Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Negozi chiave
<a name="key-store-overview"></a>

Un *archivio di chiavi* è un luogo sicuro per l'archiviazione e l'utilizzo di chiavi crittografiche. L'archivio chiavi predefinito in supporta AWS KMS anche metodi per la generazione e la gestione delle chiavi che memorizza. Per impostazione predefinita, il materiale delle chiavi crittografiche utilizzato per la AWS KMS keys creazione AWS KMS viene generato e protetto da moduli di sicurezza hardware (HSMs) che sono il programma di convalida dei moduli [crittografici FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Il materiale chiave per le tue chiavi KMS non esce mai non crittografato. HSMs 

AWS KMS supporta diversi tipi di archivi di chiavi per proteggere il materiale chiave utilizzato AWS KMS per creare e gestire le chiavi di crittografia. Tutte le opzioni di archiviazione delle chiavi fornite da AWS KMS sono continuamente convalidate secondo FIPS 140-3 al livello di sicurezza 3 e sono progettate per impedire a chiunque, compresi AWS gli operatori, di accedere alle chiavi in chiaro o di utilizzarle senza l'autorizzazione dell'utente.

## AWS KMS archivio chiavi standard
<a name="default-key-store"></a>

Per impostazione predefinita, una chiave KMS viene creata utilizzando lo standard AWS KMS HSM. Questo tipo di HSM può essere considerato come una flotta multi-tenant HSMs che consente l'archiviazione di chiavi più scalabile, più economica e più semplice da gestire dal punto di vista dell'utente. Se state creando una chiave KMS da utilizzare all'interno di una o più chiavi in Servizi AWS modo che il servizio possa crittografare i dati per vostro conto, creerete una chiave simmetrica. Se utilizzi una chiave KMS per la progettazione della tua applicazione, puoi scegliere di creare una chiave di crittografia simmetrica, una chiave asimmetrica o una chiave HMAC.

Nell'opzione di archiviazione delle chiavi standard, AWS KMS crea la chiave, quindi la crittografa utilizzando chiavi gestite internamente dal servizio. Più copie delle versioni crittografate delle chiavi vengono quindi archiviate in sistemi progettati per durare a lungo. La generazione e la protezione del materiale chiave nel tipo di archivio chiavi standard consente di sfruttare appieno la scalabilità, la disponibilità e la durata AWS KMS con il minor onere operativo e il costo degli archivi di AWS chiavi.

## AWS KMS archivio chiavi standard con materiale chiave importato
<a name="imported-key-material"></a>

Invece di richiedere AWS KMS di generare e archiviare le uniche copie di una determinata chiave, puoi scegliere di importare il materiale chiave in cui generare la tua chiave di crittografia simmetrica a 256 bit AWS KMS, la chiave RSA o a curva ellittica (ECC) o la chiave HMAC (Hash-Based Message Authentication Code) e applicarla a un identificatore di chiave KMS (KeyID). Questa operazione viene talvolta denominata *Bring your own key* (BYOK). Il materiale chiave importato dal sistema di gestione delle chiavi locale deve essere protetto utilizzando una chiave pubblica emessa da AWS KMS, un algoritmo di wrapping crittografico supportato e un token di importazione basato sul tempo fornito da. AWS KMS Questo processo verifica che la chiave crittografata importata possa essere decrittografata da un AWS KMS HSM solo dopo aver lasciato l'ambiente.

Il materiale chiave importato può essere utile se avete requisiti specifici relativi al sistema che genera le chiavi o se desiderate una copia della chiave non utilizzata come backup. AWS Tieni presente che sei responsabile della disponibilità e della durabilità complessive di un materiale chiave importato. Sebbene AWS KMS disponga di una copia della chiave importata e rimanga sempre disponibile finché ne avrai bisogno, le chiavi importate offrono un'API speciale per l'eliminazione: DeleteImportedKeyMaterial. Questa API eliminerà immediatamente tutte le copie del materiale chiave importato in AWS KMS suo possesso, senza alcuna possibilità AWS di recupero della chiave. Inoltre, puoi impostare una data di scadenza per una chiave importata, dopo la quale la chiave sarà inutilizzabile. Per rendere nuovamente utile la chiave AWS KMS, sarà necessario reimportare il materiale chiave e assegnarlo allo stesso KeyID. Questa azione di eliminazione delle chiavi importate è diversa dalle chiavi standard che vengono AWS KMS generate e archiviate per conto dell'utente. Nel caso standard, il processo di eliminazione delle chiavi prevede un periodo di attesa obbligatorio durante il quale viene inizialmente bloccato l'utilizzo di una chiave programmata per l'eliminazione. Questa azione consente di visualizzare gli errori di accesso negato nei registri di qualsiasi applicazione o AWS servizio che potrebbe aver bisogno di quella chiave per accedere ai dati. Se visualizzi tali richieste di accesso, puoi scegliere di annullare l'eliminazione pianificata e riattivare la chiave. Dopo un periodo di attesa configurabile (tra 7 e 30 giorni), solo allora KMS eliminerà effettivamente il materiale chiave, il KeyID e tutti i metadati associati alla chiave. *Per ulteriori informazioni sulla disponibilità e la durabilità, consulta la sezione [Protezione del materiale chiave importato](import-keys-protect.md) nella Guida per gli sviluppatori.AWS KMS *

Esistono alcune limitazioni aggiuntive relative al materiale chiave importato di cui tenere conto. Poiché AWS KMS non è possibile generare nuovo materiale chiave, non è possibile configurare la rotazione automatica delle chiavi importate. Dovrai creare una nuova chiave KMS con un nuovo KeyID, quindi importare nuovo materiale chiave per ottenere una rotazione efficace. Inoltre, i testi cifrati creati AWS KMS con una chiave simmetrica importata non possono essere facilmente decrittografati utilizzando la copia locale della chiave esterna a. AWS Questo perché il formato di crittografia autenticato utilizzato da AWS KMS aggiunge metadati aggiuntivi al testo cifrato per garantire, durante l'operazione di decrittografia, che il testo cifrato sia stato creato dalla chiave KMS prevista nell'ambito di una precedente operazione di crittografia. La maggior parte dei sistemi crittografici esterni non è in grado di analizzare questi metadati per accedere al testo cifrato non elaborato e utilizzare la propria copia di una chiave simmetrica. I testi cifrati creati con chiavi asimmetriche importate (ad esempio RSA o ECC) possono essere utilizzati al di fuori della parte corrispondente (pubblica o privata) della AWS KMS chiave perché non vi sono metadati aggiuntivi aggiunti al testo cifrato. AWS KMS 

## AWS KMS archivi di chiavi personalizzati
<a name="custom-key-store-overview"></a>

Tuttavia, se è necessario un controllo ancora maggiore di HSMs, è possibile creare un archivio chiavi personalizzato.

Un *archivio chiavi personalizzato* è un archivio chiavi interno AWS KMS supportato da un gestore di chiavi esterno AWS KMS, di cui l'utente è proprietario e responsabile. Gli archivi di chiavi personalizzati combinano la comoda e completa interfaccia di gestione delle chiavi AWS KMS con la capacità di possedere e controllare il materiale chiave e le operazioni crittografiche. Quando utilizzi una chiave KMS in un archivio delle chiavi personalizzate, le operazioni di crittografia vengono eseguite dal gestore delle chiavi tramite le chiavi crittografiche. Di conseguenza, l'utente si assume maggiori responsabilità per la disponibilità e la durabilità delle chiavi crittografiche e per il funzionamento di. HSMs 

Possederne uno HSMs può essere utile per soddisfare determinati requisiti normativi che non consentono ancora ai servizi web multi-tenant, come l'archivio di chiavi KMS standard, di conservare le chiavi crittografiche. Gli archivi di chiavi personalizzati non sono più sicuri degli archivi di chiavi KMS che utilizzano AWS-managed HSMs, ma hanno implicazioni di gestione e costi diverse (e maggiori). Di conseguenza, l'utente si assume maggiori responsabilità per la disponibilità e la durabilità delle chiavi crittografiche e per il funzionamento di. HSMs Indipendentemente dal fatto che si utilizzi l'archivio chiavi standard con AWS KMS HSMs o un archivio chiavi personalizzato, il servizio è progettato in modo che nessuno, compresi AWS i dipendenti, possa recuperare le chiavi in testo normale o utilizzarle senza la tua autorizzazione. AWS KMS supporta due tipi di archivi chiavi personalizzati, archivi AWS CloudHSM chiavi e archivi chiavi esterni.

**Caratteristiche non supportate**

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.
+ [Chiavi KMS asimmetriche](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ [Chiavi KMS con materiale della chiave importato](importing-keys.md)
+ [Rotazione automatica delle chiavi](rotate-keys.md)
+ [Chiavi multi-regione](multi-region-keys-overview.md)

### AWS CloudHSM archivio chiavi
<a name="hsm-store"></a>

 Puoi creare una chiave KMS in un [AWS CloudHSM](https://aws.amazon.com/kms/pricing/)key store, dove le chiavi utente root vengono generate, archiviate e utilizzate in un AWS CloudHSM cluster di tua proprietà e gestione. Le richieste AWS KMS di utilizzo di una chiave per alcune operazioni di crittografia vengono inoltrate al AWS CloudHSM cluster per eseguire l'operazione. Sebbene un AWS CloudHSM cluster sia ospitato da AWS, si tratta di una soluzione single-tenant gestita e gestita direttamente dall'utente. Sei proprietario di gran parte della disponibilità e delle prestazioni delle chiavi KMS in un cluster. AWS CloudHSM Per vedere se un archivio chiavi AWS CloudHSM personalizzato è adatto alle tue esigenze, leggi [Gli archivi di chiavi AWS KMS personalizzati sono adatti a te?](https://aws.amazon.com/blogs/security/are-kms-custom-key-stores-right-for-you/) sul blog sulla AWS sicurezza.

### Archivio delle chiavi esterne
<a name="external-store"></a>

 È possibile AWS KMS configurare l'utilizzo di un External Key Store (XKS), in cui le chiavi utente root vengono generate, archiviate e utilizzate in un sistema di gestione delle chiavi esterno a. Cloud AWS Le richieste di utilizzo AWS KMS di una chiave per alcune operazioni di crittografia vengono inoltrate al sistema ospitato esternamente per eseguire l'operazione. In particolare, le richieste vengono inoltrate a un proxy XKS nella rete, che quindi inoltra la richiesta al sistema crittografico utilizzato. Il proxy XKS è una specifica open source con cui chiunque può integrarsi. Molti fornitori commerciali di gestione delle chiavi supportano la specifica XKS Proxy. Poiché un archivio di chiavi esterno è ospitato dall'utente o da terze parti, l'utente possiede tutta la disponibilità, la durata e le prestazioni delle chiavi del sistema. Per vedere se un External Key Store è adatto alle tue esigenze, leggi [Announcing AWS KMS External Key Store (XKS)](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) sul blog AWS News.

# AWS CloudHSM negozi chiave
<a name="keystore-cloudhsm"></a>

Un AWS CloudHSM key store è un [archivio di chiavi personalizzato](key-store-overview.md#custom-key-store-overview) supportato da un [AWS CloudHSM cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Quando ne crei uno AWS KMS key in un archivio di chiavi personalizzato, AWS KMS genera e archivia materiale chiave non estraibile per la chiave KMS in un AWS CloudHSM cluster di tua proprietà e gestione. Quando utilizzi una chiave KMS in un archivio di chiavi personalizzato, le [operazioni crittografiche](manage-cmk-keystore.md#use-cmk-keystore) vengono eseguite nel cluster. HSMs Questa funzionalità combina la praticità e l'ampia integrazione di AWS KMS con il controllo aggiuntivo di un AWS CloudHSM cluster nel tuo. Account AWS

AWS KMS fornisce supporto completo per console e API per la creazione, l'utilizzo e la gestione degli archivi di chiavi personalizzati. È possibile utilizzare le chiavi KMS nell'archivio delle chiavi personalizzate nello stesso modo in cui si utilizza qualsiasi chiave KMS. Ad esempio, puoi utilizzare le chiavi KMS per generare chiavi di dati ed effettuare la crittografia dei dati. Puoi anche utilizzare le chiavi KMS nel tuo archivio chiavi personalizzato con AWS servizi che supportano le chiavi gestite dai clienti.

**È necessario uno store di chiavi personalizzato?**

Per la maggior parte degli utenti, l'archivio di AWS KMS chiavi predefinito, protetto da [moduli crittografici convalidati FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), soddisfa i requisiti di sicurezza. Non è richiesto un livello supplementare di responsabilità per la manutenzione o la dipendenza da un ulteriore servizio. 

Tuttavia, è possibile prendere in considerazione la creazione di uno store di chiavi personalizzato qualora l'organizzazione possieda i seguenti requisiti:
+ Hai chiavi che devono essere protette esplicitamente in un modulo HSM a tenant singolo o in un modulo HSM su cui hai il controllo diretto.
+ È necessaria la possibilità di rimuovere immediatamente il materiale chiave da. AWS KMS
+ Devi essere in grado di controllare tutti gli usi delle tue chiavi indipendentemente da AWS KMS o AWS CloudTrail.

**Come funzionano gli store di chiavi personalizzati?**

Ogni archivio di chiavi personalizzato è associato a un AWS CloudHSM cluster del tuo Account AWS. Quando connetti l'archivio di chiavi personalizzato al relativo cluster, AWS KMS crea l'infrastruttura di rete per supportare la connessione. Quindi accede al AWS CloudHSM client chiave del cluster utilizzando le credenziali di un [utente crittografico dedicato](#concept-kmsuser) nel cluster.

Crei e gestisci i tuoi archivi di chiavi personalizzati AWS KMS e crei e gestisci i tuoi cluster HSM in. AWS CloudHSM Quando crei AWS KMS keys in un archivio di chiavi AWS KMS personalizzato, visualizzi e gestisci le chiavi KMS in. AWS KMS Tuttavia, in AWS CloudHSMè anche possibile visualizzare e gestire il proprio materiale chiave, esattamente come avviene per le altre chiavi nel cluster.

![\[Gestione di chiavi KMS in un archivio delle chiavi personalizzate\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/kms-hsm-view.png)


Puoi [creare chiavi KMS con crittografia simmetrica con materiale chiave generato dal tuo archivio di chiavi](create-cmk-keystore.md) AWS KMS personalizzato. Utilizza quindi le stesse tecniche per visualizzare e gestire le chiavi KMS nell'archivio chiavi personalizzato utilizzate per le chiavi KMS nell'archivio chiavi. AWS KMS Puoi controllare l'accesso con e le policy IAM e delle chiavi, creare tag e alias, abilitare e disabilitare chiavi KMS e pianificare l'eliminazione della chiave. Puoi utilizzare le chiavi KMS per [operazioni crittografiche](manage-cmk-keystore.md#use-cmk-keystore) e utilizzarle con AWS servizi che si integrano con. AWS KMS

Inoltre, hai il pieno controllo del AWS CloudHSM cluster, inclusa la creazione, l'eliminazione HSMs e la gestione dei backup. Puoi utilizzare il AWS CloudHSM client e le librerie software supportate per visualizzare, controllare e gestire il materiale chiave per le tue chiavi KMS. Sebbene l'archivio chiavi personalizzato sia disconnesso, AWS KMS non possono accedervi e gli utenti non possono utilizzare le chiavi KMS nell'archivio chiavi personalizzato per operazioni crittografiche. Questo ulteriore livello di controllo rende gli store di chiavi personalizzati una soluzione potente per le aziende che lo richiedono.

**Da dove iniziare?**

Per creare e gestire un archivio di AWS CloudHSM chiavi, si utilizzano le funzionalità di e. AWS KMS AWS CloudHSM

1. Inizia in AWS CloudHSM. [Creare un cluster AWS CloudHSM attivo](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) oppure selezionare un cluster esistente. Il cluster deve avere almeno due zone di disponibilità attive HSMs in zone di disponibilità diverse. Creare poi un [account utente di crittografia dedicato (CU, crypto user)](#concept-kmsuser) in quel cluster per AWS KMS. 

1. In AWS KMS, [crea un archivio di chiavi personalizzato](create-keystore.md) associato al AWS CloudHSM cluster selezionato. AWS KMS fornisce un'interfaccia di gestione completa che consente di creare, visualizzare, modificare ed eliminare gli archivi di chiavi personalizzati.

1. Quando sei pronto per utilizzare il tuo archivio di chiavi personalizzato, [collegalo al AWS CloudHSM cluster associato](connect-keystore.md). AWS KMS crea l'infrastruttura di rete necessaria per supportare la connessione. Effettua poi l'accesso al cluster tramite le credenziali dell'account crypto user (CU) dedicato, in modo da poter generare e gestire il materiale chiave nel cluster.

1. Ora puoi [creare chiavi KMS di crittografia simmetrica nel tuo archivio delle chiavi personalizzate](create-cmk-keystore.md). Basta specificare l'archivio delle chiavi personalizzate in fase di creazione della chiave KMS.

Qualora durante questa procedura non si riesca a procedere, cercare assistenza nell'argomento [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md). Se non si trova risposta, utilizzare il collegamento di feedback nella parte inferiore di ogni pagina della guida o pubblicare una domanda nel [Forum di discussione AWS Key Management Service](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Quote**

AWS KMS consente fino a [10 archivi di chiavi personalizzati](resource-limits.md) in ciascuna Account AWS regione, inclusi archivi [AWS CloudHSM chiavi e archivi](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) [chiavi esterni](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), indipendentemente dallo stato della connessione. Inoltre, sono previste quote di AWS KMS richiesta per l'[uso delle chiavi KMS in un AWS CloudHSM archivio di chiavi](requests-per-second.md#rps-key-stores).

**Prezzi**

[Per informazioni sul costo degli archivi di chiavi AWS KMS personalizzati e delle chiavi gestite dai clienti in un archivio di chiavi personalizzato, consulta AWS Key Management Service i prezzi.](https://aws.amazon.com/kms/pricing/) Per informazioni sul costo dei AWS CloudHSM cluster e HSMs, consulta la sezione [AWS CloudHSM Prezzi](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Regioni**

AWS KMS supporta i AWS CloudHSM key store in tutti i paesi in Regioni AWS cui AWS KMS è supportato, ad eccezione di Asia Pacifico (Melbourne), Cina (Pechino), Cina (Ningxia) ed Europa (Spagna).

**Caratteristiche non supportate**

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.
+ [Chiavi KMS asimmetriche](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ [Chiavi KMS con materiale della chiave importato](importing-keys.md)
+ [Rotazione automatica delle chiavi](rotate-keys.md)
+ [Chiavi multi-regione](multi-region-keys-overview.md)

## AWS CloudHSM concetti di archivio chiave
<a name="hsm-key-store-concepts"></a>

In questo argomento vengono descritti alcuni termini e concetti utilizzati negli archivi AWS CloudHSM chiave.

### AWS CloudHSM archivio di chiavi
<a name="concept-hsm-key-store"></a>

Un *AWS CloudHSM key store* è un archivio di [chiavi personalizzato](key-store-overview.md#custom-key-store-overview) associato a un AWS CloudHSM cluster di cui sei proprietario e che gestisci. AWS CloudHSM i cluster sono supportati da moduli di sicurezza hardware (HSMs) certificati [FIPS 140-2 o FIPS 140-3 Livello 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html).

Quando crei una chiave KMS nel tuo archivio chiavi, AWS KMS genera una AWS CloudHSM chiave simmetrica Advanced Encryption Standard (AES) a 256 bit, persistente e non esportabile nel cluster associato. AWS CloudHSM Questo materiale chiave non esce mai non crittografato. HSMs Quando si utilizza una chiave KMS in un archivio di AWS CloudHSM chiavi, le operazioni crittografiche vengono eseguite HSMs nel cluster. 

AWS CloudHSM gli archivi di chiavi combinano la comoda e completa interfaccia di gestione delle chiavi AWS KMS con i controlli aggiuntivi forniti da un AWS CloudHSM cluster del tuo. Account AWS Questa funzionalità integrata consente di creare, gestire e utilizzare le chiavi KMS AWS KMS mantenendo il pieno controllo del materiale in HSMs cui sono archiviate le chiavi, inclusa la gestione dei cluster e dei HSMs backup. Puoi utilizzare la AWS KMS console e APIs gestire l'archivio delle chiavi e le AWS CloudHSM relative chiavi KMS. È inoltre possibile utilizzare la AWS CloudHSM console APIs, il software client e le librerie software associate per gestire il cluster associato.

È possibile [visualizzare e gestire](view-keystore.md) l'archivio delle AWS CloudHSM chiavi, [modificarne le proprietà](update-keystore.md) e [connetterlo](connect-keystore.md) e [disconnetterlo](disconnect-keystore.md) dal AWS CloudHSM cluster associato. Se devi [eliminare un archivio AWS CloudHSM chiavi](delete-keystore.md#delete-keystore-console), devi prima eliminare le chiavi KMS nell'archivio AWS CloudHSM chiavi pianificandone l'eliminazione e aspettando la scadenza del periodo di prova. L'eliminazione del AWS CloudHSM key store rimuove la risorsa dal cluster AWS KMS, ma non ha alcun effetto. AWS CloudHSM 

### AWS CloudHSM ammasso
<a name="concept-cluster"></a>

Ogni archivio di AWS CloudHSM chiavi è associato a un *AWS CloudHSM cluster*. Quando ne crei uno AWS KMS key nel tuo AWS CloudHSM key store, AWS KMS crea il relativo materiale chiave nel cluster associato. Quando utilizzi una chiave KMS nell'archivio delle chiavi di AWS CloudHSM , l'operazione di crittografia viene eseguita nel cluster associato.

Ogni AWS CloudHSM cluster può essere associato a un solo archivio di AWS CloudHSM chiavi. Il cluster scelto non può essere associato a un altro archivio AWS CloudHSM chiavi o condividere una cronologia di backup con un cluster associato a un altro archivio AWS CloudHSM chiavi. Il cluster deve essere inizializzato e attivo e deve trovarsi nella stessa Account AWS regione dell'archivio delle AWS CloudHSM chiavi. È possibile creare un nuovo cluster o utilizzarne uno esistente. AWS KMS non necessita dell'uso esclusivo del cluster. Per creare chiavi KMS nell'archivio delle AWS CloudHSM chiavi, il cluster associato deve contenerne almeno due attive HSMs. Per tutte le altre operazioni è richiesto un solo HSM.

Il AWS CloudHSM cluster viene specificato quando si crea l'archivio delle AWS CloudHSM chiavi e non è possibile modificarlo. Puoi tuttavia sostituire qualsiasi cluster che condivide una cronologia dei backup con il cluster originale. Ciò ti consente di eliminare il cluster, se necessario, e sostituirlo con un cluster creato a partire da uno dei relativi backup. L'utente mantiene il pieno controllo del AWS CloudHSM cluster associato in modo da poter gestire utenti e chiavi, creare ed eliminare HSMs, utilizzare e gestire i backup. 

Quando sei pronto per utilizzare l'archivio AWS CloudHSM delle chiavi, lo connetti al AWS CloudHSM cluster associato. Puoi connettere e disconnettere lo store delle chiavi personalizzate in qualsiasi momento. Quando un archivio delle chiavi personalizzate è connesso, puoi creare chiavi KMS e utilizzare quelle che contiene. Quando è disconnesso, puoi visualizzare e gestire l'archivio delle AWS CloudHSM chiavi e le relative chiavi KMS. Tuttavia, non è possibile creare nuove chiavi KMS o utilizzare le chiavi KMS nell'archivio AWS CloudHSM chiavi per operazioni crittografiche.

### Crypto user (CU) `kmsuser`
<a name="concept-kmsuser"></a>

Per creare e gestire il materiale chiave nel AWS CloudHSM cluster associato per tuo conto, AWS KMS utilizza un *[utente AWS CloudHSM crittografico](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) dedicato (CU)* nel cluster denominato. `kmsuser` Il `kmsuser` CU è un account CU standard che viene automaticamente sincronizzato con tutti gli utenti del cluster e salvato HSMs nei backup del cluster. 

Prima di creare il tuo AWS CloudHSM key store, [crei un account `kmsuser` CU](create-keystore.md#before-keystore) nel AWS CloudHSM cluster utilizzando il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) nella CLI di CloudhSM. Quindi, quando [crei il AWS CloudHSM key store](create-keystore.md), fornisci la password dell'`kmsuser`account a. AWS KMS Quando si [connette l'archivio di chiavi personalizzato](connect-keystore.md), AWS KMS accede al cluster come `kmsuser` CU e ne modifica la password. AWS KMS crittografa la `kmsuser` password prima di archiviarla in modo sicuro. Quando la password viene ruotata, la nuova password viene crittografata e archiviata in modo analogo.

AWS KMS rimane connesso `kmsuser` finché l'archivio delle AWS CloudHSM chiavi è connesso. Non devi utilizzare questo account utente di crittografia per altri scopi. Mantieni tuttavia il controllo finale dell'account utente di crittografia `kmsuser`. In qualsiasi momento, puoi [trovare le chiavi](find-key-material.md) che `kmsuser` possiede. Se necessario, è possibile [disconnettere l'archivio delle chiavi personalizzate](disconnect-keystore.md), modificare la password di `kmsuser`, [accedere al cluster come `kmsuser`](fix-keystore.md#fix-login-as-kmsuser) e visualizzare e gestire le chiavi di cui l'`kmsuser` è proprietario.

Per istruzioni sulla creazione dell'account utente di crittografia `kmsuser`, consulta [Creazione del crypto user (CU)`kmsuser`](create-keystore.md#before-keystore).

### Chiavi KMS in un archivio di AWS CloudHSM chiavi
<a name="concept-cmk-key-store"></a>

Puoi utilizzare l' AWS KMS API AWS KMS or per crearne una AWS KMS keys in un archivio di AWS CloudHSM chiavi. A questo proposito, utilizzi la stessa tecnica che utilizzeresti per qualsiasi chiave KMS. L'unica differenza è che è necessario identificare l'archivio delle AWS CloudHSM chiavi e specificare che l'origine del materiale chiave è il AWS CloudHSM cluster. 

Quando si [crea una chiave KMS in un key store, AWS KMS crea la AWS CloudHSM chiave](create-cmk-keystore.md) KMS in AWS KMS e genera un materiale chiave simmetrico Advanced Encryption Standard (AES) a 256 bit, persistente e non esportabile nel cluster associato. Quando si utilizza la AWS KMS chiave in un'operazione di crittografia, l'operazione viene eseguita nel cluster utilizzando la chiave AES basata sul cluster. AWS CloudHSM Sebbene AWS CloudHSM supportino chiavi simmetriche e asimmetriche di diversi tipi, gli archivi di chiavi supportano solo chiavi di crittografia simmetriche AES AWS CloudHSM .

È possibile visualizzare le chiavi KMS in un archivio AWS CloudHSM chiavi della console e utilizzare le opzioni della AWS KMS console per visualizzare l'ID dell'archivio chiavi personalizzato. È inoltre possibile utilizzare l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione per trovare l'ID dell'archivio AWS CloudHSM chiavi e l'ID AWS CloudHSM del cluster.

Le chiavi KMS in un AWS CloudHSM key store funzionano esattamente come tutte le chiavi KMS in esso contenute. AWS KMS Gli utenti autorizzati devono disporre delle stesse autorizzazioni per utilizzare e gestire le chiavi KMS. Utilizzi le stesse procedure della console e le stesse operazioni API per visualizzare e gestire le chiavi KMS in un AWS CloudHSM archivio di chiavi. Queste includono l'abilitazione e la disabilitazione di chiavi KMS, la creazione e l'utilizzo di tag e alias e l'impostazione e la modifica di policy IAM e di policy chiave. È possibile utilizzare le chiavi KMS in un AWS CloudHSM archivio di chiavi per operazioni crittografiche e utilizzarle con [AWS servizi integrati](service-integration.md) che supportano l'uso di chiavi gestite dal cliente. Tuttavia, non è possibile abilitare la [rotazione automatica](rotate-keys.md) delle chiavi o [importare materiale chiave in una chiave](importing-keys.md) KMS in un archivio di chiavi. AWS CloudHSM 

Lo stesso processo viene utilizzato anche per [pianificare l'eliminazione](deleting-keys.md#delete-cmk-keystore) di una chiave KMS in un archivio di chiavi. AWS CloudHSM Dopo la scadenza del periodo di attesa, AWS KMS elimina la chiave KMS da KMS. Quindi fa del suo meglio per eliminare il materiale chiave per la chiave KMS dal cluster associato. AWS CloudHSM È tuttavia possibile che sia necessario [eliminare manualmente il materiale della chiave orfano](fix-keystore.md#fix-keystore-orphaned-key) dal cluster e dai relativi backup.

# Controlla l'accesso al tuo AWS CloudHSM key store
<a name="authorize-key-store"></a>

Utilizzi le policy IAM per controllare l'accesso al tuo AWS CloudHSM key store e al tuo AWS CloudHSM cluster. Puoi utilizzare le policy chiave, le policy IAM e le concessioni per controllare l'accesso a esse AWS KMS keys nel tuo AWS CloudHSM key store. Ti consigliamo di concedere a utenti, gruppi e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

Per supportare i tuoi AWS CloudHSM key store, hai AWS KMS bisogno dell'autorizzazione per ottenere informazioni sui tuoi AWS CloudHSM cluster. È inoltre necessaria l'autorizzazione per creare l'infrastruttura di rete che collega l'archivio delle AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Per ottenere queste autorizzazioni, AWS KMS crea il ruolo **AWSServiceRoleForKeyManagementServiceCustomKeyStores**collegato al servizio nel tuo. Account AWS Per ulteriori informazioni, consulta [Autorizzazione AWS KMS alla gestione AWS CloudHSM e alle risorse Amazon EC2](authorize-kms.md).

Durante la progettazione del tuo archivio di AWS CloudHSM chiavi, assicurati che i responsabili che lo utilizzano e lo gestiscono dispongano solo delle autorizzazioni necessarie. L'elenco seguente descrive le autorizzazioni minime richieste per i gestori e gli AWS CloudHSM utenti dell'archivio chiavi.
+ I responsabili che creano e gestiscono l'archivio delle AWS CloudHSM chiavi richiedono la seguente autorizzazione per utilizzare le operazioni dell'API dell'archivio AWS CloudHSM chiavi.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ I responsabili che creano e gestiscono il AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi necessitano dell'autorizzazione per creare e inizializzare un cluster. AWS CloudHSM Ciò include l'autorizzazione a creare o utilizzare un Amazon Virtual Private Cloud (VPC), creare sottoreti e creare un'istanza Amazon. EC2 Potrebbero inoltre aver bisogno di creare HSMs, eliminare e gestire i backup. Per un elenco delle autorizzazioni necessarie, consulta [Identity and access management per AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) nella *Guida per l'utente di AWS CloudHSM *.
+ I responsabili che creano e gestiscono AWS KMS keys nel tuo archivio delle AWS CloudHSM chiavi richiedono [le stesse autorizzazioni](create-keys.md#create-key-permissions) di coloro che creano e gestiscono qualsiasi chiave KMS. AWS KMS La [politica delle chiavi predefinita](key-policy-default.md) per una chiave KMS in un archivio AWS CloudHSM chiavi è identica alla politica delle chiavi predefinita per le chiavi KMS in. AWS KMS Il [controllo degli accessi basato sugli attributi](abac.md) (ABAC), che utilizza tag e alias per controllare l'accesso alle chiavi KMS, è efficace anche sulle chiavi KMS negli archivi di chiavi. AWS CloudHSM 
+ [I responsabili che utilizzano le chiavi KMS nell'archivio delle chiavi per le [operazioni crittografiche necessitano dell'autorizzazione per eseguire l'operazione di crittografia](manage-cmk-keystore.md#use-cmk-keystore) con la AWS CloudHSM chiave KMS, ad esempio KMS:Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Puoi fornire queste autorizzazioni in una policy delle chiavi, una policy IAM. Tuttavia, non hanno bisogno di autorizzazioni aggiuntive per utilizzare una chiave KMS in un archivio di chiavi. AWS CloudHSM 

# Crea un archivio di AWS CloudHSM chiavi
<a name="create-keystore"></a>

Puoi creare uno o più archivi di AWS CloudHSM chiavi nel tuo account. Ogni archivio di AWS CloudHSM chiavi è associato a un AWS CloudHSM cluster nella stessa Account AWS regione. Prima di creare l'archivio delle chiavi di AWS CloudHSM , devi [assemblare i prerequisiti](#before-keystore). Quindi, prima di poter utilizzare l'archivio AWS CloudHSM delle chiavi, è necessario [collegarlo](connect-keystore.md) al relativo AWS CloudHSM cluster.

**Note**  
KMS non può comunicare IPv6 con gli archivi di AWS CloudHSM chiavi.  
Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi *disconnesso* esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM   
Non è necessario collegare immediatamente l'archivio delle AWS CloudHSM chiavi. Puoi lasciarlo disconnesso fino a che non sei pronto a utilizzarlo. Tuttavia, per verificare che sia configurato correttamente, puoi [connetterlo](connect-keystore.md), [ visualizzarne lo stato di connessione](view-keystore.md) e quindi [disconnetterlo](disconnect-keystore.md).

**Topics**
+ [Assemblare i prerequisiti](#before-keystore)
+ [Crea un nuovo archivio di AWS CloudHSM chiavi](#create-hsm-keystore)

## Assemblare i prerequisiti
<a name="before-keystore"></a>

Ogni archivio di AWS CloudHSM chiavi è supportato da un AWS CloudHSM cluster. Per creare un AWS CloudHSM key store, è necessario specificare un AWS CloudHSM cluster attivo che non sia già associato a un altro key store. È inoltre necessario creare un utente crittografico (CU) dedicato nei cluster HSMs che AWS KMS possa utilizzare per creare e gestire le chiavi per conto dell'utente.

Prima di creare un archivio di AWS CloudHSM chiavi, procedi come segue:

**Seleziona un AWS CloudHSM cluster**  
Ogni archivio di AWS CloudHSM chiavi è [associato esattamente a un AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Quando crei AWS KMS keys nel tuo AWS CloudHSM key store, AWS KMS crea i metadati della chiave KMS, come un ID e un Amazon Resource Name (ARN) in. AWS KMS Quindi crea il materiale chiave nel cluster HSMs associato. È possibile [creare un nuovo AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) cluster o utilizzarne uno esistente. AWS KMS non richiede l'accesso esclusivo al cluster.  
Il AWS CloudHSM cluster selezionato è associato in modo permanente all'archivio delle AWS CloudHSM chiavi. Dopo aver creato l'archivio delle AWS CloudHSM chiavi, è possibile [modificare l'ID](update-keystore.md) del cluster associato, ma il cluster specificato deve condividere una cronologia di backup con il cluster originale. Per utilizzare un cluster non correlato, è necessario creare un nuovo archivio di AWS CloudHSM chiavi.  
Il AWS CloudHSM cluster selezionato deve avere le seguenti caratteristiche:  
+ **Il cluster deve essere attivo**. 

  È necessario creare il cluster, inizializzarlo, installare il software AWS CloudHSM client per la piattaforma e quindi attivare il cluster. Per istruzioni dettagliate, consulta la sezione [Nozioni di base su AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) della *Guida per l'utente di AWS CloudHSM *.
+ **Il TLS reciproco (mTLS) non è abilitato.** 

  KMS non supporta MTL per i cluster. Questa impostazione non deve essere abilitata.
+ **Il cluster deve trovarsi nello stesso account e nella stessa regione** dell'archivio delle AWS CloudHSM chiavi. Non è possibile associare un archivio di AWS CloudHSM chiavi in una regione a un cluster in un'altra regione. Per creare un'infrastruttura chiave in più regioni, è necessario creare archivi e cluster di AWS CloudHSM chiavi in ciascuna regione.
+ **Il cluster non può essere associato a un altro archivio chiavi personalizzate** nello stesso account e nella stessa regione. Ogni archivio di AWS CloudHSM chiavi nell'account e nella regione deve essere associato a un AWS CloudHSM cluster diverso. Non puoi specificare un cluster che è già associato a uno store delle chiavi personalizzate o un cluster che condivide una cronologia dei backup con un cluster associato. I cluster che condividono una cronologia dei backup hanno lo stesso certificato di cluster. Per visualizzare il certificato del cluster di un cluster, utilizza la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione.

  Se [effettui il backup in un cluster AWS CloudHSM in una regione differente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), tale cluster viene considerato diverso e puoi associare il backup a un archivio chiavi personalizzate nella relativa regione. Tuttavia, le chiavi KMS nei due archivi di chiavi personalizzati non sono interoperabili, anche se hanno la stessa chiave di supporto. AWS KMS associa i metadati al testo cifrato in modo che possa essere decrittografato solo dalla chiave KMS che lo ha crittografato.
+ Il cluster deve essere configurato con [sottoreti private](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) in **almeno due zone di disponibilità** nella regione. Poiché non AWS CloudHSM è supportato in tutte le zone di disponibilità, si consiglia di creare sottoreti private in tutte le zone di disponibilità della regione. Non puoi riconfigurare le sottoreti di un cluster esistente, ma puoi [creare un cluster a partire da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) con varie sottoreti nella configurazione del cluster.
**Importante**  
Dopo aver creato l'archivio AWS CloudHSM delle chiavi, non eliminare nessuna delle sottoreti private configurate per il relativo cluster. AWS CloudHSM Se AWS KMS non riesci a trovare tutte le sottoreti nella configurazione del cluster, i tentativi di [connessione all'archivio chiavi personalizzato hanno esito negativo e viene](connect-keystore.md) generato un `SUBNET_NOT_FOUND` errore di connessione. Per informazioni dettagliate, vedi [Come correggere un errore di connessione](fix-keystore.md#fix-keystore-failed).
+ Il [gruppo di sicurezza per il cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) deve includere regole in entrata e regole in uscita che consentano il traffico TCP sulle IPv4 porte 2223-2225. La **Source (Origine)** nelle regole in entrata e la **Destination (Destinazione)** nelle regole in uscita devono corrispondere all'ID del gruppo di sicurezza. Tali regole sono configurate per impostazione predefinita quando si crea il cluster. Non eliminarle o modificarle.
+ **Il cluster deve contenere almeno due zone di disponibilità attive in zone di disponibilità diverse**. HSMs Per verificare il numero di HSMs, utilizzare la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Se necessario, puoi [aggiungere un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Ricerca del certificato trust anchor**  
Quando crei un archivio di chiavi personalizzato, devi caricare il certificato trust anchor per il AWS CloudHSM cluster su AWS KMS. AWS KMS necessita del certificato trust anchor per connettere l'archivio di AWS CloudHSM chiavi al cluster associato AWS CloudHSM .  
Ogni AWS CloudHSM cluster attivo ha un certificato *trust anchor*. Quando [inizializzi il cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), genera questo certificato, salvalo nel file `customerCA.crt` e copialo negli host che si connettono al cluster.

**Crea l'utente `kmsuser` crittografico per AWS KMS**  <a name="kmsuser-concept"></a>
Per amministrare il tuo archivio di AWS CloudHSM chiavi, AWS KMS accedi all'account [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) (CU) nel cluster selezionato. Prima di creare il tuo AWS CloudHSM key store, devi creare il CU. `kmsuser` Quindi, quando crei il tuo archivio di AWS CloudHSM chiavi, fornisci la password `kmsuser` per AWS KMS. Ogni volta che colleghi l'archivio di AWS CloudHSM chiavi al AWS CloudHSM cluster associato, AWS KMS accede come password `kmsuser` e ruota la password `kmsuser`   
Non specificare l'opzione `2FA` quando crei l'utente di crittografia `kmsuser`. In caso affermativo, AWS KMS non è possibile effettuare il login e l'archivio AWS CloudHSM delle chiavi non può essere connesso a questo AWS CloudHSM cluster. Una volta specificata, l'opzione 2FA non può essere annullata. Dovrai invece eliminare l'utente di crittografia e ricrearlo.
**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

1. *Segui le procedure introduttive descritte nell'argomento [Guida introduttiva all'interfaccia a riga di comando (CLI) di CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html) della Guida per l'utente.AWS CloudHSM *

1. Utilizzate il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) una CU denominata. `kmsuser`

   La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.

   Il comando di esempio seguente crea una `kmsuser` CU. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Crea un nuovo archivio di AWS CloudHSM chiavi
<a name="create-hsm-keystore"></a>

Dopo [aver assemblato i prerequisiti](#before-keystore), è possibile creare un nuovo archivio di AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="create-keystore-console"></a>

Quando si crea un archivio di AWS CloudHSM chiavi in Console di gestione AWS, è possibile aggiungere e creare i [prerequisiti](#before-keystore) come parte del flusso di lavoro. Tuttavia, il processo risulta più rapido se li hai assemblati in precedenza.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegli **Crea un archivio di chiavi**.

1. Immettere un nome descrittivo per lo store delle chiavi personalizzate. Il nome deve essere univoco per tutti gli archivi delle chiavi personalizzate presenti nell'account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei log e in altri output. CloudTrail 

1. Seleziona [un AWS CloudHSM cluster per l'archivio](keystore-cloudhsm.md#concept-cluster) delle chiavi. AWS CloudHSM Oppure, per creare un nuovo AWS CloudHSM cluster, scegli il link **Crea un AWS CloudHSM cluster**.

   Il menu mostra AWS CloudHSM i cluster del tuo account e della tua regione che non sono già associati a un AWS CloudHSM key store. Il cluster deve [soddisfare i requisiti](#before-keystore) per l'associazione con uno store delle chiavi personalizzate. 

1. **Scegli il file**, quindi carica il certificato trust anchor per il AWS CloudHSM cluster che hai scelto. Si tratta del file `customerCA.crt` creato all'[inizializzazione del cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Immettere la password del [crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) creato nel cluster selezionato. 

1. Scegli **Create** (Crea).

Quando la procedura ha esito positivo, il nuovo archivio AWS CloudHSM chiavi viene visualizzato nell'elenco degli archivi AWS CloudHSM chiave dell'account e della regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi *disconnesso* esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM 

**Avanti**: I nuovi archivi di AWS CloudHSM chiavi non vengono collegati automaticamente. Prima di poter creare AWS KMS keys nel AWS CloudHSM key store, è necessario [connettere l'archivio chiavi personalizzato](connect-keystore.md) al AWS CloudHSM cluster associato.

### Utilizzo dell' AWS KMS API
<a name="create-keystore-api"></a>

È possibile utilizzare l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione per creare un nuovo archivio di AWS CloudHSM chiavi associato a un AWS CloudHSM cluster nell'account e nella regione. Questi esempi utilizzano l' AWS Command Line Interface (AWS CLI), ma puoi anche utilizzare qualsiasi linguaggio di programmazione supportato.

L'operazione `CreateCustomKeyStore` richiede i valori di parametro seguenti.
+ CustomKeyStoreName — Un nome descrittivo per l'archivio di chiavi personalizzato che è unico nell'account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail registri e in altri output.
+ CloudHsmClusterId — L'ID del cluster di un AWS CloudHSM cluster che [soddisfa i requisiti per un archivio di chiavi](#before-keystore). AWS CloudHSM 
+ KeyStorePassword — La password dell'account `kmsuser` CU nel cluster specificato. 
+ TrustAnchorCertificate — Il contenuto del `customerCA.crt` file creato durante l'[inizializzazione del cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

L'esempio seguente utilizza un ID cluster fittizio. Prima di eseguire il comando, sostituiscilo con un ID cluster valido

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Se si utilizza il AWS CLI, è possibile specificare il file del certificato trust anchor, anziché il relativo contenuto. Nell'esempio seguente, il file `customerCA.crt` si trova nella directory principale:

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Se l'operazione riesce, `CreateCustomKeyStore` restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Se si tenta di creare un archivio AWS CloudHSM chiavi con tutti gli stessi valori di proprietà di un archivio AWS CloudHSM chiavi *disconnesso* esistente, AWS KMS non crea un nuovo archivio AWS CloudHSM chiavi e non genera un'eccezione né visualizza un errore. AWS KMS Riconosce invece il duplicato come probabile conseguenza di un nuovo tentativo e restituisce l'ID dell'archivio di chiavi esistente. AWS CloudHSM 

**Avanti**: per utilizzare l'archivio delle AWS CloudHSM chiavi, [collegalo al relativo cluster](connect-keystore.md). AWS CloudHSM 

# Visualizza un archivio di AWS CloudHSM chiavi
<a name="view-keystore"></a>

È possibile visualizzare gli archivi delle AWS CloudHSM chiavi in ogni account e regione utilizzando la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. 

## Utilizzo della AWS KMS console
<a name="view-keystore-console"></a>

Quando si visualizzano gli archivi delle AWS CloudHSM chiavi in Console di gestione AWS, è possibile visualizzare quanto segue:
+ Il nome e l'ID dell'archivio delle chiavi personalizzate
+ L'ID del AWS CloudHSM cluster associato
+ Il numero di HSMs nel cluster
+ Lo stato di connessione corrente

Il valore dello stato della connessione (**Status**) impostato su **Disconnected** indica che l'archivio chiavi personalizzato è nuovo e non è mai stato connesso oppure è stato [disconnesso intenzionalmente dal](disconnect-keystore.md) relativo cluster. AWS CloudHSM Tuttavia, se i tentativi di utilizzare una chiave KMS in un archivio di chiavi personalizzate connesso falliscono, ciò potrebbe indicare un problema con l'archivio chiavi personalizzato o il relativo cluster. AWS CloudHSM Per assistenza, consulta [Come correggere una chiave KMS non funzionante](fix-keystore.md#fix-cmk-failed).

Per visualizzare gli archivi di AWS CloudHSM chiavi in un determinato account e in una determinata regione, utilizzare la procedura seguente.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

Per personalizzare la visualizzazione, fai clic sull'icona che raffigura un ingranaggio visualizzata sotto il pulsante **Create key store (Crea store delle chiavi)**.

## Utilizzando l'API AWS KMS
<a name="view-keystore-api"></a>

Per visualizzare i tuoi archivi di AWS CloudHSM chiavi, usa l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare l'output a un determinato store delle chiavi personalizzate. Per gli archivi di AWS CloudHSM chiavi, l'output è costituito dall'ID e dal nome dell'archivio chiavi personalizzati, dal tipo di archivio chiavi personalizzato, dall'ID del AWS CloudHSM cluster associato e dallo stato della connessione. Se lo stato della connessione indica un errore, l'output include un codice di errore che descrive il motivo del problema.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Ad esempio, il comando seguente restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Per scorrere gli store delle chiavi personalizzate nell'output puoi utilizzare i parametri `Limit` e `Marker`.

```
$ aws kms describe-custom-key-stores
```

Il comando di esempio seguente utilizza il parametro `CustomKeyStoreName` per ottenere solo lo store delle chiavi personalizzate con il nome descrittivo `ExampleCloudHSMKeyStore`. Puoi utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) in ogni comando.

L'output di esempio seguente rappresenta un archivio di AWS CloudHSM chiavi connesso al relativo AWS CloudHSM cluster.

**Nota**  
Il `CustomKeyStoreType` campo è stato aggiunto alla `DescribeCustomKeyStores` risposta per distinguere gli archivi di AWS CloudHSM chiavi dagli archivi di chiavi esterni.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

Un `ConnectionState` of `Disconnected` indica che un archivio chiavi personalizzato non è mai stato connesso o che è stato intenzionalmente [disconnesso dal relativo AWS CloudHSM cluster](disconnect-keystore.md). Tuttavia, se i tentativi di utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi connesso falliscono, ciò potrebbe indicare un problema con l'archivio AWS CloudHSM chiavi o il relativo cluster. AWS CloudHSM Per assistenza, consulta [Come correggere una chiave KMS non funzionante](fix-keystore.md#fix-cmk-failed).

Se il campo `ConnectionState` dello store delle chiavi personalizzate è `FAILED`, la risposta `DescribeCustomKeyStores` include un elemento `ConnectionErrorCode` che descrive il motivo dell'errore.

Ad esempio, nell'output seguente, il valore `INVALID_CREDENTIALS` indica che la connessione dello store delle chiavi di connessione non è riuscita in quanto la [password `kmsuser` non è valida](fix-keystore.md#fix-keystore-password). Per informazioni su questo e altri errori di connessione, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**Ulteriori informazioni:**
+ [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md)
+ [Identifica le chiavi KMS negli AWS CloudHSM archivi delle chiavi](identify-key-types.md#identify-key-hsm-keystore)
+ [Registrazione delle chiamate AWS KMS API con AWS CloudTrail](logging-using-cloudtrail.md)

# Modifica le impostazioni del AWS CloudHSM key store
<a name="update-keystore"></a>

È possibile modificare le impostazioni di un AWS CloudHSM key store esistente. L'archivio chiavi personalizzato deve essere disconnesso dal relativo AWS CloudHSM cluster.

Per modificare le impostazioni AWS CloudHSM del key store:

1. [Disconnettere lo store delle chiavi personalizzate](disconnect-keystore.md) dal relativo cluster AWS CloudHSM .

   [Mentre l'archivio chiavi personalizzato è disconnesso, non è possibile creare AWS KMS keys (chiavi KMS) nell'archivio chiavi personalizzato e non è possibile utilizzare le chiavi KMS in esso contenute per operazioni crittografiche.](manage-cmk-keystore.md#use-cmk-keystore) 

1. Modifica una o più impostazioni dell'archivio chiavi. AWS CloudHSM 

   Puoi modificare le impostazioni seguenti in uno store delle chiavi personalizzate:  
Il nome descrittivo dello store delle chiavi personalizzate  
Immetti un nuovo nome descrittivo. Il nuovo nome deve essere univoco tra tutti gli archivi di chiavi personalizzati presenti nel tuo Account AWS.  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.  
L'ID del cluster associato. AWS CloudHSM   
Modifica questo valore per sostituire un AWS CloudHSM cluster correlato con quello originale. È possibile utilizzare questa funzionalità per riparare un archivio di chiavi personalizzato se il relativo AWS CloudHSM cluster viene danneggiato o eliminato.   
Specificate un AWS CloudHSM cluster che condivida una cronologia di backup con il cluster originale e [soddisfi i requisiti per l'](create-keystore.md#before-keystore)associazione a un archivio di chiavi personalizzato, di cui due attivi HSMs in diverse zone di disponibilità. I cluster che condividono una cronologia dei backup hanno lo stesso certificato di cluster. Per visualizzare il certificato del cluster di un cluster, utilizzare l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Non puoi utilizzare la funzionalità di modifica per associare lo store delle chiavi personalizzate a un cluster AWS CloudHSM non correlato.   
La password corrente del [crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser)  
Indica AWS KMS la password corrente della `kmsuser` CU nel AWS CloudHSM cluster. Questa azione non modifica la password della `kmsuser` CU nel AWS CloudHSM cluster.  
Se modificate la password della `kmsuser` CU nel AWS CloudHSM cluster, utilizzate questa funzione per indicare AWS KMS la nuova `kmsuser` password. In caso contrario, AWS KMS non può accedere al cluster e tutti i tentativi di connessione dello store delle chiavi personalizzate al cluster hanno esito negativo. 

1. [Riconnettere lo store delle chiavi personalizzate](connect-keystore.md) al relativo cluster AWS CloudHSM .

## Modifica le impostazioni del tuo key store
<a name="edit-keystore-settings"></a>

È possibile modificare le impostazioni del AWS CloudHSM key store nella AWS KMS console o utilizzando l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione.

### Utilizzo della AWS KMS console
<a name="update-keystore-console"></a>

Quando si modifica un archivio di AWS CloudHSM chiavi, è possibile modificare uno qualsiasi dei valori configurabili.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegliete la riga del AWS CloudHSM key store che desiderate modificare. 

   Se il valore nella colonna **Stato connessione** non è **Disconnesso**, devi scollegare l'archivio di chiavi personalizzate per poterlo modificare. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

   Quando un archivio AWS CloudHSM chiavi è disconnesso, puoi gestire l'archivio AWS CloudHSM chiavi e le relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell' AWS CloudHSM archivio chiavi. 

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Edit** (Modifica).

1. Effettuare una o più delle operazioni seguenti.
   + Digitare un nuovo nome descrittivo per lo store delle chiavi personalizzate.
   + Digita l'ID del cluster correlato. AWS CloudHSM 
   + Digita la password corrente dell'utente `kmsuser` crittografico nel AWS CloudHSM cluster associato.

1. Scegli **Save** (Salva).

   Se la procedura ha esito positivo, un messaggio descrive le impostazioni modificate. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

1. [Riconnettere lo store delle chiavi personalizzate](connect-keystore.md).

   Per utilizzare l'archivio AWS CloudHSM chiavi, è necessario ricollegarlo dopo la modifica. Puoi lasciare disconnesso l'archivio delle chiavi di AWS CloudHSM , [Tuttavia, mentre è disconnesso, non è possibile creare chiavi KMS nell'archivio AWS CloudHSM chiavi o utilizzare le chiavi KMS nell'archivio AWS CloudHSM chiavi nelle operazioni crittografiche.](manage-cmk-keystore.md#use-cmk-keystore)

### Utilizzando l'API AWS KMS
<a name="update-keystore-api"></a>

Per modificare le proprietà di un archivio di AWS CloudHSM chiavi, utilizzare l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione. Puoi modificare più proprietà di un store delle chiavi personalizzate nello stesso comando. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Per verificare che le modifiche siano effettive, utilizzate l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Inizia utilizzando [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)per [disconnettere l'archivio di chiavi personalizzato](disconnect-keystore.md) dal relativo AWS CloudHSM cluster. Sostituisci l'ID archivio chiavi personalizzate di esempio, cks-1234567890abcdef0, con un ID effettivo.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Il primo esempio utilizza [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)per modificare il nome descrittivo del AWS CloudHSM key store in`DevelopmentKeys`. Il comando utilizza il `CustomKeyStoreId` parametro per identificare l'archivio AWS CloudHSM chiavi e `CustomKeyStoreName` specificare il nuovo nome per l'archivio chiavi personalizzato.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

L'esempio seguente modifica il cluster associato a un archivio AWS CloudHSM chiavi in un altro backup dello stesso cluster. Il comando utilizza il `CustomKeyStoreId` parametro per identificare l'archivio delle AWS CloudHSM chiavi e il `CloudHsmClusterId` parametro per specificare il nuovo ID del cluster. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

L'esempio seguente indica AWS KMS che la `kmsuser` password corrente è`ExamplePassword`. Il comando utilizza il `CustomKeyStoreId` parametro per identificare l'archivio delle AWS CloudHSM chiavi e il `KeyStorePassword` parametro per specificare la password corrente.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

Il comando finale riconnette l'archivio AWS CloudHSM chiavi al relativo AWS CloudHSM cluster. Puoi lasciare l'archivio delle chiavi personalizzate disconnesso, ma devi connetterlo per poter creare nuove chiavi KMS o utilizzare le chiavi KMS esistenti per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore). Sostituisci l'ID store chiavi personalizzate di esempio con un ID effettivo.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Connect a AWS CloudHSM key store
<a name="connect-keystore"></a>

I nuovi archivi di AWS CloudHSM chiavi non sono collegati. Prima di poterlo creare e utilizzare AWS KMS keys nell'archivio delle AWS CloudHSM chiavi, è necessario collegarlo al AWS CloudHSM cluster associato. È possibile connettere e disconnettere l'archivio AWS CloudHSM delle chiavi in qualsiasi momento e [visualizzarne lo stato della connessione](view-keystore.md#view-keystore-console). 

Non è necessario collegare il proprio AWS CloudHSM key store. È possibile lasciare un archivio AWS CloudHSM chiavi in uno stato disconnesso a tempo indeterminato e collegarlo solo quando è necessario utilizzarlo. Puoi tuttavia testare la connessione periodicamente per verificare che le impostazioni sono corrette e che non vi sono problemi di connessione dello store.

**Nota**  
AWS CloudHSM gli archivi chiavi hanno uno stato di `DISCONNECTED` connessione solo quando l'archivio chiavi non è mai stato connesso o lo si disconnette esplicitamente. Se lo stato di connessione del AWS CloudHSM keystore è lo stesso `CONNECTED` ma hai problemi a utilizzarlo, assicurati che il AWS CloudHSM cluster associato sia attivo e ne contenga almeno uno attivo. HSMs Per informazioni sugli errori di connessione, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Quando ti connetti a un AWS CloudHSM key store, AWS KMS trova il AWS CloudHSM cluster associato, si connette ad esso, accede al AWS CloudHSM client come [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) (CU), quindi ruota la password. `kmsuser` AWS KMS rimane connesso al AWS CloudHSM client finché l'archivio delle AWS CloudHSM chiavi è connesso.

Per stabilire la connessione, AWS KMS crea un [gruppo di sicurezza](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) denominato `kms-<custom key store ID>` nel cloud privato virtuale (VPC) del cluster. Il gruppo di sicurezza ha un'unica regola che consente il traffico in entrata dal gruppo di sicurezza del cluster. AWS KMS crea anche un'[interfaccia di rete elastica](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) in ogni zona di disponibilità della sottorete privata per il cluster. AWS KMS aggiunge ENIs al gruppo di `kms-<cluster ID>` sicurezza e al gruppo di sicurezza per il cluster. La descrizione di ogni ENI è `KMS managed ENI for cluster <cluster-ID>`.

Il completamento del processo di connessione può richiedere fino a 20 minuti. 

Prima di connettere il AWS CloudHSM key store, verificate che soddisfi i requisiti.
+ Il AWS CloudHSM cluster associato deve contenere almeno un HSM attivo. Per trovare il numero di HSMs nel cluster, visualizza il cluster nella AWS CloudHSM console o usa l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Se necessario, puoi [aggiungere un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Il cluster deve disporre di un account [utente `kmsuser` crittografico](create-keystore.md#kmsuser-concept) (CU), ma tale CU non può essere registrato nel cluster quando si connette l'archivio delle AWS CloudHSM chiavi. Per informazioni su come effettuare la disconnessione, consulta [Come scollegarsi e riconnettersi](fix-keystore.md#login-kmsuser-2).
+ Lo stato di connessione del AWS CloudHSM key store non può essere o. `DISCONNECTING` `FAILED` Per visualizzare lo stato della connessione, utilizzare la AWS KMS console o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta. Se lo stato della connessione è `FAILED`, disconnetti l'archivio delle chiavi personalizzate, correggi il problema e riconnettilo.

Per informazioni sugli errori di connessione, consulta [Come correggere un errore di connessione](fix-keystore.md#fix-keystore-failed).

Quando il tuo archivio AWS CloudHSM chiavi è connesso, puoi [creare chiavi KMS al suo interno e utilizzare le chiavi](create-cmk-keystore.md) KMS esistenti nelle operazioni [crittografiche](manage-cmk-keystore.md#use-cmk-keystore).

## Connect e riconnettiti al tuo AWS CloudHSM key store
<a name="connect-hsm-keystore"></a>

È possibile connettere o ricollegare l'archivio AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="connect-keystore-console"></a>

Per connettere un AWS CloudHSM key store in Console di gestione AWS, iniziate selezionando il AWS CloudHSM key store dalla pagina **Custom key store**. Il completamento del processo di connessione può richiedere fino a 20 minuti.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegli la riga dell'archivio di AWS CloudHSM chiavi che desideri connettere. 

   Se lo stato di connessione dell'archivio AWS CloudHSM chiavi è **Fallito**, è necessario [disconnettere l'archivio chiavi personalizzato](disconnect-keystore.md#disconnect-keystore-console) prima di connetterlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti).

AWS KMS avvia il processo di connessione dell'archivio chiavi personalizzato. Trova il cluster AWS CloudHSM associato, crea l'infrastruttura di rete necessaria, si connette alla stessa, accede al cluster AWS CloudHSM come utente di crittografia `kmsuser` ed esegue la rotazione della password `kmsuser`. Al termine dell'operazione, lo stato della connessione diventa **Connesso**. 

Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il motivo del problema. Prima di riprovare a connetterti, [visualizza lo stato della connessione](view-keystore.md) del tuo AWS CloudHSM key store. Se è **Non riuscito**, devi [scollegare l'archivio di chiavi personalizzate](disconnect-keystore.md#disconnect-keystore-console) prima di ricollegarlo. Per assistenza, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

**Successivo:** [Crea una chiave KMS in un archivio di AWS CloudHSM chiavi](create-cmk-keystore.md).

### Utilizzo dell' AWS KMS API
<a name="connect-keystore-api"></a>

Per connettere un archivio di AWS CloudHSM chiavi disconnesso, utilizzare l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione. Il AWS CloudHSM cluster associato deve contenere almeno un HSM attivo e lo stato della connessione non può esserlo. `FAILED`

Il completamento del processo di connessione può richiedere fino a 20 minuti. Se l'operazione non genera rapidamente un errore, l'operazione restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare lo stato di connessione dell'archivio chiavi personalizzato, consulta la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Per identificare l'archivio AWS CloudHSM chiavi, utilizza il relativo ID dell'archivio chiavi personalizzato. È possibile trovare l'ID nella pagina **Custom key stores** della console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione senza parametri. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per verificare che l'archivio AWS CloudHSM chiavi sia connesso, usa l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Se il valore di `ConnectionState` è `CONNECTED`, indica che lo store delle chiavi personalizzate è connesso al relativo cluster AWS CloudHSM .

**Nota**  
Il `CustomKeyStoreType` campo è stato aggiunto alla `DescribeCustomKeyStores` risposta per distinguere gli archivi di AWS CloudHSM chiavi dagli archivi di chiavi esterni.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Se il valore di `ConnectionState` è Failed (Non riuscito), l'elemento `ConnectionErrorCode` indica il motivo dell'errore. In questo caso, non è AWS KMS stato possibile trovare un AWS CloudHSM cluster nel tuo account con l'ID del cluster`cluster-1a23b4cdefg`. Se hai eliminato il cluster, puoi [ripristinarlo a partire da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del cluster originale e quindi [modificare l'ID cluster](update-keystore.md) per lo store delle chiavi personalizzate. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Come correggere un errore di connessione](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Disconnetti un archivio AWS CloudHSM chiavi
<a name="disconnect-keystore"></a>

Quando si disconnette un archivio di AWS CloudHSM chiavi, si AWS KMS disconnette dal AWS CloudHSM client, si disconnette dal AWS CloudHSM cluster associato e rimuove l'infrastruttura di rete creata per supportare la connessione.

Mentre un archivio AWS CloudHSM chiavi è disconnesso, puoi gestire l'archivio chiavi e le AWS CloudHSM relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell'archivio chiavi. AWS CloudHSM Lo stato di connessione dell'archivio delle chiavi è `DISCONNECTED` e lo [stato della chiave](key-state.md) delle chiavi KMS nell'archivio delle chiavi personalizzate è `Unavailable`, a meno che non siano `PendingDeletion`. Puoi ricollegare l'archivio delle AWS CloudHSM chiavi in qualsiasi momento.

**Nota**  
AWS CloudHSM gli archivi chiavi hanno uno stato di `DISCONNECTED` connessione solo quando l'archivio chiavi non è mai stato connesso o lo si disconnette esplicitamente. Se lo stato di connessione del AWS CloudHSM keystore è lo stesso `CONNECTED` ma hai problemi a utilizzarlo, assicurati che il AWS CloudHSM cluster associato sia attivo e ne contenga almeno uno attivo. HSMs Per informazioni sugli errori di connessione, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

Quando disconnetti un archivio delle chiavi personalizzate, le chiavi KMS nell'archivio diventano immediatamente inutilizzabili (in base alla coerenza finale). Tuttavia, le risorse crittografate con [chiavi di dati](data-keys.md) protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda i Servizi AWS, molti dei quali proteggono le risorse tramite le chiavi dati. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Per valutare meglio l'effetto della disconnessione dell'archivio delle chiavi personalizzate, [identifica le chiavi KMS](find-cmk-in-keystore.md) nell'archivio delle chiavi personalizzate e [determinane l'utilizzo precedente](deleting-keys-determining-usage.md).

È possibile disconnettere un archivio di AWS CloudHSM chiavi per motivi come i seguenti:
+ **Per effettuare una rotazione della password `kmsuser`.** AWS KMS modifica la password `kmsuser` ogni volta che si connette al cluster AWS CloudHSM . Per forzare una rotazione della password, esegui la disconnessione e quindi una nuova connessione.
+ **Per controllare il materiale chiave** per le chiavi KMS nel AWS CloudHSM cluster. Quando si disconnette l'archivio di chiavi personalizzato, si AWS KMS disconnette dall'account [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) nel client. AWS CloudHSM Ciò ti consente di accedere al cluster come utente di crittografia `kmsuser` e di verificare e gestire il materiale chiave per la chiave KMS.
+ **Per disabilitare immediatamente tutte le chiavi KMS** nell'archivio delle chiavi di AWS CloudHSM . È possibile [disabilitare e riattivare le chiavi KMS](enabling-keys.md) in un AWS CloudHSM key store utilizzando l' Console di gestione AWS operazione o. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Queste operazioni vengono completate rapidamente, ma agiscono su una sola chiave KMS alla volta. La disconnessione dell'archivio AWS CloudHSM chiavi modifica immediatamente lo stato della chiave di tutte le chiavi KMS nell'archivio AWS CloudHSM chiavi in`Unavailable`, il che impedisce che vengano utilizzate in qualsiasi operazione crittografica.
+ **Per riparare un tentativo di connessione non riuscito**. Se un tentativo di connessione a un AWS CloudHSM key store fallisce (lo stato di connessione dell'archivio chiavi personalizzato è`FAILED`), è necessario disconnettere l'archivio AWS CloudHSM chiavi prima di riprovare a connetterlo.

## Disconnetti il tuo key store AWS CloudHSM
<a name="disconnect-hsm-keystore"></a>

È possibile disconnettere l'archivio delle AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione.

### Disconnettiti utilizzando la console AWS KMS
<a name="disconnect-keystore-console"></a>

Per disconnettere un archivio di AWS CloudHSM chiavi connesso nella AWS KMS console, inizia selezionando l'archivio AWS CloudHSM chiavi dalla pagina **Custom Key Stores**.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms.](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi disconnettere. 

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

Al termine dell'operazione, lo stato della connessione da **Disconnessione in corso** diventa **Disconnesso**. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

### Disconnettiti utilizzando l'API AWS KMS
<a name="disconnect-keystore-api"></a>

Per disconnettere un archivio di AWS CloudHSM chiavi connesso, utilizzare l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Questo esempio disconnette un archivio di AWS CloudHSM chiavi. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per verificare che l'archivio AWS CloudHSM chiavi sia disconnesso, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il `ConnectionState` valore di `DISCONNECTED` indica che questo AWS CloudHSM key store di esempio non è connesso al relativo AWS CloudHSM cluster.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Eliminare un archivio AWS CloudHSM chiavi
<a name="delete-keystore"></a>

Quando elimini un archivio di AWS CloudHSM chiavi, AWS KMS elimina tutti i metadati relativi all'archivio AWS CloudHSM chiavi da KMS, incluse le informazioni sulla sua associazione a un cluster. AWS CloudHSM Questa operazione non influisce sul AWS CloudHSM cluster, sui suoi o sui suoi HSMs utenti. È possibile creare un nuovo archivio di AWS CloudHSM chiavi associato allo stesso AWS CloudHSM cluster, ma non è possibile annullare l'operazione di eliminazione.

È possibile eliminare solo un archivio di AWS CloudHSM chiavi disconnesso dal relativo AWS CloudHSM cluster e che non ne contiene. AWS KMS keys Prima di eliminare uno store delle chiavi personalizzate, esegui le operazioni descritte di seguito.
+ Verifica che non avrai la necessità di utilizzare alcuna chiave KMS presente nell'archivio delle chiavi per qualsiasi [operazione di crittografia](manage-cmk-keystore.md#use-cmk-keystore). Quindi [pianifica l'eliminazione](deleting-keys.md#delete-cmk-keystore) di tutte le chiavi KMS dall'archivio delle chiavi. Per informazioni su come trovare le chiavi KMS in un AWS CloudHSM archivio di chiavi, consulta. [Trova le chiavi KMS in un AWS CloudHSM archivio di chiavi](find-cmk-in-keystore.md)
+ Verifica che tutte le chiavi KMS siano state eliminate. Per visualizzare le chiavi KMS in un AWS CloudHSM archivio di chiavi, consulta. [Identifica le chiavi KMS negli AWS CloudHSM archivi delle chiavi](identify-key-types.md#identify-key-hsm-keystore)
+ [Disconnetti l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md) dal relativo AWS CloudHSM cluster.

Invece di eliminare l'archivio delle AWS CloudHSM chiavi, valuta la possibilità di [disconnetterlo](disconnect-keystore.md) dal cluster associato. AWS CloudHSM Quando un AWS CloudHSM key store è disconnesso, puoi gestirlo e il AWS CloudHSM relativo. AWS KMS keys Tuttavia, non è possibile creare o utilizzare le chiavi KMS nell'archivio delle AWS CloudHSM chiavi. Puoi ricollegare l'archivio delle AWS CloudHSM chiavi in qualsiasi momento.

## Elimina il tuo archivio di AWS CloudHSM chiavi
<a name="delete-hsm-keystore"></a>

È possibile eliminare l'archivio delle AWS CloudHSM chiavi nella AWS KMS console o utilizzando l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione.

### Utilizzo della AWS KMS console
<a name="delete-keystore-console"></a>

Per eliminare un AWS CloudHSM key store in Console di gestione AWS, iniziate selezionando il AWS CloudHSM key store dalla pagina **Custom key store**.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel riquadro di navigazione, scegli **Archivi di chiavi personalizzate**, **Archivi di chiavi AWS CloudHSM **.

1. Trova la riga che rappresenta l'archivio di AWS CloudHSM chiavi che desideri eliminare. Se lo **stato di connessione** dell'archivio AWS CloudHSM chiavi non è **Disconnesso**, è necessario [disconnettere l'archivio AWS CloudHSM chiavi](disconnect-keystore.md) prima di eliminarlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Delete** (Elimina).

Al termine dell'operazione, viene visualizzato un messaggio di operazione riuscita e l'archivio AWS CloudHSM chiavi non viene più visualizzato nell'elenco degli archivi di chiavi. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione di problemi relativi a store delle chiavi personalizzate](fix-keystore.md).

### Utilizzo dell'API AWS KMS
<a name="delete-keystore-api"></a>

Per eliminare un archivio di AWS CloudHSM chiavi, utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà.

Per iniziare, verifica che l'archivio delle AWS CloudHSM chiavi non ne contenga AWS KMS keys. Non puoi eliminare un archivio delle chiavi personalizzate che contiene chiavi KMS. Il primo comando di esempio utilizza [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)e [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)cerca AWS KMS keys nell'archivio AWS CloudHSM chiavi con l'ID dell'archivio chiavi *cks-1234567890abcdef0* personalizzato di esempio. In questo caso, il comando non restituisce alcuna chiave KMS. In caso affermativo, utilizza l'[ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operazione per pianificare l'eliminazione di ciascuna chiave KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Quindi, disconnetti l'archivio delle AWS CloudHSM chiavi. Questo comando di esempio utilizza l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione per disconnettere un archivio di AWS CloudHSM chiavi dal relativo AWS CloudHSM cluster. Prima di eseguire questo comando, sostituisci l’ID store chiavi personalizzate di esempio con uno valido.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Dopo la disconnessione dell'archivio chiavi personalizzato, è possibile utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione per eliminarlo. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Risoluzione di problemi relativi a store delle chiavi personalizzate
<a name="fix-keystore"></a>

AWS CloudHSM gli archivi di chiavi sono progettati per essere disponibili e resistenti. Tuttavia, ci sono alcune condizioni di errore che potresti dover correggere per mantenere operativo l'archivio AWS CloudHSM delle chiavi.

**Topics**
+ [Come correggere chiavi KMS non disponibili](#fix-unavailable-cmks)
+ [Come correggere una chiave KMS non funzionante](#fix-cmk-failed)
+ [Come correggere un errore di connessione](#fix-keystore-failed)
+ [Come rispondere a un errore di un'operazione di crittografia](#fix-keystore-communication)
+ [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password)
+ [Come eliminare materiale della chiave orfano](#fix-keystore-orphaned-key)
+ [Come recuperare il materiale chiave eliminato per una chiave KMS](#fix-keystore-recover-backing-key)
+ [Come accedere come `kmsuser`](#fix-login-as-kmsuser)

## Come correggere chiavi KMS non disponibili
<a name="fix-unavailable-cmks"></a>

[Lo stato della chiave](key-state.md) di AWS KMS keys un AWS CloudHSM key store è in genere`Enabled`. Come tutte le chiavi KMS, lo stato delle chiavi cambia quando si disabilitano le chiavi KMS in un archivio AWS CloudHSM chiavi o se ne pianifica l'eliminazione. Tuttavia, a differenza delle altre chiavi KMS, le chiavi KMS in un archivio delle chiavi personalizzate possono anche avere lo [stato di chiave](key-state.md) `Unavailable`. 

Lo stato di chiave `Unavailable` indica che la chiave KMS si trova in un archivio delle chiavi personalizzate che è stato intenzionalmente [disconnesso](disconnect-keystore.md) e che gli eventuali tentativi di riconnetterlo non sono riusciti. Quando una chiave KMS non è disponibile, puoi visualizzare e gestire la chiave KMS, ma non utilizzarla per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore).

Per trovare lo stato di chiave di una chiave KMS, nella pagina **Chiavi gestite cliente**, visualizza il campo **Stato** della chiave KMS. Oppure, usa l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione e visualizza l'`KeyState`elemento nella risposta. Per informazioni dettagliate, vedi [Identifica e visualizza le chiavi](viewing-keys.md).

Le chiavi KMS in uno store delle chiavi personalizzate disconnesso avranno lo stato di chiave `Unavailable` o `PendingDeletion`. Le chiavi KMS per le quali è stata pianificata l'eliminazione da un archivio delle chiavi personalizzate hanno lo stato della chiave `Pending Deletion`, anche quando tale archivio è disconnesso. Ciò ti consente di annullare l'eliminazione pianificata delle chiavi senza riconnettere lo store delle chiavi personalizzate. 

Per correggere una chiave KMS non disponibile, [riconnetti l'archivio delle chiavi personalizzate](disconnect-keystore.md). Dopo la riconnessione, per le chiavi KMS nello store delle chiavi personalizzate viene ripristinato lo stato di chiave precedente, ovvero `Enabled` o `Disabled`. Lo stato delle chiavi KMS in attesa di eliminazione rimane `PendingDeletion`. Tuttavia, se il problema persiste, l'[abilitazione e la disabilitazione di una chiave KMS](enabling-keys.md) non disponibile non ne modifica lo stato. L'abilitazione o la disabilitazione ha effetto solo quando la chiave diventa disponibile.

Per informazioni sulle connessioni non riuscite, consulta [Come correggere un errore di connessione](#fix-keystore-failed). 

## Come correggere una chiave KMS non funzionante
<a name="fix-cmk-failed"></a>

I problemi con la creazione e l'utilizzo delle chiavi KMS negli AWS CloudHSM archivi delle chiavi possono essere causati da un problema con l'archivio delle AWS CloudHSM chiavi, il AWS CloudHSM cluster associato, la chiave KMS o il relativo materiale chiave. 

Quando un archivio AWS CloudHSM chiavi viene disconnesso dal relativo AWS CloudHSM cluster, lo stato delle chiavi KMS nell'archivio chiavi personalizzato è. `Unavailable` Tutte le richieste di creazione di chiavi KMS in un archivio di chiavi disconnesso restituiscono un' AWS CloudHSM eccezione. `CustomKeyStoreInvalidStateException` Tutte le richieste di crittografare, decrittografare, ricrittografare o generare chiavi di dati restituiscono un'eccezione `KMSInvalidStateException`. Per risolvere il problema, [ricollega l'archivio delle AWS CloudHSM chiavi](connect-keystore.md).

Tuttavia, i tentativi di utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi per [operazioni crittografiche](manage-cmk-keystore.md#use-cmk-keystore) potrebbero fallire anche se lo stato della chiave è `Enabled` e lo stato di connessione dell'archivio AWS CloudHSM chiavi è uguale. `Connected` Ciò può essere dovuto a una qualsiasi delle condizioni seguenti.
+ Il materiale della chiave per la chiave KMS potrebbe essere stato eliminato dal cluster AWS CloudHSM associato. Per indagare, [trova l'ID chiave](find-handle-for-cmk-id.md) del materiale chiave per una chiave KMS e, se necessario, prova a [recuperare il](#fix-keystore-recover-backing-key) materiale chiave.
+ Tutti HSMs sono stati eliminati dal AWS CloudHSM cluster associato all'archivio delle AWS CloudHSM chiavi. Per utilizzare una chiave KMS in un archivio di AWS CloudHSM chiavi in un'operazione crittografica, il relativo AWS CloudHSM cluster deve contenere almeno un HSM attivo. Per verificare il numero e lo stato di HSMs un AWS CloudHSM cluster, [usa la AWS CloudHSM console o l'operazione](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html). [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html) Per aggiungere un HSM al cluster, usa la AWS CloudHSM console o l'[CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operazione.
+ Il AWS CloudHSM cluster associato al AWS CloudHSM key store è stato eliminato. Per risolvere il problema, [crea un cluster da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) che è correlato al cluster originale, ad esempio un backup del cluster originale o un backup utilizzato per creare il cluster originale. Quindi, [modifica l'ID cluster](update-keystore.md) nelle impostazioni relative allo store delle chiavi personalizzate. Per istruzioni, consulta [Come recuperare il materiale chiave eliminato per una chiave KMS](#fix-keystore-recover-backing-key).
+ Il AWS CloudHSM cluster associato all'archivio di chiavi personalizzato non aveva sessioni PKCS \$111 disponibili. Ciò si verifica in genere durante i periodi di traffico di espansione elevato, ovvero quando sono necessarie sessioni aggiuntive per gestire il traffico. Per rispondere a un'eccezione `KMSInternalException` con un messaggio di errore relativo alle sessioni PKCS \$111, torna indietro e riprova a eseguire la richiesta. 

## Come correggere un errore di connessione
<a name="fix-keystore-failed"></a>

Se si tenta di [connettere un AWS CloudHSM key store](connect-keystore.md) al relativo AWS CloudHSM cluster, ma l'operazione non riesce, lo stato di connessione dell'archivio AWS CloudHSM chiavi cambia in`FAILED`. Per trovare lo stato di connessione di un AWS CloudHSM key store, usa la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. 

In alternativa, alcuni tentativi di connessione si interrompono rapidamente a causa di errori di configurazione del cluster facilmente rilevati. In questo caso, lo stato della connessione è ancora `DISCONNECTED`. Questi errori restituiranno un messaggio di errore o un'[eccezione](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) che spiega perché il tentativo non è riuscito. Esamina la descrizione dell'eccezione e [i requisiti del cluster](create-keystore.md#before-keystore), risolvi il problema, [aggiorna l'archivio delle AWS CloudHSM chiavi](update-keystore.md), se necessario, e riprova a connetterti.

Quando lo stato della connessione è `FAILED` impostato, esegui l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione e visualizza l'`ConnectionErrorCode`elemento nella risposta.

**Nota**  
Quando lo stato di connessione di un AWS CloudHSM key store è`FAILED`, è necessario [disconnetterlo AWS CloudHSM prima di tentare](disconnect-keystore.md) di ricollegarlo. Non è possibile connettere un archivio AWS CloudHSM chiavi con uno `FAILED` stato di connessione.
+ `CLUSTER_NOT_FOUND`indica che AWS KMS non è possibile trovare un AWS CloudHSM cluster con l'ID cluster specificato. Il problema potrebbe essere dovuto a un ID cluster errato fornito a un'operazione API oppure all'eliminazione e alla mancata sostituzione del cluster. Per correggere questo errore, verifica l'ID del cluster, ad esempio utilizzando la AWS CloudHSM console o l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Se il cluster è stato eliminato, [crea un cluster a partire da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dell'originale. Quindi, [disconnetti l'archivio AWS CloudHSM chiavi](disconnect-keystore.md), [modifica l'impostazione dell'ID del cluster del AWS CloudHSM key store](update-keystore.md) e [ricollega l'archivio AWS CloudHSM chiavi](connect-keystore.md) al cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`indica che il AWS CloudHSM cluster associato non ne contiene. HSMs Per eseguire la connessione, il cluster deve avere almeno un HSM. Per trovare il numero di HSMs nel cluster, usa l'[DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operazione. Per correggere questo errore, [aggiungi almeno un HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) al cluster. Se ne aggiungi più HSMs, è meglio crearli in zone di disponibilità diverse.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`indica che non è AWS KMS stato possibile connettere l'archivio di AWS CloudHSM chiavi al relativo AWS CloudHSM cluster perché almeno una [sottorete privata associata al cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) non dispone di indirizzi IP disponibili. Una connessione al AWS CloudHSM key store richiede un indirizzo IP libero in ciascuna delle sottoreti private associate, sebbene ne siano preferibili due.

  [Non puoi aggiungere indirizzi IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blocchi CIDR) a una sottorete esistente. Se possibile, sposta o elimina altre risorse che utilizzano gli indirizzi IP nella sottorete, ad esempio istanze EC2 inutilizzate o interfacce di rete elastiche. [Altrimenti, è possibile [creare un cluster da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) del AWS CloudHSM cluster con sottoreti private nuove o esistenti che dispongono di più spazio libero per gli indirizzi.](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing) Quindi, per associare il nuovo cluster al tuo AWS CloudHSM key store, [disconnetti l'archivio chiavi personalizzato](disconnect-keystore.md), [modifica l'ID del cluster](update-keystore.md) dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
**Suggerimento**  
Per evitare di [reimpostare la `kmsuser` password](#fix-keystore-password), utilizza il backup più recente del cluster. AWS CloudHSM 
+ `INTERNAL_ERROR`indica che non è AWS KMS stato possibile completare la richiesta a causa di un errore interno. Riprova la richiesta . Per `ConnectCustomKeyStore` le richieste, disconnetti l'archivio delle AWS CloudHSM chiavi prima di riprovare a connetterti.
+ `INVALID_CREDENTIALS`indica che AWS KMS non può accedere al AWS CloudHSM cluster associato perché non dispone della password dell'`kmsuser`account corretta. Per informazioni su questo errore, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
+ `NETWORK_ERRORS` indica in genere problemi di rete temporanei. [Disconnetti il AWS CloudHSM key store](disconnect-keystore.md), attendi qualche minuto e riprova a connetterti.
+ `SUBNET_NOT_FOUND`indica che almeno una sottorete nella configurazione del AWS CloudHSM cluster è stata eliminata. Se AWS KMS non è possibile trovare tutte le sottoreti nella configurazione del cluster, i tentativi di connettere l'archivio delle AWS CloudHSM chiavi al cluster hanno esito negativo. AWS CloudHSM 

  Per correggere questo errore, [crea un cluster da un backup recente](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dello stesso AWS CloudHSM cluster. Questo processo crea una nuova configurazione del cluster con un VPC e sottoreti private. Verificare che il nuovo cluster soddisfi i [requisiti per uno store delle chiavi personalizzate](create-keystore.md#before-keystore) e prendere nota del nuovo ID cluster. Quindi, per associare il nuovo cluster al tuo archivio AWS CloudHSM chiavi, [disconnetti l'archivio chiavi personalizzato](disconnect-keystore.md), [modifica l'ID del cluster](update-keystore.md) dell'archivio AWS CloudHSM chiavi con l'ID del nuovo cluster e prova a connetterti di nuovo.
**Suggerimento**  
Per evitare di [reimpostare la `kmsuser` password](#fix-keystore-password), utilizza il backup più recente del cluster. AWS CloudHSM 
+ `USER_LOCKED_OUT` indica che l'[account crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) è bloccato per il cluster AWS CloudHSM a causa di troppi tentativi con password errate. Per informazioni su questo errore, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).

  Per correggere questo errore, [scollegate l'archivio delle AWS CloudHSM chiavi e utilizzate il](disconnect-keystore.md) comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per modificare la password dell'account. `kmsuser` Quindi, [modifica l'impostazione della password `kmsuser`](update-keystore.md) per lo store delle chiavi personalizzate ed esegui un nuovo tentativo di connessione. Per assistenza, utilizza la procedura descritta nell'argomento [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).
+ `USER_LOGGED_IN`indica che l'account `kmsuser` CU è connesso al cluster associato. AWS CloudHSM Ciò AWS KMS impedisce di ruotare la password dell'`kmsuser`account e di accedere al cluster. Per correggere questo errore, registra l'utente di crittografia `kmsuser` fuori dal cluster. Se hai cambiato la `kmsuser` password per accedere al cluster, devi anche aggiornare il valore della password dell'archivio chiavi per l'archivio delle AWS CloudHSM chiavi. Per assistenza, consulta [Come scollegarsi e riconnettersi](#login-kmsuser-2).
+ `USER_NOT_FOUND`indica che AWS KMS non è possibile trovare un account `kmsuser` CU nel AWS CloudHSM cluster associato. Per correggere questo errore, [crea un account `kmsuser` CU](create-keystore.md#kmsuser-concept) nel cluster, quindi [aggiorna il valore della password del key store](update-keystore.md) per l'archivio AWS CloudHSM chiavi. Per assistenza, consulta [Come correggere credenziali `kmsuser` non valide](#fix-keystore-password).

## Come rispondere a un errore di un'operazione di crittografia
<a name="fix-keystore-communication"></a>

L'esito di un'operazione di crittografia che utilizza una chiave KMS in un archivio di chiavi personalizzate potrebbe essere negativo con un'`KMSInvalidStateException`. L'eccezione `KMSInvalidStateException` può essere accompagnata dai seguenti messaggi di errore.


|  | 
| --- |
| KMS non può comunicare con il tuo cluster CloudHSM. Potrebbe trattarsi di un problema di rete temporaneo. Se visualizzi ripetutamente questo errore, verifica che la rete ACLs e le regole del gruppo di sicurezza per il VPC del AWS CloudHSM cluster siano corrette. | 
+ Sebbene si tratti di un errore HTTPS 400, potrebbe derivare da problemi di rete transitori. Per rispondere, prova a riformulare la richiesta. Tuttavia, se il problema persiste, esamina la configurazione dei componenti di rete. Questo errore è probabilmente causato dall'errata configurazione di un componente di rete, ad esempio una regola firewall o una regola di gruppo di protezione VPC che blocca il traffico in uscita. Ad esempio, KMS non può comunicare con i AWS CloudHSM cluster tramite. IPv6 Per i dettagli sui prerequisiti, vedere. [Crea un archivio di AWS CloudHSM chiavi](create-keystore.md)


|  | 
| --- |
| KMS non può comunicare con il AWS CloudHSM cluster perché l'utente kmsuser è bloccato. Se vedi questo errore ripetutamente, disconnetti l'archivio delle AWS CloudHSM chiavi e reimposta la password dell'account kmsuser. Aggiorna la password kmsuser per l'archivio di chiavi personalizzate e ritenta la richiesta. | 
+ Questo messaggio di errore indica che l'[account crypto user (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) è bloccato per il cluster AWS CloudHSM associato a causa del numero eccessivo di tentativi con password errate. Per informazioni su questo errore, consulta [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1).

## Come correggere credenziali `kmsuser` non valide
<a name="fix-keystore-password"></a>

Quando [connetti un archivio di AWS CloudHSM chiavi](connect-keystore.md), AWS KMS accede al AWS CloudHSM cluster associato come [utente `kmsuser` crittografico](keystore-cloudhsm.md#concept-kmsuser) (CU). Rimane connesso finché il AWS CloudHSM key store non viene disconnesso. La risposta [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) mostra un `ConnectionState` di `FAILED` e il valore `ConnectionErrorCode` di `INVALID_CREDENTIALS`, come mostrato nell'esempio seguente.

Se si disconnette il AWS CloudHSM key store e si modifica la `kmsuser` password, AWS KMS non è possibile accedere al AWS CloudHSM cluster con le credenziali dell'account CU. `kmsuser` Di conseguenza, tutti i tentativi di connessione al AWS CloudHSM key store falliscono. La risposta `DescribeCustomKeyStores` mostra un `ConnectionState` di `FAILED` e il valore `ConnectionErrorCode` di `INVALID_CREDENTIALS`, come mostrato nell'esempio seguente.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Inoltre, dopo cinque tentativi di accesso al cluster non riusciti a causa di una password errata, AWS CloudHSM blocca l'account utente. Per accedere al cluster, devi modificare la password dell'account.

Se AWS KMS riceve una risposta di blocco quando tenta di accedere al cluster come `kmsuser` CU, la richiesta di connessione al AWS CloudHSM key store ha esito negativo. La [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta include un `ConnectionState` of `FAILED` e un `ConnectionErrorCode` valore di`USER_LOCKED_OUT`, come illustrato nell'esempio seguente.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Per correggere queste condizioni, utilizza la procedura seguente. 

1. [Disconnettere l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md). 

1. Esegui l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione e visualizza il valore dell'`ConnectionErrorCode`elemento nella risposta. 
   + Se `ConnectionErrorCode` è `INVALID_CREDENTIALS`, determinare la password corrente per l'account `kmsuser`. Se necessario, utilizzate il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per impostare la password su un valore noto.
   + Se il `ConnectionErrorCode` valore è`USER_LOCKED_OUT`, è necessario utilizzare il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudHSM per modificare la password. `kmsuser`

1. [Modificare l'impostazione della password `kmsuser`](update-keystore.md) di modo che corrisponda alla password `kmsuser` corrente nel cluster. Questa operazione indica a AWS KMS quale password utilizzare per accedere al cluster. Non modifica la password `kmsuser` nel cluster.

1. [Connettere lo store delle chiavi personalizzate](connect-keystore.md).

## Come eliminare materiale della chiave orfano
<a name="fix-keystore-orphaned-key"></a>

Dopo aver pianificato l'eliminazione di una chiave KMS da un archivio di AWS CloudHSM chiavi, potrebbe essere necessario eliminare manualmente il materiale chiave corrispondente dal cluster associato. AWS CloudHSM 

Quando crei una chiave KMS in un archivio AWS CloudHSM chiavi, AWS KMS crea i metadati della chiave KMS AWS KMS e genera il materiale chiave nel cluster associato. AWS CloudHSM Quando pianifichi l'eliminazione di una chiave KMS in un archivio AWS CloudHSM chiavi, dopo il periodo di attesa, AWS KMS elimina i metadati della chiave KMS. Quindi AWS KMS fa del suo meglio per eliminare il materiale chiave corrispondente dal cluster. AWS CloudHSM Il tentativo potrebbe fallire se AWS KMS non è possibile accedere al cluster, ad esempio quando viene disconnesso dall'archivio delle AWS CloudHSM chiavi o la `kmsuser` password viene modificata. AWS KMS non tenta di eliminare il materiale chiave dai backup del cluster.

AWS KMS riporta i risultati del tentativo di eliminare il materiale chiave dal cluster nell'immissione degli `DeleteKey` eventi nei AWS CloudTrail log dell'utente. Appare nell'elemento `backingKeysDeletionStatus` dell'elemento `additionalEventData`, come mostrato nella seguente voce di esempio. La voce include anche l'ARN della chiave KMS, AWS CloudHSM l'ID del cluster e l'ID `backing-key-id` () del materiale chiave.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

Le seguenti procedure mostrano come eliminare il materiale chiave orfano dal cluster associato. AWS CloudHSM 

1. Disconnetti l'archivio delle AWS CloudHSM chiavi, se non è già disconnesso, quindi [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), come spiegato in. [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1)
**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

1. Utilizza il comando [key delete](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) nella CLI di CloudhSM per eliminare la chiave HSMs dal cluster.

   Tutte le voci di CloudTrail registro per le operazioni crittografiche con una chiave KMS in un archivio di AWS CloudHSM chiavi includono un `additionalEventData` campo con e. `customKeyStoreId` `backingKey` Il valore restituito nel `backingKeyId` campo è l'attributo chiave `id` CloudHSM. Ti consigliamo di filtrare l'operazione di **eliminazione delle chiavi** `id` per eliminare il materiale chiave orfano che hai identificato nei tuoi log. CloudTrail 

   AWS CloudHSM riconosce il `backingKeyId` valore come valore esadecimale. Per filtrare in base`id`, è necessario anteporre il suffisso con. `backingKeyId` `Ox` Ad esempio, se `backingKeyId` nel CloudTrail registro è presente`1a2b3c45678abcdef`, è necessario filtrare per. `0x1a2b3c45678abcdef`

   L'esempio seguente elimina una chiave dal HSMs cluster. `backing-key-id`È elencato nella voce di CloudTrail registro. Prima di eseguire questo comando, sostituisci l'esempio `backing-key-id` con uno valido del tuo account.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Disconnettersi e ricollegare l'archivio delle AWS CloudHSM chiavi come descritto in[Come scollegarsi e riconnettersi](#login-kmsuser-2).

## Come recuperare il materiale chiave eliminato per una chiave KMS
<a name="fix-keystore-recover-backing-key"></a>

Se il materiale chiave di un AWS KMS key viene eliminato, la chiave KMS è inutilizzabile e tutto il testo cifrato che è stato crittografato con la chiave KMS non può essere decrittografato. Ciò può accadere se il materiale chiave per una chiave KMS in un AWS CloudHSM archivio di chiavi viene eliminato dal cluster associato. AWS CloudHSM Potrebbe tuttavia essere possibile recuperare questo materiale.

Quando crei una AWS KMS key (chiave KMS) in un archivio AWS CloudHSM chiavi, AWS KMS accede al AWS CloudHSM cluster associato e crea il materiale chiave per la chiave KMS. Inoltre, modifica la password con un valore che solo lui conosce e rimane connesso finché l'archivio delle AWS CloudHSM chiavi è connesso. Poiché solo il proprietario della chiave, ovvero la CU che ha creato una chiave, può eliminare la chiave, è improbabile che la chiave venga eliminata accidentalmente. HSMs 

Tuttavia, se il materiale chiave di una chiave KMS viene eliminato da un cluster, lo stato della chiave della chiave KMS alla fine cambia HSMs in. `UNAVAILABLE` Se tenti di utilizzare la chiave KMS per un'operazione di crittografia, questa ha esito negativo con un'eccezione `KMSInvalidStateException`. Cosa più importante, tutti i dati crittografati con la chiave KMS non possono essere decrittati.

In alcuni casi, è possibile recuperare il materiale della chiave [creando un cluster a partire da un backup](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) contenente tale materiale. Questa strategia funziona solo se almeno un backup è stato creato quando la chiave esisteva e prima di essere eliminata. 

Utilizza la procedura seguente per recuperare il materiale della chiave.

1. Trovare un backup del cluster che contiene il materiale della chiave. Il backup deve contenere almeno tutti gli utenti e le chiavi necessari per supportare il cluster e i relativi dati crittografati.

   Usa l'[DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operazione per elencare i backup per un cluster. Utilizzare quindi il timestamp del backup per la selezione di un backup. Per limitare l'output al cluster associato al AWS CloudHSM key store, utilizzate il `Filters` parametro, come illustrato nell'esempio seguente. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Creare un cluster a partire dal backup selezionato](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Verificare che il backup contenga la chiave eliminata e altri utenti e chiavi che il cluster richiede. 

1. [Disconnetti l'archivio delle AWS CloudHSM chiavi](disconnect-keystore.md) in modo da poterne modificare le proprietà.

1. [Modifica l'ID del cluster](update-keystore.md) del AWS CloudHSM key store. Immettere l'ID cluster del cluster creato a partire dal backup. Poiché il cluster condivide una cronologia dei backup con il cluster originale, il nuovo ID cluster deve essere valido. 

1. [Ricollegare l'archivio delle AWS CloudHSM chiavi](connect-keystore.md).

## Come accedere come `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Per creare e gestire il materiale chiave nel AWS CloudHSM cluster per il tuo AWS CloudHSM key store, AWS KMS utilizza l'account [`kmsuser`Crypto User (CU)](keystore-cloudhsm.md#concept-kmsuser). [Crei l'account `kmsuser` CU](create-keystore.md#before-keystore) nel tuo cluster e fornisci la sua password AWS KMS quando crei il tuo archivio di AWS CloudHSM chiavi.

In generale, AWS KMS gestisce l'`kmsuser`account. Tuttavia, per alcune attività, è necessario disconnettere l'archivio delle AWS CloudHSM chiavi, accedere al cluster come `kmsuser` CU e utilizzare l'interfaccia a [riga di comando (CLI) di CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html).

**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Questo argomento spiega come [disconnettere l'archivio AWS CloudHSM chiavi e accedere](#login-kmsuser-1) come`kmsuser`, eseguire lo strumento da riga di AWS CloudHSM comando, [disconnettersi e ricollegare](#login-kmsuser-2) l'archivio chiavi. AWS CloudHSM 

**Topics**
+ [Come disconnettersi ed eseguire l'accesso](#login-kmsuser-1)
+ [Come scollegarsi e riconnettersi](#login-kmsuser-2)

### Come disconnettersi ed eseguire l'accesso
<a name="login-kmsuser-1"></a>

Utilizza la seguente procedura ogni volta che devi accedere a un cluster associato come utente `kmsuser` crittografico.

**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

1. Disconnetti l'archivio delle chiavi, se non è già disconnesso. AWS CloudHSM Puoi usare la AWS KMS console o AWS KMS l'API. 

   Mentre la AWS CloudHSM chiave è connessa, AWS KMS viene effettuato l'accesso come. `kmsuser` Ciò impedisce l'accesso come `kmsuser` o la modifica della password `kmsuser`.

   Ad esempio, questo comando utilizza [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)per disconnettere un archivio di chiavi di esempio. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Usa il comando **login** per accedere come amministratore. *Utilizza le procedure descritte nella sezione [Using CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI della Guida per l'utente.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) nella CLI di CloudhSM per cambiare la password dell'`kmsuser`account con una che conosci. (AWS KMS ruota la password quando colleghi il tuo key store.) AWS CloudHSM La password deve contenere da 7 a 32 caratteri alfanumerici, rispettare la distinzione tra maiuscole e minuscole e non includere caratteri speciali.

1. Effettua il login `kmsuser` utilizzando la password che hai impostato. *Per istruzioni dettagliate, consulta la sezione [Using CloudhSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI della Guida per l'utente.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Come scollegarsi e riconnettersi
<a name="login-kmsuser-2"></a>

Usa la seguente procedura ogni volta che devi disconnetterti come utente `kmsuser` crittografico e ricollegare il tuo key store.

**Note**  
Le seguenti procedure utilizzano lo strumento da riga di comando AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. La CLI di CloudhSM sostituisce con. `key-handle` `key-reference`  
Il 1° gennaio 2025, AWS CloudHSM terminerà il supporto per gli strumenti da riga di comando di Client SDK 3, la CloudHSM Management Utility (CMU) e la Key Management Utility (KMU). *Per ulteriori informazioni sulle differenze tra gli strumenti da riga di comando di Client SDK 3 e lo strumento da riga di comando di Client SDK 5, consulta [Migrare da Client SDK 3 CMU e KMU a Client SDK 5 CloudHSM CLI nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) l'utente.AWS CloudHSM *

1. Esegui l'operazione, quindi utilizza il comando [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) nella CLI di CloudHSM per disconnetterti. Se non ti disconnetti, i tentativi di ricollegare il tuo AWS CloudHSM key store falliranno.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Modificare la password `kmsuser`](update-keystore.md) per lo store delle chiavi personalizzate. 

   Indica AWS KMS la password corrente per `kmsuser` il cluster. Se si omette questo passaggio, non AWS KMS sarà possibile accedere al cluster e tutti i tentativi di riconnessione dell'archivio chiavi personalizzato falliranno. `kmsuser` È possibile utilizzare la AWS KMS console o il `KeyStorePassword` parametro dell'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione.

   Ad esempio, questo comando indica AWS KMS che la password corrente è`tempPassword`. Sostituire la password di esempio con una effettiva. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Ricollegare l'archivio AWS KMS chiavi al relativo AWS CloudHSM cluster. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido. Durante il processo di connessione, AWS KMS modifica la `kmsuser` password con un valore che solo lei conosce.

   L'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione viene ripristinata rapidamente, ma il processo di connessione può richiedere un periodo di tempo prolungato. La risposta iniziale non indica se il processo di connessione è riuscito.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione per verificare che l'archivio delle AWS CloudHSM chiavi sia connesso. Sostituisci l'ID del AWS CloudHSM key store di esempio con uno valido.

   In questo esempio, il campo dello stato della connessione mostra che il AWS CloudHSM key store è ora connesso.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```

# Archivi delle chiavi esterne
<a name="keystore-external"></a>

Gli archivi di chiavi esterni consentono di proteggere le AWS risorse utilizzando chiavi crittografiche esterne a. AWS Questa funzionalità avanzata è progettata per carichi di lavoro regolamentati che è necessario proteggere con chiavi crittografiche archiviate in un sistema di gestione delle chiavi esterno da te controllato. Gli archivi di chiavi esterni supportano l'[impegno di sovranitàAWS digitale](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) per darti il controllo sovrano sui tuoi dati AWS, inclusa la possibilità di cifrarli con materiale chiave che possiedi e che controlli all'esterno. AWS

Un archivio di *chiavi esterno è un archivio* di [chiavi personalizzato](key-store-overview.md#custom-key-store-overview) supportato da un *gestore di chiavi esterno* che possiedi e gestisci esternamente. AWS Il gestore di chiavi esterno può essere un modulo di sicurezza hardware fisico o virtuale (HSMs) o qualsiasi sistema basato su hardware o software in grado di generare e utilizzare chiavi crittografiche. *Le operazioni di crittografia e decrittografia che utilizzano una chiave KMS in un archivio di chiavi esterno vengono eseguite dal gestore delle chiavi esterno utilizzando il materiale relativo alla chiave crittografica, una funzionalità nota come hold your own keys ().* HYOKs 

AWS KMS non interagisce mai direttamente con il gestore delle chiavi esterno e non può creare, visualizzare, gestire o eliminare le chiavi. AWS KMS Interagisce invece solo con il software proxy di [archiviazione delle chiavi esterno (proxy](#concept-xks-proxy) XKS) fornito dall'utente. Il proxy dell'archivio chiavi esterno media tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno. Trasmette tutte le richieste AWS KMS al gestore delle chiavi esterno e ritrasmette le risposte dal gestore delle chiavi esterno a. AWS KMS Il proxy dell'archivio chiavi esterno traduce anche le richieste generiche AWS KMS in un formato specifico del fornitore comprensibile al gestore delle chiavi esterno, consentendoti di utilizzare archivi di chiavi esterni con gestori di chiavi di diversi fornitori.

Puoi utilizzare le chiavi KMS in un archivio delle chiavi esterne per la crittografia lato client, tra cui [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/). Tuttavia, gli archivi di chiavi esterni sono una risorsa importante per la crittografia lato server, poiché consentono di proteggere più AWS Servizi AWS risorse utilizzando chiavi crittografiche esterne. AWS Servizi AWS che supportano [le chiavi gestite dal cliente](concepts.md#customer-mgn-key) per la crittografia simmetrica supportano anche le chiavi KMS in un archivio di chiavi esterno. Per i dettagli sul supporto del servizio, consulta la sezione [Integrazione del servizio AWS](https://aws.amazon.com/kms/features/#AWS_service_integration).

Gli archivi di chiavi esterni ne consentono l'utilizzo AWS KMS per carichi di lavoro regolamentati in cui le chiavi di crittografia devono essere archiviate e utilizzate all'esterno di. AWS Tuttavia, si discostano notevolmente dal modello standard di responsabilità condivisa e richiedono oneri operativi aggiuntivi. Il rischio maggiore in termini di disponibilità e latenza supererà, per la maggior parte dei clienti, i vantaggi di sicurezza percepiti per gli archivi delle chiavi esterne.

Gli archivi delle chiavi esterne ti consentono di controllare la radice di attendibilità. I dati crittografati con le chiavi KMS dell'archivio delle chiavi esterne possono essere decrittografati solo utilizzando il gestore delle chiavi esterne che è sotto tuo controllo. Se si revoca temporaneamente l'accesso al gestore di chiavi esterno, ad esempio disconnettendo l'archivio chiavi esterno o disconnettendo il gestore di chiavi esterno dal proxy dell'archivio chiavi esterno, AWS perde ogni accesso alle chiavi crittografiche finché non le si ripristina. Durante tale intervallo di tempo, il testo criptato con le chiavi KMS non può essere decifrato. Se revochi definitivamente l'accesso al gestore delle chiavi esterne, tutto il testo criptato con una chiave KMS nell'archivio delle chiavi esterne diventa irrecuperabile. Le uniche eccezioni sono i AWS servizi che memorizzano brevemente nella cache le [chiavi dati protette dalle chiavi KMS](data-keys.md). Queste chiavi dati continuano a funzionare fino alla disattivazione della risorsa o alla scadenza della cache. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

Gli archivi di chiavi esterni sbloccano i pochi casi d'uso per carichi di lavoro regolamentati in cui le chiavi di crittografia devono rimanere esclusivamente sotto il tuo controllo e inaccessibili. AWS Ciò rappresenta un cambiamento importante nel modo in cui gestisci l'infrastruttura basata sul cloud e una modifica sostanziale nel modello di responsabilità condivisa. Per la maggior parte dei carichi di lavoro, gli oneri operativi aggiuntivi e i maggiori rischi associati alla disponibilità e alle prestazioni superano i vantaggi di sicurezza percepiti per gli archivi delle chiavi esterne.



**È necessario un archivio delle chiavi esterne?**

Per la maggior parte degli utenti, l'archivio AWS KMS chiavi predefinito, protetto da [moduli di sicurezza hardware di livello 3 convalidati FIPS 140-3, soddisfa i requisiti di sicurezza](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), controllo e normativi. Gli utenti dell'archivio delle chiavi esterne devono sostenere costi elevati, oneri di manutenzione e risoluzione dei problemi, nonché rischi per latenza, disponibilità e affidabilità.

Quando prendi in considerazione un archivio di chiavi esterno, dedica del tempo alla comprensione delle alternative, tra cui un [archivio AWS CloudHSM chiavi](keystore-cloudhsm.md) supportato da un AWS CloudHSM cluster di tua proprietà e gestione e le chiavi KMS con [materiale chiave importato](importing-keys.md) che generi internamente HSMs e che puoi eliminare dalle chiavi KMS su richiesta. In particolare, l'importazione del materiale della chiave con un intervallo di scadenza molto breve potrebbe fornire un livello di controllo simile senza comportare rischi in termini di prestazioni o disponibilità.

Un archivio delle chiavi esterne potrebbe essere la soluzione ideale per la tua organizzazione se disponi dei requisiti seguenti:
+ Ti viene richiesto di utilizzare chiavi crittografiche nel tuo gestore di chiavi locale o in un gestore di chiavi al di fuori del AWS tuo controllo.
+ Devi dimostrare che le chiavi crittografiche vengono conservate esclusivamente sotto il tuo controllo al di fuori del cloud.
+ Devi crittografare e decrittografare tramite chiavi crittografiche con autorizzazione indipendente.
+ Il materiale chiave deve essere sottoposto a un percorso di audit secondario e indipendente.

Se scegli un archivio delle chiavi esterne, limita il suo utilizzo ai carichi di lavoro che richiedono protezione con chiavi crittografiche al di fuori di AWS.



**Modello di responsabilità condivisa**

Le chiavi KMS standard utilizzano materiale chiave generato e utilizzato in un ambiente di AWS KMS proprietà e HSMs gestione. Stabilisci le politiche di controllo degli accessi sulle tue chiavi KMS e configurale Servizi AWS che utilizzano le chiavi KMS per proteggere le tue risorse. AWS KMS si assume la responsabilità della sicurezza, della disponibilità, della latenza e della durabilità del materiale chiave contenuto nelle chiavi KMS.

Le chiavi KMS negli archivi delle chiavi esterne si basano sul materiale della chiave e sulle operazioni del gestore delle chiavi esterne. Pertanto, l'equilibrio delle responsabilità si sposta a tuo carico. Sei responsabile della sicurezza, dell'affidabilità, della durata e delle prestazioni delle chiavi crittografiche nel tuo gestore di chiavi esterno. AWS KMS è responsabile della risposta tempestiva alle richieste e della comunicazione con il proxy di archiviazione delle chiavi esterno, nonché del mantenimento dei nostri standard di sicurezza. [*Per garantire che ogni chiave esterna memorizzi testo cifrato almeno quanto il testo AWS KMS cifrato standard, AWS KMS prima crittografa tutto il testo in chiaro con il materiale AWS KMS chiave specifico della chiave KMS, quindi lo invia al gestore delle chiavi esterno per la crittografia con la chiave esterna, una procedura nota come doppia crittografia.*](#concept-double-encryption) Di conseguenza, né AWS KMS né il proprietario del materiale della chiave esterna possono decrittografare da soli il testo criptato con doppia crittografia.

Sei responsabile del mantenimento di un gestore di chiavi esterno che soddisfi i tuoi standard normativi e prestazionali, della fornitura e della manutenzione di un proxy dell'archivio di chiavi esterno che sia conforme alla [specifica API del proxy dell'archivio di chiavi esterno AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) e della garanzia di durabilità e disponibilità del materiale della tua chiave. Devi inoltre creare, configurare e gestire un archivio delle chiavi esterne. Quando si verificano errori causati da componenti gestiti, è necessario essere pronti a identificarli e risolverli in modo che AWS i servizi possano accedere alle risorse senza interruzioni indebite. AWS KMS fornisce [indicazioni sulla risoluzione dei problemi](xks-troubleshooting.md) per aiutarvi a determinare la causa dei problemi e le soluzioni più probabili. 

Esamina le [ CloudWatch metriche e le dimensioni di Amazon](monitoring-cloudwatch.md#kms-metrics) registrate per gli AWS KMS archivi di chiavi esterni. AWS KMS consiglia vivamente di creare CloudWatch allarmi per monitorare l'archivio di chiavi esterno in modo da poter rilevare i primi segnali di problemi prestazionali e operativi prima che si verifichino.

**Cosa sta cambiando?**

Gli archivi delle chiavi esterne supportano solo chiavi KMS di crittografia simmetrica. All'interno AWS KMS, si utilizzano e gestiscono le chiavi KMS in un archivio di chiavi esterno più o meno allo stesso modo in cui si gestiscono le altre [chiavi gestite dai clienti](concepts.md#customer-mgn-key), inclusa [l'impostazione delle politiche di controllo degli accessi](authorize-xks-key-store.md) e il [monitoraggio dell'uso delle chiavi](monitoring-overview.md). Utilizzi lo stesso APIs con gli stessi parametri per richiedere un'operazione crittografica con una chiave KMS in un archivio di chiavi esterno che utilizzi per qualsiasi chiave KMS. Anche i prezzi sono gli stessi delle chiavi KMS standard. [Per i dettagli, consulta la sezione Prezzi[Chiavi KMS negli archivi di chiavi esterni](keystore-external-key-manage.md).AWS Key Management Service](https://aws.amazon.com/kms/pricing/)

Tuttavia, con gli archivi delle chiavi esterne cambiano i seguenti principi:
+ Sei responsabile della disponibilità, della durata e della latenza delle operazioni con le chiavi.
+ Sei responsabile di tutti i costi per lo sviluppo, l'acquisto, il funzionamento e la concessione di licenze per il sistema di gestione delle chiavi esterne.
+ Puoi implementare [l'autorizzazione indipendente](authorize-xks-key-store.md#xks-proxy-authorization) di tutte le richieste inviate AWS KMS al tuo proxy di archiviazione delle chiavi esterno.
+ È possibile monitorare, controllare e registrare tutte le operazioni del proxy dell'archivio chiavi esterno e tutte le operazioni del gestore di chiavi esterno relative alle AWS KMS richieste.

**Da dove iniziare?**

Per creare e gestire un archivio delle chiavi esterne, è necessario [scegliere l'opzione di connettività proxy dell'archivio delle chiavi esterne](choose-xks-connectivity.md), [assemblare i prerequisiti](create-xks-keystore.md#xks-requirements) e infine [creare e configurare l'archivio delle chiavi esterne](create-xks-keystore.md).

**Quote**

AWS KMS consente fino a [10 archivi di chiavi personalizzati](resource-limits.md) in ciascuna Account AWS regione, inclusi archivi di [AWS CloudHSM chiavi e archivi](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) di [chiavi esterni](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), indipendentemente dallo stato della connessione. Inoltre, sono previste quote di richieste AWS KMS sull'[uso delle chiavi KMS in un archivio delle chiavi esterno](requests-per-second.md#rps-key-stores). 

Se scegli la [connettività proxy VPC](#concept-xks-connectivity) per il tuo proxy di archiviazione chiavi esterno, potrebbero esserci anche delle quote sui componenti richiesti, ad esempio sottoreti e sistemi di VPCs bilanciamento del carico di rete. Per ulteriori informazioni su queste quote, utilizza la [console Service Quotas](https://console.aws.amazon.com/servicequotas/home).



**Regioni**

Per ridurre al minimo la latenza di rete, crea i componenti dell'archivio delle chiavi esterne nella Regione AWS più vicina al [gestore delle chiavi esterne](#concept-ekm). Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.

Gli archivi di chiavi esterni sono supportati in tutti i Regioni AWS paesi in cui AWS KMS è supportato ad eccezione della Cina (Pechino) e della Cina (Ningxia). 

**Caratteristiche non supportate**

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.
+ [Chiavi KMS asimmetriche](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ [Chiavi KMS con materiale della chiave importato](importing-keys.md)
+ [Rotazione automatica delle chiavi](rotate-keys.md)
+ [Chiavi multi-regione](multi-region-keys-overview.md)

**Ulteriori informazioni:**
+ [Annuncio degli archivi delle chiavi esterne di AWS KMS](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) nel *Blog AWS News*.

## Concetti fondamentali sull'archivio delle chiavi esterne
<a name="xks-concepts"></a>

Scopri i termini e i concetti di base utilizzati negli archivi di chiavi esterni.

### Archivio delle chiavi esterne
<a name="concept-external-key-store"></a>

Un *archivio chiavi esterno* è un [archivio di chiavi AWS KMS personalizzato](key-store-overview.md#custom-key-store-overview) supportato da un gestore di chiavi esterno AWS di tua proprietà e gestione. Ogni chiave KMS in un archivio delle chiavi esterne è associata a una [chiave esterna](#concept-external-key) nel gestore delle chiavi esterne. Quando utilizzi una chiave KMS in un archivio delle chiavi esterne per la crittografia o la decrittografia, l'operazione viene eseguita nel gestore delle chiavi esterne utilizzando la chiave esterna, una funzionalità nota come *HYOK* (Hold Your Own Keys). Questa funzionalità è progettata per le organizzazioni che devono mantenere le chiavi crittografiche nel proprio gestore delle chiavi esterne.

Gli archivi di chiavi esterni assicurano che le chiavi crittografiche e le operazioni che proteggono le AWS risorse rimangano sotto il controllo del gestore delle chiavi esterno. AWS KMS invia richieste al gestore di chiavi esterno per crittografare e decrittografare i dati, ma AWS KMS non può creare, eliminare o gestire chiavi esterne. Tutte le richieste inviate AWS KMS al gestore di chiavi esterno sono mediate da un componente software [proxy di archiviazione chiavi esterno](#concept-xks-proxy) fornito, posseduto e gestito dall'utente. 

AWS i servizi che supportano [le chiavi gestite dai AWS KMS clienti](concepts.md) possono utilizzare le chiavi KMS presenti nell'archivio di chiavi esterno per proteggere i dati. Di conseguenza, i tuoi dati sono infine protetti dalle chiavi utilizzando le operazioni di crittografia nel gestore delle chiavi esterne.

Le chiavi KMS in un archivio delle chiavi esterne presentano modelli di attendibilità, [accordi di responsabilità condivisa](#xks-shared-responsibility) e aspettative prestazionali fondamentalmente diversi rispetto alle chiavi KMS standard. Con gli archivi delle chiavi esterne, sei responsabile della sicurezza e dell'integrità del materiale della chiave e delle operazioni di crittografia. La disponibilità e la latenza delle chiavi KMS in un archivio delle chiavi esterne sono influenzate dall'hardware, dal software, dai componenti di rete e dalla distanza tra AWS KMS e il gestore delle chiavi esterne. È inoltre probabile che vengano sostenuti costi aggiuntivi per il gestore delle chiavi esterno e per l'infrastruttura di rete e bilanciamento del carico necessaria per comunicare con il gestore delle chiavi esterno AWS KMS

Puoi utilizzare l'archivio delle chiavi esterne come parte di una strategia di protezione dei dati più ampia. Per ogni AWS risorsa da proteggere, puoi decidere quali richiedono una chiave KMS in un archivio chiavi esterno e quali possono essere protette da una chiave KMS standard. Ciò ti offre la flessibilità di scegliere le chiavi KMS per classificazioni di dati, applicazioni o progetti specifici.

### Gestore delle chiavi esterne
<a name="concept-ekm"></a>

Un *gestore delle chiavi esterne* è un componente al di fuori di AWS che può generare chiavi simmetriche AES a 256 bit ed eseguire operazioni di crittografia e decrittografia simmetriche. Il gestore delle chiavi esterne per un relativo archivio può essere costituito da un modulo di sicurezza hardware (HSM) fisico, un HSM virtuale o un gestore delle chiavi software con o senza un componente HSM. Può essere posizionato ovunque all'esterno AWS, anche in sede, in un data center locale o remoto o in qualsiasi cloud. L'archivio delle chiavi esterne può essere supportato da un singolo gestore delle chiavi esterne o da più istanze di gestione delle chiavi correlate che condividono chiavi crittografiche, ad esempio un cluster HSM. Gli archivi delle chiavi esterne sono progettati per supportare una varietà di gestori esterni di diversi fornitori. Per informazioni dettagliate sulla connessione al gestore di chiavi esterno, consulta[Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md).

### Chiave esterna
<a name="concept-external-key"></a>

Ogni chiave KMS in un archivio delle chiavi esterne è associata a una chiave crittografica, nota come *chiave esterna*, nel [gestore delle chiavi esterne](#concept-ekm). Quando si esegue la crittografia o la decrittografia con una chiave KMS nell'archivio delle chiavi esterne, l'operazione di crittografia viene eseguita nel [gestore delle chiavi esterne](#concept-ekm) tramite la chiave esterna.

**avvertimento**  
La chiave esterna è essenziale per il funzionamento della chiave KMS. Se la chiave esterna viene persa o eliminata, il testo criptato che è stato crittografato con la chiave KMS associata non è recuperabile.

Per gli archivi delle chiavi esterne, una chiave esterna deve essere una chiave AES a 256 bit abilitata per e in grado di eseguire le operazioni di crittografia e decrittografia. Per maggiori dettagli sui requisiti della chiave esterna, consulta [Requisiti per una chiave KMS in un archivio delle chiavi esterne](create-xks-keys.md#xks-key-requirements).

AWS KMS non può creare, eliminare o gestire chiavi esterne. Il materiale della chiave crittografica resta sempre all'interno del gestore delle chiavi esterne. Quando crei una chiave KMS in un archivio delle chiavi esterne, sei tu a fornire l'ID di una chiave esterna (`XksKeyId`). Non puoi modificare l'ID della chiave esterna associato a una chiave KMS, sebbene il gestore delle chiavi esterne possa ruotare il materiale della chiave associato a tale ID.

Oltre alla chiave esterna, una chiave KMS in un archivio delle chiavi esterne contiene anche il materiale della chiave AWS KMS . I dati protetti dalla chiave KMS vengono crittografati prima AWS KMS utilizzando il materiale AWS KMS chiave, quindi dal gestore delle chiavi esterno utilizzando la chiave esterna. Questo processo di [doppia crittografia](#concept-double-encryption) garantisce che il testo criptato protetto dalla chiave KMS sia sempre perlomeno altrettanto sicuro che il testo criptato protetto solo da AWS KMS. 

Molte chiavi crittografiche presentano diversi tipi di identificatori. Quando crei una chiave KMS in un archivio delle chiavi esterne, fornisci l'ID della chiave esterna che il [proxy dell'archivio delle chiavi esterne](#concept-xks-proxy) utilizza per fare riferimento alla chiave esterna. Se utilizzi l'identificatore sbagliato, il tentativo di creare una chiave KMS nell'archivio delle chiavi esterne ha esito negativo.

### Proxy dell'archivio delle chiavi esterne
<a name="concept-xks-proxy"></a>

Il proxy di *archiviazione delle chiavi esterno («proxy* XKS») è un'applicazione software di proprietà e gestita dal cliente che media tutte le comunicazioni tra e il gestore delle chiavi esterno. AWS KMS Inoltre, traduce le AWS KMS richieste generiche in un formato comprensibile al gestore di chiavi esterno specifico del fornitore. Per un archivio delle chiavi esterne è necessario un relativo proxy. Ogni archivio delle chiavi esterne è associato a un relativo proxy.

![\[Proxy dell'archivio delle chiavi esterne\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-proxy-concept-40.png)


AWS KMS non può creare, eliminare o gestire chiavi esterne. Il materiale delle chiavi crittografiche resta sempre all'interno del gestore delle chiavi. Tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno sono mediate dal proxy dell'archivio chiavi esterno. AWS KMS invia richieste al proxy dell'archivio chiavi esterno e riceve risposte dal proxy dell'archivio chiavi esterno. Il proxy dell'archivio chiavi esterno è responsabile della trasmissione delle richieste dal AWS KMS gestore delle chiavi esterno e della trasmissione delle risposte dal gestore delle chiavi esterno a AWS KMS

Tieni presente che, in quanto proprietario e gestore del proxy dell'archivio delle chiavi esterne, sei responsabile della manutenzione e del funzionamento. È possibile sviluppare un proxy di archiviazione chiavi esterno in base alla [specifica dell'API proxy dell'archivio chiavi esterno](https://github.com/aws/aws-kms-xksproxy-api-spec/) open source che AWS KMS pubblica o acquista un'applicazione proxy da un fornitore. Il proxy dell'archivio delle chiavi esterne potrebbe essere incluso nel gestore delle chiavi esterne. Per supportare lo sviluppo del proxy, fornisce AWS KMS anche un esempio di key store proxy esterno ([aws-kms-xks-proxy](https://github.com/aws-samples/aws-kms-xks-proxy)) e un client di test ([xks-kms-xksproxy-test-client](https://github.com/aws-samples/aws-kms-xksproxy-test-client)) che verifica che il proxy dell'archivio chiavi esterno sia conforme alle specifiche.

Per l'autenticazione AWS KMS, il proxy utilizza certificati TLS lato server. [Per autenticarti sul tuo proxy, AWS KMS firma tutte le richieste al tuo proxy di archiviazione chiavi esterno con una credenziale di autenticazione proxy SigV4.](#concept-xks-credential)

Il proxy dell'archivio di chiavi esterno deve supportare HTTP/1.1 o versione successiva e TLS 1.2 o versione successiva con almeno una delle seguenti suite di crittografia:
+ TLS\$1AES\$1256\$1GCM\$1 (TLS 1.3SHA384 )
+ TLS\$1 \$1 CHACHA20 (POLY1305SHA256 TLS 1.3)
**Nota**  
Non AWS GovCloud (US) Region supporta CHACHA20 TLS\$1 \$1 \$1. POLY1305 SHA256
+ TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 (TLS 1.2SHA384 )
+ TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 (TLS 1.2SHA384 )

Per creare e utilizzare le chiavi KMS nell'archivio delle chiavi esterne, devi innanzitutto [connettere l'archivio delle chiavi esterne](xks-connect-disconnect.md) al relativo proxy. Puoi anche disconnettere l'archivio delle chiavi esterne dal relativo proxy su richiesta. Quando esegui questa operazione, tutte le chiavi KMS nell'archivio delle chiavi esterne diventano [non disponibili](key-state.md), di conseguenza non possono essere utilizzate in alcuna operazione di crittografia.

### Connettività proxy dell'archivio delle chiavi esterne
<a name="concept-xks-connectivity"></a>

La connettività proxy dell'archivio chiavi esterno («connettività proxy XKS») descrive il metodo utilizzato per comunicare con il proxy dell'archivio chiavi esterno. AWS KMS 

Puoi specificare l'opzione di connettività proxy durante la creazione dell'archivio delle chiavi esterne, rendendola così una proprietà di tale archivio. Puoi modificare l'opzione di connettività proxy aggiornando la proprietà dell'archivio delle chiavi personalizzate, tuttavia devi accertarti che il proxy dell'archivio delle chiavi esterne possa comunque accedere alle stesse chiavi esterne.

AWS KMS supporta le seguenti opzioni di connettività.
+ [Connettività pubblica degli endpoint](choose-xks-connectivity.md#xks-connectivity-public-endpoint): AWS KMS invia le richieste per il proxy dell'archivio di chiavi esterno tramite Internet a un endpoint pubblico controllato dall'utente. Questa opzione è semplice da creare e gestire, ma potrebbe non soddisfare i requisiti di sicurezza per ogni installazione.
+ [Connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity): AWS KMS invia le richieste a un servizio endpoint Amazon Virtual Private Cloud (Amazon VPC) creato e gestito da te. Puoi ospitare il proxy dell'archivio chiavi esterno all'interno di Amazon VPC o ospitare il proxy dell'archivio chiavi esterno all'esterno AWS e utilizzare Amazon VPC solo per la comunicazione. Puoi anche connettere il tuo archivio di chiavi esterno a un servizio endpoint Amazon VPC di proprietà di un altro. Account AWS

Per informazioni dettagliate sulle opzioni di connettività proxy dell'archivio delle chiavi esterne, consulta [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md).

### Credenziali di autenticazione al proxy dell'archivio delle chiavi esterne
<a name="concept-xks-credential"></a>

Per autenticarti sul tuo proxy di archivio chiavi esterno, AWS KMS firma tutte le richieste al tuo proxy di archivio chiavi esterno con una credenziale di autenticazione [Signature V4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Stabilisci e gestisci la credenziale di autenticazione sul tuo proxy, quindi fornisci questa credenziale quando crei l'archivio esterno. AWS KMS 

**Nota**  
La credenziale SigV4 AWS KMS utilizzata per firmare le richieste al proxy XKS non è correlata alle credenziali SigV4 associate ai principali del tuo. AWS Identity and Access Management Account AWS Non riutilizzare le credenziali SigV4 IAM per il proxy dell'archivio delle chiavi esterne.

Ogni credenziale di autenticazione proxy è costituita da due parti. Devi fornire entrambe le parti durante la creazione di un archivio delle chiavi esterne o l'aggiornamento delle credenziali di autenticazione per l'archivio delle chiavi esterne.
+ ID chiave di accesso: identifica la chiave di accesso segreta. Puoi fornire questo ID come un testo non crittografato.
+ Chiave di accesso segreta: la parte segreta della credenziale. AWS KMS crittografa la chiave di accesso segreta nella credenziale prima di archiviarla.

Puoi [modificare l'impostazione delle credenziali](update-xks-keystore.md) in qualsiasi momento, ad esempio quando inserisci valori errati, quando modifichi le credenziali nel proxy o quando il proxy esegue la rotazione delle credenziali. Per dettagli tecnici sull' AWS KMS autenticazione al proxy dell'archivio chiavi esterno, vedere [Authentication](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/xks_proxy_api_spec.md#authentication) in the AWS KMS External Key Store Proxy Specification.

Per consentirti di ruotare le tue credenziali senza interrompere l' Servizi AWS utilizzo delle chiavi KMS nell'archivio di chiavi esterno, consigliamo che il proxy dell'archivio chiavi esterno supporti almeno due credenziali di autenticazione valide per. AWS KMS Ciò garantisce che le credenziali precedenti continuino a funzionare mentre fornisci le nuove credenziali a AWS KMS.

Per aiutarti a tenere traccia dell'età delle tue credenziali di autenticazione proxy, AWS KMS definisce una CloudWatch metrica Amazon,. [XksProxyCredentialAge](monitoring-cloudwatch.md#metric-xks-proxy-credential-age) Puoi utilizzare questa metrica per creare un CloudWatch allarme che ti avvisa quando l'età delle tue credenziali raggiunge una soglia da te stabilita.

### Proxy APIs
<a name="concept-proxy-apis"></a>

Per supportare un archivio di chiavi AWS KMS esterno, un [proxy di archiviazione chiavi esterno](#concept-xks-proxy) deve implementare il proxy richiesto APIs come descritto nella [specifica dell'API proxy AWS KMS External Key Store](https://github.com/aws/aws-kms-xksproxy-api-spec/). Queste richieste API proxy sono le uniche richieste AWS KMS inviate al proxy. Sebbene non si inviino mai direttamente queste richieste, conoscerle potrebbe aiutarti a risolvere eventuali problemi che potrebbero verificarsi con l'archivio delle chiavi esterne o il relativo proxy. Ad esempio, AWS KMS include informazioni sulla latenza e le percentuali di successo di queste chiamate API nelle [ CloudWatch metriche Amazon](monitoring-cloudwatch.md) per gli archivi di chiavi esterni. Per informazioni dettagliate, vedi [Monitora gli archivi di chiavi esterni](xks-monitoring.md).

La tabella seguente elenca e descrive ogni proxy. APIs Include inoltre le AWS KMS operazioni che attivano una chiamata all'API proxy e tutte le eccezioni AWS KMS operative relative all'API proxy.


| API proxy | Description | Operazioni correlate AWS KMS  | 
| --- | --- | --- | 
| Decrypt | AWS KMS invia il testo cifrato da decrittografare e l'ID della chiave [esterna](#concept-external-key) da utilizzare. L'algoritmo di crittografia richiesto è AES\$1GCM.  | [Decrittografa, [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) | 
| Crittografa | AWS KMS invia i dati da crittografare e l'ID della [chiave esterna](#concept-external-key) da utilizzare. L'algoritmo di crittografia richiesto è AES\$1GCM.  | [Crittografa](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html), [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) | 
| GetHealthStatus | AWS KMS richiede informazioni sullo stato del proxy e sul gestore delle chiavi esterno. Lo stato di ogni gestore delle chiavi esterne può essere uno dei seguenti.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/keystore-external.html) | [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)(per la connettività [degli endpoint pubblici), [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)(per la connettività](choose-xks-connectivity.md#xks-connectivity-public-endpoint) del servizio [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity))Se tutte le istanze del gestore delle chiavi esterne sono `Unavailable`, i tentativi di creare o connettere l'archivio delle chiavi hanno esito negativo con l'eccezione [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-latency). | 
| GetKeyMetadata | AWS KMS richiede informazioni sulla [chiave esterna associata a una chiave](#concept-external-key) KMS nel tuo archivio di chiavi esterno. La risposta include le specifiche della chiave (`AES_256`), il suo l'utilizzo (`[ENCRYPT, DECRYPT]`) e se la chiave esterna è `ENABLED` o `DISABLED`. | [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Se la specifica della chiave non è `AES_256`, se l'utilizzo della chiave non è `[ENCRYPT, DECRYPT]` o lo stato è `DISABLED`, l'operazione `CreateKey` ha esito negativo con l'eccezione `XksKeyInvalidConfigurationException`. | 

### Doppia crittografia
<a name="concept-double-encryption"></a>

I dati crittografati con una chiave KMS in un archivio delle chiavi esterne vengono crittografati due volte. Innanzitutto, AWS KMS crittografa i dati con materiale AWS KMS chiave specifico per la chiave KMS. Quindi, il testo criptato con AWS KMS viene crittografato dal [gestore delle chiavi esterne](#concept-ekm) utilizzando la [chiave esterna](#concept-external-key). Questo processo è noto come *doppia crittografia*.

La doppia crittografia garantisce che i dati crittografati da una chiave KMS in un archivio delle chiavi esterne siano almeno altrettanto sicuri del testo criptato crittografato da una chiave KMS standard. Protegge inoltre il testo in chiaro in transito dal proxy dell' AWS KMS archivio chiavi esterno. Con la doppia crittografia, mantieni il pieno controllo dei tuoi testi criptati. Se revochi definitivamente l'accesso AWS alla chiave esterna tramite il proxy esterno, qualsiasi testo criptato rimasto in AWS viene effettivamente eliminato in modo crittografato.

![\[Doppia crittografia dei dati protetti da una chiave KMS in un archivio delle chiavi esterne\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-double-encrypt-40.png)


Per abilitare la doppia crittografia, ogni chiave KMS in un archivio delle chiavi esterne dispone di *due* materiali della chiave crittografica:
+ Un materiale AWS KMS chiave esclusivo della chiave KMS. Questo materiale chiave viene generato e utilizzato solo nei moduli di sicurezza hardware certificati AWS KMS [FIPS 140-3 Security Level 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs
+ Una [chiave esterna](#concept-external-key) nel gestore delle chiavi esterne.

La doppia crittografia ha i seguenti effetti:
+ AWS KMS non può decrittografare alcun testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno senza accedere alle chiavi esterne tramite il proxy dell'archivio chiavi esterno.
+ Non è possibile decrittografare alcun testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno a, anche se si dispone del relativo materiale di AWS chiave esterno.
+ Non puoi ricreare una chiave KMS eliminata da un archivio delle chiavi esterne, anche se disponi del relativo materiale della chiave. Ogni chiave KMS presenta metadati univoci inclusi nel testo criptato simmetrico. Una nuova chiave KMS non sarebbe in grado di decrittografare il testo criptato con la chiave originale, anche se utilizza lo stesso materiale della chiave esterna.

Per un esempio pratico di doppia crittografia, consulta [Funzionamento degli archivi delle chiavi esterne](#xks-how-it-works).

## Funzionamento degli archivi delle chiavi esterne
<a name="xks-how-it-works"></a>

L'[archivio delle chiavi esterne](#concept-external-key-store), il [proxy dell'archivio delle chiavi esterne](#concept-xks-proxy) e il [gestore delle chiavi esterne](#concept-ekm) collaborano insieme per proteggere le tue risorse AWS . La procedura seguente descrive il flusso di lavoro di crittografia di un tipico Servizio AWS che esegue la crittografia di ogni oggetto con una chiave dati univoca protetta da una chiave KMS. In questo caso, hai scelto una chiave KMS in un archivio delle chiavi esterne per proteggere l'oggetto. L'esempio mostra come AWS KMS utilizza la [doppia crittografia](#concept-double-encryption) per proteggere la chiave di dati in transito e garantire che il testo cifrato generato da una chiave KMS in un archivio di chiavi esterno sia sempre almeno altrettanto efficace del testo cifrato crittografato da una chiave KMS simmetrica standard contenente materiale chiave. AWS KMS

I metodi di crittografia utilizzati da ogni effettivo che si integra con variano. Servizio AWS AWS KMS Per maggiori dettagli, consulta l'argomento "Protezione dei dati" nel capitolo Sicurezza della documentazione di Servizio AWS .

![\[Funzionamento degli archivi delle chiavi esterne\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-how-it-works-jan26.png)


1. Aggiungi un nuovo oggetto alla tua Servizio AWS risorsa. Per crittografare l'oggetto, Servizio AWS invia una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)richiesta all' AWS KMS utilizzo di una chiave KMS nell'archivio di chiavi esterno.

1. AWS KMS genera una [chiave dati simmetrica a 256 bit e si prepara a inviare una copia della chiave](data-keys.md) di dati in chiaro al gestore delle chiavi esterno tramite il proxy dell'archivio chiavi esterno. AWS KMS avvia il processo di [doppia crittografia](#concept-double-encryption) crittografando la chiave di dati in chiaro con il [materiale chiave associato alla chiave KMS nell'AWS KMS archivio chiavi esterno](#concept-double-encryption). 

1. AWS KMS invia una richiesta di [crittografia](#concept-proxy-apis) al proxy dell'archivio chiavi esterno associato all'archivio di chiavi esterno. La richiesta include il testo cifrato della chiave dati da crittografare e l'ID della [chiave esterna](#concept-external-key) associata alla chiave KMS. AWS KMS firma la richiesta utilizzando la [credenziale di autenticazione proxy](#concept-xks-credential) per il proxy di archiviazione delle chiavi esterno. 

   La copia non crittografata della chiave dati non viene inviata al proxy dell'archivio delle chiavi esterno.

1. Il proxy dell'archivio delle chiavi esterne autentica la richiesta di crittografia e quindi la trasmette al gestore delle chiavi esterne. 

   Alcuni proxy dell'archivio delle chiavi esterne implementano anche una [policy di autorizzazione](authorize-xks-key-store.md#xks-proxy-authorization) facoltativa che consente solo ai principali selezionati di eseguire operazioni in condizioni specifiche.

1. Il gestore delle chiavi esterne esegue la crittografia del testo criptato della chiave dati utilizzando la chiave esterna specificata e restituisce la chiave dati con doppia crittografia al proxy dell'archivio delle chiavi esterne che a sua volta la restituisce a AWS KMS.

1. AWS KMS restituisce la chiave di dati in testo semplice e la copia con doppia crittografia di tale chiave dati a. Servizio AWS

1.  Servizio AWS utilizza la chiave dati in testo semplice per crittografare l'oggetto risorsa, distrugge la chiave di dati in testo semplice e archivia la chiave dati crittografata con l'oggetto crittografato. 

   Alcuni Servizi AWS potrebbero memorizzare nella cache la chiave di dati in testo semplice da utilizzare per più oggetti o da riutilizzare mentre la risorsa è in uso. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

[Per decrittografare l'oggetto crittografato, è Servizio AWS necessario inviare nuovamente la chiave di dati crittografata a AWS KMS in una richiesta Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Per decrittografare la chiave dati crittografata, è AWS KMS necessario inviare la chiave dati crittografata al proxy dell'archivio chiavi esterno con l'ID della chiave esterna. Se la richiesta di decrittografia al proxy dell'archivio chiavi esterno non riesce per qualsiasi motivo, non AWS KMS può decrittografare la chiave dati crittografata e non può decrittografare l' Servizio AWS oggetto crittografato.

# Controlla l'accesso al tuo archivio di chiavi esterno
<a name="authorize-xks-key-store"></a>

Tutte le funzionalità di controllo degli AWS KMS accessi ([politiche chiave](key-policies.md), [politiche IAM](iam-policies.md) e [concessioni](grants.md)) che utilizzi con le chiavi KMS standard funzionano allo stesso modo per le chiavi KMS in un archivio di chiavi esterno. Puoi utilizzare le policy IAM per controllare l'accesso alle operazioni API che creano e gestiscono archivi delle chiavi esterne. Utilizzi le policy IAM e le policy chiave per controllare l'accesso al tuo archivio AWS KMS keys di chiavi esterno. Puoi anche utilizzare [le policy di controllo del servizio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) per la tua AWS organizzazione e le [policy degli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy) per controllare l'accesso alle chiavi KMS nel tuo archivio di chiavi esterno. 

Ti consigliamo di concedere a utenti e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

**Topics**
+ [Autorizzazione dei gestori dell'archivio delle chiavi esterne](#authorize-xks-managers)
+ [Autorizzazione degli utenti delle chiavi KMS in archivi delle chiavi esterne](#authorize-xks-users)
+ [Autorizzazione AWS KMS alla comunicazione con il proxy dell'archivio chiavi esterno](#allowlist-kms-xks)
+ [Autorizzazione proxy dell'archivio delle chiavi esterne (facoltativo)](#xks-proxy-authorization)
+ [Autenticazione MTLS (obsoleta)](#xks-mtls)

## Autorizzazione dei gestori dell'archivio delle chiavi esterne
<a name="authorize-xks-managers"></a>

I principali che creano e gestiscono un archivio delle chiavi esterne necessitano di autorizzazioni per eseguire le operazioni dell'archivio delle chiavi personalizzate. L'elenco seguente descrive le autorizzazioni minime necessarie per i gestori dell'archivio delle chiavi esterne. Poiché un archivio chiavi personalizzato non è una AWS risorsa, non è possibile fornire l'autorizzazione a un archivio di chiavi esterno per i responsabili di altri. Account AWS
+ `kms:CreateCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:ConnectCustomKeyStore`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `kms:DeleteCustomKeyStore`

Per creare un archivio di chiavi esterno con la [connettività del servizio endpoint Amazon VPC e il servizio](choose-xks-connectivity.md#xks-vpc-connectivity) endpoint VPC è di proprietà di un'altra persona Account AWS, avrai anche bisogno della seguente autorizzazione:
+ `ec2:DescribeVPCEndpointServices`

I principali che creano un archivio delle chiavi esterne devono disporre dell'autorizzazione per creare e configurare i componenti di tale archivio. I principali possono creare archivi delle chiavi esterne solo nei propri account. Per creare un archivio delle chiavi esterne con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), i principali devono disporre dell'autorizzazione per creare i seguenti componenti:
+ Un Amazon VPC
+ Sottoreti pubbliche e private
+ Un Network Load Balancer e un gruppo di destinazione
+ Un servizio endpoint Amazon VPC

Per maggiori dettagli, consulta le sezioni [Identity and access management per Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), [Identity and Access Management per endpoint VPC e servizi endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) e [Autorizzazioni API di Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html).

## Autorizzazione degli utenti delle chiavi KMS in archivi delle chiavi esterne
<a name="authorize-xks-users"></a>

I responsabili che creano e gestiscono AWS KMS keys nel tuo archivio di chiavi esterno richiedono [le stesse autorizzazioni](create-keys.md#create-key-permissions) di coloro che creano e gestiscono qualsiasi chiave KMS. AWS KMS La [policy chiave predefinita](key-policy-default.md) per le chiavi KMS in un archivio delle chiavi esterne è identica alla policy chiave predefinita per le chiavi KMS in AWS KMS. Il [controllo degli accessi basato su attributi](abac.md) (ABAC), che utilizza tag e alias per controllare l'accesso alle chiavi KMS, sono efficaci anche nelle chiavi KMS negli archivi delle chiavi esterne.

I principali che utilizzano le chiavi KMS nell'archivio delle chiavi personalizzate per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore) devono disporre dell'autorizzazione per eseguire l'operazione di crittografia con la chiave KMS, ad esempio [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Puoi fornire queste autorizzazioni in una policy IAM o in una policy delle chiavi. I principali non hanno tuttavia bisogno di autorizzazioni supplementari per utilizzare una chiave KMS in un archivio delle chiavi personalizzate.

Per impostare un'autorizzazione che si applica solo alle chiavi KMS in un archivio delle chiavi esterne, utilizza la condizione della policy [`kms:KeyOrigin`](conditions-kms.md#conditions-kms-key-origin) con un valore di `EXTERNAL_KEY_STORE`. Puoi utilizzare questa condizione per limitare l'autorizzazione [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) o qualsiasi CreateKey autorizzazione specifica per una risorsa chiave KMS. Ad esempio, la policy IAM seguente consente all'identità a cui è associata di chiamare le operazioni specificate in tutte le chiavi KMS, a condizione che le chiavi KMS si trovino in un archivio delle chiavi esterne. Nota che puoi limitare l'autorizzazione alle chiavi KMS in un archivio di chiavi esterno e alle chiavi KMS in un archivio di chiavi esterno Account AWS, ma non in un particolare archivio di chiavi esterno nell'account.

```
{
  "Sid": "AllowKeysInExternalKeyStores",
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL_KEY_STORE"
    }
  }
}
```

## Autorizzazione AWS KMS alla comunicazione con il proxy dell'archivio chiavi esterno
<a name="allowlist-kms-xks"></a>

AWS KMS comunica con il gestore delle chiavi esterno solo tramite il [proxy di archiviazione chiavi esterno](keystore-external.md#concept-xks-proxy) fornito dall'utente. AWS KMS si autentica con il proxy firmando le relative richieste utilizzando il [processo Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) con la credenziale di [autenticazione proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-credential) specificata dall'utente. Se si utilizza la [connettività endpoint pubblica](choose-xks-connectivity.md#xks-connectivity-public-endpoint) per il proxy dell'archivio chiavi esterno, AWS KMS non richiede autorizzazioni aggiuntive. 

Tuttavia, se utilizzi la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), devi AWS KMS autorizzare la creazione di un endpoint di interfaccia per il tuo servizio endpoint Amazon VPC. Questa autorizzazione è richiesta indipendentemente dal fatto che il proxy dell'archivio chiavi esterno si trovi nel tuo VPC o che il proxy dell'archivio chiavi esterno si trovi altrove, ma utilizzi il servizio endpoint VPC per comunicare. AWS KMS

 AWS KMS Per consentire la creazione di un endpoint di interfaccia, utilizza la console [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)l'operazione. Consenti le autorizzazioni per il seguente principale: `cks.kms.<region>.amazonaws.com`.

Se il tuo servizio endpoint Amazon VPC è di proprietà di una persona Account AWS diversa da quella Account AWS proprietaria dell'archivio di chiavi esterne (XKS), dovrai anche consentire a XKS l'accesso al servizio endpoint VPC. A tale scopo, [consenti l' Account AWS ID XKS come principale](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) per il servizio endpoint Amazon VPC.

------
#### [ Same Account AWS ]

Se il servizio endpoint VPC è di proprietà dello stesso Account AWS archivio chiavi esterno, è necessario aggiungerlo AWS KMS all'elenco dei **principali indirizzi consentiti per il servizio endpoint** VPC.

L'esempio seguente utilizza il [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI comando per consentire la connessione AWS KMS al servizio endpoint VPC specificato nella regione Stati Uniti occidentali (Oregon) (us-west-2). Prima di utilizzare questo comando, sostituisci l'ID del servizio Amazon VPC Regione AWS con valori validi per la tua configurazione.

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'
```

Per rimuovere questa autorizzazione, usa la [console Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)con il `RemoveAllowedPrincipals` parametro.

------
#### [ Cross Account AWS ]

Quando il servizio endpoint VPC è di proprietà di un altro Account AWS, è necessario aggiungere entrambi AWS KMS e l'archivio chiavi esterno all'elenco dei **principali indirizzi consentiti** per il servizio endpoint VPC.

L'esempio seguente utilizza il [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI comando per consentire a entrambi AWS KMS e all'archivio di chiavi esterno (XKS) di connettersi al servizio endpoint VPC specificato nella regione Stati Uniti occidentali (Oregon) (us-west-2). Prima di utilizzare questo comando, sostituisci l'ID del servizio Amazon VPC e l'ARN Regione AWS principale IAM con valori validi per la tua configurazione. Il principale IAM deve essere sostituito con un principale nel proprietario di XKS. Account AWS

In questo esempio, `arn:aws:iam::123456789012:role/cks_role` è il principale IAM nell'account proprietario XKS, che verrà utilizzato per creare, aggiornare o connettere XKS al servizio endpoint VPC. Se desideri consentire a tutti i principali dell'account proprietario XKS di accedere al tuo servizio endpoint VPC, puoi specificare. `arn:aws:iam::123456789012:root`

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'
```

Per rimuovere questa autorizzazione, usa la [console Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)con il `RemoveAllowedPrincipals` parametro.

------

## Autorizzazione proxy dell'archivio delle chiavi esterne (facoltativo)
<a name="xks-proxy-authorization"></a>

Alcuni proxy degli archivi delle chiavi esterne implementano i requisiti di autorizzazione per l'uso delle relative chiavi esterne. Un proxy dell'archivio delle chiavi esterne è consentito, ma non obbligatorio, per progettare e implementare uno schema di autorizzazione che consenta a determinati utenti di richiedere determinate operazioni solo in base ad alcune condizioni. Ad esempio, un proxy potrebbe essere configurato per consentire all'utente A di eseguire la crittografia con una particolare chiave esterna, ma non di effettuare l'operazione inversa.

L'autorizzazione proxy è indipendente dall'[autenticazione proxy basata su SigV4 che AWS KMS richiede tutti i proxy](keystore-external.md#concept-xks-credential) di archiviazione chiavi esterni. È inoltre indipendente dalle policy delle chiavi, dalle policy IAM e dalle concessioni che autorizzano l'accesso alle operazioni che riguardano l'archivio delle chiavi esterne o le relative chiavi KMS.

Per abilitare l'autorizzazione da parte del proxy di archiviazione delle chiavi esterno, AWS KMS include i metadati in ogni [richiesta API proxy](keystore-external.md#concept-proxy-apis), tra cui il chiamante, la chiave KMS, l'operazione e (se presente). AWS KMS Servizio AWS I metadati della richiesta per la versione 1 (v1) dell'API proxy dell'archivio delle chiavi esterne sono i seguenti.

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Ad esempio, è possibile configurare il proxy per consentire le richieste provenienti da un particolare principale (`awsPrincipalArn`), ma solo quando la richiesta viene effettuata per conto del principale da un particolare Servizio AWS (). `kmsViaService`

Se l'autorizzazione del proxy fallisce, l' AWS KMS operazione correlata fallisce e viene visualizzato un messaggio che spiega l'errore. Per maggiori dettagli, consulta [Problemi relativi all'autorizzazione proxy](xks-troubleshooting.md#fix-xks-authorization).

## Autenticazione MTLS (obsoleta)
<a name="xks-mtls"></a>

Le versioni precedenti di questa guida menzionavano il *Mutual Transport Layer Security* (mTLS) come meccanismo di autenticazione secondario opzionale da cui autenticare le richieste. AWS KMS Con MTL, entrambe le parti (AWS KMS come client e il proxy XKS come server) che comunicano tramite un canale TLS utilizzano i certificati per l'autenticazione reciproca.

Tuttavia, le modifiche alla [Chrome Root Program Policy (Sezione 4.2.2)](https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-7/#422-pki-hierarchies-included-in-the-chrome-root-store) vietano a un utente root pubblicamente affidabile CAs incluso nel Chrome Root Store di emettere certificati con l'estensione ClientAuth Extended Key Usage (EKU) dopo il 15 giugno 2026. Di conseguenza, non è più AWS KMS possibile ottenere un certificato client adatto per MTL da [Amazon Trust Services](https://www.amazontrust.com/repository/). Qualsiasi proxy XKS utilizzato per creare un nuovo archivio di chiavi esterno AWS KMS dopo il 16 marzo 2026 non deve richiedere MTL. Dopo il 15 giugno 2026, qualsiasi proxy XKS configurato per richiedere MTL non sarà in grado di comunicare con. AWS KMS I clienti devono fare affidamento sull'autenticazione SigV4 per verificare che le richieste provengano da. AWS KMS Per ulteriori informazioni, consulta Credenziale di [autenticazione proxy dell'archivio di chiavi esterne](keystore-external.md#concept-xks-credential).

# Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno
<a name="choose-xks-connectivity"></a>

Prima di creare l'archivio di chiavi esterno, scegli l'opzione di connettività che determina il modo in cui AWS KMS comunica con i componenti dell'archivio chiavi esterno. L'opzione di connettività scelta determina il resto del processo di pianificazione.

Se state creando un archivio di chiavi esterno, dovete determinare in che modo AWS KMS comunica con il proxy dell'[archivio chiavi esterno](keystore-external.md#concept-xks-proxy). Questa scelta determinerà quali componenti sono necessari e come configurarli. AWS KMS supporta le seguenti opzioni di connettività.
+ [Connettività dell'endpoint pubblico](#xks-connectivity-public-endpoint)
+ [Connettività del servizio endpoint VPC](#xks-vpc-connectivity)

Scegli l'opzione che soddisfa gli obiettivi di prestazioni e sicurezza.

Prima di iniziare, [verifica che sia necessario un archivio delle chiavi esterne](keystore-external.md#do-i-need-xks). La maggior parte dei clienti può utilizzare chiavi KMS supportate da materiale AWS KMS chiave.

**Considerazioni**
+ Se il proxy dell'archivio delle chiavi esterne è integrato nel gestore delle chiavi esterne, la connettività potrebbe essere predeterminata. Per informazioni, consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.
+ Puoi [modificare l'opzione di connettività proxy dell'archivio delle chiavi esterne](update-xks-keystore.md) anche su un archivio delle chiavi esterne operativo. Tuttavia, il processo deve essere pianificato ed eseguito con cura per ridurre al minimo le interruzioni, evitare errori e garantire l'accesso continuo alle chiavi crittografiche che crittografano i dati.

## Connettività dell'endpoint pubblico
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS si connette al proxy di archiviazione delle chiavi esterno (proxy XKS) su Internet utilizzando un endpoint pubblico.

Questa opzione di connettività è molto semplice da configurare e gestire e si allinea bene con alcuni modelli di gestione delle chiavi. Tuttavia, potrebbe non soddisfare i requisiti di sicurezza di alcune organizzazioni.

![\[Connettività dell'endpoint pubblico\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**Requisiti**

Se scegli la connettività all'endpoint pubblico, è necessario quanto segue. 
+ Il proxy dell'archivio delle chiavi esterne deve essere raggiungibile da un endpoint indirizzabile pubblicamente. 
+ Puoi utilizzare lo stesso endpoint pubblico per più archivi delle chiavi esterne, a condizione che utilizzino valori diversi per il [percorso URI proxy](create-xks-keystore.md#require-path). 
+ Non è possibile utilizzare lo stesso endpoint per un archivio di chiavi esterno con connettività endpoint pubblica e qualsiasi archivio di chiavi esterno con connettività dei servizi endpoint VPC nello stesso archivio Regione AWS, anche se gli archivi di chiavi si trovano in archivi diversi. Account AWS
+ Devi ottenere un certificato TLS emesso da un'autorità di certificazione pubblica supportata per gli archivi delle chiavi esterne. Per un elenco, consulta [Autorità di certificazione attendibili](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). 

  Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome di dominio nell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) del proxy dell'archivio delle chiavi esterne. Ad esempio, se l'endpoint pubblico è `https://myproxy.xks.example.com` il TLS, il CN sul certificato TLS deve essere `myproxy.xks.example.com` o `*.xks.example.com`.
+ Assicurati che tutti i firewall tra AWS KMS e il proxy dell'archivio di chiavi esterno consentano il traffico da e verso la porta 443 del proxy. AWS KMS comunica sulla porta 443 tramite. IPv4 Questo valore non è configurabile.

Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements).

## Connettività del servizio endpoint VPC
<a name="xks-vpc-connectivity"></a>

AWS KMS si connette al proxy di archiviazione chiavi esterno (proxy XKS) creando un endpoint di interfaccia verso un servizio endpoint Amazon VPC da te creato e configurato. Sei responsabile della [creazione del servizio endpoint VPC](vpc-connectivity.md) e della connessione del VPC al gestore delle chiavi esterne.

Il tuo servizio endpoint può utilizzare qualsiasi opzione [ network-to-AmazonVPC supportata](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) per le comunicazioni, tra cui. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) 

Questa opzione di connettività è più complessa da configurare e gestire. Ma utilizza AWS PrivateLink, il che consente di AWS KMS connettersi privatamente al tuo Amazon VPC e al tuo proxy di archiviazione chiavi esterno senza utilizzare la rete Internet pubblica.

Puoi posizionare il proxy dell'archivio delle chiavi esterne in Amazon VPC.

![\[Connettività del servizio endpoint VPC - proxy XKS nel VPC\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


In alternativa, puoi localizzare il tuo proxy di archiviazione chiavi esterno all'esterno Cloud AWS e utilizzare il servizio endpoint Amazon VPC solo per comunicazioni sicure con. AWS KMS

![\[Connettività del servizio endpoint VPC: proxy XKS esterno a AWS\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


Puoi anche connettere un archivio di chiavi esterno a un servizio endpoint Amazon VPC di proprietà di un altro. Account AWS Entrambi Account AWS necessitano delle [autorizzazioni necessarie](authorize-xks-key-store.md#authorize-xks-managers) per consentire le comunicazioni tra AWS KMS e il servizio endpoint VPC 

**Ulteriori informazioni:**
+ Rivedi il processo di creazione di un archivio delle chiavi esterne, incluso [l'assemblaggio dei prerequisiti](create-xks-keystore.md#xks-requirements). Ti aiuterà a verificare di disporre di tutti i componenti necessari per la creazione dell'archivio delle chiavi esterne.
+ Scopri come [controllare l'accesso all'archivio delle chiavi esterne](authorize-xks-key-store.md), comprese le autorizzazioni richieste dagli amministratori e dagli utenti dell'archivio. 
+ Scopri le [ CloudWatch metriche e le dimensioni di Amazon](monitoring-cloudwatch.md#kms-metrics) registrate per gli AWS KMS archivi di chiavi esterni. Ti consigliamo di creare allarmi per monitorare l'archivio delle chiavi esterne, in modo da poter rilevare fin dal principio eventuali segnali relativi a problemi operativi e prestazionali.

# Configurazione della connettività del servizio endpoint VPC
<a name="vpc-connectivity"></a>

Utilizza le indicazioni in questa sezione per creare e configurare AWS le risorse e i componenti correlati necessari per un archivio di chiavi esterno che utilizza la connettività del servizio [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Le risorse elencate per questa opzione di connettività sono un supplemento alle [risorse necessarie per tutti gli archivi delle chiavi esterne](create-xks-keystore.md#xks-requirements). Dopo aver creato e configurato le risorse necessarie, puoi [creare l'archivio delle chiavi esterne](create-xks-keystore.md).

Puoi localizzare il tuo proxy di archiviazione chiavi esterno nel tuo Amazon VPC o localizzare il proxy all'esterno AWS e utilizzare il servizio di endpoint VPC per la comunicazione.

Prima di iniziare, [verifica che sia necessario un archivio delle chiavi esterne](keystore-external.md#do-i-need-xks). La maggior parte dei clienti può utilizzare chiavi KMS supportate da materiale chiave. AWS KMS 

**Nota**  
Alcuni degli elementi necessari per la connettività del servizio endpoint VPC potrebbero essere inclusi nel gestore delle chiavi esterne. Inoltre, il software potrebbe avere requisiti di configurazione aggiuntivi. Prima di creare e configurare le AWS risorse in questa sezione, consulta la documentazione del proxy e del gestore delle chiavi.

**Topics**
+ [Requisiti per la connettività del servizio endpoint VPC](#xks-vpce-service-requirements)
+ [Fase 1: creazione di un Amazon VPC e delle sottoreti](#xks-create-vpc)
+ [Fase 2: Creare un gruppo target](#xks-target-group)
+ [Fase 3: Creare un sistema di bilanciamento del carico di rete](#xks-nlb)
+ [Fase 4: Creare un servizio endpoint VPC](#xks-vpc-svc)
+ [Fase 5: Verifica il tuo nome di dominio DNS privato](#xks-private-dns)
+ [Fase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC](#xks-vpc-authorize-kms)

## Requisiti per la connettività del servizio endpoint VPC
<a name="xks-vpce-service-requirements"></a>

Se scegli la connettività del servizio endpoint VPC per l'archivio delle chiavi esterne, sono necessarie le seguenti risorse. 
+ Un Amazon VPC collegato al gestore delle chiavi esterne. Deve avere almeno due [sottoreti](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) private in due zone di disponibilità diverse.

  Puoi utilizzare un Amazon VPC esistente, a condizione che [soddisfi i requisiti](#xks-vpc-requirements) per l'utilizzo con un archivio delle chiavi esterne. Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.
+ Un [servizio endpoint Amazon VPC basato su un AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) con un [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) e un [gruppo di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html). 

  Il servizio endpoint non può richiedere l'accettazione. Inoltre, devi aggiungere AWS KMS come principale consentito. Ciò consente di AWS KMS creare endpoint di interfaccia in modo che possa comunicare con il proxy di archiviazione delle chiavi esterno.
+ Un nome DNS privato per il servizio endpoint VPC univoco nella Regione AWS. 

  Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, deve essere un sottodominio di un dominio pubblico come `xks.example.com` o `example.com`.

  Devi [verificare la proprietà](#xks-private-dns) del dominio DNS per il nome DNS privato.
+ Un certificato TLS emesso da un'[autorità di certificazione pubblica supportata](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) per il proxy dell'archivio delle chiavi esterne. 

  Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ Per ridurre al minimo la latenza di rete, create i AWS componenti nel [supporto Regione AWS](keystore-external.md#xks-regions) più vicino al gestore di [chiavi esterno](keystore-external.md#concept-ekm). Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.

Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements).

## Fase 1: creazione di un Amazon VPC e delle sottoreti
<a name="xks-create-vpc"></a>

La connettività del servizio endpoint VPC richiede un Amazon VPC connesso al gestore delle chiavi esterne con almeno due sottoreti private. Puoi creare un Amazon VPC o utilizzarne uno esistente che soddisfi i requisiti per gli archivi delle chiavi esterne. Per informazioni sulla creazione di un nuovo Amazon VPC, consulta [Creazione di un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) nella *Guida per l'utente di Amazon Virtual Private Cloud*.

### Requisiti per Amazon VPC
<a name="xks-vpc-requirements"></a>

Il servizio endpoint Amazon VPC deve avere le seguenti proprietà per funzionare con archivi di chiavi esterni.
+ Deve trovarsi in una [regione supportata](keystore-external.md#xks-regions) come archivio di chiavi esterno.
+ Richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa.
+ L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il [gestore delle chiavi esterne](keystore-external.md#concept-ekm).
+ Tutti i componenti devono essere utilizzati IPv4.

Le opzioni per connettere Amazon VPC al proxy dell'archivio delle chiavi esterne sono molteplici. Scegli un'opzione che soddisfi le tue esigenze di prestazioni e sicurezza. Per un elenco, consulta [Connect your VPC ad altre reti](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) e Opzioni di connettività [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Per ulteriori dettagli, consulta [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) e la [Guida per l'utente di AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).

### Creazione di un Amazon VPC per l'archivio delle chiavi esterne
<a name="xks-vpc-create"></a>

Utilizza le istruzioni seguenti per creare un Amazon VPC per l'archivio delle chiavi esterne. Un Amazon VPC è necessario solo se scegli l'opzione di [connettività del servizio endpoint VPC](choose-xks-connectivity.md). Puoi utilizzare un Amazon VPC esistente, a condizione che soddisfi i requisiti di un archivio delle chiavi esterne.

Segui le istruzioni nell'argomento [Creazione di VPC, sottoreti e altre risorse VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| IPv4 blocco CIDR | Inserisci gli indirizzi IP per il VPC. L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il [gestore delle chiavi esterne](keystore-external.md#concept-ekm). | 
| Numero di zone di disponibilità () AZs | 2 o più | 
| Numero di sottoreti pubbliche |  Non è necessario indicare alcun valore (0)  | 
| Numero di sottoreti private | Una per ogni zona di disponibilità | 
| Gateway NAT | Non è necessario indicare alcun valore. | 
| Endpoint VPC | Non è necessario indicare alcun valore. | 
| Enable DNS hostnames (Abilita hostname DNS) | Sì | 
| Abilita risoluzione DNS | Sì | 

Assicurati di testare la comunicazione VPC. Ad esempio, se il proxy dell'archivio delle chiavi esterne non si trova nel tuo Amazon VPC, crea un'istanza Amazon EC2 in Amazon VPC e verifica che Amazon VPC sia in grado di comunicare con il proxy dell'archivio delle chiavi esterne.

### Connessione del VPC al gestore delle chiavi esterne
<a name="xks-vpc-to-ekm"></a>

Connetti il VPC al data center che ospita il gestore delle chiavi esterne utilizzando una delle [opzioni di connettività di rete](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) supportate da Amazon VPC. Assicurati che l'istanza Amazon EC2 nel VPC (o il proxy dell'archivio delle chiavi esterne nel caso in cui si trovi nel VPC) sia in grado di comunicare con il data center e il gestore delle chiavi esterne.

## Fase 2: Creare un gruppo target
<a name="xks-target-group"></a>

Prima di creare il servizio endpoint VPC richiesto, crea i componenti necessari, vale a dire un Network Load Balancer e un gruppo di destinazione. Il Network Load Balancer distribuisce le richieste tra più destinazioni integre, ognuna delle quali può soddisfare la richiesta. In questo passaggio, crea un gruppo di destinazione con almeno due host per il proxy dell'archivio delle chiavi esterne e registra gli indirizzi IP con il gruppo di destinazione.

Segui le istruzioni nell'argomento [Configurazione di un gruppo di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| Target type (Tipo di destinazione) | Indcirizzi IP | 
| Protocollo | TCP | 
| Porta |  443  | 
| Tipo di indirizzo IP | IPv4 | 
| VPC | Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne. | 
| Protocollo e percorso di controllo dell'integrità | Il protocollo e il percorso di controllo dell'integrità saranno diversi a seconda della configurazione del proxy dell'archivio delle chiavi esterne. Consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.Per informazioni generali sulla configurazione dei controlli dell'integrità per i gruppi di destinazione, consulta [Controlli dell'integrità per i gruppi di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) nella Guida per l'utente di Elastic Load Balancing per Network Load Balancer. | 
| Rete | Altro indirizzo IP privato | 
| IPv4 indirizzo | Gli indirizzi privati del proxy dell'archivio delle chiavi esterne | 
| Porte | 443 | 

## Fase 3: Creare un sistema di bilanciamento del carico di rete
<a name="xks-nlb"></a>

Il Network Load Balancer distribuisce il traffico di rete, comprese le richieste provenienti da AWS KMS al proxy dell'archivio delle chiavi esterne, fino alle destinazioni configurate.

Segui le istruzioni nell'argomento [Configurare un sistema di bilanciamento del carico e un ascoltatore](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) per configurare e aggiungere un ascoltatore e creare un sistema di bilanciamento del carico utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| Schema | Interno | 
| Tipo di indirizzo IP | IPv4 | 
| Mappatura della rete |  Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne.  | 
| Mapping | Scegli entrambe le zone di disponibilità (almeno due) configurate per le sottoreti VPC. Verifica i nomi delle sottoreti e l'indirizzo IP privato. | 
| Protocollo | TCP | 
| Porta | 443 | 
| Azione predefinita: Inoltra a | Scegli il [gruppo di destinazione](#xks-target-group) per il Network Load Balancer. | 

## Fase 4: Creare un servizio endpoint VPC
<a name="xks-vpc-svc"></a>

In genere, la creazione di un endpoint è destinata a un servizio. Tuttavia, quando crei un servizio endpoint VPC, sei il fornitore e AWS KMS crei un endpoint per il tuo servizio. Per un archivio delle chiavi esterne, crea un servizio endpoint VPC con il Network Load Balancer creato nel passaggio precedente. Il servizio endpoint VPC può trovarsi nello stesso Account AWS archivio di chiavi esterno o in un altro. Account AWS

Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

Segui le istruzioni nell'argomento [Creazione di un servizio endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) per creare il servizio endpoint VPC con i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| Nuovo tipo di load balancer | Rete | 
| Sistemi di bilanciamento del carico disponibili | Scegli il [Network Load Balancer](#xks-nlb) creato nella fase precedente.Se il nuovo sistema di bilanciamento del carico non compare nell'elenco, verifica che il suo stato sia attivo. Potrebbero essere necessari alcuni minuti prima che lo stato del sistema di bilanciamento del carico passi dal provisioning ad attivo. | 
| Accettazione richiesta | Falso. Deseleziona la casella di controllo.*Non richiedono* l'accettazione. AWS KMS non può connettersi al servizio endpoint VPC senza un'accettazione manuale. Se è richiesta l'accettazione, i tentativi di [creare l'archivio delle chiavi esterne](create-xks-keystore.md) falliscono con un'eccezione `XksProxyInvalidConfigurationException`.  | 
| Abilita nome DNS privato | Associa un nome DNS privato al servizio | 
| Nome DNS privato | Inserisci un nome DNS privato che sia univoco nella Regione AWS. Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, deve essere un sottodominio di un dominio pubblico come `xks.example.com` o `example.com`.Questo nome DNS privato deve corrispondere al nome comune del soggetto (CN) nel certificato TLS configurato sul proxy dell'archivio delle chiavi esterne. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.Se il certificato e il nome DNS privato non corrispondono, i tentativi di connettere un archivio delle chiavi esterne al relativo proxy hanno esito negativo con un codice di errore di connessione di `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Per informazioni dettagliate, vedi [Errori di configurazione generale](xks-troubleshooting.md#fix-xks-gen-configuration). | 
| Tipi di indirizzo IP supportati | IPv4 | 

## Fase 5: Verifica il tuo nome di dominio DNS privato
<a name="xks-private-dns"></a>

Quando crei il servizio endpoint VPC, lo stato di verifica del dominio è `pendingVerification`. Prima di creare un archivio delle chiavi esterne con il servizio endpoint VPC, tale stato deve essere `verified`. Per verificare di essere il proprietario del dominio associato al nome DNS privato, devi creare un record TXT in un server DNS pubblico.

Ad esempio, se il nome DNS privato per il tuo servizio endpoint VPC `myproxy-private.xks.example.com` è, devi creare un record TXT in un dominio pubblico, ad esempio `example.com` o, a seconda di `xks.example.com` quale sia pubblico. AWS PrivateLink cerca il record TXT prima e poi. `xks.example.com` `example.com`

**Suggerimento**  
Dopo aver aggiunto un record TXT, potrebbero essere necessari alcuni minuti prima che il valore di **Domain verification status** (Stato di verifica del dominio) passi da `pendingVerification` a `verify`.

Per iniziare, individua lo stato di verifica del dominio utilizzando uno dei metodi seguenti. I valori validi sono `verified`, `pendingVerification` e `failed`. 
+ Nella [console Amazon VPC](https://console.aws.amazon.com/vpc), scegli **Endpoint services** (Servizi endpoint), quindi seleziona il servizio endpoint. Nel riquadro dei dettagli, vedi **Domain verification status** (Stato di verifica del dominio).
+ Usa l'[DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)operazione. Il valore `State` si trova nel campo `ServiceConfigurations.PrivateDnsNameConfiguration.State`.

Se lo stato della verifica non è `verified`, segui le istruzioni nell'argomento [Verifica della proprietà del dominio](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) per aggiungere un record TXT al server DNS del dominio e verificare che il record TXT sia pubblicato. Quindi controlla nuovamente lo stato della verifica.

Non è necessario creare un record A per il nome del dominio DNS privato. Quando AWS KMS crea un endpoint di interfaccia per il tuo servizio endpoint VPC AWS PrivateLink , crea automaticamente una zona ospitata con il record A richiesto per il nome di dominio privato nel VPC. AWS KMS Per gli archivi delle chiavi esterne con connettività del servizio endpoint VPC, ciò accade quando [colleghi l'archivio delle chiavi esterne](xks-connect-disconnect.md) al relativo proxy.

## Fase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC
<a name="xks-vpc-authorize-kms"></a>

Consulta le seguenti procedure per gestire le autorizzazioni del servizio endpoint Amazon VPC. Ogni passaggio dipende dalla connettività e dalla configurazione tra l'archivio chiavi esterno, il servizio endpoint VPC e. Account AWS

------
#### [ Same Account AWS ]

Se il servizio endpoint VPC è di proprietà dello stesso Account AWS archivio chiavi esterno, è necessario aggiungerlo AWS KMS all'elenco dei **principali indirizzi consentiti per il servizio endpoint** VPC. Ciò consente di AWS KMS creare endpoint di interfaccia per il servizio endpoint VPC. Se non AWS KMS è un'opzione principale consentita, i tentativi di creare un archivio di chiavi esterno falliranno con un'eccezione. `XksProxyVpcEndpointServiceNotFoundException`

Segui le istruzioni nell'argomento [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) della *Guida di AWS PrivateLink *. Utilizza il seguente valore obbligatorio.


| Campo | Valore | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.goskope.comAd esempio, `cks.kms.us-east-1.amazonaws.com` | 

------
#### [ Cross Account AWS ]

Quando il tuo servizio endpoint VPC è di proprietà di un altro, Account AWS devi aggiungere entrambi AWS KMS e il tuo account all'elenco **Consenti** principali. Ciò consente AWS KMS e al tuo archivio di chiavi esterno di creare endpoint di interfaccia per il tuo servizio endpoint VPC. Se AWS KMS non rappresenta un principale consentito, i tentativi di creare un archivio delle chiavi esterne avranno esito negativo con un'eccezione `XksProxyVpcEndpointServiceNotFoundException`. Dovrai fornire l' Account AWS ARN in cui risiede l'archivio delle chiavi esterno.

Segui le istruzioni nell'argomento [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) della *Guida di AWS PrivateLink *. Utilizza il seguente valore obbligatorio.


| Campo | Valore | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.goskope.comAd esempio, `cks.kms.us-east-1.amazonaws.com` | 
| Account AWS ARN | arn:aws:iam::111122223333:role/role\$1nameAd esempio, `arn:aws:iam::123456789012:role/cks_role` | 

------

**Successivo:** [Creare un archivio di chiavi esterno](create-xks-keystore.md)

# Creare un archivio di chiavi esterno
<a name="create-xks-keystore"></a>

È possibile creare uno o più archivi di chiavi esterni in ciascuna Account AWS regione. Ogni archivio chiavi esterno deve essere associato a un gestore di chiavi esterno a e a un proxy di AWS archiviazione chiavi esterno (proxy XKS) che media la comunicazione tra AWS KMS e il gestore di chiavi esterno. Per informazioni dettagliate, vedi [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md). Prima di iniziare, [verifica che sia necessario un archivio delle chiavi esterne](keystore-external.md#do-i-need-xks). La maggior parte dei clienti può utilizzare chiavi KMS supportate da AWS KMS materiale chiave.

**Suggerimento**  
Alcuni gestori delle chiavi esterne offrono un metodo più semplice per creare un relativo archivio. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Prima di creare l'archivio delle chiavi esterne, devi [assemblare i prerequisiti](#xks-requirements). Durante il processo di creazione, specifica le proprietà dell'archivio delle chiavi esterne. La cosa più importante è indicare se l'archivio chiavi esterno AWS KMS utilizza un [endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o un servizio [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity) per connettersi al proxy dell'archivio chiavi esterno. È inoltre necessario specificare i dettagli della connessione, incluso l'endpoint URI del proxy e il percorso all'interno di tale endpoint proxy AWS KMS da cui invia le richieste API al proxy. 

**Considerazioni**
+ KMS non può comunicare IPv6 con archivi di chiavi esterni.
+  Se utilizzi la connettività degli endpoint pubblici, assicurati che sia in AWS KMS grado di comunicare con il tuo proxy su Internet utilizzando una connessione HTTPS. Ciò include la configurazione di TLS sul proxy dell'archivio chiavi esterno e la garanzia che tutti i firewall tra AWS KMS e il proxy consentano il IPv4 traffico da e verso la porta 443 del proxy. Durante la creazione di un archivio di chiavi esterno con connettività endpoint pubblica, AWS KMS verifica la connessione inviando una richiesta di stato al proxy dell'archivio chiavi esterno. Questo test verifica che l'endpoint sia raggiungibile e che il proxy accetti una richiesta firmata con le [credenziali di autenticazione proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-credential). Se tale richiesta di test fallisce, l'operazione di creazione dell'archivio delle chiavi esterne ha esito negativo.
+ Se utilizzi la connettività del servizio endpoint VPC, assicurati che il Network Load Balancer, il nome DNS privato e il servizio endpoint VPC siano operativi e configurati correttamente. Se il proxy dell'archivio chiavi esterno non si trova nel VPC, devi assicurarti che il servizio endpoint VPC possa comunicare con il proxy dell'archivio chiavi esterno. (AWS KMS verifica la connettività del servizio endpoint VPC quando si [collega l'archivio chiavi esterno al relativo proxy dell'archivio](xks-connect-disconnect.md) chiavi esterno.)
+ AWS KMS registra i [ CloudWatch parametri e le dimensioni di Amazon](monitoring-cloudwatch.md#kms-metrics), in particolare per gli archivi di chiavi esterni. I grafici di monitoraggio basati su alcune di queste metriche vengono visualizzati nella AWS KMS console per ogni archivio di chiavi esterno. Ti consigliamo vivamente di utilizzare queste metriche per creare allarmi che monitorino il tuo archivio di chiavi esterno. in modo da poter rilevare eventuali segnali relativi a problemi operativi e prestazionali prima che si verifichino. Per istruzioni, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
+ Gli archivi delle chiavi esterne sono soggetti a [quote di risorse](resource-limits.md#cks-resource-quota). L'uso delle chiavi KMS in un archivio delle chiavi esterne è soggetto a [quote di richieste](requests-per-second.md#rps-key-stores). Esamina queste quote prima di progettare l'implementazione dell'archivio delle chiavi esterne. 

**Nota**  
Rivedi la tua configurazione per verificare eventuali dipendenze circolari che potrebbero impedirne il funzionamento.  
Ad esempio, se crei il proxy dell'archivio chiavi esterno utilizzando AWS risorse, assicurati che il funzionamento del proxy non richieda la disponibilità di una chiave KMS in un archivio di chiavi esterno a cui si accede tramite quel proxy.

Tutti i nuovi archivi delle chiavi esterne vengono creati in uno stato disconnesso. Prima di poter creare chiavi KMS nell'archivio delle chiavi esterne, devi [collegarlo](about-xks-connecting.md) al relativo proxy. Per modificare le proprietà dell'archivio delle chiavi esterne, [modifica le impostazioni](update-xks-keystore.md).

**Topics**
+ [Assemblare i prerequisiti](#xks-requirements)
+ [Crea un nuovo archivio di chiavi esterno](#create-xks)

## Assemblare i prerequisiti
<a name="xks-requirements"></a>

Prima di creare un archivio chiavi esterno, è necessario assemblare i componenti richiesti, incluso il [gestore di chiavi esterno](keystore-external.md#concept-ekm) che verrà utilizzato per supportare l'archivio chiavi esterno e il [proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-proxy) che traduce AWS KMS le richieste in un formato comprensibile al gestore di chiavi esterno. 

I seguenti componenti sono necessari per tutti gli archivi delle chiavi esterne. Oltre a questi elementi, devi fornire anche i componenti necessari per supportare l'[opzione di connettività proxy dell'archivio delle chiavi esterne](choose-xks-connectivity.md) scelta.

**Suggerimento**  
Il gestore delle chiavi esterne potrebbe includere alcuni di questi componenti oppure potrebbero essere configurati automaticamente. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.  
[Se state creando l'archivio di chiavi esterno nella AWS KMS console, avete la possibilità di caricare un [file di configurazione proxy basato su JSON che specifica il percorso URI del proxy](#proxy-configuration-file)[e le credenziali di autenticazione del proxy](#require-path).](keystore-external.md#concept-xks-credential) Alcuni proxy dell'archivio delle chiavi esterne generano automaticamente questo file. Per maggiori dettagli, consulta la documentazione relativa al proxy dell'archivio delle chiavi esterne o al gestore delle chiavi esterne.

### Gestore delle chiavi esterne
<a name="require-ekm"></a>

Ogni archivio delle chiavi esterne richiede almeno un'istanza [del gestore delle chiavi esterne](keystore-external.md#concept-ekm). Può trattarsi di un modulo di sicurezza hardware (HSM) fisico o virtuale o di un software di gestione delle chiavi.

Sebbene sia possibile utilizzare un unico gestore delle chiavi, ti consigliamo di impiegare almeno due istanze correlate che condividono chiavi crittografiche per motivi di ridondanza. L'archivio delle chiavi esterne non richiede l'uso esclusivo del gestore delle chiavi esterne. Tuttavia, il gestore delle chiavi esterno deve avere la capacità di gestire la frequenza prevista delle richieste di crittografia e decrittografia provenienti dai AWS servizi che utilizzano le chiavi KMS nell'archivio di chiavi esterno per proteggere le risorse. Il gestore delle chiavi esterne deve essere configurato per gestire fino a 1.800 richieste al secondo e per rispondere a ciascuna richiesta entro il timeout di 250 millisecondi. Ti consigliamo di posizionare il gestore delle chiavi esterno vicino a un in Regione AWS modo che il tempo di andata e ritorno della rete (RTT) sia pari o inferiore a 35 millisecondi.

Se il proxy dell'archivio delle chiavi esterne lo consente, puoi modificare il gestore delle chiavi esterne associato al proxy, tuttavia il nuovo gestore deve essere un backup o uno snapshot con lo stesso materiale della chiave. Se la chiave esterna associata a una chiave KMS non è più disponibile per il proxy dell'archivio chiavi esterno, non è AWS KMS possibile decrittografare il testo cifrato crittografato con la chiave KMS.

Il gestore delle chiavi esterne deve essere accessibile al proxy dell'archivio delle chiavi esterne. Se la [GetHealthStatus](keystore-external.md#xks-concepts)risposta del proxy riporta che tutte le istanze del gestore di chiavi esterno lo sono`Unavailable`, tutti i tentativi di creare un archivio di chiavi esterno falliscono con un. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-proxy) 

### Proxy dell'archivio delle chiavi esterne
<a name="require-proxy"></a>

Devi specificare un [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy) (proxy XKS) conforme ai requisiti di progettazione della [Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/). È possibile sviluppare o acquistare un proxy di archiviazione chiavi esterno oppure utilizzare un proxy di archiviazione chiavi esterno fornito o integrato nel gestore di chiavi esterno. AWS KMS consiglia di configurare il proxy di archiviazione delle chiavi esterno per gestire fino a 1800 richieste al secondo e rispondere entro il timeout di 250 millisecondi per ogni richiesta. Si consiglia di posizionare il gestore delle chiavi esterno vicino a un in Regione AWS modo che il tempo di andata e ritorno della rete (RTT) sia pari o inferiore a 35 millisecondi.

Puoi utilizzare un proxy dell'archivio delle chiavi esterne per più archivi, ma ogni archivio deve disporre di un endpoint URI univoco e di un percorso all'interno del proxy dell'archivio delle chiavi esterne per le relative richieste.

Se utilizzi la connettività del servizio endpoint VPC, puoi collocare il proxy dell'archivio delle chiavi esterne in Amazon VPC, ma ciò non è necessario. Puoi localizzare il proxy all'esterno AWS, ad esempio nel tuo data center privato, e utilizzare il servizio endpoint VPC solo per comunicare con il proxy. 

### Credenziali di autenticazione proxy
<a name="require-credential"></a>

Per creare un archivio delle chiavi esterne, devi specificare le credenziali di autenticazione proxy dell'archivio (`XksProxyAuthenticationCredential`). 

È necessario stabilire una [credenziale di autenticazione](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) per AWS KMS il proxy dell'archivio chiavi esterno. AWS KMS si autentica sul proxy firmando le relative richieste utilizzando il [processo Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) con la credenziale di autenticazione proxy del key store esterno. Puoi specificare le credenziali di autenticazione durante la creazione dell'archivio delle chiavi esterne e [modificarle](update-xks-keystore.md) in qualsiasi momento. Se il proxy effettua la rotazione delle credenziali, assicurati di aggiornare i valori delle credenziali per l'archivio delle chiavi esterne.

Le credenziali di autenticazione proxy sono composte da due parti. Per l'archivio delle chiavi esterne, devi fornire entrambe.
+ ID chiave di accesso: identifica la chiave di accesso segreta. Puoi fornire questo ID come testo non crittografato.
+ Chiave di accesso segreta: la parte segreta della credenziale. AWS KMS crittografa la chiave di accesso segreta nella credenziale prima di archiviarla.

Le credenziali SigV4 AWS KMS utilizzate per firmare le richieste al proxy dell'archivio chiavi esterno non sono correlate alle credenziali SigV4 associate ai principali degli account. AWS Identity and Access Management AWS Non riutilizzare le credenziali SigV4 IAM per il proxy dell'archivio delle chiavi esterne.

### Connettività proxy
<a name="require-connectivity"></a>

Per creare un archivio delle chiavi esterne, devi specificare l'opzione di connettività proxy (`XksProxyConnectivity`).

AWS KMS può comunicare con il tuo proxy di archiviazione delle chiavi esterno utilizzando un [endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o un servizio endpoint [Amazon Virtual Private Cloud (Amazon VPC)](choose-xks-connectivity.md#xks-vpc-connectivity). Sebbene un endpoint pubblico sia più semplice da configurare e gestire, potrebbe non soddisfare i requisiti di sicurezza per ogni installazione. Se scegli l'opzione di connettività del servizio endpoint Amazon VPC, devi creare e gestire i componenti richiesti, tra cui un Amazon VPC con almeno due sottoreti in due diverse zone di disponibilità, un servizio endpoint VPC con un Network Load Balancer e un gruppo di destinazione e un nome DNS privato per il servizio endpoint VPC.

Puoi [modificare l'opzione di connettività proxy](update-xks-keystore.md) dell'archivio delle chiavi esterne. Tuttavia, devi assicurarti che il materiale della chiave associato alle chiavi KMS sia sempre disponibile nell'archivio. Altrimenti, AWS KMS non può decrittografare alcun testo cifrato crittografato con tali chiavi KMS.

Per informazioni relative all'opzione di connettività proxy migliore per l'archivio delle chiavi esterne, consulta [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md). Per informazioni sulla creazione e sulla configurazione della connettività del servizio endpoint VPC, consulta [Configurazione della connettività del servizio endpoint VPC](vpc-connectivity.md).

### Endpoint dell'URI proxy
<a name="require-endpoint"></a>

Per creare un archivio di chiavi esterno, è necessario specificare l'endpoint (`XksProxyUriEndpoint`) da AWS KMS utilizzare per inviare le richieste al proxy dell'archivio chiavi esterno. 

Il protocollo deve essere HTTPS. AWS KMS comunica IPv4 sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.
+ [Connettività dell'endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint): specifica l'endpoint disponibile per il proxy dell'archivio delle chiavi esterne. Tale endpoint deve essere raggiungibile prima di creare l'archivio delle chiavi esterne. 
+ [Connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity): specifica `https://` seguito dal nome DNS privato del servizio endpoint VPC.

Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve corrispondere al nome di dominio nell'endpoint URI proxy ed essere emesso da un'autorità di certificazione supportata per gli archivi delle chiavi esterne. Per un elenco, consulta [Autorità di certificazione attendibili](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). L'autorità di certificazione richiederà una prova della proprietà del dominio prima di emettere il certificato TLS. 

Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.

Puoi [modificare l'endpoint dell'URI proxy](update-xks-keystore.md), tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. Altrimenti, AWS KMS non può decrittografare alcun testo cifrato crittografato con quelle chiavi KMS.

**Requisiti di unicità**
+ Il valore combinato di endpoint dell'URI proxy (`XksProxyUriEndpoint`) e percorso URI proxy (`XksProxyUriPath`) deve essere univoco nel tuo Account AWS e nella regione.
+ Gli archivi delle chiavi esterne con connettività dell'endpoint pubblico possono condividere lo stesso endpoint URI proxy, a condizione che abbiano valori diversi per il percorso URI proxy.
+ Un archivio di chiavi esterno con connettività endpoint pubblica non può utilizzare lo stesso valore di endpoint URI proxy di qualsiasi archivio di chiavi esterno con connettività dei servizi endpoint VPC nello stesso archivio Regione AWS, anche se gli archivi di chiavi si trovano in archivi diversi. Account AWS
+  Ogni archivio delle chiavi esterne con connettività all'endpoint VPC deve avere il proprio nome DNS privato. L'endpoint URI proxy (nome DNS privato) deve essere univoco nella regione and. Account AWS 

### Percorso URI proxy
<a name="require-path"></a>

Per creare un archivio di chiavi esterno, è necessario specificare il percorso di base del proxy di archiviazione delle chiavi esterno fino al proxy [richiesto](keystore-external.md#concept-proxy-apis). APIs Il valore deve iniziare con `/` e deve terminare con/kms/xks/v1, dove `v1` rappresenta la versione dell' AWS KMS API per il proxy dell'archivio di chiavi esterno. Questo percorso può includere un prefisso facoltativo tra gli elementi richiesti, ad esempio `/example-prefix/kms/xks/v1`. Per trovare questo valore, consulta la documentazione del proxy dell'archivio delle chiavi esterne.

AWS KMS invia le richieste proxy all'indirizzo specificato dalla concatenazione dell'endpoint URI del proxy e del percorso URI del proxy. Ad esempio, se l'endpoint URI del proxy è `https://myproxy.xks.example.com` e il percorso URI del proxy è`/kms/xks/v1`, AWS KMS invia le relative richieste API proxy a. `https://myproxy.xks.example.com/kms/xks/v1` 

Puoi [modificare il percorso URI proxy](update-xks-keystore.md), tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. In caso contrario, AWS KMS non è possibile decrittografare alcun testo cifrato crittografato con tali chiavi KMS.

**Requisiti di unicità**
+ Il valore combinato di endpoint dell'URI proxy (`XksProxyUriEndpoint`) e percorso URI proxy (`XksProxyUriPath`) deve essere univoco nel tuo Account AWS e nella regione. 

### Servizio endpoint VPC
<a name="require-vpc-service-name"></a>

Specifica il nome del servizio endpoint Amazon VPC utilizzato per comunicare con il proxy dell'archivio delle chiavi esterne. Questo componente è richiesto solo per gli archivi delle chiavi esterne che utilizzano la connettività del servizio endpoint VPC. Per informazioni sull'impostazione e sulla configurazione del servizio endpoint VPC per un archivio delle chiavi esterne, consulta [Configurazione della connettività del servizio endpoint VPC](vpc-connectivity.md).

Il servizio endpoint VPC deve avere le seguenti proprietà:
+ Il servizio endpoint VPC può risiedere nello stesso o in un altro Account AWS archivio di chiavi esterno.
  + Il servizio endpoint VPC deve risiedere nello stesso archivio delle chiavi Regione AWS esterno.
  + Dovrai fornire l' Account AWS ID del servizio endpoint VPC se si trova in un altro. Account AWS
+ Deve avere un Network Load Balancer (NLB) connesso ad almeno due sottoreti, ognuna in una zona di disponibilità diversa.
+ L'*elenco dei principali consentiti* per il servizio endpoint VPC deve includere AWS KMS l'entità del servizio per la regione`cks.kms.<region>.amazonaws.com`:, ad esempio. `cks.kms.us-east-1.amazonaws.com`
  + Se il tuo servizio endpoint Amazon VPC è di proprietà di una persona Account AWS diversa da quella Account AWS proprietaria dell'archivio di chiavi esterne (XKS), dovrai anche consentire a XKS l'accesso al servizio endpoint VPC. A tale scopo, [consenti l' Account AWS ID XKS come principale](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) per il servizio endpoint Amazon VPC.
+ Non deve richiedere l'accettazione delle richieste di connessione. 
+ Deve avere un nome DNS privato all'interno di un dominio pubblico di livello superiore. Ad esempio, potresti avere un nome DNS privato myproxy-private.xks.example.com nel dominio `xks.example.com` pubblico.

  Il nome DNS privato per un archivio delle chiavi esterne con connettività del servizio endpoint VPC deve essere univoco nella Regione AWS.
+ Lo [stato di verifica del dominio](vpc-connectivity.md#xks-private-dns) per il dominio del nome DNS privato deve essere `verified`. 
+ Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve indicare il nome host DNS privato in cui l'endpoint è raggiungibile.

**Requisiti di unicità**
+ Gli archivi delle chiavi esterne con connettività all'endpoint VPC possono condividere un `Amazon VPC`, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

### File di configurazione proxy
<a name="proxy-configuration-file"></a>

Un *file di configurazione proxy* è un file facoltativo basato su JSON che contiene valori per le proprietà del [percorso URI proxy](#require-path) e delle [credenziali di autenticazione proxy](#require-credential) dell'archivio delle chiavi esterne. Quando crei o [modifichi un archivio delle chiavi esterne](update-xks-keystore.md) nella console AWS KMS , puoi caricare un file di configurazione proxy per fornire i valori di configurazione dell'archivio. L'utilizzo di questo file consente di evitare errori correlati alle operazioni di digitazione e di copia e incolla, garantendo che i valori nell'archivio delle chiavi esterne corrispondano ai valori del relativo proxy. 

I file di configurazione proxy vengono generati dal proxy dell'archivio delle chiavi esterne. Per scoprire se il proxy dell'archivio delle chiavi esterne offre un file di configurazione proxy, consulta la relativa documentazione.

Di seguito è riportato un esempio di un file di configurazione proxy ben formato con valori fittizi.

```
{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}
```

Puoi caricare un file di configurazione del proxy solo quando crei o modifichi un archivio di chiavi esterno nella console. AWS KMS Non è possibile utilizzarlo con le [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazioni [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)o, ma è possibile utilizzare i valori nel file di configurazione del proxy per assicurarsi che i valori dei parametri siano corretti.

## Crea un nuovo archivio di chiavi esterno
<a name="create-xks"></a>

Dopo aver assemblato i prerequisiti necessari, è possibile creare un nuovo archivio di chiavi esterno nella AWS KMS console o utilizzando l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="create-keystore-console"></a>

Prima di creare un archivio di chiavi esterno, [scegli il tipo di connettività proxy](choose-xks-connectivity.md) e assicurati di aver creato e configurato tutti i [componenti richiesti](#xks-requirements). Se hai bisogno di aiuto per trovare uno dei valori richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

**Nota**  
Quando crei un archivio di chiavi esterno in Console di gestione AWS, puoi caricare un *file di configurazione proxy* basato su JSON con i valori per il [percorso URI del proxy](#require-path) e le credenziali di [autenticazione del proxy](#require-credential). Alcuni proxy generano automaticamente questo file, ma non è obbligatorio.

1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli **Create external key store** (Crea archivio delle chiavi esterne).

1. Immetti un nome descrittivo per l'archivio delle chiavi esterne. Il nome deve essere univoco tra tutti gli archivi delle chiavi esterne nel tuo account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei log e in altri output. CloudTrail 

1. Scegli il tipo di [connettività proxy](#require-connectivity). 

   La scelta della connettività proxy determina i [componenti necessari](#xks-requirements) per il proxy dell'archivio delle chiavi esterne. Per assistenza durante la scelta, consulta [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md).

   1. Seleziona Servizio **endpoint VPC per più account se il tuo servizio endpoint** VPC risiede in un altro. Account AWS Quindi inserisci l' Account AWS ID del proprietario dell'endpoint VPC nel campo ID account proprietario del servizio **endpoint VPC**.

   1. Scegli o inserisci il nome del [servizio endpoint VPC](#require-vpc-service-name) per questo archivio delle chiavi esterne. Questo passaggio viene visualizzato solo quando il tipo di connettività proxy dell'archivio chiavi esterno è il servizio **endpoint VPC**.

      Il servizio endpoint VPC e il suo VPCs devono soddisfare i requisiti per un archivio di chiavi esterno. Per informazioni dettagliate, vedi [Assemblare i prerequisiti](#xks-requirements).

1. Scegli o inserisci il nome del [servizio endpoint VPC](#require-vpc-service-name) per questo archivio delle chiavi esterne. Questo passaggio viene visualizzato solo quando il tipo di connettività proxy è **servizio endpoint VPC**.

   Il servizio endpoint VPC e il suo VPCs devono soddisfare i requisiti per un archivio di chiavi esterno. Per informazioni dettagliate, vedi [Assemblare i prerequisiti](#xks-requirements).

1. Inserisci l'[endpoint URI proxy](#require-endpoint). Il protocollo deve essere HTTPS. AWS KMS comunica IPv4 sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.

   Se AWS KMS riconosce il servizio endpoint VPC specificato nel passaggio precedente, completa questo campo per te.

   Per la connettività dell'endpoint pubblico, inserisci un URI endpoint disponibile pubblicamente. Per la connettività dell'endpoint VPC, inserisci `https://` seguito dal nome DNS privato del servizio endpoint VPC.

1. Per inserire i valori relativi al prefisso del [percorso URI proxy](#require-path) e le [credenziali di autenticazione proxy](#require-credential), carica un file di configurazione proxy o inserisci i valori manualmente.
   + Se disponi di un [file di configurazione proxy](#proxy-configuration-file) facoltativo che contiene i valori del [percorso URI proxy](#require-path.title) e delle [credenziali di autenticazione proxy](#require-credential), scegli **Upload configuration file** (Carica file di configurazione). Segui le istruzioni per caricare il file.

     Quando il file viene caricato, la console visualizza i valori del file in campi modificabili. Puoi modificare i valori in questo momento o [modificarli](update-xks-keystore.md) dopo la creazione dell'archivio delle chiavi esterne.

     Per visualizzare il valore della chiave di accesso segreta, scegli **Show secret access key** (Mostra chiave di accesso segreta).
   + Se non hai a disposizione un file di configurazione proxy, puoi inserire manualmente i valori del percorso URI proxy e delle credenziali di autenticazione proxy.

     1. Se non disponi di un file di configurazione proxy, puoi inserire l'URI proxy manualmente. **La console fornisce il valore/1 richiesto. kms/xks/v** 

        Se il [percorso URI proxy](#require-path) comprende un prefisso facoltativo, ad esempio `example-prefix` in `/example-prefix/kms/xks/v1`, inseriscilo nel campo **Proxy URI path prefix** (Prefisso del percorso URI proxy). In caso contrario, lascia vuoto il campo.

     1. Se non disponi di un file di configurazione proxy, puoi inserire le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) manualmente. Sono necessari sia l'ID chiave di accesso che la chiave di accesso segreta.
        + In **Proxy credential: Access key ID** (Credenziali proxy: ID chiave di accesso), inserisci l'ID chiave di accesso delle credenziali di autenticazione proxy. L'ID della chiave di accesso identifica la chiave di accesso segreta. 
        + In **Proxy credential: Secret access key** (Credenziali proxy: chiave di accesso segreta), inserisci la chiave di accesso segreta delle credenziali di autenticazione proxy.

        Per visualizzare il valore della chiave di accesso segreta, scegli **Show secret access key** (Mostra chiave di accesso segreta).

        Questa procedura non imposta o modifica le credenziali di autenticazione stabilite sul proxy dell'archivio delle chiavi esterne, ma associa semplicemente tali valori all'archivio. Per informazioni sull'impostazione, la modifica e la rotazione delle credenziali di autenticazione proxy, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi. 

        Se le credenziali di autenticazione proxy cambiano, [modifica l'impostazione delle credenziali](update-xks-keystore.md) per l'archivio delle chiavi esterne.

1. Scegli **Create external key store** (Crea archivio delle chiavi esterne).

Quando la procedura ha esito positivo, il nuovo archivio delle chiavi esterne viene visualizzato nell'elenco degli archivi delle chiavi esterne dell'account e della regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [CreateKey errori per la chiave esterna](xks-troubleshooting.md#fix-external-key-create).

**Successivo**: i nuovi archivi delle chiavi esterne non sono connessi automaticamente. Prima di poter creare AWS KMS keys nell'archivio chiavi esterno, è necessario [connettere l'archivio chiavi esterno](xks-connect-disconnect.md) al relativo proxy dell'archivio chiavi esterno.

### Utilizzo dell' AWS KMS API
<a name="create-keystore-api"></a>

È possibile utilizzare l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione per creare un nuovo archivio di chiavi esterno. Per assistenza nell'individuazione dei valori per i parametri richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

**Suggerimento**  
Non puoi caricare un [file di configurazione proxy](#proxy-configuration-file) quando utilizzi l'operazione `CreateCustomKeyStore`. Tuttavia, puoi utilizzare i valori presenti nel file di configurazione proxy per assicurarti che i valori dei parametri siano corretti.

Per creare un archivio delle chiavi esterne, l'operazione `CreateCustomKeyStore` richiede i valori di parametro seguenti.
+ `CustomKeyStoreName`: un nome descrittivo per l'archivio delle chiavi esterne univoco nell'account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.
+ `CustomKeyStoreType`: specifica `EXTERNAL_KEY_STORE`.
+ [`XksProxyConnectivity`](#require-connectivity): specifica `PUBLIC_ENDPOINT` o `VPC_ENDPOINT_SERVICE`.
+ [`XksProxyAuthenticationCredential`](keystore-external.md#concept-xks-credential): specifica sia l'ID chiave di accesso che la chiave di accesso segreta. 
+ [`XksProxyUriEndpoint`](#require-endpoint): l'endpoint utilizzato da AWS KMS per comunicare con il proxy dell'archivio delle chiavi esterne.
+ [`XksProxyUriPath`](#require-path)— Il percorso all'interno del proxy verso il proxy. APIs 
+ [`XksProxyVpcEndpointServiceName`](#require-vpc-service-name): obbligatorio solo quando il valore di `XksProxyConnectivity` è `VPC_ENDPOINT_SERVICE`.

**Nota**  
Se utilizzate la AWS CLI versione 1.0, eseguite il comando seguente prima di specificare un parametro con un valore HTTP o HTTPS, ad esempio il `XksProxyUriEndpoint` parametro.  

```
aws configure set cli_follow_urlparam false
```
In caso contrario, la AWS CLI versione 1.0 sostituisce il valore del parametro con il contenuto trovato in quell'indirizzo URI, causando il seguente errore:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

Gli esempi seguenti utilizzano valori fittizi. Prima di eseguire il comando, sostituiscili con valori validi per l'archivio delle chiavi esterne.

Crea un archivio delle chiavi esterne con connettività dell'endpoint pubblico.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Crea un archivio delle chiavi esterne con connettività del servizio endpoint VPC.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Se l'operazione riesce, `CreateCustomKeyStore` restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).

**Successivo**: Per utilizzare l'archivio delle chiavi esterne, [connettilo al relativo proxy dell'archivio delle chiavi esterne](xks-connect-disconnect.md).

# Modifica delle proprietà dell'archivio chiavi esterno
<a name="update-xks-keystore"></a>

Puoi modificare le proprietà selezionate di un archivio delle chiavi esterne esistente. 

Quando l'archivio delle chiavi esterne è connesso o disconnesso, puoi modificare solo alcune proprietà. Per modificare le altre proprietà, [disconnetti l'archivio delle chiavi esterne](xks-connect-disconnect.md) dal relativo proxy. Lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne deve essere `DISCONNECTED`. Quando un archivio delle chiavi esterne è disconnesso, puoi gestire l'archivio e le relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi esterne. Per trovare lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) del tuo archivio di chiavi esterno, utilizza l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione o consulta la sezione **Configurazione generale** nella pagina dei dettagli dell'archivio di chiavi esterno.

Prima di aggiornare le proprietà dell'archivio di chiavi esterno, AWS KMS invia una [GetHealthStatus](keystore-external.md#concept-proxy-apis)richiesta al proxy dell'archivio chiavi esterno utilizzando i nuovi valori. Se la richiesta ha esito positivo, indica che è possibile connettersi e autenticarsi a un proxy dell'archivio delle chiavi esterne con i valori delle proprietà aggiornati. Se la richiesta non riesce, l'operazione di modifica ha esito negativo con un'eccezione che identifica l'errore.

Al termine dell'operazione di modifica, i valori delle proprietà aggiornati per l'archivio di chiavi esterno vengono visualizzati nella AWS KMS console e nella `DescribeCustomKeyStores` risposta. Tuttavia, possono essere necessari fino a cinque minuti affinché le modifiche diventino effettive.

[Se modifichi l'archivio di chiavi esterno nella AWS KMS console, hai la possibilità di caricare un [file di configurazione del proxy basato su JSON che specifica il percorso dell'URI del proxy](create-xks-keystore.md#proxy-configuration-file)[e le credenziali di autenticazione del proxy](create-xks-keystore.md#require-path).](keystore-external.md#concept-xks-credential) Alcuni proxy dell'archivio delle chiavi esterne generano automaticamente questo file. Per maggiori dettagli, consulta la documentazione relativa al proxy dell'archivio delle chiavi esterne o al gestore delle chiavi esterne.

**avvertimento**  
I valori delle proprietà aggiornati devono connettere l'archivio delle chiavi esterne a un proxy per lo stesso gestore delle chiavi esterne dei valori precedenti o per un backup o uno snapshot del gestore con le stesse chiavi crittografiche. Se l'archivio delle chiavi esterne perde definitivamente l'accesso alle chiavi esterne associate alle relative chiavi KMS, il testo criptato crittografato con tali chiavi esterne è irrecuperabile. In particolare, la modifica della connettività proxy di un archivio di chiavi esterno può AWS KMS impedire l'accesso alle chiavi esterne.

**Suggerimento**  
Alcuni gestori delle chiavi esterne offrono un metodo più semplice per modificare le proprietà dell'archivio delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Puoi modificare le seguenti proprietà di un archivio delle chiavi esterne.


| Proprietà modificabili dell'archivio delle chiavi esterne | Qualsiasi stato di connessione | Richiede lo stato Disconnesso | 
| --- | --- | --- | 
| Il nome dello store delle chiavi personalizzate Un nome descrittivo per l'archivio delle chiavi personalizzate. Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) |  | 
| Credenziali di [autenticazione proxy](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredentialDevi specificare sia l'ID chiave di accesso che la chiave di accesso segreta, anche se modifichi un solo elemento. | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Percorso URI del proxy](create-xks-keystore.md#require-path) () XksProxyUriPath | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Connettività proxy](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)Devi inoltre aggiornare l'endpoint URI proxy. Se stai passando alla connettività del servizio endpoint VPC, devi specificare un nome del servizio endpoint VPC del proxy. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 
| [Endpoint URI proxy](create-xks-keystore.md#require-endpoint) () XksProxyUriEndpointSe modifichi l'URI endpoint proxy, potrebbe anche essere necessario modificare il certificato TLS associato. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 
| Nome del [servizio endpoint VPC proxy](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceNameQuesto campo è obbligatorio per la connettività del servizio endpoint VPC |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 
| Titolare del [servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwnerQuesto campo è obbligatorio per la connettività del servizio endpoint VPC |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 

## Modifica le proprietà del tuo archivio di chiavi esterno
<a name="edit-xks-keystore"></a>

È possibile modificare le proprietà dell'archivio di chiavi esterno nella AWS KMS console o utilizzando l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione.

### Utilizzo della AWS KMS console
<a name="update-keystore-console"></a>

Quando si modifica un archivio di chiavi, è possibile modificare qualsiasi valore modificabile. Alcune modifiche richiedono la disconnessione dell'archivio delle chiavi esterne dal relativo proxy.

Se stai modificando il percorso URI proxy o le credenziali di autenticazione proxy, puoi inserire i nuovi valori o caricare un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) dell'archivio delle chiavi esterne che includa i nuovi valori.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli l'archivio delle chiavi che desideri modificare.

   1. Se necessario, disconnetti l'archivio delle chiavi esterne dal relativo proxy. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Edit** (Modifica).

1. Modifica una o più proprietà configurabili dell'archivio delle chiavi esterne. Puoi inoltre caricare un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) dell'archivio delle chiavi esterne con i valori per il percorso URI proxy e le credenziali di autenticazione proxy. Puoi utilizzare tale file di configurazione proxy anche se alcuni valori specificati nel file non sono stati modificati.

1. Scegli **Update external key store** (Aggiornamento dell'archivio delle chiavi esterne). 

1. Esamina l'avviso e, se decidi di continuare, confermalo, quindi scegli **Update external key store** (Aggiornamento dell'archivio delle chiavi esterne).

   Se la procedura ha esito positivo, un messaggio descrive le proprietà modificate. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo.

1. Se necessario, connetti nuovamente l'archivio delle chiavi esterne. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti).

   Puoi lasciarlo disconnesso, ma in questo stato, non puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi esterne per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore).

### Utilizzo dell' AWS KMS API
<a name="update-keystore-api"></a>

Per modificare le proprietà di un archivio di chiavi esterno, utilizzare l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione. Puoi modificare più proprietà di un archivio delle chiavi esterne con la stessa operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. 

Utilizza il parametro `CustomKeyStoreId` per identificare l'archivio delle chiavi esterne. Utilizza gli altri parametri per modificare le proprietà. Non puoi utilizzare un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) con l'operazione `UpdateCustomKeyStore`, Il file di configurazione del proxy è supportato solo dalla AWS KMS console. Tuttavia, puoi utilizzare il file di configurazione proxy per determinare i valori dei parametri corretti per il proxy dell'archivio delle chiavi esterne.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Prima di iniziare, [se necessario](#update-xks-keystore), [disconnetti l'archivio delle chiavi esterne](xks-connect-disconnect.md) dal relativo proxy. Dopo l'aggiornamento, se necessario, [connetti nuovamente l'archivio](xks-connect-disconnect.md) al proxy dell'archivio delle chiavi esterne. Puoi lasciare l'archivio delle chiavi esterne disconnesso, ma devi connetterlo per poter creare nuove chiavi KMS o utilizzare le chiavi KMS esistenti nell'archivio delle chiavi per operazioni di crittografia.

**Nota**  
Se utilizzi la AWS CLI versione 1.0, esegui il comando seguente prima di specificare un parametro con un valore HTTP o HTTPS, ad esempio il `XksProxyUriEndpoint` parametro.  

```
aws configure set cli_follow_urlparam false
```
In caso contrario, la AWS CLI versione 1.0 sostituisce il valore del parametro con il contenuto trovato in quell'indirizzo URI, causando il seguente errore:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

#### Modifica del nome dell'archivio delle chiavi esterne
<a name="xks-edit-name"></a>

Il primo esempio utilizza l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione per modificare il nome descrittivo dell'archivio di chiavi esterno in`XksKeyStore`. Il comando utilizza il parametro `CustomKeyStoreId` per identificare lo store delle chiavi personalizzate e `CustomKeyStoreName` per specificarne il nuovo nome. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```

#### Modifica delle credenziali di autenticazione proxy
<a name="xks-edit-credential"></a>

L'esempio seguente aggiorna le credenziali di autenticazione proxy utilizzate da AWS KMS per l'autenticazione nel proxy dell'archivio delle chiavi esterne. Puoi utilizzare un comando simile a questo per aggiornare le credenziali se vengono ruotate sul proxy.

Aggiorna prima le credenziali nel proxy dell'archivio delle chiavi esterne. Quindi, utilizza questa funzione per segnalare la modifica ad AWS KMS. (Il proxy supporterà brevemente sia la vecchia che la nuova credenziale, in modo da avere il tempo di aggiornare le credenziali). AWS KMS

Nelle credenziali devi specificare sia l'ID chiave di accesso che la chiave di accesso segreta, anche se viene modificato un solo valore. 

I primi due comandi impostano le variabili per contenere i valori delle credenziali. Le operazioni `UpdateCustomKeyStore` utilizzano il parametro `CustomKeyStoreId` per identificare l'archivio delle chiavi esterne. Utilizza il parametro `XksProxyAuthenticationCredential` con i relativi campi `AccessKeyId` e `RawSecretAccessKey` per specificare le nuove credenziali. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```

#### Modifica del percorso URI proxy
<a name="xks-edit-path"></a>

L'esempio seguente aggiorna il percorso URI proxy (`XksProxyUriPath`). La combinazione dell'endpoint URI del proxy e del percorso URI del proxy deve essere unica nella Account AWS regione and. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1
```

#### Passaggio alla connettività del servizio endpoint VPC
<a name="xks-edit-connectivity-vpc"></a>

L'esempio seguente utilizza l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione per modificare il tipo di connettività del proxy dell'archivio chiavi esterno in`VPC_ENDPOINT_SERVICE`. Per apportare questa modifica, devi specificare i valori richiesti per la connettività del servizio endpoint VPC, incluso il nome del servizio endpoint VPC (`XksProxyVpcEndpointServiceName`) e un valore dell'endpoint URI proxy (`XksProxyUriEndpoint`) che includa il nome DNS privato per il servizio endpoint VPC. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```

#### Passaggio alla connettività dell'endpoint pubblico
<a name="xks-edit-connectivity-public"></a>

L'esempio seguente modifica il tipo di connettività del proxy dell'archivio delle chiavi esterne in `PUBLIC_ENDPOINT`. Quando apporti questa modifica, devi aggiornare il valore dell'endpoint URI proxy (`XksProxyUriEndpoint`). Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

**Nota**  
La connettività dell'endpoint VPC offre una maggiore sicurezza rispetto alla connettività dell'endpoint pubblico. Prima di passare alla connettività dell'endpoint pubblico, prendi in considerazione altre opzioni, tra cui il posizionamento del proxy dell'archivio delle chiavi esterne on-premise e l'utilizzo del VPC solo per la comunicazione. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com
```

# Visualizza gli archivi di chiavi esterni
<a name="view-xks-keystore"></a>

È possibile visualizzare gli archivi di chiavi esterni in ogni account e regione utilizzando la AWS KMS console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

Quando visualizzi un archivio delle chiavi esterne, hai accesso alle seguenti informazioni:
+ Informazioni di base sull'archivio delle chiavi, tra cui nome descrittivo, ID, tipo di archivio e data di creazione.
+ Informazioni di configurazione per il [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy), tra cui [tipo di connettività](keystore-external.md#concept-xks-connectivity), [endpoint URI proxy](create-xks-keystore.md#require-endpoint), [percorso URI proxy](create-xks-keystore.md#require-path) e [ID della chiave di accesso](keystore-external.md#concept-xks-credential) delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) correnti.
+ Se il proxy dell'archivio delle chiavi esterne utilizza la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), la console visualizza il nome del servizio endpoint VPC.
+ Lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) corrente. 
**Nota**  
Il valore **Disconnected** (Disconnesso) dello stato di connessione indica che l'archivio delle chiavi esterne non è mai stato connesso oppure che è stato intenzionalmente disconnesso dal relativo proxy. Se tuttavia i tentativi di utilizzare una chiave KMS in un archivio delle chiavi esterne connesso non riescono, è possibile che vi sia un problema con l'archivio o con il cluster . Per assistenza, consulta [Errori di connessione all'archivio delle chiavi esterne](xks-troubleshooting.md#fix-xks-connection).
+ Una sezione di [monitoraggio](xks-monitoring.md) con grafici delle [ CloudWatch metriche di Amazon](monitoring-cloudwatch.md#kms-metrics) progettati per aiutarti a rilevare e risolvere problemi con il tuo archivio di chiavi esterno. Per informazioni sull'interpretazione dei grafici, sul loro utilizzo nella pianificazione e risoluzione dei problemi e sulla creazione di CloudWatch allarmi in base alle metriche dei grafici, consulta. [Monitora gli archivi di chiavi esterni](xks-monitoring.md)

## Proprietà dell'archivio delle chiavi esterne
<a name="view-xks-properties"></a>

Le seguenti proprietà di un archivio di chiavi esterno sono visibili nella console e nella AWS KMS risposta. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 

### Proprietà dell'archivio delle chiavi personalizzate
<a name="view-xks-custom-key-store"></a>

I seguenti valori vengono visualizzati nella sezione **Configurazione generale** della pagina di dettaglio di ogni archivio di chiavi personalizzato. Queste proprietà si applicano a tutti gli archivi di chiavi personalizzati, inclusi gli archivi di AWS CloudHSM chiavi e gli archivi di chiavi esterni.

**ID dello store delle chiavi personalizzate**  
Un ID univoco che viene AWS KMS assegnato all'archivio chiavi personalizzato.

**Il nome dello store delle chiavi personalizzate**  
Nome descrittivo assegnato all'archivio delle chiavi personalizzate durante la sua creazione. Puoi modificare questo valore in qualsiasi momento.

**Tipo di archivio delle chiavi personalizzate**  
Il tipo di archivio delle chiavi personalizzate. I valori validi sono AWS CloudHSM (`AWS_CLOUDHSM`) o External key store (Archivio delle chiavi esterne) (`EXTERNAL_KEY_STORE`). Il tipo di archivio non può essere modificato dopo la creazione.

**Data di creazione**  
La data in cui è stato creato l'archivio delle chiavi personalizzate. Questa data viene visualizzata nell'ora locale per la Regione AWS. 

**Stato connessione**  
Indica se l'archivio delle chiavi personalizzate è connesso al relativo archivio del materiale della chiave. Lo stato della connessione è `DISCONNECTED` solo se l'archivio delle chiavi personalizzate non è mai stato collegato al relativo archivio del materiale della chiave o se è stato disconnesso intenzionalmente. Per informazioni dettagliate, vedi [Stato connessione](xks-connect-disconnect.md#xks-connection-state).

### Proprietà di configurazione dell'archivio delle chiavi esterne
<a name="view-xks-configuration"></a>

I seguenti valori vengono visualizzati nella sezione di **configurazione del proxy dell'archivio chiavi esterno** della pagina di dettaglio per ogni archivio di chiavi esterno e nell'`XksProxyConfiguration`elemento della [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta. Per una descrizione dettagliata di ogni campo, inclusi i requisiti di unicità e le informazioni utili per determinare il valore corretto per ogni campo, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements) nell'argomento *Creazione di un archivio delle chiavi esterne*.

**Connettività proxy**  
Indica se l'archivio delle chiavi esterne utilizza la [connettività dell'endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity).

**Endpoint dell'URI proxy**  
L'endpoint AWS KMS utilizzato per connettersi al [proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-proxy). 

**Percorso URI proxy**  
Il percorso dall'endpoint URI del proxy a cui AWS KMS invia le richieste [API proxy](keystore-external.md#concept-proxy-apis).

**Credenziali proxy: ID chiave di accesso**  
Parte delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) che stabilisci nel proxy dell'archivio delle chiavi esterne. L'ID della chiave di accesso identifica la chiave di accesso segreta nelle credenziali.   
AWS KMS utilizza il processo di firma SigV4 e la credenziale di autenticazione del proxy per firmare le sue richieste al proxy di archiviazione delle chiavi esterno. La credenziale contenuta nella firma consente al proxy dell'archivio chiavi esterno di autenticare le richieste per conto dell'utente da. AWS KMS

**Nome del servizio endpoint VPC**  
Il nome del servizio endpoint Amazon VPC che supporta l'archivio delle chiavi esterne. Questo valore viene visualizzato solo quando l'archivio delle chiavi esterne utilizza la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Puoi individuare il proxy dell'archivio delle chiavi esterne nel VPC oppure puoi utilizzare il servizio endpoint VPC per comunicare in modo sicuro con il proxy.

**ID del proprietario del servizio endpoint VPC**  
L'ID del servizio endpoint Amazon VPC che supporta l'archivio di chiavi esterno. Questo valore viene visualizzato solo quando l'archivio delle chiavi esterne utilizza la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Puoi individuare il proxy dell'archivio delle chiavi esterne nel VPC oppure puoi utilizzare il servizio endpoint VPC per comunicare in modo sicuro con il proxy.

## Visualizza le proprietà del tuo archivio di chiavi esterne
<a name="view-xks"></a>

È possibile visualizzare l'archivio di chiavi esterno e le proprietà associate nella AWS KMS console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

### Utilizzo della AWS KMS console
<a name="view-xks-keystore-console"></a>

Per visualizzare gli archivi delle chiavi esterne in determinati account e regioni, utilizza la procedura seguente.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Per visualizzare le informazioni dettagliate su un archivio delle chiavi esterne, scegli il nome dell'archivio delle chiavi.

### Utilizzando l'API AWS KMS
<a name="view-xks-keystore-api"></a>

Per visualizzare gli archivi di chiavi esterni, utilizzate l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare l'output a un determinato store delle chiavi personalizzate. 

Per quanto riguarda gli archivi delle chiavi personalizzate, l'output include l'ID, il nome e il tipo dell'archivio delle chiavi personalizzate, oltre allo [lo stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi. Se lo stato della connessione è `FAILED`, l'output include un `ConnectionErrorCode` che descrive il motivo dell'errore. Per informazioni sull'interpretazione di `ConnectionErrorCode` per un archivio delle chiavi esterne, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

Per gli archivi delle chiavi esterne, l'output include anche l'elemento `XksProxyConfiguration`. Questo elemento comprende il [tipo di connettività](create-xks-keystore.md#require-connectivity), l'[endpoint URI proxy](create-xks-keystore.md#require-endpoint), il [percorso URI proxy](create-xks-keystore.md#require-path) e l'ID della chiave di accesso delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential).

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Ad esempio, il comando seguente restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Per scorrere gli store delle chiavi personalizzate nell'output puoi utilizzare i parametri `Limit` e `Marker`.

```
$ aws kms describe-custom-key-stores
```

Il comando seguente utilizza il parametro `CustomKeyStoreName` per ottenere solo l'archivio delle chiavi esterne di esempio con il nome descrittivo `ExampleXksPublic`. Tale archivio delle chiavi utilizza la connettività dell'endpoint pubblico ed è collegato al relativo proxy dell'archivio delle chiavi esterne. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleXksPublic",
      "ConnectionState": "CONNECTED",    
      "CreationDate": "2022-12-14T20:17:36.419000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE12345670EXAMPLE",
        "Connectivity": "PUBLIC_ENDPOINT",
        "UriEndpoint": "https://xks.example.com:6443",
        "UriPath": "/example/prefix/kms/xks/v1"
      }
    }
  ]
}
```

Tramite il comando seguente si ottiene un archivio delle chiavi esterne di esempio con connettività del servizio endpoint VPC. In questo esempio, l'archivio delle chiavi esterne è connesso al relativo proxy. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Se [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) è `Disconnected`, indica che un archivio delle chiavi esterne non è mai stato connesso oppure è stato intenzionalmente disconnesso dal relativo proxy. Se tuttavia i tentativi di utilizzare una chiave KMS in un archivio delle chiavi esterne connesso non riescono, è possibile che vi sia un problema con il proxy o altri componenti esterni.

Se il campo `ConnectionState` dell'archivio delle chiavi esterne è `FAILED`, la risposta `DescribeCustomKeyStores` include un elemento `ConnectionErrorCode` che descrive il motivo dell'errore.

Ad esempio, nell'output seguente, il `XKS_PROXY_TIMED_OUT` valore indica che AWS KMS può connettersi al proxy dell'archivio chiavi esterno, ma la connessione è fallita perché il proxy dell'archivio chiavi esterno non ha risposto AWS KMS nel tempo assegnato. Se visualizzi ripetutamente questo codice di errore di connessione, informa il fornitore del proxy dell'archivio delle chiavi esterne. Per informazioni su questo e altri errori di connessione, consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Monitora gli archivi di chiavi esterni
<a name="xks-monitoring"></a>

AWS KMS raccoglie le metriche per ogni interazione con un archivio di chiavi esterno e le pubblica nel tuo account. CloudWatch Questi parametri vengono utilizzati per generare i grafici nella sezione di monitoraggio della pagina dei dettagli relativa a ogni archivio delle chiavi esterne. L'argomento seguente descrive in dettaglio come utilizzare i grafici per identificare e risolvere i problemi operativi e di configurazione che influiscono sull'archivio delle chiavi esterne. Ti consigliamo di utilizzare le CloudWatch metriche per impostare allarmi che ti avvisino quando l'archivio chiavi esterno non funziona come previsto. Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).

**Topics**
+ [Visualizzazione dei grafici](#xks-monitoring-navigate)
+ [Interpretazione dei grafici](#interpreting-graphs)

## Visualizzazione dei grafici
<a name="xks-monitoring-navigate"></a>

Puoi visualizzare i grafici a diversi livelli di dettaglio. Per impostazione predefinita, ogni grafico utilizza un intervallo di tempo di tre ore e un [periodo](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) di aggregazione di cinque minuti. Puoi regolare la visualizzazione del grafico all'interno della console, ma le modifiche verranno ripristinate alle impostazioni predefinite quando la pagina dei dettagli dell'archivio delle chiavi esterne viene chiusa o quando il browser viene aggiornato. Per assistenza sulla CloudWatch terminologia di Amazon, consulta [Amazon CloudWatch concepts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html).

### Visualizzazione dei dettagli di punti dati
<a name="graph-data-point"></a>

I dati in ogni grafico vengono raccolti in base ai [parametri di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics). Per visualizzare ulteriori informazioni su un punto dati specifico, posiziona il puntatore del mouse sul punto dati del grafico a linee. Verrà visualizzato un popup con ulteriori informazioni sul parametro da cui è stato derivato il grafico. Ogni elemento dell'elenco visualizza il valore della [dimensione](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) registrato in quel punto dati. Il popup visualizza un valore nullo (**—**) se non sono disponibili dati di parametro per il valore della dimensione in quel punto dati. Alcuni grafici registrano più dimensioni e valori per un singolo punto dati. Altri grafici, come il [grafico di affidabilità](#reliability-graph), utilizzano i dati raccolti dal parametro per calcolare un valore univoco. Ogni elemento dell'elenco è associato a un colore diverso del grafico a linee.

### Modifica dell'intervallo di tempo
<a name="graph-time-range"></a>

Per modificare l'[intervallo temporale](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html), seleziona uno degli intervalli di tempo predefiniti nell'angolo in alto a destra della sezione di monitoraggio. Questi intervalli predefiniti vanno da 1 ora a 1 settimana (**1h** [1 ora], **3h** [3 ore], **12h** [12 ore], **1d** [1 giorno], **3d** [3 giorni] oppure **1w** [1 settimana]). In questo modo si regola l'intervallo di tempo per tutti i grafici. Se desideri visualizzare un grafico specifico in un intervallo di tempo diverso o se desideri impostare un intervallo di tempo personalizzato, ingrandisci il grafico o visualizzalo nella CloudWatch console Amazon.

### Ingrandimento dei grafici
<a name="graph-zoom"></a>

Puoi utilizzare la [funzione di ingrandimento mini-mappa](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html) per concentrarti su sezioni di grafici a linee e porzioni impilate dei grafici senza passare tra la visualizzazione ingrandita e ridimensionata. Ad esempio, puoi utilizzare la funzione di ingrandimento mini-mappa per concentrarti su un picco di un grafico a linee, in modo da poter confrontare il picco con altri grafici nella sezione di monitoraggio dalla stessa sequenza temporale. 

1. Seleziona e trascina l'area del grafico che desideri ingrandire, quindi rilasciala.

1. Per ripristinare lo zoom, seleziona l'icona **Reset zoom**, a forma di lente d'ingrandimento con un simbolo meno (-) all'interno.

### Ingrandimento di un grafico
<a name="graph-enlarge"></a>

Per ingrandire un grafico, seleziona l'icona del menu nell'angolo in alto a destra di un singolo grafico e scegli **Enlarge** (Ingrandisci). Puoi anche selezionare l'icona di ingrandimento che appare accanto all'icona del menu quando passi il mouse su un grafico.

L'ingrandimento di un grafico consente di modificare ulteriormente la visualizzazione di un grafico specificando un periodo diverso, un intervallo di tempo personalizzato o un intervallo di aggiornamento. Queste modifiche verranno ripristinate alle impostazioni predefinite quando si chiude la vista ingrandita.

Modifica del periodo  

1. Scegli il menu **Period options** (Opzioni periodo). Per impostazione predefinita, questo menu visualizza il valore **5 minuti**.

1. Scegli un periodo; i periodi predefiniti vanno da 1 secondo a 30 giorni.

   Ad esempio, puoi scegliere la visualizzazione di un minuto, che può essere utile durante la risoluzione dei problemi. In alternativa, scegli la visualizzazione meno dettagliata di un'ora. Può essere utile quando si visualizza un intervallo di tempo più ampio (ad esempio 3 giorni) in modo da poter vedere le tendenze nel tempo. Per ulteriori informazioni, consulta [Periodi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) nella *Amazon CloudWatch User Guide*.

Modifica dell'intervallo di tempo o del fuso orario  

1. Seleziona uno degli intervalli di tempo predefiniti, che partono da 1 ora fino a 1 settimana: **1h** (1 ora), **3h** (3 ore), **12h** (12 ore), **1d** (1 giorno), **3d** (3 giorni) oppure **1w** (1 settimana). In alternativa, è possibile scegliere **Personalizza** per impostare il tuo intervallo di tempo.

1. Scegli **Custom** (Personalizzato)

   1. *Intervallo di tempo:* seleziona la scheda **Absolute** (Assoluto) nell'angolo in alto a sinistra della casella. Utilizza la selezione calendario o i campi di testo per specificare l'intervallo di tempo.

   1. *Fuso orario:* scegli il menu a discesa nell'angolo in alto a destra della casella. È possibile modificare il fuso orario in **UTC** o **Fuso orario locale**.

1. Dopo aver specificato un intervallo di tempo, scegli **Applica**.

Modifica la frequenza di aggiornamento dei dati nel grafico  

1. Scegli il menu **Refresh options** (Aggiorna opzioni) nell'angolo in alto a destra.

1. Scegli un intervallo di aggiornamento: **Off** (Disattivato), **10 Seconds** (10 secondi), **1 Minute** (1 minuto), **2 Minutes** (2 minuti), **5 Minutes** (5 minuti) o **15 Minutes** (15 minuti). 

### Visualizza i grafici nella console Amazon CloudWatch
<a name="graph-in-cloudwatch"></a>

I grafici nella sezione di monitoraggio derivano da metriche predefinite pubblicate su Amazon AWS KMS . CloudWatch Puoi aprirli all'interno della CloudWatch console e salvarli nelle dashboard. CloudWatch Se disponi di più archivi di chiavi esterni, puoi aprire i rispettivi grafici CloudWatch e salvarli in un'unica dashboard per confrontarne lo stato e l'utilizzo.

**Aggiungi alla dashboard CloudWatch**  
Seleziona **Aggiungi alla dashboard** nell'angolo in alto a destra per aggiungere tutti i grafici a una CloudWatch dashboard di Amazon. Puoi selezionare un pannello di controllo esistente o crearne uno nuovo. Per informazioni sull'utilizzo di questa dashboard per creare visualizzazioni personalizzate dei grafici e degli allarmi, consulta Using [Amazon CloudWatch dashboard nella *Amazon CloudWatch *](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) User Guide.

**Visualizza nelle metriche CloudWatch**  
Seleziona l'icona del menu nell'angolo in alto a destra di un singolo grafico e scegli **Visualizza nelle metriche** per visualizzare questo grafico nella CloudWatch console Amazon. Dalla CloudWatch console, puoi aggiungere questo grafico singolo a una dashboard e modificare intervalli di tempo, periodi e intervalli di aggiornamento. Per ulteriori informazioni, consulta la sezione [Grafica delle metriche](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) nella *Amazon CloudWatch User Guide*.

## Interpretazione dei grafici
<a name="interpreting-graphs"></a>

AWS KMS fornisce diversi grafici per monitorare lo stato dell'archivio di chiavi esterno all'interno della console. AWS KMS Questi grafici vengono configurati automaticamente e derivati dai [parametri di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics).

I dati del grafico vengono raccolti come parte delle chiamate effettuate all'archivio delle chiavi esterne e alle chiavi esterne. È possibile che i dati compaiano nei grafici in un intervallo di tempo in cui non sono state effettuate chiamate. Questi dati provengono dalle `GetHealthStatus` chiamate periodiche che AWS KMS effettuiamo per conto dell'utente per verificare lo stato del proxy dell'archivio chiavi esterno e del gestore di chiavi esterno. Se nei grafici viene visualizzato il messaggio **No data available** (Nessun dato disponibile), significa che non sono state registrate chiamate durante tale intervallo di tempo o che l'archivio delle chiavi esterne si trova in uno stato [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state). Potresti riuscire a identificare l'ora in cui l'archivio delle chiavi esterne è stato disconnesso [regolando la visualizzazione](#graph-time-range) su un intervallo di tempo più ampio.

**Topics**
+ [Total Requests (Richieste totali)](#total-requests-graph)
+ [Affidabilità](#reliability-graph)
+ [Latenza](#latency-graph)
+ [Le 5 eccezioni principali](#top-5-exceptions-graph)
+ [Giorni alla scadenza del certificato](#cert-expire-graph)

### Total Requests (Richieste totali)
<a name="total-requests-graph"></a>

Il numero totale di AWS KMS richieste ricevute per uno specifico archivio di chiavi esterno in un determinato intervallo di tempo. Usa questo grafico per determinare se sei a rischio di limitazione (della larghezza di banda della rete).

AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se ti avvicini a 540.000 chiamate in un periodo di cinque minuti, sei a rischio di limitazione (della larghezza di banda della rete).

Puoi monitorare il numero di richieste di operazioni crittografiche sulle chiavi KMS nel tuo archivio di chiavi esterno, che limita la AWS KMS metrica. [ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling) 

Se ricevi errori `KMSInvalidStateException` molto frequenti con un messaggio che spiega che la richiesta è stata rifiutata "a causa di un tasso di richieste molto elevato", ciò potrebbe indicare che il gestore delle chiavi esterne o il proxy dell'archivio delle chiavi esterne non è in grado di tenere il passo con il tasso di richieste corrente. Se possibile, riduci il tasso di richiesta. Potresti anche prendere in considerazione la possibilità di richiedere una riduzione del valore della quota di richiesta dell'archivio delle chiavi personalizzate. La riduzione di questo valore di quota potrebbe aumentare la limitazione, ma ciò significa rifiutare rapidamente le richieste in eccesso prima che AWS KMS vengano inviate al proxy dell'archivio chiavi esterno o al gestore di chiavi esterno. Per richiedere una riduzione della quota, consulta la sezione [Centro Supporto AWS](https://console.aws.amazon.com/support/home) e crea un caso.

Il grafico delle richieste totali deriva dal parametro [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors), che raccoglie dati sulle risposte riuscite e non riuscite che AWS KMS riceve dal proxy dell'archivio delle chiavi esterne. Quando si [visualizza un punto dati specifico](#graph-data-point), il pop-up mostra il valore della `CustomKeyStoreId` dimensione insieme al numero totale di AWS KMS richieste registrate in quel punto dati. Il valore di `CustomKeyStoreId` sarà sempre lo stesso.

### Affidabilità
<a name="reliability-graph"></a>

La percentuale di AWS KMS richieste per le quali il proxy dell'archivio chiavi esterno ha restituito una risposta corretta o un errore irreversibile. Utilizza questo grafico per valutare lo stato operativo del proxy dell'archivio delle chiavi esterne.

Quando il grafico mostra un valore inferiore al 100%, indica i casi in cui il proxy non ha risposto o ha risposto con un errore non irreversibile. Ciò può indicare problemi con la rete, lentezza del proxy o del gestore delle chiavi esterne o bug di implementazione.

Se la richiesta include credenziali non valide e il proxy risponde con un'eccezione `AuthenticationFailedException`, il grafico indicherà comunque un'affidabilità del 100% perché il proxy ha identificato un valore errato nella [richiesta dell'API proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-proxy-apis) e quindi l'errore è previsto. Se la percentuale del grafico di affidabilità è del 100%, il proxy dell'archivio delle chiavi esterne risponde come previsto. Se il grafico mostra un valore inferiore al 100%, il proxy ha risposto con un errore non irreversibile o è scaduto. Ad esempio, se il proxy risponde con un'eccezione `ThrottlingException` a causa di un tasso di richiesta molto elevato, mostrerà una percentuale di affidabilità inferiore perché il proxy non è stato in grado di identificare un problema specifico nella richiesta che ne ha causato l'errore. Questo perché gli errori non irreversibili sono probabilmente problemi temporanei che possono essere risolti ripetendo la richiesta.

Le seguenti risposte di errore ridurranno la percentuale di affidabilità. Puoi utilizzare il grafico [Le 5 eccezioni principali](#top-5-exceptions-graph) e il parametro [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) per monitorare ulteriormente la frequenza con cui il proxy restituisce ogni errore non irreversibile.
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`

Il grafico di affidabilità è derivato dalla [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica, che raccoglie i dati sulle risposte riuscite e non riuscite AWS KMS ricevute dal proxy dell'archivio chiavi esterno. La percentuale di affidabilità diminuirà solo se la risposta ha un valore `ErrorType` di `Retryable`. Quando si [visualizza un punto dati specifico](#graph-data-point), il pop-up mostra il valore della `CustomKeyStoreId` dimensione insieme alla percentuale di affidabilità per le AWS KMS richieste registrate in quel punto dati. Il valore di `CustomKeyStoreId` sarà sempre lo stesso.

Ti consigliamo di utilizzare la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica per creare un CloudWatch allarme che ti avvisi di potenziali problemi di rete avvisandoti quando vengono registrati più di cinque errori ripetibili in un periodo di un minuto. Per ulteriori informazioni, consulta [Crea un allarme per errori ripetibili](xks-alarms.md#retryable-errors-alarm).

### Latenza
<a name="latency-graph"></a>

Il numero di millisecondi impiegato da un proxy di archiviazione chiavi esterno per rispondere a una richiesta. AWS KMS Utilizza questo grafico per valutare le prestazioni del proxy dell'archivio delle chiavi esterne e del gestore delle chiavi esterne.

AWS KMS prevede che il proxy di archiviazione delle chiavi esterno risponda a ciascuna richiesta entro 250 millisecondi. In caso di timeout di rete, riproverà la richiesta una volta. AWS KMS Se il proxy restituisce ancora una volta un errore, la latenza registrata è il limite di timeout combinato per entrambi i tentativi di richiesta e il grafico mostrerà circa 500 millisecondi. In tutti gli altri casi in cui il proxy non risponde entro il limite di timeout di 250 millisecondi, la latenza registrata è di 250 millisecondi. Se il proxy è spesso in timeout durante le operazioni di crittografia e decrittografia, rivolgiti all'amministratore del proxy esterno. Per informazioni sulla risoluzione dei problemi di latenza, consulta [Errori di latenza e timeout](xks-troubleshooting.md#fix-xks-latency).

Le risposte lente potrebbero anche indicare che il gestore delle chiavi esterno non è in grado di gestire il traffico della richiesta corrente. AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se il gestore delle chiavi esterne non è in grado di gestire 1.800 richieste al secondo, prendi in considerazione la possibilità di richiedere una riduzione della [quota di richieste per le chiavi KMS in un archivio delle chiavi personalizzate](requests-per-second.md#rps-key-stores). Le richieste relative alle operazioni di crittografia che utilizzano le chiavi KMS nell'archivio delle chiavi esterne anticiperanno rapidamente l'errore (fail fast) con un'[eccezione di limitazione](throttling.md) (della larghezza di banda della rete), anziché essere elaborate e successivamente rifiutate dal proxy o dal gestore delle chiavi esterne.

Il grafico della latenza è derivato dal parametro [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency). Quando [visualizzi un punto dati specifico](#graph-data-point), il popup mostra i valori delle dimensioni `KmsOperation` e `XksOperation` corrispondenti, oltre alla latenza media registrata per le operazioni in quel punto dati. Gli elementi dell'elenco sono ordinati dalla latenza più alta a quella più bassa.

Ti consigliamo di utilizzare la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrica per creare un CloudWatch allarme che ti avvisi quando la latenza si avvicina al limite di timeout. Per ulteriori informazioni, consulta [Crea un allarme per il timeout della risposta](xks-alarms.md#latency-alarm).

### Le 5 eccezioni principali
<a name="top-5-exceptions-graph"></a>

Le cinque eccezioni principali per le operazioni di crittografia e di gestione non riuscite in un determinato intervallo di tempo. Usa questo grafico per tenere traccia degli errori più frequenti, in modo da poter assegnare priorità diverse agli interventi tecnici.

Questo conteggio include le eccezioni AWS KMS ricevute dal proxy dell'archivio chiavi esterno e quelle che vengono AWS KMS restituite internamente quando non è in grado di stabilire una comunicazione con il `XksProxyUnreachableException` proxy dell'archivio chiavi esterno.

Tassi elevati di errori non irreversibili potrebbero indicare errori di rete, mentre un'elevata percentuale di errori irreversibili potrebbe indicare un problema con la configurazione dell'archivio delle chiavi esterne. Ad esempio, un picco `AuthenticationFailedExceptions` indica una discrepanza tra le credenziali di autenticazione configurate nel AWS KMS proxy dell'archivio chiavi esterno. Per visualizzare la configurazione dell'archivio delle chiavi esterne, consulta [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md). Per modificare le impostazioni dell'archivio delle chiavi esterne, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

Le eccezioni AWS KMS ricevute dal proxy dell'archivio chiavi esterno sono diverse dalle eccezioni che AWS KMS vengono restituite quando un'operazione fallisce. AWS KMS le operazioni crittografiche restituiscono un `KMSInvalidStateException` valore per tutti gli errori relativi alla configurazione esterna o allo stato di connessione dell'archivio di chiavi esterno. Per identificare il problema, utilizza il testo del messaggio di errore allegato.

La tabella seguente mostra le eccezioni che possono apparire nel grafico delle prime 5 eccezioni e le eccezioni corrispondenti che vengono restituite all'utente. AWS KMS 


| Tipi di errore | Eccezione visualizzata nel grafico | Eccezione che AWS KMS ti è stata restituita | 
| --- | --- | --- | 
| Irreversibile | AccessDeniedException   Per la risoluzione dei problemi, consultare [Problemi relativi all'autorizzazione proxy](xks-troubleshooting.md#fix-xks-authorization). | **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | AuthenticationFailedException   Per la risoluzione dei problemi, consultare [Errori delle credenziali di autenticazione](xks-troubleshooting.md#fix-xks-credentials). | **`XksProxyIncorrectAuthenticationCredentialException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`.**`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`DependencyTimeoutException`** Per la risoluzione dei problemi, consultare [Errori di latenza e timeout](xks-troubleshooting.md#fix-xks-latency). | **`XksProxyUriUnreachableException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`InternalException`** Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non è in grado di comunicare con il gestore delle chiavi esterne. Verifica che la configurazione del proxy dell'archivio delle chiavi esterne sia corretta e che il gestore delle chiavi esterne sia disponibile. | **`XksProxyInvalidResponseException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidCiphertextException`** Per la risoluzione dei problemi, consultare [Errori di decrittografia](xks-troubleshooting.md#fix-xks-decrypt). | **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidKeyUsageException`** Per la risoluzione dei problemi, consultare [Errori relativi alle operazioni di crittografia per la chiave esterna](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidStateException`** Per la risoluzione dei problemi, consultare [Errori relativi alle operazioni di crittografia per la chiave esterna](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidUriPathException`** Per la risoluzione dei problemi, consultare [Errori di configurazione generale](xks-troubleshooting.md#fix-xks-gen-configuration). | **`XksProxyInvalidConfigurationException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`KeyNotFoundException`** Per la risoluzione dei problemi, consultare [Errori relativi alla chiave esterna](xks-troubleshooting.md#fix-external-key). | **`XksKeyNotFoundException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`ThrottlingException`** Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta a causa di un tasso di richieste molto elevato. Riduci la frequenza delle chiamate utilizzando le chiavi KMS in questo archivio delle chiavi esterne. | **`XksProxyUriUnreachableException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`UnsupportedOperationException`** Per la risoluzione dei problemi, consultare [Errori relativi alle operazioni di crittografia per la chiave esterna](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidResponseException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`ValidationException`** Per la risoluzione dei problemi, consultare [Problemi relativi al proxy](xks-troubleshooting.md#fix-xks-proxy). | **`XksProxyInvalidResponseException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`XksProxyUnreachableException`** Se riscontri ripetutamente questo errore, verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete. Verifica inoltre che il percorso URI e l'URI endpoint o il nome del servizio VPC all'interno dell'archivio delle chiavi esterne siano corretti. | **`XksProxyUriUnreachableException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 

Il grafico delle 5 eccezioni principali deriva dal parametro [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors). Quando [visualizzi un punto dati specifico](#graph-data-point), il popup mostra il valore della dimensione `ExceptionName`, insieme al numero di volte in cui l'eccezione è stata registrata in quel punto dati. Le cinque voci dell'elenco sono ordinate dall'eccezione più frequente alla meno frequente.

Ti consigliamo di utilizzare la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica per creare un CloudWatch allarme che ti avvisi di potenziali problemi di configurazione avvisandoti quando vengono registrati più di cinque errori irreparabili in un periodo di un minuto. Per ulteriori informazioni, consulta [Crea un allarme per errori irreparabili](xks-alarms.md#nonretryable-errors-alarm).

### Giorni alla scadenza del certificato
<a name="cert-expire-graph"></a>

Il numero di giorni che mancano alla scadenza del certificato TLS per l'endpoint proxy dell'archivio delle chiavi esterne (`XksProxyUriEndpoint`). Utilizza questo grafico per monitorare la scadenza imminente del certificato TLS.

Quando il certificato scade, AWS KMS non può comunicare con il proxy esterno dell'archivio chiavi. Tutti i dati protetti dalle chiavi KMS nell'archivio delle chiavi esterne diventano inaccessibili fino al rinnovo del certificato. 

Il grafico dei giorni di scadenza del certificato deriva dal parametro [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire). Ti consigliamo vivamente di utilizzare questa metrica per creare un CloudWatch allarme che ti avvisi della scadenza imminente. La scadenza del certificato potrebbe impedirti di accedere alle risorse crittografate. Configura l'allarme in modo che l'organizzazione abbia la possibilità di rinnovare il certificato prima della sua scadenza. Per ulteriori informazioni, consulta [Crea un avviso di scadenza del certificato](xks-alarms.md#cert-expire-alarm).

# Connect e disconnetti gli archivi di chiavi esterni
<a name="xks-connect-disconnect"></a>

I nuovi archivi delle chiavi esterne non sono connessi. Per creare e utilizzare AWS KMS keys nell'archivio chiavi esterno, è necessario collegare l'archivio chiavi esterno al relativo [proxy di archiviazione chiavi esterno](keystore-external.md#concept-xks-proxy). Puoi connettere e disconnettere l'archivio delle chiavi esterne in qualsiasi momento e [visualizzare il relativo stato di connessione](view-xks-keystore.md).

Mentre l'archivio chiavi esterno è disconnesso, AWS KMS non è possibile comunicare con il proxy dell'archivio chiavi esterno. Di conseguenza, puoi visualizzare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS, ma non puoi creare chiavi KMS nell'archivio delle chiavi esterne o utilizzare le relative chiavi KMS in operazioni di crittografia. In alcuni casi, ad esempio si modificano le proprietà, potresti dover disconnettere l'archivio delle chiavi esterne, per cui ti consigliamo di pianificare le operazioni di conseguenza. La disconnessione dell'archivio chiavi potrebbe interrompere il funzionamento dei AWS servizi che utilizzano le relative chiavi KMS. 

Non sei obbligato a connettere l'archivio delle chiavi esterne. Puoi lasciarlo disconnesso indefinitamente e connetterlo solo quando devi utilizzarlo. Puoi tuttavia testare la connessione periodicamente per verificare che le impostazioni sono corrette e che non vi sono problemi di connessione dello store.

Quando disconnetti un archivio delle chiavi personalizzate, le chiavi KMS nell'archivio diventano immediatamente inutilizzabili (in base alla coerenza finale). Tuttavia, le risorse crittografate con [chiavi di dati](data-keys.md) protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda i Servizi AWS, molti dei quali proteggono le risorse tramite le chiavi dati. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

**Nota**  
Gli archivi delle chiavi esterne presentano lo stato `DISCONNECTED` solo quando l'archivio non è mai stato connesso o se lo si disconnette esplicitamente. Lo stato `CONNECTED` non indica che l'archivio delle chiavi esterne o i relativi componenti di supporto funzionino in modo efficiente. Per informazioni relative alle prestazioni dei componenti dell'archivio delle chiavi esterne, consulta i grafici nella sezione **Monitoraggio** della pagina dei dettagli di ogni archivio delle chiavi esterne. Per informazioni dettagliate, vedi [Monitora gli archivi di chiavi esterni](xks-monitoring.md).  
Il gestore delle chiavi esterno potrebbe fornire metodi aggiuntivi per interrompere e riavviare la comunicazione tra l'archivio chiavi AWS KMS esterno e il proxy dell'archivio chiavi esterno o tra il proxy dell'archivio chiavi esterno e il gestore di chiavi esterno. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

**Topics**
+ [Stato connessione](#xks-connection-state)
+ [Connect un key store esterno](about-xks-connecting.md)
+ [Disconnetti un archivio di chiavi esterno](about-xks-disconnecting.md)

## Stato connessione
<a name="xks-connection-state"></a>

La connessione e la disconnessione modificano lo *stato di connessione* dell'archivio delle chiavi personalizzate. I valori dello stato di connessione sono gli stessi per gli archivi di AWS CloudHSM chiavi e gli archivi di chiavi esterni. 

Per visualizzare lo stato di connessione del tuo archivio chiavi personalizzato, utilizza l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operazione o la AWS KMS console. Il campo **Connection state** (Stato connessione) viene visualizzato in ogni tabella dell'archivio delle chiavi personalizzate, nella sezione **General configuration** (Configurazione generale) della pagina dei dettagli di ogni archivio e nella scheda **Cryptographic configuration** (Configurazione crittografica) delle chiavi KMS. Per informazioni dettagliate, consulta [Visualizza un archivio di AWS CloudHSM chiavi](view-keystore.md) e [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md).

Un archivio delle chiavi personalizzate può avere uno dei seguenti stati di connessione:
+ `CONNECTED`: l'archivio delle chiavi personalizzate è connesso al relativo archivio del materiale della chiave. Puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi personalizzate.

  L'*archivio di chiavi di backup* per un AWS CloudHSM key store è il AWS CloudHSM cluster associato. L'*archivio del materiale della chiave* per un archivio delle chiavi esterne è rappresentato da un proxy dell'archivio delle chiavi esterne e dal gestore delle chiavi esterne che supporta.

  Uno stato CONNECTED (CONNESSO) indica che la connessione è riuscita e che l'archivio delle chiavi personalizzate non è stato disconnesso intenzionalmente. Non indica che la connessione sta funzionando correttamente. Per informazioni sullo stato del AWS CloudHSM cluster associato al tuo AWS CloudHSM key store, consulta [Ottenere le CloudWatch metriche AWS CloudHSM nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html) l' AWS CloudHSM utente. Per informazioni sullo stato e sul funzionamento dell'archivio delle chiavi esterne, consulta i grafici nella sezione **Monitoring** (Monitoraggio) della pagina dei dettagli di ogni archivio. Per informazioni dettagliate, vedi [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
+ `CONNECTING`: il processo di connessione di un archivio delle chiavi personalizzate è in corso. Si tratta di uno stato transitorio.
+ `DISCONNECTED`: L'archivio chiavi personalizzato non è mai stato collegato al relativo supporto oppure è stato disconnesso intenzionalmente utilizzando la AWS KMS console o l'operazione. [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html) 
+ `DISCONNECTING`: il processo di disconnessione di un archivio delle chiavi personalizzate è in corso. Si tratta di uno stato transitorio.
+ `FAILED`: tentativo di connessione dell'archivio delle chiavi personalizzate non riuscito. `ConnectionErrorCode`Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)risposta indica il problema.

Per connettere un archivio delle chiavi personalizzate, il relativo stato di connessione deve essere `DISCONNECTED`. Se lo stato della connessione è `FAILED`, utilizza `ConnectionErrorCode` per identificare e risolvere il problema. Disconnetti quindi l'archivio delle chiavi personalizzate prima di provare a connetterlo di nuovo. Per informazioni sugli errori di connessione, consulta [Errori di connessione all'archivio delle chiavi esterne](xks-troubleshooting.md#fix-xks-connection). Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

Per visualizzare il codice di errore della connessione:
+ Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta, visualizza il valore dell'`ConnectionErrorCode`elemento. Tale elemento appare nella risposta `DescribeCustomKeyStores` solo quando `ConnectionState` è nello stato `FAILED`.
+ Per visualizzare il codice di errore di connessione nella AWS KMS console, vai alla pagina di dettaglio dell'archivio chiavi esterno e passa il mouse sul valore **Failed**.  
![\[Codice di errore di connessione nella pagina dei dettagli dell'archivio delle chiavi personalizzate\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/connection-error-code.png)

# Connect un key store esterno
<a name="about-xks-connecting"></a>

Quando l'archivio delle chiavi esterne è connesso al relativo proxy, puoi [creare chiavi KMS nello stesso archivio delle chiavi esterne](create-cmk-keystore.md) e utilizzare le chiavi KMS esistenti in [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore). 

Il processo che collega un archivio delle chiavi esterne al relativo proxy varia in base alla connettività dell'archivio.
+ Quando connetti un archivio di chiavi esterno con [connettività endpoint pubblica](keystore-external.md#concept-xks-connectivity), AWS KMS invia una [GetHealthStatus richiesta](keystore-external.md#concept-proxy-apis) al proxy dell'archivio chiavi esterno per convalidare l'[endpoint URI del proxy, il percorso URI](create-xks-keystore.md#require-endpoint) [del proxy](create-xks-keystore.md#require-path) e le credenziali di autenticazione del [proxy](keystore-external.md#concept-xks-credential). Una risposta positiva da parte del proxy conferma che l'[endpoint dell'URI proxy](create-xks-keystore.md#require-endpoint) e il [percorso URI proxy](create-xks-keystore.md#require-path) sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne.
+ Quando colleghi un key store esterno con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity) al relativo proxy di archiviazione chiavi esterno, AWS KMS effettua le seguenti operazioni: 
  + Conferma che il dominio per il nome DNS privato specificato nell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) è [verificato](vpc-connectivity.md#xks-private-dns). 
  + Crea un endpoint di interfaccia da un AWS KMS VPC al tuo servizio di endpoint VPC.
  + Crea una zona ospitata privata per il nome DNS privato specificato nell'endpoint URI proxy
  + Invia una [GetHealthStatusrichiesta al proxy](keystore-external.md#concept-proxy-apis) dell'archivio chiavi esterno. Una risposta positiva da parte del proxy conferma che l'[endpoint dell'URI proxy](create-xks-keystore.md#require-endpoint) e il [percorso URI proxy](create-xks-keystore.md#require-path) sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne.

L'operazione di connessione avvia il processo di connessione dell'archivio delle chiavi personalizzate, ma il collegamento di un archivio delle chiavi esterne al relativo proxy esterno richiede circa cinque minuti. Una risposta positiva dell'operazione di connessione non indica che l'archivio delle chiavi esterne sia connesso. Per confermare che la connessione è avvenuta correttamente, utilizza la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operazione per visualizzare lo [stato della connessione](xks-connect-disconnect.md#xks-connection-state) del tuo key store esterno.

Quando lo stato della connessione è `FAILED` 0, nella AWS KMS console viene visualizzato un codice di errore di connessione che viene aggiunto alla `DescribeCustomKeyStore` risposta. Per informazioni sull'interpretazione dei codici di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

## Connect e riconnettiti al tuo key store esterno
<a name="connect-xks"></a>

È possibile connettere o ricollegare l'archivio chiavi esterno nella AWS KMS console o utilizzando l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="connect-xks-console"></a>

È possibile utilizzare la AWS KMS console per connettere un archivio chiavi esterno al relativo proxy di archiviazione chiavi esterno. 

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi connettere. 

   Se la voce [Connection state](xks-connect-disconnect.md#xks-connection-state) (Stato connessione) dell'archivio delle chiavi esterne è **FAILED** (NON RIUSCITO), devi [disconnettere l'archivio](disconnect-keystore.md#disconnect-keystore-console) prima di connetterlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti).

Il completamento del processo di connessione richiede in genere circa cinque minuti. Al termine dell'operazione, lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) cambia in **CONNECTED** (CONNESSO). 

Se lo stato della connessione è **Failed** (Non riuscito), passa il mouse sullo stato per visualizzare il *codice di errore di connessione* e la causa dell'errore. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes). Per connettere un archivio delle chiavi esterne con uno stato di connessione **Failed** (Non riuscito), devi innanzitutto [disconnettere l'archivio delle chiavi personalizzate](disconnect-keystore.md#disconnect-keystore-console).

### Utilizzando l'API AWS KMS
<a name="connect-xks-api"></a>

Per connettere un archivio di chiavi esterno disconnesso, utilizzare l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione. 

Prima della connessione, lo [stato](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne deve essere `DISCONNECTED`. Se lo stato di connessione corrente è `FAILED`, [disconnetti l'archivio delle chiavi esterne](about-xks-disconnecting.md#disconnect-xks-api) e riconnettilo. 

Il completamento del processo di connessione può richiedere fino a cinque minuti. Se l'operazione non genera rapidamente un errore, `ConnectCustomKeyStore` restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare se l'archivio chiavi esterno è connesso, vedi lo stato della connessione nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta. 

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Per identificare l'archivio delle chiavi esterne, utilizza l'ID dell'archivio delle chiavi personalizzate. È possibile trovare l'ID nella pagina **Custom key stores** della console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

L'operazione `ConnectCustomKeyStore` non restituisce alcun `ConnectionState` nella risposta. Per verificare che l'archivio chiavi esterno sia connesso, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Un `ConnectionState` con valore `CONNECTED` indica che l'archivio delle chiavi esterne è connesso al relativo proxy.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Se il valore `ConnectionState` nella risposta `DescribeCustomKeyStores` è `FAILED`, l'elemento `ConnectionErrorCode` indica il motivo dell'errore. 

Nell'esempio seguente, il `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valore di `ConnectionErrorCode` indica che non AWS KMS riesce a trovare il servizio endpoint VPC che utilizza per comunicare con il proxy dell'archivio chiavi esterno. Verifica che `XksProxyVpcEndpointServiceName` sia corretto, che l'entità del AWS KMS servizio sia un'entità consentita sul servizio endpoint Amazon VPC e che il servizio endpoint VPC non richieda l'accettazione delle richieste di connessione. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Disconnetti un archivio di chiavi esterno
<a name="about-xks-disconnecting"></a>

Quando disconnetti un archivio delle chiavi esterne con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity) dal relativo proxy dell'archivio delle chiavi esterne, AWS KMS elimina l'endpoint di interfaccia per il servizio endpoint VPC e rimuove l'infrastruttura di rete che ha creato per supportare la connessione. Non è richiesto alcun processo equivalente per gli archivi delle chiavi esterne con connettività dell'endpoint pubblico. Questa operazione non influisce sul servizio endpoint VPC o sui suoi componenti di supporto. Inoltre, non ha alcun impatto sul proxy dell'archivio delle chiavi esterne o su eventuali componenti esterni.

Mentre l'archivio chiavi esterno è disconnesso, AWS KMS non invia alcuna richiesta al proxy dell'archivio chiavi esterno. Lo stato di connessione dell'archivio delle chiavi esterne è `DISCONNECTED`. Le chiavi KMS nell'archivio delle chiavi esterne disconnesso presentano uno [stato `UNAVAILABLE`](key-state.md) (a meno che non siano in [attesa di eliminazione](deleting-keys.md)), pertanto non possono essere utilizzate nelle operazioni di crittografia. Tuttavia, puoi comunque visualizzare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS esistenti. 

Lo stato disconnesso è progettato per essere temporaneo e reversibile. La riconnessione dell'archivio delle chiavi esterne può avvenire in qualsiasi momento. In genere, non è necessaria alcuna riconfigurazione. Tuttavia, se alcune proprietà del proxy dell'archivio delle chiavi esterne associato sono state modificate durante la disconnessione, ad esempio la rotazione delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential), è necessario [modificare le impostazioni dell'archivio delle chiavi esterne](update-xks-keystore.md) prima di riconnetterlo. 

**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Per valutare meglio l'effetto della disconnessione dell'archivio delle chiavi esterne, identifica le chiavi KMS e [determinane l'utilizzo precedente](deleting-keys-determining-usage.md).

Puoi disconnettere un archivio delle chiavi esterne per i seguenti motivi:
+ **Per modificarne le proprietà.** Puoi modificare il nome dell'archivio delle chiavi personalizzate, il percorso URI proxy e le credenziali di autenticazione proxy mentre l'archivio delle chiavi esterne è connesso. Tuttavia, per modificare il tipo di connettività proxy, l'endpoint dell'URI proxy o il nome del servizio endpoint VPC, devi prima disconnettere l'archivio delle chiavi esterne. Per informazioni dettagliate, vedi [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).
+ **Per interrompere tutte le comunicazioni** tra AWS KMS e il proxy dell'archivio chiavi esterno. Puoi anche interrompere la comunicazione tra AWS KMS e il tuo proxy disabilitando l'endpoint o il servizio endpoint VPC. Inoltre, il proxy di archiviazione delle chiavi esterno o il software di gestione delle chiavi potrebbe fornire meccanismi aggiuntivi per AWS KMS impedire la comunicazione con il proxy o per impedire al proxy di accedere al gestore di chiavi esterno.
+ **Per disabilitare tutte le chiavi KMS** nell'archivio delle chiavi esterne. È possibile [disabilitare e riattivare le chiavi KMS](enabling-keys.md) in un archivio di chiavi esterno utilizzando la AWS KMS console o l'operazione. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Queste operazioni vengono completate rapidamente (in base alla coerenza finale), ma agiscono su una sola chiave KMS alla volta. La disconnessione modifica lo stato di chiave di tutte le chiavi KMS nell'archivio delle chiavi esterne in `Unavailable`, che ne impedisce l'utilizzo in qualsiasi operazione di crittografia.
+ **Per riparare un tentativo di connessione non riuscito**. Se un tentativo di connessione di un archivio delle chiavi esterne ha esito negativo (il relativo stato di connessione è `FAILED`), devi disconnettere l'archivio prima di eseguire un nuovo tentativo di connessione.

## Disconnetti l'archivio di chiavi esterno
<a name="disconnect-xks"></a>

È possibile disconnettere l'archivio di chiavi esterno nella AWS KMS console o utilizzando l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="disconnect-xks-console"></a>

È possibile utilizzare la AWS KMS console per connettere un archivio chiavi esterno al relativo proxy di archiviazione chiavi esterno. Questo processo dura circa 5 minuti. 

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi disconnettere. 

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

Al completamento dell'operazione, lo stato della connessione cambia da **CONNECTED (CONNESSO)** a **DISCONNECTED (DISCONNESSO)**. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Errori di connessione all'archivio delle chiavi esterne](xks-troubleshooting.md#fix-xks-connection).

### Utilizzando l'API AWS KMS
<a name="disconnect-xks-api"></a>

Per disconnettere un archivio di chiavi esterno connesso, utilizzare l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Il completamento del processo può richiedere fino a cinque minuti. Per trovare lo stato di connessione dell'archivio di chiavi esterno, utilizzate l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Questo esempio disconnette un archivio delle chiavi esterne con connettività del servizio endpoint VPC. Prima di eseguire questo comando, sostituisci l'ID dell'archivio delle chiavi personalizzate di esempio con uno valido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per verificare che l'archivio chiavi esterno sia disconnesso, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il `ConnectionState` con valore `DISCONNECTED` indica che questo archivio delle chiavi esterne di esempio non è più connesso al relativo proxy.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Eliminare un archivio chiavi esterno
<a name="delete-xks"></a>

Quando si elimina un archivio di chiavi esterno, AWS KMS elimina tutti i metadati relativi all'archivio chiavi esterno da AWS KMS, incluse le informazioni sul proxy dell'archivio chiavi esterno. Questa operazione non influisce sul [proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-proxy), sul [gestore](keystore-external.md#concept-ekm) delle [chiavi esterne, sulle chiavi esterne](keystore-external.md#concept-external-key) o su qualsiasi AWS risorsa creata per supportare l'archivio chiavi esterno, come un Amazon VPC o un servizio endpoint VPC.

Prima di eliminare un archivio delle chiavi esterne, devi [eliminare tutte le chiavi KMS](deleting-keys.md) dall'archivio delle chiavi e [disconnettere l'archivio](xks-connect-disconnect.md) dal relativo proxy. In caso contrario, i tentativi di eliminare l'archivio delle chiavi hanno esito negativo.

L'operazione di eliminazione di un archivio delle chiavi esterne è irreversibile, tuttavia puoi creare un nuovo archivio e associarlo allo stesso proxy dell'archivio delle chiavi esterne e allo stesso gestore delle chiavi esterne. Tuttavia, non è possibile ricreare le chiavi KMS di crittografia simmetrica nell'archivio di chiavi esterno, anche se si ha accesso allo stesso materiale di chiave esterna. AWS KMS include i metadati nel testo cifrato simmetrico unico per ogni chiave KMS. Questa funzionalità di sicurezza garantisce che solo la chiave KMS che ha crittografato i dati possa decrittografarli. 

Anziché eliminare l'archivio delle chiavi esterne, puoi disconnetterlo. Mentre un archivio chiavi esterno è disconnesso, è possibile gestire l'archivio chiavi esterno e il relativo, AWS KMS keys ma non è possibile creare o utilizzare le chiavi KMS nell'archivio chiavi esterno. Puoi ricollegare l'archivio delle chiavi esterne in qualsiasi momento e utilizzare le chiavi KMS per crittografare e decrittografare i dati. Non è previsto alcun costo per un proxy dell'archivio delle chiavi esterne disconnesso o per le relative chiavi KMS non disponibili.

È possibile eliminare l'archivio di chiavi esterno nella AWS KMS console o utilizzando l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione.

## Utilizzo della AWS KMS console
<a name="delete-xks-console"></a>

È possibile utilizzare la AWS KMS console per eliminare un archivio di chiavi esterno.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Trova la riga che rappresenta l'archivio delle chiavi esterne da rimuovere. Se la voce **Connection state** (Stato connessione) dell'archivio delle chiavi esterne non è **DISCONNECTED** (DISCONNESSO), devi [disconnettere l'archivio delle chiavi esterne](about-xks-disconnecting.md#disconnect-xks-console) prima di eliminarlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Delete** (Elimina).

Se l'operazione riesce, viene visualizzato un messaggio di conferma e l'archivio delle chiavi esterne non è più visualizzato nel relativo elenco. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).

## Utilizzando l'API AWS KMS
<a name="delete-xks-api"></a>

Per eliminare un archivio di chiavi esterno, utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà.

Per iniziare, disconnetti l'archivio delle chiavi esterne. Prima di eseguire questo comando, sostituisci l’ID store chiavi personalizzate di esempio con uno valido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Dopo la disconnessione dell'archivio chiavi esterno, è possibile utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione per eliminarlo. 

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per confermare che l'archivio chiavi esterno è stato eliminato, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

```
$ aws kms describe-custom-key-stores
            
{
    "CustomKeyStores": []
}
```

Se si specifica un nome o un ID di archivio chiavi personalizzato che non esiste più, AWS KMS restituisce un'`CustomKeyStoreNotFoundException`eccezione.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0

An error occurred (CustomKeyStoreNotFoundException) when calling the DescribeCustomKeyStore operation:
```

# Risoluzione dei problemi relativi all'archivio delle chiavi esterne
<a name="xks-troubleshooting"></a>

La risoluzione per la maggior parte dei problemi con gli archivi di chiavi esterni è indicata dal messaggio di errore AWS KMS visualizzato con ogni eccezione o dal [codice di errore di connessione](#fix-xks-connection) che viene AWS KMS restituito quando un tentativo di [connettere l'archivio chiavi esterno al relativo proxy dell'archivio](xks-connect-disconnect.md) chiavi esterno ha esito negativo. Tuttavia, alcune questioni sono un po' più complesse. 

Durante la diagnosi di un problema con un archivio delle chiavi esterne, individua innanzitutto la causa. Questa operazione consente di restringere la gamma di rimedi e rendere più efficiente la risoluzione dei problemi.
+ AWS KMS — Il problema potrebbe essere interno AWS KMS, ad esempio un valore errato nella [configurazione dell'archivio chiavi esterno](create-xks-keystore.md#xks-requirements).
+ Esterno: il problema potrebbe avere origine all'esterno AWS KMS, inclusi problemi con la configurazione o il funzionamento del proxy dell'archivio chiavi esterno, del gestore delle chiavi esterne, delle chiavi esterne o del servizio endpoint VPC.
+ Rete: potrebbe essere un problema di connettività o di rete, ad esempio un problema con l'endpoint proxy, la porta, lo stack IP o il nome o dominio DNS privato.

**Nota**  
Quando le operazioni di gestione negli archivi delle chiavi esterne hanno esito negativo, generano diverse eccezioni. Tuttavia, le operazioni AWS KMS crittografiche si ripetono `KMSInvalidStateException` per tutti gli errori relativi alla configurazione esterna o allo stato di connessione dell'archivio di chiavi esterno. Per identificare il problema, utilizza il testo del messaggio di errore allegato.  
L'[ConnectCustomKeyStore](xks-connect-disconnect.md)operazione viene completata rapidamente prima del completamento del processo di connessione. Per determinare se il processo di connessione ha esito positivo, visualizza lo [stato della connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne. Se il processo di connessione fallisce, AWS KMS restituisce un [codice di errore di connessione](#xks-connection-error-codes) che spiega la causa e suggerisce una soluzione.

**Topics**
+ [Strumenti per la risoluzione dei problemi degli archivi delle chiavi esterne](#xks-troubleshooting-tools)
+ [Errori di configurazione](#fix-xks-configuration)
+ [Errori di connessione all'archivio delle chiavi esterne](#fix-xks-connection)
+ [Errori di latenza e timeout](#fix-xks-latency)
+ [Errori delle credenziali di autenticazione](#fix-xks-credentials)
+ [Errori relativi allo stato delle chiavi](#fix-unavailable-xks-keys)
+ [Errori di decrittografia](#fix-xks-decrypt)
+ [Errori relativi alla chiave esterna](#fix-external-key)
+ [Problemi relativi al proxy](#fix-xks-proxy)
+ [Problemi relativi all'autorizzazione proxy](#fix-xks-authorization)

## Strumenti per la risoluzione dei problemi degli archivi delle chiavi esterne
<a name="xks-troubleshooting-tools"></a>

AWS KMS fornisce diversi strumenti che consentono di identificare e risolvere i problemi relativi all'archivio chiavi esterno e alle relative chiavi. Utilizza questi strumenti insieme alle funzioni fornite con il proxy dell'archivio delle chiavi esterne e il gestore delle chiavi esterne.

**Nota**  
Il proxy dell'archivio delle chiavi esterne e il gestore delle chiavi esterne potrebbero fornire metodi più semplici per creare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS. Per ulteriori informazioni, consulta la documentazione degli strumenti esterni. 

**AWS KMS eccezioni e messaggi di errore**  
AWS KMS fornisce un messaggio di errore dettagliato su qualsiasi problema riscontrato. Puoi trovare ulteriori informazioni sulle AWS KMS eccezioni nell'[https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) Reference e. AWS SDKs Anche se utilizzi la AWS KMS console, potresti trovare utili questi riferimenti. Ad esempio, consulta l'elenco [Errori](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) per l'operazione `CreateCustomKeyStores`.  
Per ottimizzare le prestazioni del proxy di archiviazione delle chiavi esterno, AWS KMS restituisce le eccezioni in base all'affidabilità del proxy entro un determinato periodo di aggregazione di 5 minuti. In caso di errore interno del server 500, servizio 503 non disponibile o timeout di connessione, viene restituito un proxy con elevata affidabilità `KMSInternalException` e attiva un nuovo tentativo automatico per garantire che le richieste vadano a buon fine. Tuttavia, viene restituito un proxy con bassa affidabilità. `KMSInvalidStateException` Per ulteriori informazioni, vedere [Monitoraggio di un archivio di chiavi esterno](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).   
Se il problema si presenta in un AWS servizio diverso, ad esempio quando si utilizza una chiave KMS nell'archivio di chiavi esterno per proteggere una risorsa in un altro AWS servizio, il AWS servizio potrebbe fornire informazioni aggiuntive per aiutarti a identificare il problema. Se il AWS servizio non fornisce il messaggio, puoi visualizzare il messaggio di errore nei [CloudTrail log](logging-using-cloudtrail.md) che registrano l'uso della tua chiave KMS.

**[CloudTrail logs](logging-using-cloudtrail.md)**  
Ogni operazione AWS KMS API, incluse le azioni nella AWS KMS console, viene registrata nei AWS CloudTrail log. AWS KMS registra una voce di registro per le operazioni riuscite e non riuscite. Per le operazioni con esito negativo, la voce di log include il nome dell'eccezione AWS KMS (`errorCode`) e il messaggio di errore (`errorMessage`). Puoi utilizzare queste informazioni per identificare e risolvere l'errore. Per vedere un esempio, consulta [Errore di decrittografia con una chiave KMS in un archivio delle chiavi esterne](ct-decrypt.md#ct-decrypt-xks-fail).  
La voce di log include anche l'ID della richiesta. Se la richiesta ha raggiunto il proxy dell'archivio delle chiavi esterne, puoi utilizzare l'ID della richiesta nella voce di log per trovare la richiesta corrispondente nei log del proxy, se disponibili.

**[CloudWatch metriche](monitoring-cloudwatch.md#kms-metrics)**  
AWS KMS registra CloudWatch metriche Amazon dettagliate sul funzionamento e le prestazioni del tuo archivio di chiavi esterno, tra cui latenza, throttling, errori proxy, stato di gestore di chiavi esterno, il numero di giorni che mancano alla scadenza del certificato TLS e l'età riportata delle credenziali di autenticazione proxy. Puoi utilizzare queste metriche per sviluppare modelli di dati per il funzionamento del tuo archivio di chiavi esterno e CloudWatch allarmi che ti avvisano di problemi imminenti prima che si verifichino.   
AWS KMS consiglia di creare CloudWatch allarmi per monitorare le metriche dell'archivio di chiavi esterne. Questi allarmi ti avvisano dei primi segnali di problemi prima che si verifichino.

**[Grafici di monitoraggio](xks-monitoring.md)**  
AWS KMS visualizza i grafici delle CloudWatch metriche dell'archivio chiavi esterno nella pagina di dettaglio di ogni archivio di chiavi esterno nella console. AWS KMS È possibile utilizzare i dati nei grafici per individuare l'origine degli errori, rilevare problemi imminenti, stabilire linee di base e perfezionare le soglie di allarme. CloudWatch Per informazioni dettagliate sull'interpretazione dei grafici di monitoraggio e sull'utilizzo dei relativi dati, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).

**Visualizzazione di archivi delle chiavi esterne e chiavi KMS**  
AWS KMS visualizza informazioni dettagliate sugli archivi di chiavi esterni e sulle chiavi KMS nell'archivio chiavi esterno della AWS KMS console e nella risposta alle operazioni and. [DescribeCustomKeyStores[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Queste visualizzazioni includono campi speciali per gli archivi delle chiavi esterne e le chiavi KMS con informazioni che è possibile utilizzare per la risoluzione dei problemi, come [lo stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne e l'ID della chiave esterna associata alla chiave KMS. Per informazioni dettagliate, vedi [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md).

**[Client di test proxy XKS](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**  
AWS KMS fornisce un client di test open source che verifica che il proxy dell'archivio chiavi esterno sia conforme alla specifica dell'API [AWS KMS External Key Store Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/). Puoi utilizzare tale client di test per identificare e risolvere i problemi relativi al proxy dell'archivio delle chiavi esterne.

## Errori di configurazione
<a name="fix-xks-configuration"></a>

Durante la creazione di un archivio delle chiavi esterne, puoi specificare i valori delle proprietà che comprendono la *configurazione* dell'archivio, come le [credenziali di autenticazione proxy](create-xks-keystore.md#require-credential), l'[endpoint URI proxy](create-xks-keystore.md#require-endpoint), il [percorso URI proxy](create-xks-keystore.md#require-path) e [il nome del servizio dell'endpoint VPC](create-xks-keystore.md#require-vpc-service-name). Quando AWS KMS rileva un errore nel valore di una proprietà, l'operazione ha esito negativo e restituisce un errore che indica il valore difettoso. 

Molti problemi di configurazione possono essere risolti correggendo il valore errato. Puoi correggere un percorso URI proxy o le credenziali di autenticazione proxy non valide senza disconnettere l'archivio delle chiavi esterne. Per le definizioni di questi valori, inclusi i requisiti di unicità, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements). Per istruzioni sull'aggiornamento di tali valori, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

Per evitare errori con il percorso URI proxy e i valori delle credenziali di autenticazione proxy, quando crei o aggiorni l'archivio delle chiavi esterne, carica un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) nella console AWS KMS . Si tratta di un file basato su JSON con il percorso URI proxy e i valori delle credenziali di autenticazione proxy forniti dal proxy o dal gestore delle chiavi esterne. Non è possibile utilizzare un file di configurazione proxy con le operazioni AWS KMS API, ma è possibile utilizzare i valori del file per fornire valori di parametro per le richieste API che corrispondano ai valori del proxy.

### Errori di configurazione generale
<a name="fix-xks-gen-configuration"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `XksProxyInvalidConfigurationException` (operazioni di gestione, ad eccezione di `CreateKey`)

[**Codici di errore di connessione**](#xks-connection-error-codes): `XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`

Per gli archivi di chiavi esterni con [connettività pubblica degli endpoint](choose-xks-connectivity.md#xks-connectivity-public-endpoint), AWS KMS verifica i valori delle proprietà quando crei e aggiorni l'archivio di chiavi esterno. Per gli archivi delle chiavi esterne con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), AWS KMS testa i valori delle proprietà durante la connessione e l'aggiornamento dell'archivio delle chiavi esterne. 

**Nota**  
L'operazione `ConnectCustomKeyStore`, che è asincrona, potrebbe avere esito positivo anche se il tentativo di connettere l'archivio delle chiavi esterne al relativo proxy fallisce. In tal caso non vi è alcuna eccezione, ma lo stato di connessione dell'archivio delle chiavi esterne è Failed (Non riuscito) e viene visualizzato un codice di errore di connessione che spiega il messaggio di errore. Per ulteriori informazioni, consulta [Errori di connessione all'archivio delle chiavi esterne](#fix-xks-connection).

Se AWS KMS rileva un errore nel valore di una proprietà, l'operazione ha esito negativo e restituisce `XksProxyInvalidConfigurationException` uno dei seguenti messaggi di errore.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta a causa di un percorso URI non valido. Verifica il percorso URI dell'archivio delle chiavi esterne e aggiornalo, se necessario. | 
+ Il [percorso URI del proxy](create-xks-keystore.md#require-path) è il percorso di base per AWS KMS le richieste al proxy APIs. Se questo percorso non è corretto, tutte le richieste al proxy hanno esito negativo. Per [visualizzare il percorso URI proxy corrente](view-xks-keystore.md) dell'archivio delle chiavi esterne, usa la console AWS KMS o l'operazione `DescribeCustomKeyStores`. Per trovare il percorso URI proxy corretto, consulta la documentazione del proxy dell'archivio delle chiavi esterne. Per informazioni sulla correzione del valore relativo al percorso URI proxy, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).
+ Il percorso URI proxy per il proxy dell'archivio delle chiavi esterne può cambiare con gli aggiornamenti del proxy o del gestore delle chiavi esterne. Per informazioni relative a queste modifiche, consulta la documentazione del proxy o del gestore delle chiavi esterne.


|  | 
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS non è in grado di stabilire una connessione TLS al proxy dell'archivio delle chiavi esterne. Verifica la configurazione TLS e il relativo certificato. | 
+ Tutti i proxy dell'archivio delle chiavi esterne richiedono un certificato TLS. Il certificato TLS deve essere emesso da un'autorità di certificazione (CA) pubblica supportata per gli archivi delle chiavi esterne. Per un elenco di quelle supportate CAs, consulta [Trusted Certificate Authorities](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) nella specifica dell'API proxy AWS KMS External Key Store.
+ Per quanto riguarda la connettività dell'endpoint pubblico, il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome di dominio nell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) per il proxy dell'archivio delle chiavi esterne. Ad esempio, se l'endpoint pubblico è https://myproxy.xks.example.com il TLS, il CN sul certificato TLS deve essere `myproxy.xks.example.com` o `*.xks.example.com`.
+ Per la connettività del servizio endpoint VPC, il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato del [servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name). Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ Il certificato TLS non deve essere scaduto. Per ottenere la data di scadenza di un certificato TLS, utilizza gli strumenti SSL, come [OpenSSL](https://www.openssl.org/). Per monitorare la data di scadenza di un certificato TLS associato a un archivio di chiavi esterno, utilizza la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch metrica. Il numero di giorni che mancano alla data di scadenza della certificazione TLS viene visualizzato anche nella [sezione **Monitoraggio** della console](xks-monitoring.md). AWS KMS 
+ Se utilizzi la [connettività dell'endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint), testa la configurazione SSL tramite gli strumenti di test SSL. Gli errori di connessione TLS possono derivare da un concatenamento errato dei certificati. 

### Errori di configurazione per la connettività del servizio endpoint VPC
<a name="fix-xks-vpc-configuration"></a>

**Eccezioni**: `XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`

Oltre ai problemi di connettività generali, potresti riscontrare i seguenti problemi durante la creazione, la connessione o l'aggiornamento di un archivio di chiavi esterno con connettività del servizio endpoint VPC. AWS KMS verifica i valori delle proprietà di un archivio di chiavi esterno con connettività del servizio endpoint VPC durante la [creazione](create-xks-keystore.md), la [connessione](xks-connect-disconnect.md) e l'[aggiornamento](update-xks-keystore.md) dell'archivio chiavi esterno. Quando le operazioni di gestione falliscono a causa di errori di configurazione, generano le seguenti eccezioni:


|  | 
| --- |
| XksProxyVpcEndpointServiceNotFoundException | 

Di seguito è riportata la possibile causa:
+ Un nome del servizio endpoint VPC errato. Verifica che il nome del servizio endpoint VPC per l'archivio delle chiavi esterne sia corretto e corrisponda al valore dell'endpoint URI proxy per l'archivio delle chiavi esterne. Per trovare il nome del servizio endpoint VPC, usa la console Amazon [VPC](https://console.aws.amazon.com/vpc) o l'operazione. [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html) Per trovare il nome del servizio endpoint VPC e l'endpoint URI proxy di un key store esterno esistente, usa la AWS KMS console o l'operazione. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Per informazioni dettagliate, vedi [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md).
+ Il servizio endpoint VPC potrebbe trovarsi in un archivio chiavi Regione AWS diverso da quello esterno. Verifica che il servizio endpoint VPC e l'archivio delle chiavi esterne si trovino nella stessa regione. (Il nome esterno del nome della regione, ad esempio, fa parte del nome del servizio endpoint VPC`us-east-1`, ad esempio com.amazonaws.vpce.us-east-1. vpce-svc-example.) Per un elenco dei requisiti per il servizio endpoint VPC di un archivio delle chiavi esterne, consulta [Servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name). Non puoi spostare un servizio endpoint VPC o un archivio delle chiavi esterne in una regione diversa, tuttavia puoi creare un nuovo archivio delle chiavi esterne nella stessa regione del servizio endpoint VPC. Per informazioni dettagliate, consulta [Configurazione della connettività del servizio endpoint VPC](vpc-connectivity.md) e [Creare un archivio di chiavi esterno](create-xks-keystore.md).
+ AWS KMS non è un principale consentito per il servizio endpoint VPC. L'elenco **Allow principals** (Consenti entità principali) per il servizio endpoint VPC deve includere il valore `cks.kms.<region>.amazonaws.com`, ad esempio `cks.kms.eu-west-3.amazonaws.com`. Per istruzioni sull'aggiunta di questo valore, consulta [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) nella *Guida di AWS PrivateLink *.


|  | 
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException | 

Questo errore si verifica quando il servizio endpoint VPC non soddisfa uno dei seguenti requisiti:
+ Il VPC richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa. Per assistenza sull'aggiunta di una sottorete al VPC, consulta [Creazione di una sottorete nel VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets) nella *Guida per l'utente di Amazon VPC*.
+ Il [tipo di servizio endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) deve utilizzare un Network Load Balancer, non un sistema di bilanciamento del carico gateway.
+ L'accettazione non deve essere richiesta per il servizio endpoint VPC (**Acceptance required** [Accettazione richiesta] deve essere false). Se è richiesta l'accettazione manuale di ogni richiesta di connessione, AWS KMS non è possibile utilizzare il servizio endpoint VPC per connettersi al proxy dell'archivio chiavi esterno. Per maggiori dettagli, consulta [Accettare o rifiutare le richieste di connessione](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) nella *Guida di AWS PrivateLink *.
+ Il servizio endpoint VPC deve avere un nome DNS privato che è un sottodominio di un dominio pubblico. Ad esempio, se il nome DNS privato è `https://myproxy-private.xks.example.com`, i domini `xks.example.com` o `example.com` devono disporre di un server DNS pubblico. Per visualizzare o modificare il nome DNS privato per il servizio endpoint VPC, consulta [Gestione dei nomi DNS per i servizi endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) nella *Guida di AWS PrivateLink *.
+ Il valore di **Domain verification status** (Stato di verifica del dominio) per il nome DNS privato deve essere `verified`. Per visualizzare e aggiornare lo stato di verifica del dominio del nome DNS privato, consulta [Fase 5: Verifica il tuo nome di dominio DNS privato](vpc-connectivity.md#xks-private-dns). Potrebbero essere necessari alcuni minuti prima che venga visualizzato lo stato di verifica aggiornato dopo aver aggiunto il record di testo richiesto. 
**Nota**  
Un dominio DNS privato può essere verificato solo se è il sottodominio di un dominio pubblico. In caso contrario, lo stato di verifica del dominio DNS privato non cambia, anche dopo aver aggiunto il record TXT richiesto. 
+ Assicurati che tutti i firewall tra AWS KMS e il proxy dell'archivio chiavi esterno consentano il traffico da e verso la porta 443 del proxy. AWS KMS comunica sulla porta 443 tramite. IPv4 Questo valore non è configurabile.
+ Il nome DNS privato del servizio endpoint VPC deve corrispondere al valore dell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) per l'archivio delle chiavi esterne. Per un archivio delle chiavi esterne con connettività del servizio endpoint VPC, l'endpoint URI proxy deve essere `https://` seguito dal nome DNS privato del servizio endpoint VPC. Per visualizzare il valore dell'endpoint URI proxy, consulta [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md). Per modificare il valore dell'endpoint URI proxy, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

## Errori di connessione all'archivio delle chiavi esterne
<a name="fix-xks-connection"></a>

Il [processo di connessione di un archivio delle chiavi esterne](about-xks-connecting.md) al relativo proxy richiede circa cinque minuti. Se l'operazione non genera rapidamente un errore, l'operazione `ConnectCustomKeyStore` restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare se l'archivio delle chiavi esterne è connesso, visualizza lo [stato della connessione](xks-connect-disconnect.md#xks-connection-state). Se la connessione fallisce, lo stato di connessione dell'archivio chiavi esterno cambia `FAILED` e AWS KMS restituisce un [codice di errore di connessione](#xks-connection-error-codes) che spiega la causa dell'errore.

**Nota**  
Quando lo stato di connessione di un archivio delle chiavi personalizzate è `FAILED`, devi disconnettere l'archivio prima di tentare di riconnetterlo. Non puoi connettere uno store delle chiavi personalizzate il cui stato di connessione è `FAILED`.

Per visualizzare lo stato di connessione di un archivio delle chiavi esterne:
+ Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta, visualizza il valore dell'`ConnectionState`elemento.
+ Nella AWS KMS console, **lo stato della connessione** viene visualizzato nella tabella dell'archivio chiavi esterno. Inoltre, nella pagina dei dettagli di ogni archivio delle chiavi esterne, il campo **Connection state** (Stato connessione) viene visualizzato nella sezione **General configuration** (Configurazione generale).

Quando lo stato della connessione è `FAILED`, il codice di errore di connessione indica l'errore. 

Per visualizzare il codice di errore della connessione:
+ Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta, visualizza il valore dell'`ConnectionErrorCode`elemento. Tale elemento appare nella risposta `DescribeCustomKeyStores` solo quando `ConnectionState` è nello stato `FAILED`.
+ Per visualizzare il codice di errore di connessione nella AWS KMS console, vai alla pagina di dettaglio dell'archivio chiavi esterno e passa il mouse sul valore **Failed**.  
![\[Codice di errore di connessione nella pagina dei dettagli dell'archivio delle chiavi personalizzate\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/connection-error-code.png)

### Codici di errore di connessione per archivi delle chiavi esterne
<a name="xks-connection-error-codes"></a>

I seguenti codici di errore di connessione si applicano agli archivi delle chiavi esterne

`INTERNAL_ERROR`  
AWS KMS impossibile completare la richiesta a causa di un errore interno. Riprova la richiesta . Per le richieste `ConnectCustomKeyStore`, scollega lo store delle chiavi personalizzate prima di provare a connetterti di nuovo.

`INVALID_CREDENTIALS`  
Uno o entrambi i valori `XksProxyAuthenticationCredential` non sono validi nel proxy dell'archivio delle chiavi esterne specificato.

`NETWORK_ERRORS`  
Gli errori di rete AWS KMS impediscono la connessione dell'archivio chiavi personalizzato al relativo archivio chiavi di supporto.

`XKS_PROXY_ACCESS_DENIED`  
AWS KMS alle richieste viene negato l'accesso al proxy dell'archivio chiavi esterno. Se tale proxy dispone di regole di autorizzazione, verifica che consentano ad AWS KMS di comunicare con il proxy per tuo conto.

`XKS_PROXY_INVALID_CONFIGURATION`  
Un errore di configurazione impedisce all'archivio delle chiavi esterne di connettersi al relativo proxy. Verifica il valore di `XksProxyUriPath`.

`XKS_PROXY_INVALID_RESPONSE`  
AWS KMS non è in grado di interpretare la risposta dal proxy dell'archivio chiavi esterno. Se visualizzi ripetutamente questo codice di errore di connessione, informa il fornitore del proxy dell'archivio delle chiavi esterne.

`XKS_PROXY_INVALID_TLS_CONFIGURATION`  
AWS KMS non può connettersi al proxy dell'archivio chiavi esterno perché la configurazione TLS non è valida. Verifica che il proxy dell'archivio delle chiavi esterne supporti TLS 1.2 o 1.3. Inoltre, verifica che il certificato TLS sia ancora valido, che corrisponda al nome host nel valore `XksProxyUriEndpoint` e che sia firmato da un'autorità di certificazione affidabile inclusa nell'elenco delle [autorità di certificazione attendibili](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).

`XKS_PROXY_NOT_REACHABLE`  
AWS KMS non riesce a comunicare con il proxy dell'archivio chiavi esterno. Verifica che `XksProxyUriEndpoint` e `XksProxyUriPath` siano corretti. Utilizza gli strumenti del proxy dell'archivio delle chiavi esterne per verificare che il proxy sia attivo e disponibile sulla rete. Inoltre, verifica che le istanze del gestore delle chiavi esterne funzionino correttamente. I tentativi di connessione hanno esito negativo e restituiscono questo codice di errore di connessione se il proxy segnala che tutte le istanze del gestore delle chiavi esterne non sono disponibili.

`XKS_PROXY_TIMED_OUT`  
AWS KMS può connettersi al proxy dell'archivio di chiavi esterno, ma il proxy non risponde AWS KMS nel tempo assegnato. Se visualizzi ripetutamente questo codice di errore di connessione, informa il fornitore del proxy dell'archivio delle chiavi esterne.

`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`  
La configurazione del servizio endpoint Amazon VPC non è conforme ai requisiti per un AWS KMS archivio di chiavi esterno.  
+ Il servizio endpoint VPC deve essere un servizio endpoint per gli endpoint di interfaccia nell' Account AWS del chiamante.
+ Deve avere un Network Load Balancer (NLB) connesso ad almeno due sottoreti, ognuna in una zona di disponibilità diversa.
+ L'`Allow principals`elenco deve includere il AWS KMS servizio principale per la regione`cks.kms.<region>.amazonaws.com`, ad esempio. `cks.kms.us-east-1.amazonaws.com`
+ *Non* deve richiedere l'[accettazione](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) delle richieste di connessione.
+ Deve avere un nome DNS privato. Il nome DNS privato per un archivio delle chiavi esterne con connettività `VPC_ENDPOINT_SERVICE` deve essere univoco nella Regione AWS.
+ Lo [stato di verifica](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) per il dominio del nome DNS privato deve essere `verified`.
+ Il [certificato TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) specifica il nome host DNS privato in cui è raggiungibile l'endpoint.

`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`  
AWS KMS non riesce a trovare il servizio endpoint VPC che utilizza per comunicare con il proxy di archiviazione chiavi esterno. Verifica che `XksProxyVpcEndpointServiceName` sia corretto e che il principale del servizio AWS KMS disponga delle autorizzazioni consumer per il servizio endpoint Amazon VPC.

## Errori di latenza e timeout
<a name="fix-xks-latency"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `XksProxyUriUnreachableException` (operazioni di gestione)

[**Codici di errore di connessione**](#xks-connection-error-codes): `XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`

Quando non AWS KMS riesce a contattare il proxy entro l'intervallo di timeout di 250 millisecondi, restituisce un'eccezione. `CreateCustomKeyStore``XksProxyUriUnreachableException`e torna. `UpdateCustomKeyStore` Le operazioni crittografiche restituiscono lo standard `KMSInvalidStateException` con un messaggio di errore che descrive il problema. Se `ConnectCustomKeyStore` fallisce, AWS KMS restituisce un [codice di errore di connessione](#fix-xks-connection) che descrive il problema. 

Gli errori di timeout possono essere problemi temporanei che possono essere risolti ripetendo la richiesta. Se il problema persiste, verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete e che l'endpoint URI proxy, il percorso URI proxy e il nome del servizio endpoint VPC (se presente) siano corretti. Inoltre, verifica che il gestore delle chiavi esterno sia vicino Regione AWS all'archivio delle chiavi esterno. Se è necessario aggiornare uno di questi valori, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

Per tenere traccia dei modelli di latenza, utilizza la [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch metrica e il grafico della **latenza media** (basato su tale metrica) nella [sezione **Monitoraggio della console**](xks-monitoring.md). AWS KMS Il proxy dell'archivio delle chiavi esterne potrebbe anche generare log e parametri in grado di tracciare la latenza e i timeout.


|  | 
| --- |
| `XksProxyUriUnreachableException`AWS KMS non è in grado di comunicare con il proxy dell'archivio chiavi esterno. Potrebbe trattarsi di un problema di rete temporaneo. Se visualizzi questo errore ripetutamente, verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete e che l'URI endpoint sia corretto. | 
+ Il proxy dell'archivio chiavi esterno non ha risposto a una richiesta API AWS KMS proxy entro l'intervallo di timeout di 250 millisecondi. Ciò potrebbe indicare un problema di rete temporaneo o un problema operativo o di prestazioni con il proxy. Se un nuovo tentativo non risolve il problema, informa l'amministratore del proxy dell'archivio delle chiavi esterne.

Gli errori di latenza e timeout si manifestano spesso come errori di connessione. Quando l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione ha esito negativo, lo *stato di connessione* dell'archivio chiavi esterno cambia `FAILED` e AWS KMS restituisce un *codice di errore di connessione che spiega l'errore.* Per un elenco di codici di errore di connessione e suggerimenti per la relativa risoluzione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](#xks-connection-error-codes). Gli elenchi dei codici di connessione per **All custom key stores** (Tutti gli archivi delle chiavi personalizzate) e **External key stores** (Archivi delle chiavi esterne) si applicano agli archivi delle chiavi esterne. I seguenti errori di connessione sono correlati alla latenza e ai timeout.


|  | 
| --- |
| `XKS_PROXY_NOT_REACHABLE`oppure`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS non può comunicare con il proxy dell'archivio chiavi esterno. Verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete e che il percorso URI e l'URI endpoint o il nome del servizio VPC siano corretti nell'archivio delle chiavi esterne. | 

Questo errore può verificarsi per i seguenti motivi:
+ Il proxy dell'archivio delle chiavi esterne non è attivo o non è connesso alla rete.
+ Si è verificato un errore nei valori [endpoint URI proxy](create-xks-keystore.md#require-endpoint), [percorso URI proxy](create-xks-keystore.md#require-path) o del [nome del servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name) (se applicabile) nella configurazione dell'archivio delle chiavi esterne. Per visualizzare la configurazione dell'archivio chiavi esterno, utilizza l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione o [visualizza la pagina di dettaglio](view-xks-keystore.md) dell'archivio chiavi esterno nella AWS KMS console.
+ Potrebbe esserci un errore di configurazione di rete, ad esempio un errore di porta, nel percorso di rete tra AWS KMS e il proxy dell'archivio chiavi esterno. AWS KMS comunica con il proxy dell'archivio chiavi esterno sulla porta 443 tramite. IPv4 Questo valore non è configurabile.
+ Quando il proxy dell'archivio chiavi esterno segnala (in [GetHealthStatus](keystore-external.md#concept-proxy-apis)risposta) che tutte le istanze del gestore di chiavi esterno lo sono`UNAVAILABLE`, l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione fallisce e restituisce un valore di. `ConnectionErrorCode` `XKS_PROXY_NOT_REACHABLE` Per assistenza, consulta la documentazione del gestore delle chiavi esterne.
+ Questo errore può derivare da una lunga distanza fisica tra il gestore di chiavi esterno e Regione AWS l'archivio chiavi esterno. La latenza del ping (network round-trip time (RTT)) tra il gestore delle chiavi Regione AWS e quello esterno non deve superare i 35 millisecondi. Potrebbe essere necessario creare un archivio di chiavi esterno in un Regione AWS data center più vicino al gestore di chiavi esterno o spostare il gestore di chiavi esterno in un data center più vicino al. Regione AWS


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`oppure`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS ha rifiutato la richiesta perché il proxy dell'archivio delle chiavi esterne non ha risposto in tempo. Riprova la richiesta . Se visualizzi questo errore ripetutamente, segnalalo all'amministratore del proxy dell'archivio delle chiavi esterne. | 

Questo errore può verificarsi per i seguenti motivi:
+ Questo errore può essere causato da una grande distanza fisica tra il gestore delle chiavi esterne e il proxy dell'archivio delle chiavi esterne. Se possibile, avvicina il proxy al gestore delle chiavi esterne.
+ Gli errori di timeout possono verificarsi quando il proxy non è progettato per gestire il volume e la frequenza delle richieste da AWS KMS. Se le tue CloudWatch metriche indicano un problema persistente, avvisa l'amministratore proxy dell'archivio chiavi esterno.
+ Gli errori di timeout possono verificarsi quando la connessione tra il gestore delle chiavi esterne e Amazon VPC per l'archivio delle chiavi esterne non funziona correttamente. Se lo utilizzi AWS Direct Connect, verifica che il tuo VPC e il gestore di chiavi esterno possano comunicare in modo efficace. Per assistenza nella risoluzione di eventuali problemi, consulta [Risoluzione dei problemi AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html) nella Guida per l' Direct Connect utente. 


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`oppure`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Il proxy dell'archivio delle chiavi esterne non ha risposto alla richiesta nel tempo assegnato. Riprova la richiesta . Se visualizzi questo errore ripetutamente, segnalalo all'amministratore del proxy dell'archivio delle chiavi esterne. | 
+ Questo errore può essere causato da una grande distanza fisica tra il gestore delle chiavi esterne e il proxy dell'archivio delle chiavi esterne. Se possibile, avvicina il proxy al gestore delle chiavi esterne.

## Errori delle credenziali di autenticazione
<a name="fix-xks-credentials"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `XksProxyIncorrectAuthenticationCredentialException` (operazioni di gestione diverse da `CreateKey`)

L'utente stabilisce e mantiene una credenziale di autenticazione per AWS KMS il proxy di archiviazione delle chiavi esterno. Quindi, quando AWS KMS crei un archivio di chiavi esterno, indichi i valori delle credenziali. Per modificare le credenziali di autenticazione, esegui questa operazione nel proxy dell'archivio delle chiavi esterne. Quindi [aggiorna le credenziali](update-xks-keystore.md#xks-edit-name) per l'archivio delle chiavi esterne. Se il proxy effettua la rotazione delle credenziali, devi [aggiornarle](update-xks-keystore.md#xks-edit-name). 

Se il proxy dell'archivio delle chiavi esterne non autentica una richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne, l'effetto dipende dalla richiesta:
+ `CreateCustomKeyStore` e `UpdateCustomKeyStore` hanno esito negativo con un'eccezione `XksProxyIncorrectAuthenticationCredentialException`.
+ `ConnectCustomKeyStore` ha esito positivo, ma la connessione fallisce. Lo stato della connessione è `FAILED` e il codice di errore è `INVALID_CREDENTIALS`. Per informazioni dettagliate, vedi [Errori di connessione all'archivio delle chiavi esterne](#fix-xks-connection).
+ Le operazioni crittografiche restituiscono tutti `KMSInvalidStateException` gli errori di configurazione esterni e gli errori dello stato di connessione in un archivio di chiavi esterno. Il messaggio di errore allegato descrive il problema.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non era in grado di autenticare AWS KMS. Verifica le credenziali dell'archivio delle chiavi esterne e aggiornale se necessario.  | 

Questo errore può verificarsi per i seguenti motivi:
+ L'ID della chiave di accesso o la chiave di accesso segreta per l'archivio delle chiavi esterne non corrisponde ai valori stabiliti nel proxy. 

  Per correggere questo errore, [aggiorna le credenziali di autenticazione proxy](update-xks-keystore.md#xks-edit-name) per l'archivio delle chiavi esterne. Puoi apportare questa modifica senza disconnettere l'archivio delle chiavi esterne.
+ Un proxy inverso tra AWS KMS e il proxy dell'archivio di chiavi esterno potrebbe manipolare le intestazioni HTTP in modo da invalidare le firme SigV4. Per correggere questo errore, informa l'amministratore del proxy.

## Errori relativi allo stato delle chiavi
<a name="fix-unavailable-xks-keys"></a>

**Eccezioni**: `KMSInvalidStateException`

`KMSInvalidStateException` viene utilizzato per due scopi distinti per le chiavi KMS negli archivi delle chiavi personalizzate. 
+ Quando un'operazione di gestione, ad esempio `CancelKeyDeletion`, ha esito negativo e restituisce questa eccezione, indica che lo [stato](key-state.md) della chiave KMS non è compatibile con l'operazione.
+ Quando un'[operazione di crittografia](kms-cryptography.md#cryptographic-operations) su una chiave KMS in un archivio delle chiavi personalizzate ha esito negativo e restituisce un'eccezione `KMSInvalidStateException`, può indicare un problema con lo stato della chiave KMS. Tuttavia, le operazioni AWS KMS crittografiche restituiscono tutti gli errori di configurazione esterni e `KMSInvalidStateException` gli errori dello stato di connessione in un archivio di chiavi esterno. Per identificare il problema, utilizza il messaggio di errore che accompagna l'eccezione.

Per trovare lo stato della chiave richiesto per le operazioni di un' AWS KMS API, vedere[Stati chiave delle AWS KMS chiavi](key-state.md). Per trovare lo stato di chiave di una chiave KMS, nella pagina **Chiavi gestite cliente**, visualizza il campo **Stato** della chiave KMS. In alternativa, utilizzate l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione e visualizzate l'`KeyState`elemento nella risposta. Per informazioni dettagliate, vedi [Identifica e visualizza le chiavi](viewing-keys.md).

**Nota**  
Lo stato di una chiave KMS in un archivio delle chiavi esterne non indica lo stato della [chiave esterna](keystore-external.md#concept-external-key) associata. Per informazioni sullo stato della chiave esterna, usa il gestore delle chiavi esterne e gli strumenti del proxy dell'archivio delle chiavi esterne.   
`CustomKeyStoreInvalidStateException` si riferisce allo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne, non allo [stato chiave](key-state.md) di una chiave KMS.

Un'operazione di crittografia su una chiave KMS in un archivio personalizzato potrebbe non riuscire perché lo stato della chiave KMS è `Unavailable` o `PendingDeletion`. (I tasti disattivati restituiscono `DisabledException`).
+ Una chiave KMS ha uno stato `Disabled` chiave solo quando la disabiliti intenzionalmente nella AWS KMS console o utilizzando l'operazione. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Quando una chiave KMS è disabilitata, puoi visualizzare e gestire la chiave, ma non utilizzarla per operazioni di crittografia. Per risolvere il problema, abilita la chiave. Per informazioni dettagliate, vedi [Attivazione e disattivazione delle chiavi](enabling-keys.md).
+ Una chiave KMS ha uno stato chiave `Unavailable` quando l'archivio delle chiavi esterne viene disconnesso dal relativo proxy. Per correggere una chiave KMS non disponibile, [riconnetti l'archivio delle chiavi esterne](xks-connect-disconnect.md). Dopo la riconnessione, per le chiavi KMS nell'archivio delle chiavi esterne viene ripristinato lo stato di chiave precedente, ovvero `Enabled` o `Disabled`.

  Una chiave KMS ha uno stato di chiave `PendingDeletion` quando ne è stata programmata l'eliminazione e si trova nel periodo di attesa. Un errore di stato della chiave su una chiave KMS in attesa di eliminazione indica che la chiave non deve essere eliminata, perché viene utilizzata per la crittografia o è necessaria per la decrittografia. Per riattivare la chiave KMS, annulla l'eliminazione pianificata e [abilita la chiave](enabling-keys.md). Per informazioni dettagliate, vedi [Pianifica l'eliminazione delle chiavi](deleting-keys-scheduling-key-deletion.md).

## Errori di decrittografia
<a name="fix-xks-decrypt"></a>

**Eccezioni**: `KMSInvalidStateException`

Quando un'operazione di [decrittografia](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) con una chiave KMS in un archivio di chiavi esterno non riesce, AWS KMS restituisce lo standard `KMSInvalidStateException` utilizzato dalle operazioni di crittografia per tutti gli errori di configurazione esterni e gli errori dello stato di connessione su un archivio di chiavi esterno. Il messaggio di errore indica il problema.

Per decrittografare un testo criptato con [doppia crittografia](keystore-external.md#concept-double-encryption), il gestore delle chiavi esterne utilizza prima la chiave esterna per decrittografare il livello esterno. Quindi AWS KMS utilizza il materiale AWS KMS chiave contenuto nella chiave KMS per decrittografare lo strato interno del testo cifrato. Un testo criptato non valido o danneggiato può essere rifiutato dal gestore delle chiavi esterne o da AWS KMS.

I seguenti messaggi di errore accompagnano `KMSInvalidStateException` quando la decrittografia ha esito negativo. Indica un problema con il testo criptato o il contesto di crittografia opzionale nella richiesta.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché il testo criptato specificato o i dati autenticati aggiuntivi sono danneggiati, mancanti o non validi. | 
+ Quando il proxy dell'archivio chiavi esterno o il gestore di chiavi esterno segnala che un testo cifrato o il relativo contesto di crittografia non sono validi, in genere indica un problema con il testo cifrato o il contesto di crittografia nella richiesta inviata a. `Decrypt` AWS KMS Per `Decrypt` le operazioni, AWS KMS invia al proxy lo stesso testo cifrato e lo stesso contesto di crittografia che riceve nella richiesta. `Decrypt` 

  Questo errore potrebbe essere causato da un problema di rete in transito, ad esempio un bit capovolto. Riprova la richiesta `Decrypt`. Se il problema persiste, verifica che il testo criptato non sia stato alterato o danneggiato. Inoltre, verifica che il contesto di crittografia nella `Decrypt` richiesta AWS KMS corrisponda al contesto di crittografia nella richiesta che ha crittografato i dati.


|  | 
| --- |
| Il testo criptato o il contesto di crittografia inviato dal proxy dell'archivio delle chiavi esterne per la decrittografia è danneggiato, mancante o non valido. | 
+ Quando AWS KMS rifiuta il testo cifrato ricevuto dal proxy, indica che il gestore delle chiavi o il proxy esterno ha restituito un testo cifrato non valido o danneggiato a. AWS KMS

  Questo errore potrebbe essere causato da un problema di rete in transito, ad esempio un bit capovolto. Riprova la richiesta `Decrypt`. Se il problema persiste, verifica che il gestore di chiavi esterno funzioni correttamente e che il proxy dell'archivio chiavi esterno non alteri il testo cifrato ricevuto dal gestore di chiavi esterno prima di restituirlo. AWS KMS

## Errori relativi alla chiave esterna
<a name="fix-external-key"></a>

Una [chiave esterna](keystore-external.md#concept-external-key) è una chiave crittografica nel gestore delle chiavi esterne che funge da materiale della chiave per una chiave KMS. AWS KMS non è in grado di accedere direttamente alla chiave esterna, ma deve chiedere al gestore delle chiavi esterne (tramite il proxy dell'archivio delle chiavi esterne) di utilizzare la chiave esterna per crittografare i dati o decrittografare un testo criptato.

L'ID della chiave esterna viene specificato nel relativo gestore durante la creazione di una chiave KMS nell'archivio delle chiavi esterne. Non puoi modificare l'ID della chiave esterna dopo la creazione della chiave KMS. Per evitare problemi con la chiave KMS, puoi utilizzare l'operazione `CreateKey` per chiedere al proxy dell'archivio delle chiavi esterne di verificare l'ID e la configurazione della chiave esterna. Se la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione `CreateKey` ha esito negativo con un'eccezione e un messaggio di errore che identifica il problema. 

Tuttavia, possono verificarsi problemi dopo la creazione della chiave KMS. Se un'operazione di crittografia fallisce a causa di un problema con la chiave esterna, l'operazione ha esito negativo e restituisce un'eccezione `KMSInvalidStateException` con un messaggio di errore che indica il problema.

### CreateKey errori per la chiave esterna
<a name="fix-external-key-create"></a>

**Eccezioni**: `XksKeyAlreadyInUseException`, `XksKeyNotFoundException`, `XksKeyInvalidConfigurationException`

L'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione tenta di verificare l'ID e le proprietà della chiave esterna fornita nel parametro **External key ID** (console) o `XksKeyId` (API). Questa procedura è progettata per rilevare gli errori in anticipo prima di provare a utilizzare la chiave esterna con la chiave KMS.

**Chiave esterna in uso** 

Ogni chiave KMS in un archivio delle chiavi esterne deve utilizzare una chiave esterna diversa. Quando `CreateKey` riconosce che l'ID della chiave esterna (XksKeyId) per una chiave KMS non è univoco nell'archivio delle chiavi esterne, fallisce e restituisce un. `XksKeyAlreadyInUseException` 

Se ne usi più di una IDs per la stessa chiave esterna, `CreateKey` non riconoscerà la chiave duplicata. Tuttavia, le chiavi KMS con la stessa chiave esterna non sono interoperabili perché hanno materiali AWS KMS chiave e metadati diversi. 

**Chiave esterna non trovata** 

Quando il proxy dell'archivio chiavi esterno segnala di non riuscire a trovare la chiave esterna utilizzando l'ID della chiave esterna (XksKeyId) per la chiave KMS, l'`CreateKey`operazione fallisce e restituisce il seguente messaggio `XksKeyNotFoundException` di errore.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non riusciva a trovare la chiave esterna. | 

Questo errore può verificarsi per i seguenti motivi:
+ L'ID della chiave esterna (`XksKeyId`) per la chiave KMS potrebbe non essere valido. Per individuare l'ID utilizzato dal proxy dell'archivio delle chiavi esterne per identificare la chiave esterna, consulta la documentazione del proxy o del gestore delle chiavi esterne. 
+ La chiave esterna potrebbe essere stata eliminata dal gestore delle chiavi esterne. Per verificare, utilizza gli strumenti del gestore delle chiavi esterne. Se la chiave esterna viene eliminata definitivamente, usa una chiave esterna diversa con la chiave KMS. Per un elenco dei requisiti per la chiave esterna, consulta [Requisiti per una chiave KMS in un archivio delle chiavi esterne](create-xks-keys.md#xks-key-requirements).

**Requisiti della chiave esterna non soddisfatti**

Quando il proxy dell'archivio delle chiavi esterne segnala che la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione `CreateKey` ha esito negativo e restituisce l'eccezione `XksKeyInvalidConfigurationException` con uno dei seguenti messaggi di errore.


|  | 
| --- |
| La specifica della chiave per la chiave esterna deve essere AES\$1256. La specifica chiave della chiave esterna specificata è. <key-spec> | 
+ La chiave esterna deve essere una chiave crittografica simmetrica a 256 bit con una specifica della chiave AES\$1256. Se la chiave esterna specificata è di tipo diverso, specifica l'ID di una chiave esterna che soddisfi questo requisito. 


|  | 
| --- |
| Lo stato della chiave esterna deve essere ENABLED (ABILITATO). Lo stato della chiave esterna specificata è<status>. | 
+ La chiave esterna deve essere abilitata nel gestore delle chiavi esterne. Se la chiave esterna specificata non è abilitata, utilizza gli strumenti del gestore delle chiavi esterne per abilitarla o specifica una chiave esterna abilitata.


|  | 
| --- |
| L'utilizzo della chiave per la chiave esterna deve includere ENCRYPT e DECRYPT. L'uso chiave della chiave esterna specificata è < key-usage >. | 
+ La chiave esterna deve essere configurata per la crittografia e la decrittografia nel gestore delle chiavi esterne. Se la chiave esterna specificata non include queste operazioni, utilizza gli strumenti del gestore delle chiavi esterne per modificare le operazioni o specifica una chiave esterna diversa.

### Errori relativi alle operazioni di crittografia per la chiave esterna
<a name="fix-external-key-crypto"></a>

**Eccezioni**: `KMSInvalidStateException`

Quando il proxy dell'archivio delle chiavi esterne non riesce a trovare la chiave esterna associata alla chiave KMS o la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione di crittografia ha esito negativo. 

I problemi relativi alla chiave esterna rilevati durante un'operazione di crittografia sono più difficili da risolvere rispetto ai problemi rilevati prima della creazione della chiave KMS. Non puoi modificare l'ID della chiave esterna dopo la creazione della chiave KMS. Se la chiave KMS non ha ancora crittografato alcun dato, puoi eliminare la chiave KMS e crearne una nuova con un ID diverso. Tuttavia, il testo cifrato generato con la chiave KMS non può essere decrittografato da nessun'altra chiave KMS, nemmeno da una con la stessa chiave esterna, poiché le chiavi avranno metadati chiave diversi e materiale chiave diverso. AWS KMS Al contrario, utilizza per quanto possibile gli strumenti del gestore delle chiavi esterne per risolvere il problema con la chiave esterna. 

Quando il proxy dell'archivio delle chiavi esterne segnala un problema con la chiave esterna, le operazioni di crittografia restituiscono l'eccezione `KMSInvalidStateException` con un messaggio di errore che identifica il problema.

**Chiave esterna non trovata**

Quando il proxy dell'archivio di chiavi esterno segnala di non riuscire a trovare la chiave esterna utilizzando l'ID della chiave esterna (XksKeyId) per la chiave KMS, le operazioni crittografiche restituiscono un messaggio di errore con il seguente messaggio di errore. `KMSInvalidStateException` 


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non riusciva a trovare la chiave esterna. | 

Questo errore può verificarsi per i seguenti motivi:
+ L'ID della chiave esterna (`XksKeyId`) per la chiave KMS non è più valido. 

  Per trovare l'ID della chiave esterna associato alla chiave KMS, [visualizza i dettagli della chiave KMS](identify-key-types.md#view-xks-key). Per individuare l'ID utilizzato dal proxy dell'archivio delle chiavi esterne per identificare la chiave esterna, consulta la documentazione del proxy o del gestore delle chiavi esterne.

  AWS KMS verifica l'ID della chiave esterna quando crea una chiave KMS in un archivio di chiavi esterno. Tuttavia, l'ID potrebbe non essere valido, soprattutto se il valore dell'ID della chiave esterna è un alias o un nome modificabile. Non puoi modificare l'ID della chiave esterna associato a una chiave KMS esistente. Per decrittografare un testo criptato generato con la chiave KMS, devi associare nuovamente la chiave esterna all'ID della chiave esterna esistente.

  Se non hai ancora utilizzato la chiave KMS per crittografare i dati, puoi creare una nuova chiave KMS con un ID della chiave esterna valido. Tuttavia, se hai generato un testo criptato con la chiave KMS, non puoi usare nessun'altra chiave KMS per decrittografarlo, anche se utilizza la stessa chiave esterna.
+ La chiave esterna potrebbe essere stata eliminata dal gestore delle chiavi esterne. Per verificare, utilizza gli strumenti del gestore delle chiavi esterne. Se possibile, prova a [recuperare il materiale della chiave](fix-keystore.md#fix-keystore-recover-backing-key) da una copia o da un backup del gestore delle chiavi esterne. Se la chiave esterna viene eliminata definitivamente, qualsiasi testo criptato generato con la chiave KMS associata è irrecuperabile.

**Errori di configurazione della chiave esterna**

Quando il proxy dell'archivio delle chiavi esterne segnala che la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione di crittografia genera l'eccezione `KMSInvalidStateException` con uno dei seguenti messaggi di errore. 


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché la chiave esterna non supporta l'operazione richiesta. | 
+ La chiave esterna deve supportare sia la crittografia che la decrittografia. Se l'utilizzo della chiave non include queste due operazioni, utilizza gli strumenti del gestore delle chiavi esterne per modificarlo.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché la chiave esterna non è abilitata nel gestore delle chiavi esterne. | 
+ La chiave esterna deve essere abilitata e disponibile per l'uso nel gestore delle chiavi esterne. Se lo stato della chiave esterna non è `Enabled`, utilizza gli strumenti del gestore delle chiavi esterne per abilitarlo.

## Problemi relativi al proxy
<a name="fix-xks-proxy"></a>

**Eccezioni:** 

 `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `UnsupportedOperationException`, `XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (operazioni di gestione diverse da `CreateKey`)

Il proxy dell'archivio chiavi esterno media tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno. Traduce AWS KMS le richieste generiche in un formato comprensibile al gestore delle chiavi esterno. Se il proxy dell'archivio chiavi esterno non è conforme alla [specifica dell'API AWS KMS External Key Store Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/), o se non funziona correttamente o non è in grado di comunicare con esso AWS KMS, non sarai in grado di creare o utilizzare le chiavi KMS nel tuo archivio di chiavi esterno. 

Sebbene molti errori menzionino il proxy dell'archivio delle chiavi esterne a causa del suo ruolo fondamentale nell'architettura dell'archivio, tali problemi potrebbero avere origine nel gestore delle chiavi esterne o nella chiave esterna. 

I problemi descritti in questa sezione riguardano errori relativi alla progettazione o al funzionamento del proxy dell'archivio delle chiavi esterne. La risoluzione di questi problemi potrebbe richiedere una modifica al software proxy. Rivolgiti al tuo amministratore proxy. Per aiutarti nell'eseguire la diagnostica dei problemi relativi al proxy, AWS KMS mette a disposizione un [client di test XKS Proxy](https://github.com/aws-samples/aws-kms-xksproxy-test-client), un client open source che verifica la conformità del proxy dell'archivio delle chiavi esterne alla [Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/).


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `XksProxyUriUnreachableException`Il proxy dell'archivio delle chiavi esterne è in uno stato non integro. Se visualizzi questo messaggio ripetutamente, informa l'amministratore del proxy dell'archivio delle chiavi esterne. | 
+ Questo errore può indicare un problema operativo o un errore software nel proxy dell'archivio delle chiavi esterne. Puoi trovare le voci di CloudTrail registro relative all'operazione AWS KMS API che ha generato ogni errore. Questo errore può essere risolto riprovando a eseguire l'operazione. Se persiste, contatta l'amministratore del proxy dell'archivio delle chiavi esterne.
+ Quando il proxy dell'archivio di chiavi esterno segnala (in una [GetHealthStatus](keystore-external.md#concept-proxy-apis)risposta) che tutte le istanze del gestore di chiavi esterno lo sono`UNAVAILABLE`, i tentativi di creare o aggiornare un archivio di chiavi esterno falliscono con questa eccezione. Se l'errore persiste, consulta la documentazione del gestore delle chiavi esterne.


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `XksProxyInvalidResponseException`AWS KMS non è in grado di interpretare la risposta dal proxy dell'archivio chiavi esterno. Se visualizzi questo errore ripetutamente, rivolgiti all'amministratore del proxy dell'archivio delle chiavi esterne. | 
+ AWS KMS le operazioni generano questa eccezione quando il proxy restituisce una risposta indefinita che AWS KMS non può essere analizzata o interpretata. Questo errore può verificarsi occasionalmente a causa di problemi esterni temporanei o errori di rete sporadici. Se l'errore persiste, potrebbe indicare che il proxy dell'archivio delle chiavi esterne non è conforme alla [Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/). Informa l'amministratore o il fornitore dell'archivio delle chiavi esterne.


|  | 
| --- |
|  `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `UnsupportedOperationException` Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta in quanto non supporta l'operazione di crittografia richiesta. | 
+ Il proxy dell'archivio chiavi esterno deve supportare tutti i [proxy APIs](keystore-external.md#concept-proxy-apis) definiti nella specifica dell'[API AWS KMS External Key Store Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/). Questo errore indica che il proxy non supporta l'operazione correlata alla richiesta. Informa l'amministratore o il fornitore dell'archivio delle chiavi esterne.

## Problemi relativi all'autorizzazione proxy
<a name="fix-xks-authorization"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`

Alcuni proxy degli archivi delle chiavi esterne implementano i requisiti di autorizzazione per l'uso delle relative chiavi esterne. Un proxy dell'archivio delle chiavi esterne è consentito, ma non obbligatorio, per progettare e implementare uno schema di autorizzazione che consenta a determinati utenti di richiedere operazioni particolari in determinate condizioni. Ad esempio, un proxy potrebbe consentire a un utente di eseguire la crittografia con una particolare chiave esterna, ma non di effettuare l'operazione inversa. Per ulteriori informazioni, consulta [Autorizzazione proxy dell'archivio delle chiavi esterne (facoltativo)](authorize-xks-key-store.md#xks-proxy-authorization).

L'autorizzazione del proxy si basa sui metadati AWS KMS inclusi nelle sue richieste al proxy. I campi `awsSourceVpc` e `awsSourceVpce` sono inclusi nei metadati solo quando la richiesta proviene da un endpoint VPC e solo quando il chiamante si trova nello stesso account della chiave KMS. 

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Quando il proxy rifiuta una richiesta a causa di un errore di autorizzazione, l' AWS KMS operazione correlata fallisce. `CreateKey`restituisce`CustomKeyStoreInvalidStateException`. AWS KMS le operazioni crittografiche ritornano`KMSInvalidStateException`. Entrambi utilizzano il messaggio di errore seguente:


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha negato l'accesso all'operazione. Verifica che l'utente e la chiave esterna siano autorizzati per questa operazione e riprova a eseguire la richiesta. | 
+ Per risolvere l'errore, utilizza il gestore delle chiavi esterne o gli strumenti del proxy per determinare il motivo per cui l'autorizzazione non è riuscita. Quindi, aggiorna la procedura che ha causato un errore nella richiesta di autorizzazione o utilizza gli strumenti del proxy dell'archivio delle chiavi esterne per aggiornare la policy di autorizzazione. Non puoi risolvere questo errore in AWS KMS.