Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Resolusi untuk sebagian besar masalah dengan penyimpanan kunci eksternal ditunjukkan oleh pesan kesalahan yang AWS KMS ditampilkan dengan setiap pengecualian, atau oleh kode kesalahan koneksi yang AWS KMS kembali ketika upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal. Namun, beberapa masalah sedikit lebih kompleks.
Saat mendiagnosis masalah dengan penyimpanan kunci eksternal, pertama-tama temukan penyebabnya. Ini akan mempersempit berbagai solusi dan membuat pemecahan masalah Anda lebih efisien.
-
AWS KMS — Masalahnya mungkin ada di dalam AWS KMS, seperti nilai yang salah dalam konfigurasi penyimpanan kunci eksternal Anda.
-
Eksternal — Masalah mungkin berasal dari luar AWS KMS, termasuk masalah dengan konfigurasi atau pengoperasian proxy penyimpanan kunci eksternal, manajer kunci eksternal, kunci eksternal, atau layanan titik akhir VPC.
-
Jaringan — Ini mungkin masalah dengan konektivitas atau jaringan, seperti masalah dengan titik akhir proxy, port, atau nama atau domain DNS pribadi Anda.
catatan
Ketika operasi manajemen pada penyimpanan kunci eksternal gagal, mereka menghasilkan beberapa pengecualian yang berbeda. Tetapi operasi AWS KMS kriptografi kembali KMSInvalidStateException untuk semua kegagalan yang terkait dengan konfigurasi eksternal atau status koneksi dari penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan teks pesan kesalahan yang menyertainya.
ConnectCustomKeyStoreOperasi berhasil dengan cepat sebelum proses koneksi selesai. Untuk menentukan apakah proses koneksi berhasil, lihat status koneksi penyimpanan kunci eksternal. Jika proses koneksi gagal, AWS KMS mengembalikan kode kesalahan koneksi yang menjelaskan penyebabnya dan menyarankan solusi.
Topik
Alat pemecahan masalah untuk penyimpanan kunci eksternal
AWS KMS menyediakan beberapa alat untuk membantu Anda mengidentifikasi dan menyelesaikan masalah dengan toko kunci eksternal Anda dan kuncinya. Gunakan alat ini bersama dengan alat yang disediakan dengan proxy penyimpanan kunci eksternal dan manajer kunci eksternal Anda.
catatan
Proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda mungkin menyediakan metode yang lebih mudah untuk membuat dan memelihara penyimpanan kunci eksternal Anda dan kunci KMS-nya. Untuk detailnya, lihat dokumentasi untuk alat eksternal Anda.
- AWS KMS pengecualian dan pesan kesalahan
-
AWS KMS memberikan pesan kesalahan terperinci tentang masalah apa pun yang dihadapinya. Anda dapat menemukan informasi tambahan tentang AWS KMS pengecualian di Referensi AWS Key Management Service API dan AWS SDKs. Bahkan jika Anda menggunakan AWS KMS konsol, Anda mungkin menemukan referensi ini berguna. Misalnya, lihat daftar Kesalahan untuk
CreateCustomKeyStoresoperasi.Untuk mengoptimalkan kinerja proxy penyimpanan kunci eksternal Anda, AWS KMS mengembalikan pengecualian berdasarkan keandalan proxy Anda dalam periode agregasi tertentu selama 5 menit. Jika terjadi Kesalahan Server Internal 500, Layanan 503 Tidak Tersedia, atau batas waktu koneksi, proxy dengan keandalan tinggi mengembalikan
KMSInternalExceptiondan memicu percobaan ulang otomatis untuk memastikan bahwa permintaan akhirnya berhasil. Namun, proxy dengan keandalan rendah kembaliKMSInvalidStateException. Untuk informasi selengkapnya, lihat Memantau penyimpanan kunci eksternal.Jika masalah muncul di AWS layanan yang berbeda, seperti ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal Anda untuk melindungi sumber daya di AWS layanan lain, AWS layanan mungkin memberikan informasi tambahan untuk membantu Anda mengidentifikasi masalah. Jika AWS layanan tidak menyediakan pesan, Anda dapat melihat pesan kesalahan di CloudTrail log yang merekam penggunaan kunci KMS Anda.
- CloudTrail log
-
Setiap operasi AWS KMS API, termasuk tindakan di AWS KMS konsol, dicatat dalam AWS CloudTrail log. AWS KMS mencatat entri log untuk operasi yang berhasil dan gagal. Untuk operasi yang gagal, entri log menyertakan nama AWS KMS pengecualian (
errorCode) dan pesan kesalahan (errorMessage). Anda dapat menggunakan informasi ini untuk membantu Anda mengidentifikasi dan mengatasi kesalahan. Sebagai contoh, lihat Dekripsi kegagalan dengan kunci KMS di toko kunci eksternal.Entri log juga menyertakan ID permintaan. Jika permintaan mencapai proxy penyimpanan kunci eksternal Anda, Anda dapat menggunakan ID permintaan di entri log untuk menemukan permintaan yang sesuai di log proxy Anda, jika proxy Anda menyediakannya.
- CloudWatch metrik
-
AWS KMS mencatat CloudWatch metrik Amazon terperinci tentang pengoperasian dan kinerja penyimpanan kunci eksternal Anda, termasuk latensi, pembatasan, kesalahan proxy, status pengelola kunci eksternal, jumlah hari hingga sertifikat TLS Anda kedaluwarsa, dan usia kredensyal autentikasi proxy yang dilaporkan. Anda dapat menggunakan metrik ini untuk mengembangkan model data untuk pengoperasian penyimpanan kunci eksternal dan CloudWatch alarm yang mengingatkan Anda tentang masalah yang akan datang sebelum terjadi.
penting
AWS KMS merekomendasikan agar Anda membuat CloudWatch alarm untuk memantau metrik penyimpanan kunci eksternal. Alarm ini akan mengingatkan Anda tentang tanda-tanda awal masalah sebelum berkembang.
- Grafik pemantauan
-
AWS KMS menampilkan grafik CloudWatch metrik penyimpanan kunci eksternal pada halaman detail untuk setiap penyimpanan kunci eksternal di AWS KMS konsol. Anda dapat menggunakan data dalam grafik untuk membantu menemukan sumber kesalahan, mendeteksi masalah yang akan datang, menetapkan garis dasar, dan memperbaiki ambang alarm Anda. CloudWatch Untuk detail tentang menafsirkan grafik pemantauan dan menggunakan datanya, lihat. Pantau toko kunci eksternal
- Menampilkan toko kunci eksternal dan kunci KMS
-
AWS KMS menampilkan informasi terperinci tentang penyimpanan kunci eksternal Anda dan kunci KMS di toko kunci eksternal di AWS KMS konsol, dan dalam respons terhadap DescribeCustomKeyStoresdan DescribeKeyoperasi. Tampilan ini mencakup bidang khusus untuk penyimpanan kunci eksternal dan kunci KMS dengan informasi yang dapat Anda gunakan untuk pemecahan masalah, seperti status koneksi penyimpanan kunci eksternal dan ID kunci eksternal yang terkait dengan kunci KMS. Untuk detailnya, lihat Lihat toko kunci eksternal.
- Klien Uji Proxy XKS
-
AWS KMS menyediakan klien pengujian open source yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal
. Anda dapat menggunakan klien pengujian ini untuk mengidentifikasi dan menyelesaikan masalah dengan proxy penyimpanan kunci eksternal Anda.
Kesalahan konfigurasi
Saat membuat penyimpanan kunci eksternal, Anda menentukan nilai properti yang terdiri dari konfigurasi penyimpanan kunci eksternal Anda, seperti kredensi otentikasi proxy, titik akhir URI proxy, jalur URI proxy, dan nama layanan titik akhir VPC. Ketika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan mengembalikan kesalahan yang menunjukkan nilai yang salah.
Banyak masalah konfigurasi dapat diselesaikan dengan memperbaiki nilai yang salah. Anda dapat memperbaiki jalur URI proxy yang tidak valid atau kredensi otentikasi proxy tanpa memutuskan penyimpanan kunci eksternal. Untuk definisi nilai-nilai ini, termasuk persyaratan keunikan, lihat. Memasang prasyarat Untuk petunjuk tentang memperbarui nilai-nilai ini, lihatEdit properti penyimpanan kunci eksternal.
Untuk menghindari kesalahan pada jalur URI proxy dan nilai kredensi autentikasi proxy, saat membuat atau memperbarui penyimpanan kunci eksternal, unggah file konfigurasi proxy ke konsol. AWS KMS Ini adalah file berbasis JSON dengan jalur URI proxy dan nilai kredensi otentikasi proxy yang disediakan oleh proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Anda tidak dapat menggunakan file konfigurasi proxy dengan operasi AWS KMS API, tetapi Anda dapat menggunakan nilai dalam file untuk membantu Anda memberikan nilai parameter untuk permintaan API yang cocok dengan nilai dalam proxy Anda.
Kesalahan konfigurasi umum
Pengecualian: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operasi kriptografi), XksProxyInvalidConfigurationException (operasi manajemen, kecuali untuk) CreateKey
Kode kesalahan koneksi:XKS_PROXY_INVALID_CONFIGURATION, XKS_PROXY_INVALID_TLS_CONFIGURATION
Untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik, AWS KMS uji nilai properti saat Anda membuat dan memperbarui penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC, AWS KMS uji nilai properti saat Anda menghubungkan dan memperbarui penyimpanan kunci eksternal.
catatan
ConnectCustomKeyStoreOperasi, yang asinkron, mungkin berhasil meskipun upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal. Dalam hal ini, tidak ada pengecualian, tetapi status koneksi penyimpanan kunci eksternal Gagal, dan kode kesalahan koneksi menjelaskan pesan kesalahan. Untuk informasi selengkapnya, lihat Kesalahan koneksi penyimpanan kunci eksternal.
Jika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan kembali XksProxyInvalidConfigurationException dengan salah satu pesan kesalahan berikut.
| Proxy penyimpanan kunci eksternal menolak permintaan karena jalur URI tidak valid. Verifikasi jalur URI untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu. |
-
Jalur URI proxy adalah jalur dasar untuk AWS KMS permintaan ke proxy APIs. Jika jalur ini salah, semua permintaan ke proxy gagal. Untuk melihat jalur URI proxy saat ini untuk penyimpanan kunci eksternal Anda, gunakan AWS KMS konsol atau
DescribeCustomKeyStoresoperasi. Untuk menemukan jalur URI proxy yang benar, lihat dokumentasi proxy penyimpanan kunci eksternal Anda. Untuk bantuan mengoreksi nilai jalur URI proxy Anda, lihatEdit properti penyimpanan kunci eksternal. -
Jalur URI proxy untuk proxy penyimpanan kunci eksternal Anda dapat berubah dengan pembaruan ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk informasi tentang perubahan ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.
|
-
Semua proxy penyimpanan kunci eksternal memerlukan sertifikat TLS. Sertifikat TLS harus dikeluarkan oleh otoritas sertifikat publik (CA) yang didukung untuk toko kunci eksternal. Untuk daftar dukungan CAs, lihat Otoritas Sertifikat Tepercaya
di Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal. -
Untuk konektivitas titik akhir publik, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama domain di titik akhir URI proxy untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalah https://myproxy.xks.example.com, TLS, CN pada sertifikat TLS harus atau.
myproxy.xks.example.com*.xks.example.com -
Untuk konektivitas layanan titik akhir VPC, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi untuk layanan titik akhir VPC Anda. Misalnya, jika nama DNS pribadi adalah myproxy-private.xks.example.com, CN pada sertifikat TLS harus atau.
myproxy-private.xks.example.com*.xks.example.com -
Sertifikat TLS tidak dapat kedaluwarsa. Untuk mendapatkan tanggal kedaluwarsa sertifikat TLS, gunakan alat SSL, seperti OpenSSL.
Untuk memantau tanggal kedaluwarsa sertifikat TLS yang terkait dengan penyimpanan kunci eksternal, gunakan metrik. XksProxyCertificateDaysToExpire CloudWatch Jumlah hari untuk tanggal kedaluwarsa sertifikasi TLS Anda juga muncul di bagian Pemantauan konsol. AWS KMS -
Jika Anda menggunakan konektivitas titik akhir publik, gunakan alat uji SSL untuk menguji konfigurasi SSL Anda. Kesalahan koneksi TLS dapat terjadi akibat rantai sertifikat yang salah.
Kesalahan konfigurasi konektivitas layanan titik akhir VPC
Pengecualian:XksProxyVpcEndpointServiceNotFoundException, XksProxyVpcEndpointServiceInvalidConfigurationException
Selain masalah konektivitas umum, Anda mungkin mengalami masalah berikut saat membuat, menghubungkan, atau memperbarui penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. AWS KMS menguji nilai properti penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC saat membuat, menghubungkan, dan memperbarui penyimpanan kunci eksternal. Ketika operasi manajemen gagal karena kesalahan konfigurasi, mereka menghasilkan pengecualian berikut:
| XksProxyVpcEndpointServiceNotFoundException |
Penyebabnya mungkin salah satu dari berikut ini:
-
Nama layanan titik akhir VPC yang salah. Verifikasi bahwa nama layanan titik akhir VPC untuk penyimpanan kunci eksternal sudah benar dan cocok dengan nilai titik akhir URI proxy untuk penyimpanan kunci eksternal. Untuk menemukan nama layanan titik akhir VPC, gunakan konsol VPC
Amazon atau operasinya. DescribeVpcEndpointServices Untuk menemukan nama layanan titik akhir VPC dan titik akhir URI proxy dari penyimpanan kunci eksternal yang ada, gunakan AWS KMS konsol atau operasi. DescribeCustomKeyStores Untuk detailnya, lihat Lihat toko kunci eksternal. -
Layanan titik akhir VPC mungkin berbeda Wilayah AWS dari penyimpanan kunci eksternal. Verifikasi bahwa layanan titik akhir VPC dan penyimpanan kunci eksternal berada di Wilayah yang sama. (Nama eksternal nama Wilayah, seperti, adalah bagian dari nama layanan titik akhir VPC
us-east-1, seperti com.amazonaws.vpce.us-east-1. vpce-svc-example.) Untuk daftar persyaratan layanan titik akhir VPC untuk penyimpanan kunci eksternal, lihat. Layanan titik akhir VPC Anda tidak dapat memindahkan layanan titik akhir VPC atau penyimpanan kunci eksternal ke Wilayah lain. Namun, Anda dapat membuat penyimpanan kunci eksternal baru di Wilayah yang sama dengan layanan titik akhir VPC. Untuk detailnya, lihat Konfigurasikan konektivitas layanan titik akhir VPC dan Buat toko kunci eksternal. -
AWS KMS bukan prinsipal yang diizinkan untuk layanan titik akhir VPC. Daftar Allow principals untuk layanan endpoint VPC harus menyertakan nilai, seperti.
cks.kms.<region>.amazonaws.com.rproxy.goskope.comcks.kms.Untuk petunjuk tentang menambahkan nilai ini, lihat Mengelola izin di AWS PrivateLink Panduan.eu-west-3.amazonaws.com
| XksProxyVpcEndpointServiceInvalidConfigurationException |
Kesalahan ini terjadi ketika layanan titik akhir VPC gagal memenuhi salah satu persyaratan berikut:
-
VPC membutuhkan setidaknya dua subnet pribadi, masing-masing di Availability Zone yang berbeda. Untuk bantuan menambahkan subnet ke VPC Anda, lihat Membuat subnet di VPC Anda di Panduan Pengguna Amazon VPC.
-
Jenis layanan titik akhir VPC Anda harus menggunakan penyeimbang beban jaringan, bukan penyeimbang beban gateway.
-
Penerimaan tidak harus diperlukan untuk layanan titik akhir VPC (Penerimaan yang diperlukan harus salah.). Jika penerimaan manual dari setiap permintaan koneksi diperlukan, AWS KMS tidak dapat menggunakan layanan titik akhir VPC untuk terhubung ke proxy penyimpanan kunci eksternal. Untuk detailnya, lihat Menerima atau menolak permintaan koneksi di AWS PrivateLink Panduan.
-
Layanan titik akhir VPC harus memiliki nama DNS pribadi yang merupakan subdomain dari domain publik. Misalnya, jika nama DNS pribadi adalah
https://myproxy-private.xks.example.com,example.comdomainxks.example.comatau harus memiliki server DNS publik. Untuk melihat atau mengubah nama DNS pribadi untuk layanan titik akhir VPC Anda, lihat Mengelola nama DNS untuk layanan titik akhir VPC di Panduan.AWS PrivateLink -
Status verifikasi Domain domain untuk nama DNS pribadi Anda harus
verified. Untuk melihat dan memperbarui status verifikasi domain nama DNS pribadi, lihatLangkah 5: Verifikasi domain nama DNS pribadi Anda. Mungkin perlu beberapa menit agar status verifikasi yang diperbarui muncul setelah Anda menambahkan catatan teks yang diperlukan.catatan
Domain DNS pribadi dapat diverifikasi hanya jika itu adalah subdomain dari domain publik. Jika tidak, status verifikasi domain DNS pribadi tidak berubah, bahkan setelah Anda menambahkan catatan TXT yang diperlukan.
-
Nama DNS pribadi dari layanan titik akhir VPC harus cocok dengan nilai titik akhir URI proxy untuk penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC, titik akhir URI proxy harus
https://diikuti dengan nama DNS pribadi dari layanan titik akhir VPC. Untuk melihat nilai titik akhir URI proxy, lihatLihat toko kunci eksternal. Untuk mengubah nilai titik akhir URI proxy, lihatEdit properti penyimpanan kunci eksternal.
Kesalahan koneksi penyimpanan kunci eksternal
Proses menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal membutuhkan waktu sekitar lima menit untuk menyelesaikannya. Kecuali gagal dengan cepat, ConnectCustomKeyStore operasi mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat status koneksinya. Jika koneksi gagal, status koneksi penyimpanan kunci eksternal berubah FAILED dan AWS KMS mengembalikan kode kesalahan koneksi yang menjelaskan penyebab kegagalan.
catatan
Ketika status koneksi penyimpanan kunci kustomFAILED, Anda harus memutuskan penyimpanan kunci khusus sebelum mencoba menghubungkannya kembali. Anda tidak dapat menghubungkan penyimpanan kunci kustom dengan status koneksi FAILED.
Untuk melihat status koneksi penyimpanan kunci eksternal:
-
Dalam DescribeCustomKeyStorestanggapannya, lihat nilai
ConnectionStateelemen. -
Di AWS KMS konsol, status koneksi muncul di tabel penyimpanan kunci eksternal. Juga, pada halaman detail untuk setiap penyimpanan kunci eksternal, status Koneksi muncul di bagian Konfigurasi umum.
Ketika status koneksiFAILED, kode kesalahan koneksi membantu menjelaskan kesalahan.
Untuk melihat kode kesalahan koneksi:
-
Dalam DescribeCustomKeyStorestanggapannya, lihat nilai
ConnectionErrorCodeelemen. Elemen ini muncul dalamDescribeCustomKeyStoresrespons hanya ketikaConnectionStateadaFAILED. -
Untuk melihat kode kesalahan koneksi di AWS KMS konsol, pada halaman detail untuk penyimpanan kunci eksternal dan arahkan kursor ke nilai Gagal.
Kode kesalahan koneksi untuk penyimpanan kunci eksternal
Kode kesalahan koneksi berikut berlaku untuk toko kunci eksternal
INTERNAL_ERROR-
AWS KMS tidak dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. Untuk permintaan
ConnectCustomKeyStore, putuskan koneksi penyimpanan kunci kustom sebelum mencoba menyambungkan lagi. INVALID_CREDENTIALS-
Salah satu atau kedua
XksProxyAuthenticationCredentialnilai tidak valid pada proxy penyimpanan kunci eksternal yang ditentukan. NETWORK_ERRORS-
Kesalahan jaringan AWS KMS mencegah menghubungkan toko kunci khusus ke toko kunci pendukungnya.
XKS_PROXY_ACCESS_DENIED-
AWS KMS permintaan ditolak akses ke proxy penyimpanan kunci eksternal. Jika proxy penyimpanan kunci eksternal memiliki aturan otorisasi, verifikasi bahwa mereka mengizinkan AWS KMS untuk berkomunikasi dengan proxy atas nama Anda.
XKS_PROXY_INVALID_CONFIGURATION-
Kesalahan konfigurasi mencegah penyimpanan kunci eksternal terhubung ke proksi. Verifikasi nilai
XksProxyUriPath. XKS_PROXY_INVALID_RESPONSE-
AWS KMS tidak dapat menafsirkan respons dari proxy penyimpanan kunci eksternal. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.
XKS_PROXY_INVALID_TLS_CONFIGURATION-
AWS KMS tidak dapat terhubung ke proxy penyimpanan kunci eksternal karena konfigurasi TLS tidak valid. Verifikasi bahwa proxy penyimpanan kunci eksternal mendukung TLS 1.2 atau 1.3. Juga, verifikasi bahwa sertifikat TLS tidak kedaluwarsa, bahwa itu cocok dengan nama host dalam
XksProxyUriEndpointnilai, dan bahwa itu ditandatangani oleh otoritas sertifikat tepercaya yang termasuk dalam daftar Otoritas Sertifikat Tepercaya. XKS_PROXY_NOT_REACHABLE-
AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Verifikasi bahwa
XksProxyUriEndpointXksProxyUriPathdan benar. Gunakan alat untuk proxy penyimpanan kunci eksternal Anda untuk memverifikasi bahwa proxy aktif dan tersedia di jaringannya. Juga, verifikasi bahwa instans pengelola kunci eksternal Anda beroperasi dengan benar. Upaya koneksi gagal dengan kode kesalahan koneksi ini jika proxy melaporkan bahwa semua instance pengelola kunci eksternal tidak tersedia. XKS_PROXY_TIMED_OUT-
AWS KMS dapat terhubung ke proxy penyimpanan kunci eksternal, tetapi proxy tidak merespons AWS KMS dalam waktu yang ditentukan. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.
XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION-
Konfigurasi layanan titik akhir Amazon VPC tidak sesuai dengan persyaratan untuk penyimpanan kunci eksternal AWS KMS .
-
Layanan titik akhir VPC harus berupa layanan titik akhir untuk titik akhir antarmuka di pemanggil. Akun AWS
-
Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.
-
Allow principalsDaftar harus mencakup kepala AWS KMS layanan untuk Wilayahcks.kms.<region>.amazonaws.com, seperticks.kms.us-east-1.amazonaws.com. -
Itu tidak boleh memerlukan penerimaan permintaan koneksi.
-
Itu harus memiliki nama DNS pribadi. Nama DNS pribadi untuk penyimpanan kunci eksternal dengan
VPC_ENDPOINT_SERVICEkonektivitas harus unik di dalamnya Wilayah AWS. -
Domain nama DNS pribadi harus memiliki status verifikasi.
verified -
Sertifikat TLS menentukan nama host DNS pribadi di mana titik akhir dapat dijangkau.
-
XKS_VPC_ENDPOINT_SERVICE_NOT_FOUNDAWS KMS tidak dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Verifikasi bahwa
XksProxyVpcEndpointServiceNameitu benar dan kepala AWS KMS layanan memiliki izin konsumen layanan di layanan titik akhir Amazon VPC.
Kesalahan latensi dan batas waktu
Pengecualian: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operasi kriptografi), XksProxyUriUnreachableException (operasi manajemen)
Kode kesalahan koneksi:XKS_PROXY_NOT_REACHABLE, XKS_PROXY_TIMED_OUT
Ketika tidak AWS KMS dapat menghubungi proxy dalam interval batas waktu 250 milidetik, ia mengembalikan pengecualian. CreateCustomKeyStoredan UpdateCustomKeyStore kembaliXksProxyUriUnreachableException. Operasi kriptografi mengembalikan standar KMSInvalidStateException dengan pesan kesalahan yang menjelaskan masalah. Jika ConnectCustomKeyStore gagal, AWS KMS mengembalikan kode kesalahan koneksi yang menjelaskan masalah.
Kesalahan batas waktu mungkin merupakan masalah sementara yang dapat diselesaikan dengan mencoba kembali permintaan. Jika masalah berlanjut, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan bahwa titik akhir URI proxy, jalur URI proxy, dan nama layanan titik akhir VPC (jika ada) sudah benar di penyimpanan kunci eksternal Anda. Juga, verifikasi bahwa manajer kunci eksternal Anda dekat dengan Wilayah AWS untuk penyimpanan kunci eksternal Anda. Jika Anda perlu memperbarui salah satu dari nilai-nilai ini, lihatEdit properti penyimpanan kunci eksternal.
Untuk melacak pola latensi, gunakan XksProxyLatency CloudWatch metrik dan grafik latensi rata-rata (berdasarkan metrik tersebut) di bagian AWS KMS Pemantauan konsol. Proxy penyimpanan kunci eksternal Anda mungkin juga menghasilkan log dan metrik yang melacak latensi dan batas waktu.
|
-
Proxy penyimpanan kunci eksternal tidak menanggapi permintaan API AWS KMS proxy dalam interval batas waktu 250 milidetik. Ini mungkin menunjukkan masalah jaringan sementara atau masalah operasional atau kinerja dengan proxy. Jika mencoba lagi tidak menyelesaikan masalah, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
Kesalahan latensi dan batas waktu sering bermanifestasi sebagai kegagalan koneksi. Ketika ConnectCustomKeyStoreoperasi gagal, status koneksi penyimpanan kunci eksternal berubah FAILED dan AWS KMS mengembalikan kode kesalahan koneksi yang menjelaskan kesalahan. Untuk daftar kode kesalahan koneksi dan saran untuk menyelesaikan kesalahan, lihatKode kesalahan koneksi untuk penyimpanan kunci eksternal. Daftar kode koneksi untuk Semua toko kunci khusus dan toko kunci eksternal berlaku untuk toko kunci eksternal. Kesalahan koneksi berikut terkait dengan latensi dan batas waktu.
-atau-
|
Kesalahan ini dapat terjadi karena alasan berikut:
-
Proxy penyimpanan kunci eksternal tidak aktif dan atau tidak terhubung ke jaringan.
-
Ada kesalahan pada titik akhir URI proxy, jalur URI proxy, atau nilai nama layanan titik akhir VPC (jika ada) dalam konfigurasi penyimpanan kunci eksternal. Untuk melihat konfigurasi penyimpanan kunci eksternal, gunakan DescribeCustomKeyStoresoperasi atau lihat halaman detail untuk penyimpanan kunci eksternal di AWS KMS konsol.
-
Mungkin ada kesalahan konfigurasi jaringan, seperti kesalahan port, pada jalur jaringan antara AWS KMS dan proxy penyimpanan kunci eksternal. AWS KMS berkomunikasi dengan proxy penyimpanan kunci eksternal pada port 443. Nilai ini tidak dapat dikonfigurasi.
-
Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai GetHealthStatustanggapan) bahwa semua instance pengelola kunci eksternal berada
UNAVAILABLE, ConnectCustomKeyStoreoperasi gagal dengan aConnectionErrorCode.XKS_PROXY_NOT_REACHABLEUntuk bantuan, lihat dokumentasi pengelola kunci eksternal Anda. -
Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan Wilayah AWS dengan penyimpanan kunci eksternal. Latensi ping (network round-trip time (RTT)) antara manajer kunci eksternal Wilayah AWS dan eksternal tidak boleh lebih dari 35 milidetik. Anda mungkin harus membuat penyimpanan kunci eksternal di Wilayah AWS yang lebih dekat dengan pengelola kunci eksternal, atau memindahkan manajer kunci eksternal ke pusat data yang lebih dekat ke Wilayah AWS.
-atau-
|
Kesalahan ini dapat terjadi karena alasan berikut:
-
Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.
-
Kesalahan batas waktu dapat terjadi ketika proxy tidak dirancang untuk menangani volume dan frekuensi permintaan dari AWS KMS. Jika CloudWatch metrik Anda menunjukkan masalah terus-menerus, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
-
Kesalahan batas waktu dapat terjadi ketika koneksi antara pengelola kunci eksternal dan VPC Amazon untuk penyimpanan kunci eksternal tidak beroperasi dengan benar. Jika Anda menggunakan AWS Direct Connect, verifikasi bahwa VPC dan pengelola kunci eksternal Anda dapat berkomunikasi secara efektif. Untuk bantuan menyelesaikan masalah apa pun, lihat Pemecahan Masalah AWS Direct Connect di Panduan Pengguna. AWS Direct Connect
-atau-
|
-
Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.
Kesalahan kredensi otentikasi
Pengecualian: CustomKeyStoreInvalidStateException (CreateKey), KMSInvalidStateException (operasi kriptografi), XksProxyIncorrectAuthenticationCredentialException (operasi manajemen selain) CreateKey
Anda membuat dan memelihara kredensi otentikasi untuk AWS KMS proxy penyimpanan kunci eksternal Anda. Kemudian Anda memberi tahu AWS KMS nilai kredensialnya saat Anda membuat penyimpanan kunci eksternal. Untuk mengubah kredensi otentikasi, lakukan perubahan pada proxy penyimpanan kunci eksternal Anda. Kemudian perbarui kredensi untuk toko kunci eksternal Anda. Jika proxy Anda memutar kredensi, Anda harus memperbarui kredensi untuk penyimpanan kunci eksternal Anda.
Jika proxy penyimpanan kunci eksternal tidak akan mengautentikasi permintaan yang ditandatangani dengan kredensi otentikasi proxy untuk penyimpanan kunci eksternal Anda, efeknya bergantung pada permintaan:
-
CreateCustomKeyStoredanUpdateCustomKeyStoregagal dengan sebuahXksProxyIncorrectAuthenticationCredentialException. -
ConnectCustomKeyStoreberhasil, tetapi koneksi gagal. Status koneksi adalahFAILEDdan kode kesalahan koneksi adalahINVALID_CREDENTIALS. Untuk detailnya, lihat Kesalahan koneksi penyimpanan kunci eksternal. -
Operasi kriptografi kembali
KMSInvalidStateExceptionuntuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Pesan kesalahan yang menyertainya menjelaskan masalah.
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat mengautentikasi. AWS KMS Verifikasi kredensyal untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu. |
Kesalahan ini dapat terjadi karena alasan berikut:
-
ID kunci akses atau kunci akses rahasia untuk penyimpanan kunci eksternal tidak cocok dengan nilai yang ditetapkan pada proxy penyimpanan kunci eksternal.
Untuk memperbaiki kesalahan ini, perbarui kredensi otentikasi proxy untuk penyimpanan kunci eksternal Anda. Anda dapat membuat perubahan ini tanpa memutuskan penyimpanan kunci eksternal Anda.
-
Proxy terbalik antara AWS KMS dan proxy penyimpanan kunci eksternal dapat memanipulasi header HTTP dengan cara yang membatalkan tanda tangan SigV4. Untuk memperbaiki kesalahan ini, beri tahu administrator proxy Anda.
Kesalahan status kunci
Pengecualian: KMSInvalidStateException
KMSInvalidStateExceptiondigunakan untuk dua tujuan berbeda untuk kunci KMS di toko kunci kustom.
-
Ketika operasi manajemen, seperti
CancelKeyDeletion, gagal dan mengembalikan pengecualian ini, ini menunjukkan bahwa status kunci dari kunci KMS tidak kompatibel dengan operasi. -
Ketika operasi kriptografi pada kunci KMS di toko kunci kustom gagal
KMSInvalidStateException, itu dapat menunjukkan masalah dengan status kunci dari kunci KMS. Tetapi operasi AWS KMS kriptografi kembaliKMSInvalidStateExceptionuntuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan pesan kesalahan yang menyertai pengecualian.
Untuk menemukan status kunci yang diperlukan untuk operasi AWS KMS API, lihatStatus AWS KMS kunci kunci. Untuk menemukan status kunci kunci KMS, pada halaman Kunci yang dikelola Pelanggan, lihat bidang Status kunci KMS. Atau, gunakan DescribeKeyoperasi dan lihat KeyState elemen dalam respons. Untuk detailnya, lihat Identifikasi dan lihat kunci.
catatan
Status kunci dari kunci KMS di penyimpanan kunci eksternal tidak menunjukkan apa pun tentang status kunci eksternal yang terkait. Untuk informasi tentang status kunci eksternal, gunakan pengelola kunci eksternal dan alat proxy penyimpanan kunci eksternal.
CustomKeyStoreInvalidStateExceptionIni mengacu pada keadaan koneksi penyimpanan kunci eksternal, bukan status kunci dari kunci KMS.
Operasi kriptografi pada kunci KMS di toko kustom mungkin gagal karena status kunci dari kunci KMS adalah atau. Unavailable PendingDeletion (Kunci dinonaktifkan kembaliDisabledException.)
-
Kunci KMS memiliki status
Disabledkunci hanya ketika Anda sengaja menonaktifkan kunci KMS di AWS KMS konsol atau dengan menggunakan operasi. DisableKey Sementara kunci KMS dinonaktifkan, Anda dapat melihat dan mengelola kunci, tetapi Anda tidak dapat menggunakannya dalam operasi kriptografi. Untuk memperbaiki masalah ini, aktifkan kuncinya. Untuk detailnya, lihat Aktifkan dan nonaktifkan kunci. -
Kunci KMS memiliki status
Unavailablekunci ketika penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal. Untuk memperbaiki kunci KMS yang tidak tersedia, sambungkan kembali penyimpanan kunci eksternal. Setelah penyimpanan kunci eksternal terhubung kembali, status kunci kunci KMS di penyimpanan kunci eksternal secara otomatis dikembalikan ke keadaan sebelumnya, sepertiEnabledatau.DisabledKunci KMS memiliki status
PendingDeletionkunci ketika telah dijadwalkan untuk dihapus dan sedang dalam masa tunggu. Kesalahan status kunci pada kunci KMS yang tertunda penghapusan menunjukkan bahwa kunci tidak boleh dihapus, baik karena sedang digunakan untuk enkripsi, atau diperlukan untuk dekripsi. Untuk mengaktifkan kembali kunci KMS, batalkan penghapusan terjadwal, dan kemudian aktifkan kunci. Untuk detailnya, lihat Jadwalkan penghapusan kunci.
Kesalahan dekripsi
Pengecualian: KMSInvalidStateException
Ketika operasi Dekripsi dengan kunci KMS di penyimpanan kunci eksternal gagal, AWS KMS mengembalikan standar KMSInvalidStateException yang digunakan operasi kriptografi untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi pada penyimpanan kunci eksternal. Pesan kesalahan menunjukkan masalah.
Untuk mendekripsi ciphertext yang dienkripsi menggunakan enkripsi ganda, manajer kunci eksternal pertama menggunakan kunci eksternal untuk mendekripsi lapisan luar ciphertext. Kemudian AWS KMS gunakan bahan AWS KMS kunci dalam kunci KMS untuk mendekripsi lapisan dalam ciphertext. Ciphertext yang tidak valid atau rusak dapat ditolak oleh manajer kunci eksternal atau. AWS KMS
Pesan kesalahan berikut menyertai KMSInvalidStateException ketika dekripsi gagal. Ini menunjukkan masalah dengan ciphertext atau konteks enkripsi opsional dalam permintaan.
| Proxy penyimpanan kunci eksternal menolak permintaan karena ciphertext yang ditentukan atau data tambahan yang diautentikasi rusak, hilang, atau tidak valid. |
-
Ketika proxy penyimpanan kunci eksternal atau pengelola kunci eksternal melaporkan bahwa ciphertext atau konteks enkripsi tidak valid, biasanya menunjukkan masalah dengan ciphertext atau konteks enkripsi dalam permintaan yang dikirim ke.
DecryptAWS KMS UntukDecryptoperasi, AWS KMS kirimkan proxy ciphertext dan konteks enkripsi yang sama yang diterimanya dalam permintaan.DecryptKesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi
Decryptpermintaannya. Jika masalah berlanjut, verifikasi bahwa ciphertext tidak diubah atau rusak. Juga, verifikasi bahwa konteks enkripsi dalamDecryptpermintaan untuk AWS KMS mencocokkan konteks enkripsi dalam permintaan yang mengenkripsi data.
| Ciphertext yang dikirimkan proxy penyimpanan kunci eksternal untuk dekripsi, atau konteks enkripsi, rusak, hilang, atau tidak valid. |
-
Ketika AWS KMS menolak ciphertext yang diterima dari proxy, ini menunjukkan bahwa manajer kunci eksternal atau proxy mengembalikan ciphertext yang tidak valid atau rusak ke. AWS KMS
Kesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi
Decryptpermintaannya. Jika masalah berlanjut, verifikasi bahwa pengelola kunci eksternal beroperasi dengan benar, dan bahwa proxy penyimpanan kunci eksternal tidak mengubah ciphertext yang diterimanya dari pengelola kunci eksternal sebelum mengembalikannya. AWS KMS
Kesalahan kunci eksternal
Kunci eksternal adalah kunci kriptografi di manajer kunci eksternal yang berfungsi sebagai bahan kunci eksternal untuk kunci KMS. AWS KMS tidak dapat langsung mengakses kunci eksternal. Ini harus meminta manajer kunci eksternal (melalui proxy penyimpanan kunci eksternal) untuk menggunakan kunci eksternal untuk mengenkripsi data atau mendekripsi ciphertext.
Anda menentukan ID kunci eksternal di pengelola kunci eksternal ketika Anda membuat kunci KMS di penyimpanan kunci eksternal Anda. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Untuk mencegah masalah dengan kunci KMS, CreateKey operasi meminta proxy penyimpanan kunci eksternal untuk memverifikasi ID dan konfigurasi kunci eksternal. Jika kunci eksternal tidak memenuhi persyaratan untuk digunakan dengan kunci KMS, CreateKey operasi gagal dengan pengecualian dan pesan kesalahan yang mengidentifikasi masalah.
Namun, masalah dapat terjadi setelah kunci KMS dibuat. Jika operasi kriptografi gagal karena masalah dengan kunci eksternal, operasi gagal dan mengembalikan pesan kesalahan yang menunjukkan masalah. KMSInvalidStateException
CreateKey kesalahan untuk kunci eksternal
Pengecualian:XksKeyAlreadyInUseException,, XksKeyNotFoundException XksKeyInvalidConfigurationException
CreateKeyOperasi mencoba memverifikasi ID dan properti kunci eksternal yang Anda berikan di parameter ID kunci Eksternal (konsol) atau XksKeyId (API). Praktik ini dirancang untuk mendeteksi kesalahan lebih awal sebelum Anda mencoba menggunakan kunci eksternal dengan kunci KMS.
Kunci eksternal digunakan
Setiap kunci KMS di toko kunci eksternal harus menggunakan kunci eksternal yang berbeda. Ketika CreateKey mengenali bahwa ID kunci eksternal (XksKeyId) untuk kunci KMS tidak unik di penyimpanan kunci eksternal, gagal dengan file. XksKeyAlreadyInUseException
Jika Anda menggunakan beberapa IDs untuk kunci eksternal yang sama, tidak CreateKey akan mengenali duplikat. Namun, kunci KMS dengan kunci eksternal yang sama tidak dapat dioperasikan karena memiliki bahan AWS KMS kunci dan metadata yang berbeda.
Kunci eksternal tidak ditemukan
Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, CreateKey operasi gagal dan kembali XksKeyNotFoundException dengan pesan kesalahan berikut.
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. |
Kesalahan ini dapat terjadi karena alasan berikut:
-
ID kunci eksternal (
XksKeyId) untuk kunci KMS mungkin tidak valid. Untuk menemukan ID untuk proxy kunci eksternal yang digunakan untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal Anda. -
Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, gunakan kunci eksternal yang berbeda dengan tombol KMS. Untuk daftar atau persyaratan untuk kunci eksternal, lihatPersyaratan untuk kunci KMS di toko kunci eksternal.
Persyaratan kunci eksternal tidak terpenuhi
Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak memenuhi persyaratan untuk digunakan dengan kunci KMS, CreateKey operasi gagal dan kembali XksKeyInvalidConfigurationException dengan salah satu pesan kesalahan berikut.
Spesifikasi kunci dari kunci eksternal harus AES_256. Spesifikasi kunci dari kunci eksternal yang ditentukan adalah<key-spec>. |
-
Kunci eksternal harus berupa kunci enkripsi simetris 256-bit dengan spesifikasi kunci AES_256. Jika kunci eksternal yang ditentukan adalah tipe yang berbeda, tentukan ID kunci eksternal yang memenuhi persyaratan ini.
Status kunci eksternal harus DIAKTIFKAN. Status kunci eksternal yang ditentukan adalah<status>. |
-
Kunci eksternal harus diaktifkan di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak diaktifkan, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya, atau tentukan kunci eksternal yang diaktifkan.
Penggunaan kunci dari kunci eksternal harus mencakup ENKRIPSI dan DEKRIPSI. Penggunaan kunci dari kunci eksternal yang ditentukan adalah < key-usage >. |
-
Kunci eksternal harus dikonfigurasi untuk enkripsi dan dekripsi di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak menyertakan operasi ini, gunakan alat pengelola kunci eksternal Anda untuk mengubah operasi, atau tentukan kunci eksternal yang berbeda.
Kesalahan operasi kriptografi untuk kunci eksternal
Pengecualian: KMSInvalidStateException
Ketika proxy penyimpanan kunci eksternal tidak dapat menemukan kunci eksternal yang terkait dengan kunci KMS, atau kunci eksternal tidak memenuhi persyaratan untuk digunakan dengan kunci KMS, operasi kriptografi gagal.
Masalah kunci eksternal yang terdeteksi selama operasi kriptografi lebih sulit diselesaikan daripada masalah kunci eksternal yang terdeteksi sebelum membuat kunci KMS. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Jika kunci KMS belum mengenkripsi data apa pun, Anda dapat menghapus kunci KMS dan membuat yang baru dengan ID kunci eksternal yang berbeda. Namun, ciphertext yang dihasilkan dengan kunci KMS tidak dapat didekripsi oleh kunci KMS lainnya, bahkan yang memiliki kunci eksternal yang sama, karena kunci akan memiliki metadata kunci yang berbeda dan bahan kunci yang berbeda. AWS KMS Sebagai gantinya, sejauh mungkin, gunakan alat pengelola kunci eksternal Anda untuk menyelesaikan masalah dengan kunci eksternal.
Ketika proxy penyimpanan kunci eksternal melaporkan masalah dengan kunci eksternal, operasi kriptografi kembali KMSInvalidStateException dengan pesan kesalahan yang mengidentifikasi masalah.
Kunci eksternal tidak ditemukan
Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, operasi kriptografi mengembalikan a KMSInvalidStateException dengan pesan kesalahan berikut.
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. |
Kesalahan ini dapat terjadi karena alasan berikut:
-
ID kunci eksternal (
XksKeyId) untuk kunci KMS tidak lagi valid.Untuk menemukan ID kunci eksternal yang terkait dengan kunci KMS Anda, lihat detail kunci KMS. Untuk menemukan ID yang digunakan proxy kunci eksternal untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal.
AWS KMS memverifikasi ID kunci eksternal saat membuat kunci KMS di toko kunci eksternal. Namun, ID mungkin menjadi tidak valid, terutama jika nilai ID kunci eksternal adalah alias atau nama yang bisa berubah. Anda tidak dapat mengubah ID kunci eksternal yang terkait dengan kunci KMS yang ada. Untuk mendekripsi ciphertext apa pun yang dienkripsi di bawah kunci KMS, Anda harus mengaitkan kembali kunci eksternal dengan ID kunci eksternal yang ada.
Jika Anda belum menggunakan kunci KMS untuk mengenkripsi data, Anda dapat membuat kunci KMS baru dengan ID kunci eksternal yang valid. Namun, jika Anda telah membuat ciphertext dengan kunci KMS, Anda tidak dapat menggunakan kunci KMS lain untuk mendekripsi ciphertext, bahkan jika menggunakan kunci eksternal yang sama.
-
Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika memungkinkan, cobalah untuk memulihkan materi kunci dari salinan atau cadangan manajer kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, setiap ciphertext yang dienkripsi di bawah kunci KMS terkait tidak dapat dipulihkan.
Kesalahan konfigurasi kunci eksternal
Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak memenuhi persyaratan untuk digunakan dengan kunci KMS, operasi kriptografi kembali KMSInvalidStateException dengan salah satu pesan kesalahan berikut.
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak mendukung operasi yang diminta. |
-
Kunci eksternal harus mendukung enkripsi dan dekripsi. Jika penggunaan kunci tidak termasuk enkripsi dan dekripsi, gunakan alat pengelola kunci eksternal Anda untuk mengubah penggunaan kunci.
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak diaktifkan di pengelola kunci eksternal. |
-
Kunci eksternal harus diaktifkan dan tersedia untuk digunakan di pengelola kunci eksternal. Jika status kunci eksternal tidak
Enabled, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya.
Masalah proxy
Pengecualian:
CustomKeyStoreInvalidStateException(CreateKey), KMSInvalidStateException (operasi kriptografi),UnsupportedOperationException,XksProxyUriUnreachableException, XksProxyInvalidResponseException (operasi manajemen selainCreateKey)
Proxy penyimpanan kunci eksternal memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal. Ini menerjemahkan AWS KMS permintaan generik ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda. Jika proxy penyimpanan kunci eksternal tidak sesuai dengan Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal
Sementara banyak kesalahan menyebutkan proxy penyimpanan kunci eksternal karena peran pentingnya dalam arsitektur penyimpanan kunci eksternal, masalah tersebut mungkin berasal dari manajer kunci eksternal atau kunci eksternal.
Masalah di bagian ini berhubungan dengan masalah dengan desain atau pengoperasian proxy penyimpanan kunci eksternal. Menyelesaikan masalah ini mungkin memerlukan perubahan pada perangkat lunak proxy. Konsultasikan dengan administrator proxy Anda. Untuk membantu mendiagnosis masalah proxy, AWS KMS
berikan XKS Proxy Text Client
|
-
Kesalahan ini dapat menunjukkan masalah operasional atau kesalahan perangkat lunak di proxy penyimpanan kunci eksternal. Anda dapat menemukan entri CloudTrail log untuk operasi AWS KMS API yang menghasilkan setiap kesalahan. Kesalahan ini dapat diatasi dengan mencoba kembali operasi. Namun, jika tetap ada, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
-
Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai GetHealthStatustanggapan) bahwa semua instance pengelola kunci eksternal berada
UNAVAILABLE, upaya untuk membuat atau memperbarui penyimpanan kunci eksternal gagal dengan pengecualian ini. Jika kesalahan ini berlanjut, lihat dokumentasi pengelola kunci eksternal Anda.
|
-
AWS KMS operasi menghasilkan pengecualian ini ketika proxy mengembalikan respons yang tidak ditentukan yang tidak AWS KMS dapat mengurai atau menafsirkan. Kesalahan ini mungkin terjadi sesekali karena masalah eksternal sementara atau kesalahan jaringan sporadis. Namun, jika tetap ada, ini mungkin menunjukkan bahwa proxy penyimpanan kunci eksternal tidak sesuai dengan Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal
. Beri tahu administrator atau vendor toko kunci eksternal Anda.
|
Proxy penyimpanan kunci eksternal menolak permintaan karena tidak mendukung operasi kriptografi yang diminta. |
-
Proxy penyimpanan kunci eksternal harus mendukung semua proxy yang APIs ditentukan dalam Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal
. Kesalahan ini menunjukkan bahwa proxy tidak mendukung operasi yang terkait dengan permintaan. Beri tahu administrator atau vendor toko kunci eksternal Anda.
Masalah otorisasi proxy
Pengecualian:CustomKeyStoreInvalidStateException, KMSInvalidStateException
Beberapa proxy penyimpanan kunci eksternal menerapkan persyaratan otorisasi untuk penggunaan kunci eksternalnya. Proxy penyimpanan kunci eksternal diizinkan, tetapi tidak diperlukan, untuk merancang dan mengimplementasikan skema otorisasi yang memungkinkan pengguna tertentu untuk meminta operasi tertentu dalam kondisi tertentu. Misalnya, proxy mungkin memungkinkan pengguna untuk mengenkripsi dengan kunci eksternal tertentu, tetapi tidak untuk mendekripsi dengannya. Untuk informasi selengkapnya, lihat Otorisasi proxy penyimpanan kunci eksternal (opsional).
Otorisasi proxy didasarkan pada metadata yang AWS KMS termasuk dalam permintaannya ke proxy. awsSourceVpceBidang awsSourceVpc dan disertakan dalam metadata hanya jika permintaan berasal dari titik akhir VPC dan hanya ketika pemanggil berada di akun yang sama dengan kunci KMS.
"requestMetadata": { "awsPrincipalArn": string, "awsSourceVpc": string, // optional "awsSourceVpce": string, // optional "kmsKeyArn": string, "kmsOperation": string, "kmsRequestId": string, "kmsViaService": string // optional }
Ketika proxy menolak permintaan karena kegagalan otorisasi, AWS KMS
operasi terkait gagal. CreateKeykembaliCustomKeyStoreInvalidStateException. AWS KMS operasi kriptografi kembaliKMSInvalidStateException. Keduanya menggunakan pesan kesalahan berikut:
| Proxy penyimpanan kunci eksternal menolak akses ke operasi. Verifikasi bahwa pengguna dan kunci eksternal keduanya berwenang untuk operasi ini, dan coba permintaan lagi. |
-
Untuk mengatasi kesalahan, gunakan pengelola kunci eksternal atau alat proxy penyimpanan kunci eksternal untuk menentukan mengapa otorisasi gagal. Kemudian, perbarui prosedur yang menyebabkan permintaan tidak sah atau gunakan alat proxy penyimpanan kunci eksternal Anda untuk memperbarui kebijakan otorisasi. Anda tidak dapat menyelesaikan kesalahan ini di AWS KMS.
