Anda dapat [membuat kunci KMS di toko kunci eksternal Anda dan menggunakan kunci](create-cmk-keystore.md) KMS yang ada dalam operasi [kriptografi](manage-cmk-keystore.md#use-cmk-keystore). 

Proses yang menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal berbeda berdasarkan konektivitas penyimpanan kunci eksternal.
+ Saat Anda menghubungkan penyimpanan kunci eksternal dengan [konektivitas titik akhir publik](keystore-external.md#concept-xks-connectivity), AWS KMS mengirimkan [GetHealthStatus permintaan](keystore-external.md#concept-proxy-apis) ke proxy penyimpanan kunci eksternal untuk memvalidasi [titik akhir URI proxy, [jalur URI proxy](create-xks-keystore.md#require-path)](create-xks-keystore.md#require-endpoint), dan kredensi otentikasi [proxy](keystore-external.md#concept-xks-credential). Respons yang berhasil dari proxy mengonfirmasi bahwa [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) dan [jalur URI proxy](create-xks-keystore.md#require-path) akurat dan dapat diakses, dan bahwa proxy mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal.
+ Saat Anda menghubungkan penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) ke proxy penyimpanan kunci eksternal, AWS KMS lakukan hal berikut: 
  + [Mengonfirmasi bahwa domain untuk nama DNS pribadi yang ditentukan dalam [titik akhir URI proxy telah diverifikasi](create-xks-keystore.md#require-endpoint).](vpc-connectivity.md#xks-private-dns) 
  + Membuat titik akhir antarmuka dari AWS KMS VPC ke layanan titik akhir VPC Anda.
  + Membuat zona host pribadi untuk nama DNS pribadi yang ditentukan dalam titik akhir URI proxy
  + Mengirim [GetHealthStatuspermintaan](keystore-external.md#concept-proxy-apis) ke proxy penyimpanan kunci eksternal. Respons yang berhasil dari proxy mengonfirmasi bahwa [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) dan [jalur URI proxy](create-xks-keystore.md#require-path) akurat dan dapat diakses, dan bahwa proxy mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal.

Operasi connect memulai proses menghubungkan toko kunci kustom Anda, tetapi menghubungkan kunci eksternal menyimpannya proxy eksternal membutuhkan waktu sekitar lima menit. Respons sukses dari operasi koneksi tidak menunjukkan bahwa penyimpanan kunci eksternal terhubung. Untuk mengonfirmasi bahwa koneksi berhasil, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operasi untuk melihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) eksternal penyimpanan kunci Anda.

Ketika status koneksi`FAILED`, kode kesalahan koneksi ditampilkan di AWS KMS konsol dan ditambahkan ke `DescribeCustomKeyStore` respons. Untuk bantuan menafsirkan kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

## Connect dan sambungkan kembali ke toko kunci eksternal Anda
<a name="connect-xks"></a>

Anda dapat menghubungkan, atau menghubungkan kembali, penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="connect-xks-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal. 

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih baris toko kunci eksternal yang ingin Anda sambungkan. 

   Jika [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal **GAGAL**, Anda harus [memutuskan penyimpanan kunci eksternal](disconnect-keystore.md#disconnect-keystore-console) sebelum Anda menghubungkannya.

1. Dari menu **Key Store Actions**, pilih **Connect**.

**Proses koneksi biasanya memakan waktu sekitar lima menit untuk diselesaikan. Ketika operasi selesai, [status koneksi](xks-connect-disconnect.md#xks-connection-state) berubah menjadi CONNECTED.** 

Jika status koneksi **Gagal**, arahkan kursor ke status *koneksi untuk melihat kode kesalahan koneksi*, yang menjelaskan penyebab kesalahan. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes). Untuk menghubungkan penyimpanan kunci eksternal dengan status koneksi **Gagal**, Anda harus terlebih dahulu [memutuskan penyimpanan kunci kustom](disconnect-keystore.md#disconnect-keystore-console).

### Menggunakan AWS KMS API
<a name="connect-xks-api"></a>

Untuk menghubungkan toko kunci eksternal yang terputus, gunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi. 

Sebelum menghubungkan, [status koneksi](xks-connect-disconnect.md#xks-connection-state) dari toko kunci eksternal harus`DISCONNECTED`. Jika keadaan koneksi saat ini`FAILED`, [lepaskan penyimpanan kunci eksternal](about-xks-disconnecting.md#disconnect-xks-api), lalu sambungkan. 

Proses koneksi memakan waktu sekitar lima menit untuk diselesaikan. Kecuali gagal dengan cepat, `ConnectCustomKeyStore` mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat status koneksi dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. 

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Untuk mengidentifikasi penyimpanan kunci eksternal, gunakan ID toko kunci kustom. Anda dapat menemukan ID di halaman **Toko kunci kustom** di konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

`ConnectCustomKeyStore`Operasi tidak mengembalikan `ConnectionState` responsnya. Untuk memverifikasi bahwa penyimpanan kunci eksternal terhubung, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. `ConnectionState`Nilai `CONNECTED` menunjukkan bahwa penyimpanan kunci eksternal terhubung ke proxy penyimpanan kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Jika `ConnectionState` nilai dalam `DescribeCustomKeyStores` respons adalah`FAILED`, `ConnectionErrorCode` elemen menunjukkan alasan kegagalan. 

Dalam contoh berikut, `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` nilai untuk `ConnectionErrorCode` menunjukkan bahwa tidak AWS KMS dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Pastikan `XksProxyVpcEndpointServiceName` sudah benar, prinsipal AWS KMS layanan adalah prinsipal yang diizinkan pada layanan titik akhir VPC Amazon, dan bahwa layanan titik akhir VPC tidak memerlukan penerimaan permintaan koneksi. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Putuskan sambungan penyimpanan kunci eksternal
<a name="about-xks-disconnecting"></a>

Ketika Anda memutuskan penyimpanan kunci eksternal dengan konektivitas [layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) dari proxy penyimpanan kunci eksternal AWS KMS , menghapus titik akhir antarmuka ke layanan titik akhir VPC dan menghapus infrastruktur jaringan yang dibuat untuk mendukung koneksi. Tidak diperlukan proses yang setara untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik. Tindakan ini tidak memengaruhi layanan titik akhir VPC atau komponen pendukungnya, dan tidak memengaruhi proxy penyimpanan kunci eksternal atau komponen eksternal apa pun.

Sementara penyimpanan kunci eksternal terputus, AWS KMS tidak mengirim permintaan apa pun ke proxy penyimpanan kunci eksternal. Status koneksi penyimpanan kunci eksternal adalah`DISCONNECTED`. Kunci KMS di penyimpanan kunci eksternal yang terputus berada dalam [keadaan `UNAVAILABLE` kunci](key-state.md) (kecuali jika sedang [menunggu penghapusan](deleting-keys.md)), yang berarti bahwa mereka tidak dapat digunakan dalam operasi kriptografi. Namun, Anda masih dapat melihat dan mengelola toko kunci eksternal Anda dan kunci KMS yang ada. 

Keadaan terputus dirancang untuk bersifat sementara dan reversibel. Anda dapat menghubungkan kembali toko kunci eksternal Anda kapan saja. Biasanya, tidak diperlukan konfigurasi ulang. Namun, jika ada properti dari proxy penyimpanan kunci eksternal yang terkait telah berubah saat terputus, seperti rotasi [kredensi otentikasi proksi](keystore-external.md#concept-xks-credential), Anda harus [mengedit pengaturan penyimpanan kunci eksternal sebelum](update-xks-keystore.md) menyambung kembali. 

**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Untuk memperkirakan efek pemutusan penyimpanan kunci eksternal Anda dengan lebih baik, identifikasi kunci KMS di penyimpanan kunci eksternal dan [tentukan penggunaannya di masa lalu](deleting-keys-determining-usage.md).

Anda dapat memutuskan sambungan penyimpanan kunci eksternal karena alasan seperti berikut:
+ **Untuk mengedit propertinya.** Anda dapat mengedit nama penyimpanan kunci kustom, jalur URI proxy, dan kredensi otentikasi proxy saat penyimpanan kunci eksternal terhubung. Namun, untuk mengedit jenis konektivitas proxy, titik akhir URI proxy, atau nama layanan titik akhir VPC, Anda harus terlebih dahulu memutuskan penyimpanan kunci eksternal. Lihat perinciannya di [Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).
+ **Untuk menghentikan semua komunikasi** antara AWS KMS dan proxy penyimpanan kunci eksternal. Anda juga dapat menghentikan komunikasi antara AWS KMS dan proxy Anda dengan menonaktifkan layanan endpoint atau VPC endpoint Anda. Selain itu, proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda mungkin menyediakan mekanisme tambahan untuk AWS KMS mencegah komunikasi dengan proxy atau untuk mencegah proxy mengakses manajer kunci eksternal Anda.
+ **Untuk menonaktifkan semua kunci KMS** di toko kunci eksternal. Anda dapat [menonaktifkan dan mengaktifkan kembali kunci KMS](enabling-keys.md) di toko kunci eksternal dengan menggunakan AWS KMS konsol atau operasi. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Operasi ini selesai dengan cepat (tergantung pada konsistensi akhirnya), tetapi mereka bertindak pada satu kunci KMS pada satu waktu. Memutuskan sambungan penyimpanan kunci eksternal mengubah status kunci dari semua kunci KMS di penyimpanan kunci eksternal`Unavailable`, yang mencegahnya digunakan dalam operasi kriptografi apa pun.
+ **Untuk memperbaiki upaya koneksi yang gagal**. Jika upaya untuk menghubungkan penyimpanan kunci eksternal gagal (status koneksi penyimpanan kunci kustom`FAILED`), Anda harus memutuskan sambungan penyimpanan kunci eksternal sebelum Anda mencoba menghubungkannya lagi.

## Putuskan sambungan toko kunci eksternal Anda
<a name="disconnect-xks"></a>

Anda dapat memutuskan sambungan penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="disconnect-xks-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal. Proses ini memakan waktu sekitar 5 menit untuk menyelesaikannya. 

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih baris toko kunci eksternal yang ingin Anda putuskan. 

1. Dari menu **Key Store Actions**, pilih **Disconnect**.

Saat operasi selesai, status koneksi berubah dari **MENGHUBUNGKAN** menjadi **TERPUTUS**. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Kesalahan koneksi penyimpanan kunci eksternal](xks-troubleshooting.md#fix-xks-connection).

### Menggunakan AWS KMS API
<a name="disconnect-xks-api"></a>

Untuk memutuskan sambungan penyimpanan kunci eksternal yang terhubung, gunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Prosesnya memakan waktu sekitar lima menit untuk menyelesaikannya. Untuk menemukan status koneksi penyimpanan kunci eksternal, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Contoh ini memutus penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. Sebelum menjalankan contoh ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk memverifikasi bahwa penyimpanan kunci eksternal terputus, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` dan `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. `ConnectionState`Nilai `DISCONNECTED` menunjukkan bahwa contoh penyimpanan kunci eksternal ini tidak lagi terhubung ke proxy penyimpanan kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Hapus penyimpanan kunci eksternal
<a name="delete-xks"></a>

Ketika Anda menghapus penyimpanan kunci eksternal, AWS KMS menghapus semua metadata tentang penyimpanan kunci eksternal dari AWS KMS, termasuk informasi tentang proxy penyimpanan kunci eksternal. Operasi ini tidak memengaruhi [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy), [pengelola kunci eksternal](keystore-external.md#concept-ekm), [kunci eksternal](keystore-external.md#concept-external-key), atau AWS sumber daya apa pun yang Anda buat untuk mendukung penyimpanan kunci eksternal, seperti VPC Amazon atau layanan titik akhir VPC.

Sebelum Anda menghapus penyimpanan kunci eksternal, Anda harus [menghapus semua kunci KMS](deleting-keys.md) dari toko kunci dan [memutuskan penyimpanan kunci dari proxy penyimpanan](xks-connect-disconnect.md) kunci eksternal. Jika tidak, upaya untuk menghapus penyimpanan kunci gagal.

Menghapus penyimpanan kunci eksternal tidak dapat diubah, tetapi Anda dapat membuat penyimpanan kunci eksternal baru dan mengaitkannya dengan proxy penyimpanan kunci eksternal dan manajer kunci eksternal yang sama. Namun, Anda tidak dapat membuat ulang kunci KMS enkripsi simetris di penyimpanan kunci eksternal, bahkan Anda memiliki akses ke materi kunci eksternal yang sama. AWS KMS termasuk metadata dalam ciphertext simetris yang unik untuk setiap kunci KMS. Fitur keamanan ini memastikan bahwa hanya kunci KMS yang mengenkripsi data yang dapat mendekripsi itu. 

Alih-alih menghapus toko kunci eksternal, pertimbangkan untuk memutusnya. Sementara toko kunci eksternal terputus, Anda dapat mengelola penyimpanan kunci eksternal dan itu AWS KMS keys tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci eksternal. Anda dapat menghubungkan kembali penyimpanan kunci eksternal kapan saja dan melanjutkan menggunakan kunci KMS-nya untuk mengenkripsi dan mendekripsi data. Tidak ada biaya untuk proxy penyimpanan kunci eksternal yang terputus atau kunci KMS yang tidak tersedia.

Anda dapat menghapus toko kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi.

## Menggunakan AWS KMS konsol
<a name="delete-xks-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk menghapus toko kunci eksternal.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Temukan baris yang mewakili penyimpanan kunci eksternal yang ingin Anda hapus. Jika **status koneksi** penyimpanan kunci eksternal tidak **TERPUTUS**, Anda harus [memutuskan penyimpanan kunci eksternal](about-xks-disconnecting.md#disconnect-xks-console) sebelum Anda menghapusnya.

1. Dari menu **Key Store Actions**, pilih **Delete**.

Ketika operasi selesai, pesan sukses muncul dan penyimpanan kunci eksternal tidak lagi muncul di daftar toko kunci. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).

## Menggunakan AWS KMS API
<a name="delete-xks-api"></a>

Untuk menghapus penyimpanan kunci eksternal, gunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.

Untuk memulai, lepaskan penyimpanan kunci eksternal. Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Setelah penyimpanan kunci eksternal terputus, Anda dapat menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi untuk menghapusnya. 

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk mengonfirmasi bahwa toko kunci eksternal dihapus, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

```
$ aws kms describe-custom-key-stores
            
{
    "CustomKeyStores": []
}
```

Jika Anda menentukan nama toko kunci kustom atau ID yang tidak ada lagi, AWS KMS mengembalikan `CustomKeyStoreNotFoundException` pengecualian.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0

An error occurred (CustomKeyStoreNotFoundException) when calling the DescribeCustomKeyStore operation:
```

# Memecahkan masalah toko kunci eksternal
<a name="xks-troubleshooting"></a>

Resolusi untuk sebagian besar masalah dengan penyimpanan kunci eksternal ditunjukkan oleh pesan kesalahan yang AWS KMS ditampilkan dengan setiap pengecualian, atau oleh [kode kesalahan koneksi](#fix-xks-connection) yang AWS KMS kembali ketika upaya untuk [menghubungkan penyimpanan kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal gagal. Namun, beberapa masalah sedikit lebih kompleks. 

Saat mendiagnosis masalah dengan penyimpanan kunci eksternal, pertama-tama temukan penyebabnya. Ini akan mempersempit berbagai solusi dan membuat pemecahan masalah Anda lebih efisien.
+ AWS KMS — Masalahnya mungkin ada di dalam AWS KMS, seperti nilai yang salah dalam [konfigurasi penyimpanan kunci eksternal](create-xks-keystore.md#xks-requirements) Anda.
+ Eksternal — Masalah mungkin berasal dari luar AWS KMS, termasuk masalah dengan konfigurasi atau pengoperasian proxy penyimpanan kunci eksternal, manajer kunci eksternal, kunci eksternal, atau layanan titik akhir VPC.
+ Jaringan — Ini mungkin masalah dengan konektivitas atau jaringan, seperti masalah dengan titik akhir proxy, port, tumpukan IP, atau nama atau domain DNS pribadi Anda.

**catatan**  
Ketika operasi manajemen pada penyimpanan kunci eksternal gagal, mereka menghasilkan beberapa pengecualian yang berbeda. Tetapi operasi AWS KMS kriptografi kembali `KMSInvalidStateException` untuk semua kegagalan yang terkait dengan konfigurasi eksternal atau status koneksi dari penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan teks pesan kesalahan yang menyertainya.  
[ConnectCustomKeyStore](xks-connect-disconnect.md)Operasi berhasil dengan cepat sebelum proses koneksi selesai. Untuk menentukan apakah proses koneksi berhasil, lihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal. Jika proses koneksi gagal, AWS KMS mengembalikan [kode kesalahan koneksi](#xks-connection-error-codes) yang menjelaskan penyebabnya dan menyarankan solusi.

**Topics**
+ [

## Alat pemecahan masalah untuk penyimpanan kunci eksternal
](#xks-troubleshooting-tools)
+ [

## Kesalahan konfigurasi
](#fix-xks-configuration)
+ [

## Kesalahan koneksi penyimpanan kunci eksternal
](#fix-xks-connection)
+ [

## Kesalahan latensi dan batas waktu
](#fix-xks-latency)
+ [

## Kesalahan kredensi otentikasi
](#fix-xks-credentials)
+ [

## Kesalahan status kunci
](#fix-unavailable-xks-keys)
+ [

## Kesalahan dekripsi
](#fix-xks-decrypt)
+ [

## Kesalahan kunci eksternal
](#fix-external-key)
+ [

## Masalah proxy
](#fix-xks-proxy)
+ [

## Masalah otorisasi proxy
](#fix-xks-authorization)

## Alat pemecahan masalah untuk penyimpanan kunci eksternal
<a name="xks-troubleshooting-tools"></a>

AWS KMS menyediakan beberapa alat untuk membantu Anda mengidentifikasi dan menyelesaikan masalah dengan toko kunci eksternal Anda dan kuncinya. Gunakan alat ini bersama dengan alat yang disediakan dengan proxy penyimpanan kunci eksternal dan manajer kunci eksternal Anda.

**catatan**  
Proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda mungkin menyediakan metode yang lebih mudah untuk membuat dan memelihara penyimpanan kunci eksternal Anda dan kunci KMS-nya. Untuk detailnya, lihat dokumentasi untuk alat eksternal Anda. 

**AWS KMS pengecualian dan pesan kesalahan**  
AWS KMS memberikan pesan kesalahan terperinci tentang masalah apa pun yang dihadapinya. Anda dapat menemukan informasi tambahan tentang AWS KMS pengecualian di [https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) dan AWS SDKs. Bahkan jika Anda menggunakan AWS KMS konsol, Anda mungkin menemukan referensi ini berguna. Misalnya, lihat daftar [Kesalahan](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) untuk `CreateCustomKeyStores` operasi.  
Untuk mengoptimalkan kinerja proxy penyimpanan kunci eksternal Anda, AWS KMS mengembalikan pengecualian berdasarkan keandalan proxy Anda dalam periode agregasi tertentu selama 5 menit. Jika terjadi Kesalahan Server Internal 500, Layanan 503 Tidak Tersedia, atau batas waktu koneksi, proxy dengan keandalan tinggi mengembalikan `KMSInternalException` dan memicu percobaan ulang otomatis untuk memastikan bahwa permintaan akhirnya berhasil. Namun, proxy dengan keandalan rendah kembali`KMSInvalidStateException`. Untuk informasi selengkapnya, lihat [Memantau penyimpanan kunci eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).   
Jika masalah muncul di AWS layanan yang berbeda, seperti ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal Anda untuk melindungi sumber daya di AWS layanan lain, AWS layanan mungkin memberikan informasi tambahan untuk membantu Anda mengidentifikasi masalah. Jika AWS layanan tidak menyediakan pesan, Anda dapat melihat pesan kesalahan di [CloudTrail log](logging-using-cloudtrail.md) yang merekam penggunaan kunci KMS Anda.

**[CloudTrail log](logging-using-cloudtrail.md)**  
Setiap operasi AWS KMS API, termasuk tindakan di AWS KMS konsol, dicatat dalam AWS CloudTrail log. AWS KMS mencatat entri log untuk operasi yang berhasil dan gagal. Untuk operasi yang gagal, entri log menyertakan nama AWS KMS pengecualian (`errorCode`) dan pesan kesalahan (`errorMessage`). Anda dapat menggunakan informasi ini untuk membantu Anda mengidentifikasi dan mengatasi kesalahan. Sebagai contoh, lihat [Dekripsi kegagalan dengan kunci KMS di toko kunci eksternal](ct-decrypt.md#ct-decrypt-xks-fail).  
Entri log juga menyertakan ID permintaan. Jika permintaan mencapai proxy penyimpanan kunci eksternal Anda, Anda dapat menggunakan ID permintaan di entri log untuk menemukan permintaan yang sesuai di log proxy Anda, jika proxy Anda menyediakannya.

**[CloudWatch metrik](monitoring-cloudwatch.md#kms-metrics)**  
AWS KMS mencatat CloudWatch metrik Amazon terperinci tentang pengoperasian dan kinerja penyimpanan kunci eksternal Anda, termasuk latensi, pembatasan, kesalahan proxy, status pengelola kunci eksternal, jumlah hari hingga sertifikat TLS Anda kedaluwarsa, dan usia kredensyal autentikasi proxy yang dilaporkan. Anda dapat menggunakan metrik ini untuk mengembangkan model data untuk pengoperasian penyimpanan kunci eksternal dan CloudWatch alarm yang mengingatkan Anda tentang masalah yang akan datang sebelum terjadi.   
AWS KMS merekomendasikan agar Anda membuat CloudWatch alarm untuk memantau metrik penyimpanan kunci eksternal. Alarm ini akan mengingatkan Anda tentang tanda-tanda awal masalah sebelum berkembang.

**[Grafik pemantauan](xks-monitoring.md)**  
AWS KMS menampilkan grafik CloudWatch metrik penyimpanan kunci eksternal pada halaman detail untuk setiap penyimpanan kunci eksternal di AWS KMS konsol. Anda dapat menggunakan data dalam grafik untuk membantu menemukan sumber kesalahan, mendeteksi masalah yang akan datang, menetapkan garis dasar, dan memperbaiki ambang alarm Anda. CloudWatch Untuk detail tentang menafsirkan grafik pemantauan dan menggunakan datanya, lihat. [Pantau toko kunci eksternal](xks-monitoring.md)

**Menampilkan toko kunci eksternal dan kunci KMS**  
AWS KMS menampilkan informasi terperinci tentang penyimpanan kunci eksternal Anda dan kunci KMS di toko kunci eksternal di AWS KMS konsol, dan dalam respons terhadap [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)dan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi. Tampilan ini mencakup bidang khusus untuk penyimpanan kunci eksternal dan kunci KMS dengan informasi yang dapat Anda gunakan untuk pemecahan masalah, seperti [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal dan ID kunci eksternal yang terkait dengan kunci KMS. Lihat perinciannya di [Lihat toko kunci eksternal](view-xks-keystore.md).

**[Klien Uji Proxy XKS](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**  
AWS KMS menyediakan klien pengujian open source yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Anda dapat menggunakan klien pengujian ini untuk mengidentifikasi dan menyelesaikan masalah dengan proxy penyimpanan kunci eksternal Anda.

## Kesalahan konfigurasi
<a name="fix-xks-configuration"></a>

[Saat membuat penyimpanan kunci eksternal, Anda menentukan nilai properti yang terdiri dari *konfigurasi* penyimpanan kunci eksternal Anda, seperti [kredensi otentikasi proxy](create-xks-keystore.md#require-credential), [titik akhir URI proxy, jalur [URI proxy,](create-xks-keystore.md#require-path) dan nama layanan titik akhir](create-xks-keystore.md#require-endpoint) VPC.](create-xks-keystore.md#require-vpc-service-name) Ketika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan mengembalikan kesalahan yang menunjukkan nilai yang salah. 

Banyak masalah konfigurasi dapat diselesaikan dengan memperbaiki nilai yang salah. Anda dapat memperbaiki jalur URI proxy yang tidak valid atau kredensi otentikasi proxy tanpa memutuskan penyimpanan kunci eksternal. Untuk definisi nilai-nilai ini, termasuk persyaratan keunikan, lihat. [Memasang prasyarat](create-xks-keystore.md#xks-requirements) Untuk petunjuk tentang memperbarui nilai-nilai ini, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Untuk menghindari kesalahan pada jalur URI proxy dan nilai kredensi autentikasi proxy, saat membuat atau memperbarui penyimpanan kunci eksternal, unggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) ke konsol. AWS KMS Ini adalah file berbasis JSON dengan jalur URI proxy dan nilai kredensi otentikasi proxy yang disediakan oleh proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Anda tidak dapat menggunakan file konfigurasi proxy dengan operasi AWS KMS API, tetapi Anda dapat menggunakan nilai dalam file untuk membantu Anda memberikan nilai parameter untuk permintaan API yang cocok dengan nilai dalam proxy Anda.

### Kesalahan konfigurasi umum
<a name="fix-xks-gen-configuration"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyInvalidConfigurationException` (operasi manajemen, kecuali untuk) `CreateKey`

[**Kode kesalahan koneksi**](#xks-connection-error-codes):`XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`

Untuk penyimpanan kunci eksternal dengan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint), AWS KMS uji nilai properti saat Anda membuat dan memperbarui penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), AWS KMS uji nilai properti saat Anda menghubungkan dan memperbarui penyimpanan kunci eksternal. 

**catatan**  
`ConnectCustomKeyStore`Operasi, yang asinkron, mungkin berhasil meskipun upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal. Dalam hal ini, tidak ada pengecualian, tetapi status koneksi penyimpanan kunci eksternal Gagal, dan kode kesalahan koneksi menjelaskan pesan kesalahan. Untuk informasi selengkapnya, lihat [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection).

Jika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan kembali `XksProxyInvalidConfigurationException` dengan salah satu pesan kesalahan berikut.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena jalur URI tidak valid. Verifikasi jalur URI untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu. | 
+ [Jalur URI proxy](create-xks-keystore.md#require-path) adalah jalur dasar untuk AWS KMS permintaan ke proxy APIs. Jika jalur ini salah, semua permintaan ke proxy gagal. Untuk [melihat jalur URI proxy saat ini](view-xks-keystore.md) untuk penyimpanan kunci eksternal Anda, gunakan AWS KMS konsol atau `DescribeCustomKeyStores` operasi. Untuk menemukan jalur URI proxy yang benar, lihat dokumentasi proxy penyimpanan kunci eksternal Anda. Untuk bantuan mengoreksi nilai jalur URI proxy Anda, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).
+ Jalur URI proxy untuk proxy penyimpanan kunci eksternal Anda dapat berubah dengan pembaruan ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk informasi tentang perubahan ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.


|  | 
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS tidak dapat membuat koneksi TLS ke proxy penyimpanan kunci eksternal. Verifikasi konfigurasi TLS, termasuk sertifikatnya. | 
+ Semua proxy penyimpanan kunci eksternal memerlukan sertifikat TLS. Sertifikat TLS harus dikeluarkan oleh otoritas sertifikat publik (CA) yang didukung untuk toko kunci eksternal. Untuk daftar dukungan CAs, lihat [Otoritas Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) di Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal.
+ Untuk konektivitas titik akhir publik, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama domain di [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalah https://myproxy.xks.example.com, TLS, CN pada sertifikat TLS harus atau. `myproxy.xks.example.com` `*.xks.example.com`
+ [Untuk konektivitas layanan titik akhir VPC, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi untuk layanan titik akhir VPC Anda.](create-xks-keystore.md#require-vpc-service-name) Misalnya, jika nama DNS pribadi adalah myproxy-private.xks.example.com, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`
+ Sertifikat TLS tidak dapat kedaluwarsa. [Untuk mendapatkan tanggal kedaluwarsa sertifikat TLS, gunakan alat SSL, seperti OpenSSL.](https://www.openssl.org/) Untuk memantau tanggal kedaluwarsa sertifikat TLS yang terkait dengan penyimpanan kunci eksternal, gunakan metrik. [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch Jumlah hari untuk tanggal kedaluwarsa sertifikasi TLS Anda juga muncul di [bagian **Pemantauan** konsol](xks-monitoring.md). AWS KMS 
+ Jika Anda menggunakan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint), gunakan alat uji SSL untuk menguji konfigurasi SSL Anda. Kesalahan koneksi TLS dapat terjadi akibat rantai sertifikat yang salah. 

### Kesalahan konfigurasi konektivitas layanan titik akhir VPC
<a name="fix-xks-vpc-configuration"></a>

**Pengecualian**:`XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`

Selain masalah konektivitas umum, Anda mungkin mengalami masalah berikut saat membuat, menghubungkan, atau memperbarui penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. AWS KMS menguji nilai properti penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC saat [membuat](create-xks-keystore.md), [menghubungkan](xks-connect-disconnect.md), dan [memperbarui](update-xks-keystore.md) penyimpanan kunci eksternal. Ketika operasi manajemen gagal karena kesalahan konfigurasi, mereka menghasilkan pengecualian berikut:


|  | 
| --- |
| XksProxyVpcEndpointServiceNotFoundException | 

Penyebabnya mungkin salah satu dari berikut ini:
+ Nama layanan titik akhir VPC yang salah. Verifikasi bahwa nama layanan titik akhir VPC untuk penyimpanan kunci eksternal sudah benar dan cocok dengan nilai titik akhir URI proxy untuk penyimpanan kunci eksternal. Untuk menemukan nama layanan titik akhir VPC, gunakan konsol [VPC](https://console.aws.amazon.com/vpc) Amazon atau operasinya. [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html) Untuk menemukan nama layanan titik akhir VPC dan titik akhir URI proxy dari penyimpanan kunci eksternal yang ada, gunakan AWS KMS konsol atau operasi. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Lihat perinciannya di [Lihat toko kunci eksternal](view-xks-keystore.md).
+ Layanan titik akhir VPC mungkin berbeda Wilayah AWS dari penyimpanan kunci eksternal. Verifikasi bahwa layanan titik akhir VPC dan penyimpanan kunci eksternal berada di Wilayah yang sama. (Nama eksternal nama Wilayah, seperti, adalah bagian dari nama layanan titik akhir VPC`us-east-1`, seperti com.amazonaws.vpce.us-east-1. vpce-svc-example.) Untuk daftar persyaratan layanan titik akhir VPC untuk penyimpanan kunci eksternal, lihat. [Layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) Anda tidak dapat memindahkan layanan titik akhir VPC atau penyimpanan kunci eksternal ke Wilayah lain. Namun, Anda dapat membuat penyimpanan kunci eksternal baru di Wilayah yang sama dengan layanan titik akhir VPC. Untuk detailnya, lihat [Konfigurasikan konektivitas layanan titik akhir VPC](vpc-connectivity.md) dan [Buat toko kunci eksternal](create-xks-keystore.md).
+ AWS KMS bukan prinsipal yang diizinkan untuk layanan titik akhir VPC. Daftar **Allow principals** untuk layanan endpoint VPC harus menyertakan nilai, seperti. `cks.kms.<region>.amazonaws.com` `cks.kms.eu-west-3.amazonaws.com` Untuk petunjuk tentang menambahkan nilai ini, lihat [Mengelola izin](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) di *AWS PrivateLink Panduan*.


|  | 
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException | 

Kesalahan ini terjadi ketika layanan titik akhir VPC gagal memenuhi salah satu persyaratan berikut:
+ VPC membutuhkan setidaknya dua subnet pribadi, masing-masing di Availability Zone yang berbeda. *Untuk bantuan menambahkan subnet ke VPC Anda, [lihat Membuat subnet di VPC Anda di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets).*
+ [Jenis layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) Anda harus menggunakan penyeimbang beban jaringan, bukan penyeimbang beban gateway.
+ Penerimaan tidak harus diperlukan untuk layanan titik akhir VPC (**Penerimaan yang diperlukan** harus salah.). Jika penerimaan manual dari setiap permintaan koneksi diperlukan, AWS KMS tidak dapat menggunakan layanan titik akhir VPC untuk terhubung ke proxy penyimpanan kunci eksternal. Untuk detailnya, lihat [Menerima atau menolak permintaan koneksi](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) di *AWS PrivateLink Panduan*.
+ Layanan titik akhir VPC harus memiliki nama DNS pribadi yang merupakan subdomain dari domain publik. Misalnya, jika nama DNS pribadi adalah`https://myproxy-private.xks.example.com`, `example.com` domain `xks.example.com` atau harus memiliki server DNS publik. *Untuk melihat atau mengubah nama DNS pribadi untuk layanan titik akhir VPC Anda, [lihat Mengelola nama DNS untuk layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) di Panduan.AWS PrivateLink *
+ **Status verifikasi Domain** domain untuk nama DNS pribadi Anda harus`verified`. Untuk melihat dan memperbarui status verifikasi domain nama DNS pribadi, lihat[Langkah 5: Verifikasi domain nama DNS pribadi Anda](vpc-connectivity.md#xks-private-dns). Mungkin perlu beberapa menit agar status verifikasi yang diperbarui muncul setelah Anda menambahkan catatan teks yang diperlukan. 
**catatan**  
Domain DNS pribadi dapat diverifikasi hanya jika itu adalah subdomain dari domain publik. Jika tidak, status verifikasi domain DNS pribadi tidak berubah, bahkan setelah Anda menambahkan catatan TXT yang diperlukan. 
+ Pastikan bahwa setiap firewall antara AWS KMS dan proxy penyimpanan kunci eksternal memungkinkan lalu lintas ke dan dari port 443 pada proxy. AWS KMS berkomunikasi di port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.
+ Nama DNS pribadi dari layanan titik akhir VPC harus cocok dengan nilai titik akhir [URI proxy](create-xks-keystore.md#require-endpoint) untuk penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC, titik akhir URI proxy harus `https://` diikuti dengan nama DNS pribadi dari layanan titik akhir VPC. Untuk melihat nilai titik akhir URI proxy, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk mengubah nilai titik akhir URI proxy, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

## Kesalahan koneksi penyimpanan kunci eksternal
<a name="fix-xks-connection"></a>

[Proses menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan](about-xks-connecting.md) kunci eksternal membutuhkan waktu sekitar lima menit untuk menyelesaikannya. Kecuali gagal dengan cepat, `ConnectCustomKeyStore` operasi mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat [status koneksinya](xks-connect-disconnect.md#xks-connection-state). Jika koneksi gagal, status koneksi penyimpanan kunci eksternal berubah `FAILED` dan AWS KMS mengembalikan [kode kesalahan koneksi](#xks-connection-error-codes) yang menjelaskan penyebab kegagalan.

**catatan**  
Ketika status koneksi penyimpanan kunci kustom`FAILED`, Anda harus memutuskan penyimpanan kunci khusus sebelum mencoba menghubungkannya kembali. Anda tidak dapat menghubungkan penyimpanan kunci kustom dengan status koneksi `FAILED`.

Untuk melihat status koneksi penyimpanan kunci eksternal:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionState` elemen.
+ Di AWS KMS konsol, **status koneksi** muncul di tabel penyimpanan kunci eksternal. Juga, pada halaman detail untuk setiap penyimpanan kunci eksternal, **status Koneksi** muncul di bagian **Konfigurasi umum**.

Ketika status koneksi`FAILED`, kode kesalahan koneksi membantu menjelaskan kesalahan. 

Untuk melihat kode kesalahan koneksi:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionErrorCode` elemen. Elemen ini muncul dalam `DescribeCustomKeyStores` respons hanya ketika `ConnectionState` ada`FAILED`.
+ Untuk melihat kode kesalahan koneksi di AWS KMS konsol, pada halaman detail untuk penyimpanan kunci eksternal dan arahkan kursor ke nilai **Gagal**.  
![\[Kode kesalahan koneksi pada halaman detail toko kunci khusus\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/connection-error-code.png)

### Kode kesalahan koneksi untuk penyimpanan kunci eksternal
<a name="xks-connection-error-codes"></a>

Kode kesalahan koneksi berikut berlaku untuk toko kunci eksternal

`INTERNAL_ERROR`  
AWS KMS tidak dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. Untuk permintaan `ConnectCustomKeyStore`, putuskan koneksi penyimpanan kunci kustom sebelum mencoba menyambungkan lagi.

`INVALID_CREDENTIALS`  
Salah satu atau kedua `XksProxyAuthenticationCredential` nilai tidak valid pada proxy penyimpanan kunci eksternal yang ditentukan.

`NETWORK_ERRORS`  
Kesalahan jaringan AWS KMS mencegah menghubungkan toko kunci khusus ke toko kunci pendukungnya.

`XKS_PROXY_ACCESS_DENIED`  
AWS KMS permintaan ditolak akses ke proxy penyimpanan kunci eksternal. Jika proxy penyimpanan kunci eksternal memiliki aturan otorisasi, verifikasi bahwa mereka mengizinkan AWS KMS untuk berkomunikasi dengan proxy atas nama Anda.

`XKS_PROXY_INVALID_CONFIGURATION`  
Kesalahan konfigurasi mencegah penyimpanan kunci eksternal terhubung ke proxy-nya. Verifikasi nilai`XksProxyUriPath`.

`XKS_PROXY_INVALID_RESPONSE`  
AWS KMS tidak dapat menafsirkan respons dari proxy penyimpanan kunci eksternal. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.

`XKS_PROXY_INVALID_TLS_CONFIGURATION`  
AWS KMS tidak dapat terhubung ke proxy penyimpanan kunci eksternal karena konfigurasi TLS tidak valid. Verifikasi bahwa proxy penyimpanan kunci eksternal mendukung TLS 1.2 atau 1.3. Juga, verifikasi bahwa sertifikat TLS tidak kedaluwarsa, bahwa itu cocok dengan nama host dalam `XksProxyUriEndpoint` nilai, dan bahwa itu ditandatangani oleh otoritas sertifikat tepercaya yang termasuk dalam daftar Otoritas [Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).

`XKS_PROXY_NOT_REACHABLE`  
AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Verifikasi bahwa `XksProxyUriEndpoint` `XksProxyUriPath` dan benar. Gunakan alat untuk proxy penyimpanan kunci eksternal Anda untuk memverifikasi bahwa proxy aktif dan tersedia di jaringannya. Juga, verifikasi bahwa instans pengelola kunci eksternal Anda beroperasi dengan benar. Upaya koneksi gagal dengan kode kesalahan koneksi ini jika proxy melaporkan bahwa semua instance pengelola kunci eksternal tidak tersedia.

`XKS_PROXY_TIMED_OUT`  
AWS KMS dapat terhubung ke proxy penyimpanan kunci eksternal, tetapi proxy tidak merespons AWS KMS dalam waktu yang ditentukan. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.

`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`  
Konfigurasi layanan titik akhir Amazon VPC tidak sesuai dengan persyaratan untuk penyimpanan kunci eksternal AWS KMS .  
+ Layanan titik akhir VPC harus berupa layanan titik akhir untuk titik akhir antarmuka di pemanggil. Akun AWS
+ Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.
+ `Allow principals`Daftar harus mencakup kepala AWS KMS layanan untuk Wilayah`cks.kms.<region>.amazonaws.com`, seperti`cks.kms.us-east-1.amazonaws.com`.
+ Itu *tidak* boleh memerlukan [penerimaan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) permintaan koneksi.
+ Itu harus memiliki nama DNS pribadi. Nama DNS pribadi untuk penyimpanan kunci eksternal dengan `VPC_ENDPOINT_SERVICE` konektivitas harus unik di dalamnya Wilayah AWS.
+ Domain nama DNS pribadi harus memiliki [status verifikasi](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html). `verified`
+ [Sertifikat TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) menentukan nama host DNS pribadi di mana titik akhir dapat dijangkau.

`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`  
AWS KMS tidak dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Verifikasi bahwa `XksProxyVpcEndpointServiceName` itu benar dan kepala AWS KMS layanan memiliki izin konsumen layanan di layanan titik akhir Amazon VPC.

## Kesalahan latensi dan batas waktu
<a name="fix-xks-latency"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyUriUnreachableException` (operasi manajemen)

[**Kode kesalahan koneksi**](#xks-connection-error-codes):`XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`

Ketika tidak AWS KMS dapat menghubungi proxy dalam interval batas waktu 250 milidetik, ia mengembalikan pengecualian. `CreateCustomKeyStore`dan `UpdateCustomKeyStore` kembali`XksProxyUriUnreachableException`. Operasi kriptografi mengembalikan standar `KMSInvalidStateException` dengan pesan kesalahan yang menjelaskan masalah. Jika `ConnectCustomKeyStore` gagal, AWS KMS mengembalikan [kode kesalahan koneksi](#fix-xks-connection) yang menjelaskan masalah. 

Kesalahan batas waktu mungkin merupakan masalah sementara yang dapat diselesaikan dengan mencoba kembali permintaan. Jika masalah berlanjut, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan bahwa titik akhir URI proxy, jalur URI proxy, dan nama layanan titik akhir VPC (jika ada) sudah benar di penyimpanan kunci eksternal Anda. Juga, verifikasi bahwa manajer kunci eksternal Anda dekat dengan Wilayah AWS untuk penyimpanan kunci eksternal Anda. Jika Anda perlu memperbarui salah satu dari nilai-nilai ini, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Untuk melacak pola latensi, gunakan [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch metrik dan grafik **latensi rata-rata** (berdasarkan metrik tersebut) di [bagian ** AWS KMS Pemantauan**](xks-monitoring.md) konsol. Proxy penyimpanan kunci eksternal Anda mungkin juga menghasilkan log dan metrik yang melacak latensi dan batas waktu.


|  | 
| --- |
| `XksProxyUriUnreachableException`AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Ini mungkin masalah jaringan sementara. Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan URI titik akhir sudah benar di penyimpanan kunci eksternal Anda. | 
+ Proxy penyimpanan kunci eksternal tidak menanggapi permintaan API AWS KMS proxy dalam interval batas waktu 250 milidetik. Ini mungkin menunjukkan masalah jaringan sementara atau masalah operasional atau kinerja dengan proxy. Jika mencoba lagi tidak menyelesaikan masalah, beri tahu administrator proxy penyimpanan kunci eksternal Anda.

Kesalahan latensi dan batas waktu sering bermanifestasi sebagai kegagalan koneksi. Ketika [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi gagal, *status koneksi* penyimpanan kunci eksternal berubah `FAILED` dan AWS KMS mengembalikan *kode kesalahan koneksi* yang menjelaskan kesalahan. Untuk daftar kode kesalahan koneksi dan saran untuk menyelesaikan kesalahan, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](#xks-connection-error-codes). Daftar kode koneksi untuk **Semua toko kunci khusus dan toko** **kunci eksternal** berlaku untuk toko kunci eksternal. Kesalahan koneksi berikut terkait dengan latensi dan batas waktu.


|  | 
| --- |
| `XKS_PROXY_NOT_REACHABLE`-atau-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan jalur URI dan titik akhir URI atau nama layanan VPC sudah benar di penyimpanan kunci eksternal Anda. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ Proxy penyimpanan kunci eksternal tidak aktif dan atau tidak terhubung ke jaringan.
+ Ada kesalahan pada [titik akhir URI proxy](create-xks-keystore.md#require-endpoint), [jalur URI proxy](create-xks-keystore.md#require-path), atau nilai nama [layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) (jika ada) dalam konfigurasi penyimpanan kunci eksternal. Untuk melihat konfigurasi penyimpanan kunci eksternal, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi atau [lihat halaman detail](view-xks-keystore.md) untuk penyimpanan kunci eksternal di AWS KMS konsol.
+ Mungkin ada kesalahan konfigurasi jaringan, seperti kesalahan port, pada jalur jaringan antara AWS KMS dan proxy penyimpanan kunci eksternal. AWS KMS berkomunikasi dengan proxy penyimpanan kunci eksternal pada port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.
+ Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai [GetHealthStatus](keystore-external.md#concept-proxy-apis)tanggapan) bahwa semua instance pengelola kunci eksternal berada`UNAVAILABLE`, [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi gagal dengan a`ConnectionErrorCode`. `XKS_PROXY_NOT_REACHABLE` Untuk bantuan, lihat dokumentasi pengelola kunci eksternal Anda.
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan Wilayah AWS dengan penyimpanan kunci eksternal. Latensi ping (network round-trip time (RTT)) antara manajer kunci eksternal Wilayah AWS dan eksternal tidak boleh lebih dari 35 milidetik. Anda mungkin harus membuat penyimpanan kunci eksternal di Wilayah AWS yang lebih dekat dengan manajer kunci eksternal, atau memindahkan manajer kunci eksternal ke pusat data yang lebih dekat ke Wilayah AWS.


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`-atau-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS menolak permintaan karena proxy penyimpanan kunci eksternal tidak merespons tepat waktu. Coba lagi permintaannya. Jika Anda melihat kesalahan ini berulang kali, laporkan ke administrator proxy penyimpanan kunci eksternal Anda. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.
+ Kesalahan batas waktu dapat terjadi ketika proxy tidak dirancang untuk menangani volume dan frekuensi permintaan dari AWS KMS. Jika CloudWatch metrik Anda menunjukkan masalah terus-menerus, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
+ Kesalahan batas waktu dapat terjadi ketika koneksi antara pengelola kunci eksternal dan VPC Amazon untuk penyimpanan kunci eksternal tidak beroperasi dengan benar. Jika Anda menggunakan AWS Direct Connect, verifikasi bahwa VPC dan pengelola kunci eksternal Anda dapat berkomunikasi secara efektif. Untuk bantuan menyelesaikan masalah apa pun, lihat [Pemecahan Masalah AWS Direct Connect di Panduan](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html) Pengguna. Direct Connect 


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`-atau-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Proxy penyimpanan kunci eksternal tidak menanggapi permintaan dalam waktu yang ditentukan. Coba lagi permintaannya. Jika Anda melihat kesalahan ini berulang kali, laporkan ke administrator proxy penyimpanan kunci eksternal Anda. | 
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.

## Kesalahan kredensi otentikasi
<a name="fix-xks-credentials"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyIncorrectAuthenticationCredentialException` (operasi manajemen selain) `CreateKey`

Anda membuat dan memelihara kredensi otentikasi untuk AWS KMS proxy penyimpanan kunci eksternal Anda. Kemudian Anda memberi tahu AWS KMS nilai kredensialnya saat Anda membuat penyimpanan kunci eksternal. Untuk mengubah kredensi otentikasi, lakukan perubahan pada proxy penyimpanan kunci eksternal Anda. Kemudian [perbarui kredensi](update-xks-keystore.md#xks-edit-name) untuk toko kunci eksternal Anda. Jika proxy Anda memutar kredensi, Anda harus [memperbarui kredensi](update-xks-keystore.md#xks-edit-name) untuk penyimpanan kunci eksternal Anda. 

Jika proxy penyimpanan kunci eksternal tidak akan mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal Anda, efeknya bergantung pada permintaan:
+ `CreateCustomKeyStore`dan `UpdateCustomKeyStore` gagal dengan sebuah `XksProxyIncorrectAuthenticationCredentialException`
+ `ConnectCustomKeyStore`berhasil, tetapi koneksi gagal. Status koneksi adalah `FAILED` dan kode kesalahan koneksi adalah`INVALID_CREDENTIALS`. Lihat perinciannya di [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection).
+ Operasi kriptografi kembali `KMSInvalidStateException` untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Pesan kesalahan yang menyertainya menjelaskan masalah.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat mengautentikasi. AWS KMS Verifikasi kredensyal untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu.  | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci akses atau kunci akses rahasia untuk penyimpanan kunci eksternal tidak cocok dengan nilai yang ditetapkan pada proxy penyimpanan kunci eksternal. 

  Untuk memperbaiki kesalahan ini, [perbarui kredensi otentikasi proxy](update-xks-keystore.md#xks-edit-name) untuk penyimpanan kunci eksternal Anda. Anda dapat membuat perubahan ini tanpa memutuskan penyimpanan kunci eksternal Anda.
+ Proxy terbalik antara AWS KMS dan proxy penyimpanan kunci eksternal dapat memanipulasi header HTTP dengan cara yang membatalkan tanda tangan SigV4. Untuk memperbaiki kesalahan ini, beri tahu administrator proxy Anda.

## Kesalahan status kunci
<a name="fix-unavailable-xks-keys"></a>

**Pengecualian**: `KMSInvalidStateException`

`KMSInvalidStateException`digunakan untuk dua tujuan berbeda untuk kunci KMS di toko kunci kustom. 
+ Ketika operasi manajemen, seperti`CancelKeyDeletion`, gagal dan mengembalikan pengecualian ini, ini menunjukkan bahwa [status kunci](key-state.md) dari kunci KMS tidak kompatibel dengan operasi.
+ Ketika [operasi kriptografi](kms-cryptography.md#cryptographic-operations) pada kunci KMS di toko kunci kustom gagal`KMSInvalidStateException`, itu dapat menunjukkan masalah dengan status kunci dari kunci KMS. Tetapi operasi AWS KMS kriptografi kembali `KMSInvalidStateException` untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan pesan kesalahan yang menyertai pengecualian.

Untuk menemukan status kunci yang diperlukan untuk operasi AWS KMS API, lihat[Status AWS KMS kunci kunci](key-state.md). Untuk menemukan status kunci kunci KMS, pada halaman **Kunci yang dikelola Pelanggan**, lihat bidang **Status** kunci KMS. Atau, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi dan lihat `KeyState` elemen dalam respons. Lihat perinciannya di [Identifikasi dan lihat kunci](viewing-keys.md).

**catatan**  
Status kunci dari kunci KMS di penyimpanan kunci eksternal tidak menunjukkan apa pun tentang status [kunci eksternal](keystore-external.md#concept-external-key) yang terkait. Untuk informasi tentang status kunci eksternal, gunakan pengelola kunci eksternal dan alat proxy penyimpanan kunci eksternal.   
`CustomKeyStoreInvalidStateException`Ini mengacu pada [keadaan koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal, bukan [status kunci](key-state.md) dari kunci KMS.

Operasi kriptografi pada kunci KMS di toko kustom mungkin gagal karena status kunci dari kunci KMS adalah atau. `Unavailable` `PendingDeletion` (Kunci dinonaktifkan kembali`DisabledException`.)
+ Kunci KMS memiliki status `Disabled` kunci hanya ketika Anda sengaja menonaktifkan kunci KMS di AWS KMS konsol atau dengan menggunakan operasi. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Sementara kunci KMS dinonaktifkan, Anda dapat melihat dan mengelola kunci, tetapi Anda tidak dapat menggunakannya dalam operasi kriptografi. Untuk memperbaiki masalah ini, aktifkan kuncinya. Lihat perinciannya di [Aktifkan dan nonaktifkan kunci](enabling-keys.md).
+ Kunci KMS memiliki status `Unavailable` kunci ketika penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal. Untuk memperbaiki kunci KMS yang tidak tersedia, [sambungkan kembali penyimpanan kunci eksternal](xks-connect-disconnect.md). Setelah penyimpanan kunci eksternal terhubung kembali, status kunci kunci KMS di penyimpanan kunci eksternal secara otomatis dikembalikan ke keadaan sebelumnya, seperti `Enabled` atau. `Disabled`

  Kunci KMS memiliki status `PendingDeletion` kunci ketika telah dijadwalkan untuk dihapus dan sedang dalam masa tunggu. Kesalahan status kunci pada kunci KMS yang tertunda penghapusan menunjukkan bahwa kunci tidak boleh dihapus, baik karena sedang digunakan untuk enkripsi, atau diperlukan untuk dekripsi. [Untuk mengaktifkan kembali kunci KMS, batalkan penghapusan terjadwal, dan kemudian aktifkan kunci.](enabling-keys.md) Lihat perinciannya di [Jadwalkan penghapusan kunci](deleting-keys-scheduling-key-deletion.md).

## Kesalahan dekripsi
<a name="fix-xks-decrypt"></a>

**Pengecualian**: `KMSInvalidStateException`

Ketika operasi [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) dengan kunci KMS di penyimpanan kunci eksternal gagal, AWS KMS mengembalikan standar `KMSInvalidStateException` yang digunakan operasi kriptografi untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi pada penyimpanan kunci eksternal. Pesan kesalahan menunjukkan masalah.

Untuk mendekripsi ciphertext yang dienkripsi menggunakan [enkripsi ganda](keystore-external.md#concept-double-encryption), manajer kunci eksternal pertama menggunakan kunci eksternal untuk mendekripsi lapisan luar ciphertext. Kemudian AWS KMS gunakan bahan AWS KMS kunci dalam kunci KMS untuk mendekripsi lapisan dalam ciphertext. Ciphertext yang tidak valid atau rusak dapat ditolak oleh manajer kunci eksternal atau. AWS KMS

Pesan kesalahan berikut menyertai `KMSInvalidStateException` ketika dekripsi gagal. Ini menunjukkan masalah dengan ciphertext atau konteks enkripsi opsional dalam permintaan.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena ciphertext yang ditentukan atau data tambahan yang diautentikasi rusak, hilang, atau tidak valid. | 
+ Ketika proxy penyimpanan kunci eksternal atau manajer kunci eksternal melaporkan bahwa ciphertext atau konteks enkripsi tidak valid, biasanya menunjukkan masalah dengan ciphertext atau konteks enkripsi dalam permintaan yang dikirim ke. `Decrypt` AWS KMS Untuk `Decrypt` operasi, AWS KMS kirimkan proxy ciphertext dan konteks enkripsi yang sama yang diterimanya dalam permintaan. `Decrypt` 

  Kesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi `Decrypt` permintaannya. Jika masalah berlanjut, verifikasi bahwa ciphertext tidak diubah atau rusak. Juga, verifikasi bahwa konteks enkripsi dalam `Decrypt` permintaan untuk AWS KMS mencocokkan konteks enkripsi dalam permintaan yang mengenkripsi data.


|  | 
| --- |
| Ciphertext yang dikirimkan proxy penyimpanan kunci eksternal untuk dekripsi, atau konteks enkripsi, rusak, hilang, atau tidak valid. | 
+ Ketika AWS KMS menolak ciphertext yang diterima dari proxy, ini menunjukkan bahwa manajer kunci eksternal atau proxy mengembalikan ciphertext yang tidak valid atau rusak ke. AWS KMS

  Kesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi `Decrypt` permintaannya. Jika masalah berlanjut, verifikasi bahwa pengelola kunci eksternal beroperasi dengan benar, dan bahwa proxy penyimpanan kunci eksternal tidak mengubah ciphertext yang diterimanya dari pengelola kunci eksternal sebelum mengembalikannya. AWS KMS

## Kesalahan kunci eksternal
<a name="fix-external-key"></a>

[Kunci eksternal adalah kunci](keystore-external.md#concept-external-key) kriptografi di manajer kunci eksternal yang berfungsi sebagai bahan kunci eksternal untuk kunci KMS. AWS KMS tidak dapat langsung mengakses kunci eksternal. Ini harus meminta manajer kunci eksternal (melalui proxy penyimpanan kunci eksternal) untuk menggunakan kunci eksternal untuk mengenkripsi data atau mendekripsi ciphertext.

Anda menentukan ID kunci eksternal di pengelola kunci eksternal ketika Anda membuat kunci KMS di penyimpanan kunci eksternal Anda. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Untuk mencegah masalah dengan kunci KMS, `CreateKey` operasi meminta proxy penyimpanan kunci eksternal untuk memverifikasi ID dan konfigurasi kunci eksternal. Jika kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, `CreateKey` operasi gagal dengan pengecualian dan pesan kesalahan yang mengidentifikasi masalah. 

Namun, masalah dapat terjadi setelah kunci KMS dibuat. Jika operasi kriptografi gagal karena masalah dengan kunci eksternal, operasi gagal dan mengembalikan pesan kesalahan yang menunjukkan masalah. `KMSInvalidStateException`

### CreateKey kesalahan untuk kunci eksternal
<a name="fix-external-key-create"></a>

**Pengecualian**:`XksKeyAlreadyInUseException`,, `XksKeyNotFoundException` `XksKeyInvalidConfigurationException`

[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Operasi mencoba memverifikasi ID dan properti kunci eksternal yang Anda berikan di parameter **ID kunci Eksternal** (konsol) atau `XksKeyId` (API). Praktik ini dirancang untuk mendeteksi kesalahan lebih awal sebelum Anda mencoba menggunakan kunci eksternal dengan kunci KMS.

**Kunci eksternal digunakan** 

Setiap kunci KMS di toko kunci eksternal harus menggunakan kunci eksternal yang berbeda. Ketika `CreateKey` mengenali bahwa ID kunci eksternal (XksKeyId) untuk kunci KMS tidak unik di penyimpanan kunci eksternal, gagal dengan file. `XksKeyAlreadyInUseException` 

Jika Anda menggunakan beberapa IDs untuk kunci eksternal yang sama, tidak `CreateKey` akan mengenali duplikat. Namun, kunci KMS dengan kunci eksternal yang sama tidak dapat dioperasikan karena memiliki bahan AWS KMS kunci dan metadata yang berbeda. 

**Kunci eksternal tidak ditemukan** 

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, `CreateKey` operasi gagal dan kembali `XksKeyNotFoundException` dengan pesan kesalahan berikut.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci eksternal (`XksKeyId`) untuk kunci KMS mungkin tidak valid. Untuk menemukan ID untuk proxy kunci eksternal yang digunakan untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal. 
+ Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, gunakan kunci eksternal yang berbeda dengan tombol KMS. Untuk daftar atau persyaratan untuk kunci eksternal, lihat[Persyaratan untuk kunci KMS di toko kunci eksternal](create-xks-keys.md#xks-key-requirements).

**Persyaratan kunci eksternal tidak terpenuhi**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, `CreateKey` operasi gagal dan kembali `XksKeyInvalidConfigurationException` dengan salah satu pesan kesalahan berikut.


|  | 
| --- |
| Spesifikasi kunci dari kunci eksternal harus AES\$1256. Spesifikasi kunci dari kunci eksternal yang ditentukan adalah<key-spec>. | 
+ Kunci eksternal harus berupa kunci enkripsi simetris 256-bit dengan spesifikasi kunci AES\$1256. Jika kunci eksternal yang ditentukan adalah tipe yang berbeda, tentukan ID kunci eksternal yang memenuhi persyaratan ini. 


|  | 
| --- |
| Status kunci eksternal harus DIAKTIFKAN. Status kunci eksternal yang ditentukan adalah<status>. | 
+ Kunci eksternal harus diaktifkan di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak diaktifkan, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya, atau tentukan kunci eksternal yang diaktifkan.


|  | 
| --- |
| Penggunaan kunci dari kunci eksternal harus mencakup ENKRIPSI dan DEKRIPSI. Penggunaan kunci dari kunci eksternal yang ditentukan adalah < key-usage >. | 
+ Kunci eksternal harus dikonfigurasi untuk enkripsi dan dekripsi di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak menyertakan operasi ini, gunakan alat pengelola kunci eksternal Anda untuk mengubah operasi, atau tentukan kunci eksternal yang berbeda.

### Kesalahan operasi kriptografi untuk kunci eksternal
<a name="fix-external-key-crypto"></a>

**Pengecualian**: `KMSInvalidStateException`

Ketika proxy penyimpanan kunci eksternal tidak dapat menemukan kunci eksternal yang terkait dengan kunci KMS, atau kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, operasi kriptografi gagal. 

Masalah kunci eksternal yang terdeteksi selama operasi kriptografi lebih sulit diselesaikan daripada masalah kunci eksternal yang terdeteksi sebelum membuat kunci KMS. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Jika kunci KMS belum mengenkripsi data apa pun, Anda dapat menghapus kunci KMS dan membuat yang baru dengan ID kunci eksternal yang berbeda. Namun, ciphertext yang dihasilkan dengan kunci KMS tidak dapat didekripsi oleh kunci KMS lainnya, bahkan yang memiliki kunci eksternal yang sama, karena kunci akan memiliki metadata kunci yang berbeda dan bahan kunci yang berbeda. AWS KMS Sebagai gantinya, sejauh mungkin, gunakan alat pengelola kunci eksternal Anda untuk menyelesaikan masalah dengan kunci eksternal. 

Ketika proxy penyimpanan kunci eksternal melaporkan masalah dengan kunci eksternal, operasi kriptografi kembali `KMSInvalidStateException` dengan pesan kesalahan yang mengidentifikasi masalah.

**Kunci eksternal tidak ditemukan**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, operasi kriptografi mengembalikan a `KMSInvalidStateException` dengan pesan kesalahan berikut. 


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci eksternal (`XksKeyId`) untuk kunci KMS tidak lagi valid. 

  Untuk menemukan ID kunci eksternal yang terkait dengan kunci KMS Anda, [lihat detail kunci KMS](identify-key-types.md#view-xks-key). Untuk menemukan ID yang digunakan proxy kunci eksternal untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal.

  AWS KMS memverifikasi ID kunci eksternal saat membuat kunci KMS di toko kunci eksternal. Namun, ID mungkin menjadi tidak valid, terutama jika nilai ID kunci eksternal adalah alias atau nama yang bisa berubah. Anda tidak dapat mengubah ID kunci eksternal yang terkait dengan kunci KMS yang ada. Untuk mendekripsi ciphertext apa pun yang dienkripsi di bawah kunci KMS, Anda harus mengaitkan kembali kunci eksternal dengan ID kunci eksternal yang ada.

  Jika Anda belum menggunakan kunci KMS untuk mengenkripsi data, Anda dapat membuat kunci KMS baru dengan ID kunci eksternal yang valid. Namun, jika Anda telah membuat ciphertext dengan kunci KMS, Anda tidak dapat menggunakan kunci KMS lain untuk mendekripsi ciphertext, bahkan jika menggunakan kunci eksternal yang sama.
+ Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika memungkinkan, cobalah untuk [memulihkan materi kunci](fix-keystore.md#fix-keystore-recover-backing-key) dari salinan atau cadangan manajer kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, setiap ciphertext yang dienkripsi di bawah kunci KMS terkait tidak dapat dipulihkan.

**Kesalahan konfigurasi kunci eksternal**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, operasi kriptografi kembali `KMSInvalidStateException` dengan salah satu pesan kesalahan berikut. 


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak mendukung operasi yang diminta. | 
+ Kunci eksternal harus mendukung enkripsi dan dekripsi. Jika penggunaan kunci tidak termasuk enkripsi dan dekripsi, gunakan alat pengelola kunci eksternal Anda untuk mengubah penggunaan kunci.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak diaktifkan di pengelola kunci eksternal. | 
+ Kunci eksternal harus diaktifkan dan tersedia untuk digunakan di pengelola kunci eksternal. Jika status kunci eksternal tidak`Enabled`, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya.

## Masalah proxy
<a name="fix-xks-proxy"></a>

**Pengecualian**: 

 `CustomKeyStoreInvalidStateException`(`CreateKey`), `KMSInvalidStateException` (operasi kriptografi),`UnsupportedOperationException`,`XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (operasi manajemen selain`CreateKey`)

Proxy penyimpanan kunci eksternal memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal. Ini menerjemahkan AWS KMS permintaan generik ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda. Jika proxy penyimpanan kunci eksternal tidak sesuai dengan [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/), atau jika tidak beroperasi dengan benar, atau tidak dapat berkomunikasi AWS KMS, Anda tidak akan dapat membuat atau menggunakan kunci KMS di penyimpanan kunci eksternal Anda. 

Sementara banyak kesalahan menyebutkan proxy penyimpanan kunci eksternal karena peran pentingnya dalam arsitektur penyimpanan kunci eksternal, masalah tersebut mungkin berasal dari manajer kunci eksternal atau kunci eksternal. 

Masalah di bagian ini berhubungan dengan masalah dengan desain atau pengoperasian proxy penyimpanan kunci eksternal. Menyelesaikan masalah ini mungkin memerlukan perubahan pada perangkat lunak proxy. Konsultasikan dengan administrator proxy Anda. Untuk membantu mendiagnosis masalah proxy, AWS KMS berikan [XKS Proxy Text Client](https://github.com/aws-samples/aws-kms-xksproxy-test-client), klien pengujian open source yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan Spesifikasi API [Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/).


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `XksProxyUriUnreachableException`Proxy penyimpanan kunci eksternal dalam keadaan tidak sehat. Jika Anda melihat pesan ini berulang kali, beri tahu administrator proxy penyimpanan kunci eksternal Anda. | 
+ Kesalahan ini dapat menunjukkan masalah operasional atau kesalahan perangkat lunak di proxy penyimpanan kunci eksternal. Anda dapat menemukan entri CloudTrail log untuk operasi AWS KMS API yang menghasilkan setiap kesalahan. Kesalahan ini dapat diatasi dengan mencoba kembali operasi. Namun, jika tetap ada, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
+ Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai [GetHealthStatus](keystore-external.md#concept-proxy-apis)tanggapan) bahwa semua instance pengelola kunci eksternal berada`UNAVAILABLE`, upaya untuk membuat atau memperbarui penyimpanan kunci eksternal gagal dengan pengecualian ini. Jika kesalahan ini berlanjut, lihat dokumentasi pengelola kunci eksternal Anda.


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `XksProxyInvalidResponseException`AWS KMS tidak dapat menafsirkan respons dari proxy penyimpanan kunci eksternal. Jika Anda melihat kesalahan ini berulang kali, konsultasikan administrator proxy penyimpanan kunci eksternal Anda. | 
+ AWS KMS operasi menghasilkan pengecualian ini ketika proxy mengembalikan respons tidak terdefinisi yang tidak AWS KMS dapat mengurai atau menafsirkan. Kesalahan ini mungkin terjadi sesekali karena masalah eksternal sementara atau kesalahan jaringan sporadis. Namun, jika tetap ada, ini mungkin menunjukkan bahwa proxy penyimpanan kunci eksternal tidak sesuai dengan Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Beri tahu administrator atau vendor toko kunci eksternal Anda.


|  | 
| --- |
|  `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `UnsupportedOperationException` Proxy penyimpanan kunci eksternal menolak permintaan karena tidak mendukung operasi kriptografi yang diminta. | 
+ Proxy penyimpanan kunci eksternal harus mendukung semua [proxy](keystore-external.md#concept-proxy-apis) yang APIs ditentukan dalam [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Kesalahan ini menunjukkan bahwa proxy tidak mendukung operasi yang terkait dengan permintaan. Beri tahu administrator atau vendor toko kunci eksternal Anda.

## Masalah otorisasi proxy
<a name="fix-xks-authorization"></a>

**Pengecualian**:`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`

Beberapa proxy penyimpanan kunci eksternal menerapkan persyaratan otorisasi untuk penggunaan kunci eksternalnya. Proxy penyimpanan kunci eksternal diizinkan, tetapi tidak diperlukan, untuk merancang dan mengimplementasikan skema otorisasi yang memungkinkan pengguna tertentu untuk meminta operasi tertentu dalam kondisi tertentu. Misalnya, proxy mungkin memungkinkan pengguna untuk mengenkripsi dengan kunci eksternal tertentu, tetapi tidak untuk mendekripsi dengannya. Untuk informasi selengkapnya, lihat [Otorisasi proxy penyimpanan kunci eksternal (opsional)](authorize-xks-key-store.md#xks-proxy-authorization).

Otorisasi proxy didasarkan pada metadata yang AWS KMS termasuk dalam permintaannya ke proxy. `awsSourceVpce`Bidang `awsSourceVpc` dan disertakan dalam metadata hanya jika permintaan berasal dari titik akhir VPC dan hanya ketika pemanggil berada di akun yang sama dengan kunci KMS. 

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Ketika proxy menolak permintaan karena kegagalan otorisasi, AWS KMS operasi terkait gagal. `CreateKey`kembali`CustomKeyStoreInvalidStateException`. AWS KMS operasi kriptografi kembali`KMSInvalidStateException`. Keduanya menggunakan pesan kesalahan berikut:


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak akses ke operasi. Verifikasi bahwa pengguna dan kunci eksternal keduanya diotorisasi untuk operasi ini, dan coba permintaan lagi. | 
+ Untuk mengatasi kesalahan, gunakan pengelola kunci eksternal atau alat proxy penyimpanan kunci eksternal untuk menentukan mengapa otorisasi gagal. Kemudian, perbarui prosedur yang menyebabkan permintaan tidak sah atau gunakan alat proxy penyimpanan kunci eksternal Anda untuk memperbarui kebijakan otorisasi. Anda tidak dapat menyelesaikan kesalahan ini di AWS KMS.