Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# Archivi delle chiavi esterne
<a name="keystore-external"></a>

Gli archivi di chiavi esterni consentono di proteggere le AWS risorse utilizzando chiavi crittografiche esterne a. AWS Questa funzionalità avanzata è progettata per carichi di lavoro regolamentati che è necessario proteggere con chiavi crittografiche archiviate in un sistema di gestione delle chiavi esterno da te controllato. Gli archivi di chiavi esterni supportano l'[impegno di sovranitàAWS digitale](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) per darti il controllo sovrano sui tuoi dati AWS, inclusa la possibilità di cifrarli con materiale chiave che possiedi e che controlli all'esterno. AWS

Un archivio di *chiavi esterno è un archivio* di [chiavi personalizzato](key-store-overview.md#custom-key-store-overview) supportato da un *gestore di chiavi esterno* che possiedi e gestisci esternamente. AWS Il gestore di chiavi esterno può essere un modulo di sicurezza hardware fisico o virtuale (HSMs) o qualsiasi sistema basato su hardware o software in grado di generare e utilizzare chiavi crittografiche. *Le operazioni di crittografia e decrittografia che utilizzano una chiave KMS in un archivio di chiavi esterno vengono eseguite dal gestore delle chiavi esterno utilizzando il materiale relativo alla chiave crittografica, una funzionalità nota come hold your own keys ().* HYOKs 

AWS KMS non interagisce mai direttamente con il gestore delle chiavi esterno e non può creare, visualizzare, gestire o eliminare le chiavi. AWS KMS Interagisce invece solo con il software proxy di [archiviazione delle chiavi esterno (proxy](#concept-xks-proxy) XKS) fornito dall'utente. Il proxy dell'archivio chiavi esterno media tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno. Trasmette tutte le richieste AWS KMS al gestore delle chiavi esterno e ritrasmette le risposte dal gestore delle chiavi esterno a. AWS KMS Il proxy dell'archivio chiavi esterno traduce anche le richieste generiche AWS KMS in un formato specifico del fornitore comprensibile al gestore delle chiavi esterno, consentendoti di utilizzare archivi di chiavi esterni con gestori di chiavi di diversi fornitori.

Puoi utilizzare le chiavi KMS in un archivio delle chiavi esterne per la crittografia lato client, tra cui [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/). Tuttavia, gli archivi di chiavi esterni sono una risorsa importante per la crittografia lato server, poiché consentono di proteggere più AWS Servizi AWS risorse utilizzando chiavi crittografiche esterne. AWS Servizi AWS che supportano [le chiavi gestite dal cliente](concepts.md#customer-mgn-key) per la crittografia simmetrica supportano anche le chiavi KMS in un archivio di chiavi esterno. Per i dettagli sul supporto del servizio, consulta la sezione [Integrazione del servizio AWS](https://aws.amazon.com/kms/features/#AWS_service_integration).

Gli archivi di chiavi esterni ne consentono l'utilizzo AWS KMS per carichi di lavoro regolamentati in cui le chiavi di crittografia devono essere archiviate e utilizzate all'esterno di. AWS Tuttavia, si discostano notevolmente dal modello standard di responsabilità condivisa e richiedono oneri operativi aggiuntivi. Il rischio maggiore in termini di disponibilità e latenza supererà, per la maggior parte dei clienti, i vantaggi di sicurezza percepiti per gli archivi delle chiavi esterne.

Gli archivi delle chiavi esterne ti consentono di controllare la radice di attendibilità. I dati crittografati con le chiavi KMS dell'archivio delle chiavi esterne possono essere decrittografati solo utilizzando il gestore delle chiavi esterne che è sotto tuo controllo. Se si revoca temporaneamente l'accesso al gestore di chiavi esterno, ad esempio disconnettendo l'archivio chiavi esterno o disconnettendo il gestore di chiavi esterno dal proxy dell'archivio chiavi esterno, AWS perde ogni accesso alle chiavi crittografiche finché non le si ripristina. Durante tale intervallo di tempo, il testo criptato con le chiavi KMS non può essere decifrato. Se revochi definitivamente l'accesso al gestore delle chiavi esterne, tutto il testo criptato con una chiave KMS nell'archivio delle chiavi esterne diventa irrecuperabile. Le uniche eccezioni sono i AWS servizi che memorizzano brevemente nella cache le [chiavi dati protette dalle chiavi KMS](data-keys.md). Queste chiavi dati continuano a funzionare fino alla disattivazione della risorsa o alla scadenza della cache. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

Gli archivi di chiavi esterni sbloccano i pochi casi d'uso per carichi di lavoro regolamentati in cui le chiavi di crittografia devono rimanere esclusivamente sotto il tuo controllo e inaccessibili. AWS Ciò rappresenta un cambiamento importante nel modo in cui gestisci l'infrastruttura basata sul cloud e una modifica sostanziale nel modello di responsabilità condivisa. Per la maggior parte dei carichi di lavoro, gli oneri operativi aggiuntivi e i maggiori rischi associati alla disponibilità e alle prestazioni superano i vantaggi di sicurezza percepiti per gli archivi delle chiavi esterne.



**È necessario un archivio delle chiavi esterne?**

Per la maggior parte degli utenti, l'archivio AWS KMS chiavi predefinito, protetto da [moduli di sicurezza hardware di livello 3 convalidati FIPS 140-3, soddisfa i requisiti di sicurezza](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), controllo e normativi. Gli utenti dell'archivio delle chiavi esterne devono sostenere costi elevati, oneri di manutenzione e risoluzione dei problemi, nonché rischi per latenza, disponibilità e affidabilità.

Quando prendi in considerazione un archivio di chiavi esterno, dedica del tempo alla comprensione delle alternative, tra cui un [archivio AWS CloudHSM chiavi](keystore-cloudhsm.md) supportato da un AWS CloudHSM cluster di tua proprietà e gestione e le chiavi KMS con [materiale chiave importato](importing-keys.md) che generi internamente HSMs e che puoi eliminare dalle chiavi KMS su richiesta. In particolare, l'importazione del materiale della chiave con un intervallo di scadenza molto breve potrebbe fornire un livello di controllo simile senza comportare rischi in termini di prestazioni o disponibilità.

Un archivio delle chiavi esterne potrebbe essere la soluzione ideale per la tua organizzazione se disponi dei requisiti seguenti:
+ Ti viene richiesto di utilizzare chiavi crittografiche nel tuo gestore di chiavi locale o in un gestore di chiavi al di fuori del AWS tuo controllo.
+ Devi dimostrare che le chiavi crittografiche vengono conservate esclusivamente sotto il tuo controllo al di fuori del cloud.
+ Devi crittografare e decrittografare tramite chiavi crittografiche con autorizzazione indipendente.
+ Il materiale chiave deve essere sottoposto a un percorso di audit secondario e indipendente.

Se scegli un archivio delle chiavi esterne, limita il suo utilizzo ai carichi di lavoro che richiedono protezione con chiavi crittografiche al di fuori di AWS.



**Modello di responsabilità condivisa**

Le chiavi KMS standard utilizzano materiale chiave generato e utilizzato in un ambiente di AWS KMS proprietà e HSMs gestione. Stabilisci le politiche di controllo degli accessi sulle tue chiavi KMS e configurale Servizi AWS che utilizzano le chiavi KMS per proteggere le tue risorse. AWS KMS si assume la responsabilità della sicurezza, della disponibilità, della latenza e della durabilità del materiale chiave contenuto nelle chiavi KMS.

Le chiavi KMS negli archivi delle chiavi esterne si basano sul materiale della chiave e sulle operazioni del gestore delle chiavi esterne. Pertanto, l'equilibrio delle responsabilità si sposta a tuo carico. Sei responsabile della sicurezza, dell'affidabilità, della durata e delle prestazioni delle chiavi crittografiche nel tuo gestore di chiavi esterno. AWS KMS è responsabile della risposta tempestiva alle richieste e della comunicazione con il proxy di archiviazione delle chiavi esterno, nonché del mantenimento dei nostri standard di sicurezza. [*Per garantire che ogni chiave esterna memorizzi testo cifrato almeno quanto il testo AWS KMS cifrato standard, AWS KMS prima crittografa tutto il testo in chiaro con il materiale AWS KMS chiave specifico della chiave KMS, quindi lo invia al gestore delle chiavi esterno per la crittografia con la chiave esterna, una procedura nota come doppia crittografia.*](#concept-double-encryption) Di conseguenza, né AWS KMS né il proprietario del materiale della chiave esterna possono decrittografare da soli il testo criptato con doppia crittografia.

Sei responsabile del mantenimento di un gestore di chiavi esterno che soddisfi i tuoi standard normativi e prestazionali, della fornitura e della manutenzione di un proxy dell'archivio di chiavi esterno che sia conforme alla [specifica API del proxy dell'archivio di chiavi esterno AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/) e della garanzia di durabilità e disponibilità del materiale della tua chiave. Devi inoltre creare, configurare e gestire un archivio delle chiavi esterne. Quando si verificano errori causati da componenti gestiti, è necessario essere pronti a identificarli e risolverli in modo che AWS i servizi possano accedere alle risorse senza interruzioni indebite. AWS KMS fornisce [indicazioni sulla risoluzione dei problemi](xks-troubleshooting.md) per aiutarvi a determinare la causa dei problemi e le soluzioni più probabili. 

Esamina le [ CloudWatch metriche e le dimensioni di Amazon](monitoring-cloudwatch.md#kms-metrics) registrate per gli AWS KMS archivi di chiavi esterni. AWS KMS consiglia vivamente di creare CloudWatch allarmi per monitorare l'archivio di chiavi esterno in modo da poter rilevare i primi segnali di problemi prestazionali e operativi prima che si verifichino.

**Cosa sta cambiando?**

Gli archivi delle chiavi esterne supportano solo chiavi KMS di crittografia simmetrica. All'interno AWS KMS, si utilizzano e gestiscono le chiavi KMS in un archivio di chiavi esterno più o meno allo stesso modo in cui si gestiscono le altre [chiavi gestite dai clienti](concepts.md#customer-mgn-key), inclusa [l'impostazione delle politiche di controllo degli accessi](authorize-xks-key-store.md) e il [monitoraggio dell'uso delle chiavi](monitoring-overview.md). Utilizzi lo stesso APIs con gli stessi parametri per richiedere un'operazione crittografica con una chiave KMS in un archivio di chiavi esterno che utilizzi per qualsiasi chiave KMS. Anche i prezzi sono gli stessi delle chiavi KMS standard. [Per i dettagli, consulta la sezione Prezzi[Chiavi KMS negli archivi di chiavi esterni](keystore-external-key-manage.md).AWS Key Management Service](https://aws.amazon.com/kms/pricing/)

Tuttavia, con gli archivi delle chiavi esterne cambiano i seguenti principi:
+ Sei responsabile della disponibilità, della durata e della latenza delle operazioni con le chiavi.
+ Sei responsabile di tutti i costi per lo sviluppo, l'acquisto, il funzionamento e la concessione di licenze per il sistema di gestione delle chiavi esterne.
+ Puoi implementare [l'autorizzazione indipendente](authorize-xks-key-store.md#xks-proxy-authorization) di tutte le richieste inviate AWS KMS al tuo proxy di archiviazione delle chiavi esterno.
+ È possibile monitorare, controllare e registrare tutte le operazioni del proxy dell'archivio chiavi esterno e tutte le operazioni del gestore di chiavi esterno relative alle AWS KMS richieste.

**Da dove iniziare?**

Per creare e gestire un archivio delle chiavi esterne, è necessario [scegliere l'opzione di connettività proxy dell'archivio delle chiavi esterne](choose-xks-connectivity.md), [assemblare i prerequisiti](create-xks-keystore.md#xks-requirements) e infine [creare e configurare l'archivio delle chiavi esterne](create-xks-keystore.md).

**Quote**

AWS KMS consente fino a [10 archivi di chiavi personalizzati](resource-limits.md) in ciascuna Account AWS regione, inclusi archivi di [AWS CloudHSM chiavi e archivi](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) di [chiavi esterni](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), indipendentemente dallo stato della connessione. Inoltre, sono previste quote di richieste AWS KMS sull'[uso delle chiavi KMS in un archivio delle chiavi esterno](requests-per-second.md#rps-key-stores). 

Se scegli la [connettività proxy VPC](#concept-xks-connectivity) per il tuo proxy di archiviazione chiavi esterno, potrebbero esserci anche delle quote sui componenti richiesti, ad esempio sottoreti e sistemi di VPCs bilanciamento del carico di rete. Per ulteriori informazioni su queste quote, utilizza la [console Service Quotas](https://console.aws.amazon.com/servicequotas/home).



**Regioni**

Per ridurre al minimo la latenza di rete, crea i componenti dell'archivio delle chiavi esterne nella Regione AWS più vicina al [gestore delle chiavi esterne](#concept-ekm). Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.

Gli archivi di chiavi esterni sono supportati in tutti i Regioni AWS paesi in cui AWS KMS è supportato ad eccezione della Cina (Pechino) e della Cina (Ningxia). 

**Caratteristiche non supportate**

AWS KMS non supporta le seguenti funzionalità negli archivi di chiavi personalizzati.
+ [Chiavi KMS asimmetriche](symmetric-asymmetric.md)
+ [Chiavi KMS HMAC](hmac.md)
+ [Chiavi KMS con materiale della chiave importato](importing-keys.md)
+ [Rotazione automatica delle chiavi](rotate-keys.md)
+ [Chiavi multi-regione](multi-region-keys-overview.md)

**Ulteriori informazioni:**
+ [Annuncio degli archivi delle chiavi esterne di AWS KMS](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) nel *Blog AWS News*.

## Concetti fondamentali sull'archivio delle chiavi esterne
<a name="xks-concepts"></a>

Scopri i termini e i concetti di base utilizzati negli archivi di chiavi esterni.

### Archivio delle chiavi esterne
<a name="concept-external-key-store"></a>

Un *archivio chiavi esterno* è un [archivio di chiavi AWS KMS personalizzato](key-store-overview.md#custom-key-store-overview) supportato da un gestore di chiavi esterno AWS di tua proprietà e gestione. Ogni chiave KMS in un archivio delle chiavi esterne è associata a una [chiave esterna](#concept-external-key) nel gestore delle chiavi esterne. Quando utilizzi una chiave KMS in un archivio delle chiavi esterne per la crittografia o la decrittografia, l'operazione viene eseguita nel gestore delle chiavi esterne utilizzando la chiave esterna, una funzionalità nota come *HYOK* (Hold Your Own Keys). Questa funzionalità è progettata per le organizzazioni che devono mantenere le chiavi crittografiche nel proprio gestore delle chiavi esterne.

Gli archivi di chiavi esterni assicurano che le chiavi crittografiche e le operazioni che proteggono le AWS risorse rimangano sotto il controllo del gestore delle chiavi esterno. AWS KMS invia richieste al gestore di chiavi esterno per crittografare e decrittografare i dati, ma AWS KMS non può creare, eliminare o gestire chiavi esterne. Tutte le richieste inviate AWS KMS al gestore di chiavi esterno sono mediate da un componente software [proxy di archiviazione chiavi esterno](#concept-xks-proxy) fornito, posseduto e gestito dall'utente. 

AWS i servizi che supportano [le chiavi gestite dai AWS KMS clienti](concepts.md) possono utilizzare le chiavi KMS presenti nell'archivio di chiavi esterno per proteggere i dati. Di conseguenza, i tuoi dati sono infine protetti dalle chiavi utilizzando le operazioni di crittografia nel gestore delle chiavi esterne.

Le chiavi KMS in un archivio delle chiavi esterne presentano modelli di attendibilità, [accordi di responsabilità condivisa](#xks-shared-responsibility) e aspettative prestazionali fondamentalmente diversi rispetto alle chiavi KMS standard. Con gli archivi delle chiavi esterne, sei responsabile della sicurezza e dell'integrità del materiale della chiave e delle operazioni di crittografia. La disponibilità e la latenza delle chiavi KMS in un archivio delle chiavi esterne sono influenzate dall'hardware, dal software, dai componenti di rete e dalla distanza tra AWS KMS e il gestore delle chiavi esterne. È inoltre probabile che vengano sostenuti costi aggiuntivi per il gestore delle chiavi esterno e per l'infrastruttura di rete e bilanciamento del carico necessaria per comunicare con il gestore delle chiavi esterno AWS KMS

Puoi utilizzare l'archivio delle chiavi esterne come parte di una strategia di protezione dei dati più ampia. Per ogni AWS risorsa da proteggere, puoi decidere quali richiedono una chiave KMS in un archivio chiavi esterno e quali possono essere protette da una chiave KMS standard. Ciò ti offre la flessibilità di scegliere le chiavi KMS per classificazioni di dati, applicazioni o progetti specifici.

### Gestore delle chiavi esterne
<a name="concept-ekm"></a>

Un *gestore delle chiavi esterne* è un componente al di fuori di AWS che può generare chiavi simmetriche AES a 256 bit ed eseguire operazioni di crittografia e decrittografia simmetriche. Il gestore delle chiavi esterne per un relativo archivio può essere costituito da un modulo di sicurezza hardware (HSM) fisico, un HSM virtuale o un gestore delle chiavi software con o senza un componente HSM. Può essere posizionato ovunque all'esterno AWS, anche in sede, in un data center locale o remoto o in qualsiasi cloud. L'archivio delle chiavi esterne può essere supportato da un singolo gestore delle chiavi esterne o da più istanze di gestione delle chiavi correlate che condividono chiavi crittografiche, ad esempio un cluster HSM. Gli archivi delle chiavi esterne sono progettati per supportare una varietà di gestori esterni di diversi fornitori. Per informazioni dettagliate sulla connessione al gestore di chiavi esterno, consulta[Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md).

### Chiave esterna
<a name="concept-external-key"></a>

Ogni chiave KMS in un archivio delle chiavi esterne è associata a una chiave crittografica, nota come *chiave esterna*, nel [gestore delle chiavi esterne](#concept-ekm). Quando si esegue la crittografia o la decrittografia con una chiave KMS nell'archivio delle chiavi esterne, l'operazione di crittografia viene eseguita nel [gestore delle chiavi esterne](#concept-ekm) tramite la chiave esterna.

**avvertimento**  
La chiave esterna è essenziale per il funzionamento della chiave KMS. Se la chiave esterna viene persa o eliminata, il testo criptato che è stato crittografato con la chiave KMS associata non è recuperabile.

Per gli archivi delle chiavi esterne, una chiave esterna deve essere una chiave AES a 256 bit abilitata per e in grado di eseguire le operazioni di crittografia e decrittografia. Per maggiori dettagli sui requisiti della chiave esterna, consulta [Requisiti per una chiave KMS in un archivio delle chiavi esterne](create-xks-keys.md#xks-key-requirements).

AWS KMS non può creare, eliminare o gestire chiavi esterne. Il materiale della chiave crittografica resta sempre all'interno del gestore delle chiavi esterne. Quando crei una chiave KMS in un archivio delle chiavi esterne, sei tu a fornire l'ID di una chiave esterna (`XksKeyId`). Non puoi modificare l'ID della chiave esterna associato a una chiave KMS, sebbene il gestore delle chiavi esterne possa ruotare il materiale della chiave associato a tale ID.

Oltre alla chiave esterna, una chiave KMS in un archivio delle chiavi esterne contiene anche il materiale della chiave AWS KMS . I dati protetti dalla chiave KMS vengono crittografati prima AWS KMS utilizzando il materiale AWS KMS chiave, quindi dal gestore delle chiavi esterno utilizzando la chiave esterna. Questo processo di [doppia crittografia](#concept-double-encryption) garantisce che il testo criptato protetto dalla chiave KMS sia sempre perlomeno altrettanto sicuro che il testo criptato protetto solo da AWS KMS. 

Molte chiavi crittografiche presentano diversi tipi di identificatori. Quando crei una chiave KMS in un archivio delle chiavi esterne, fornisci l'ID della chiave esterna che il [proxy dell'archivio delle chiavi esterne](#concept-xks-proxy) utilizza per fare riferimento alla chiave esterna. Se utilizzi l'identificatore sbagliato, il tentativo di creare una chiave KMS nell'archivio delle chiavi esterne ha esito negativo.

### Proxy dell'archivio delle chiavi esterne
<a name="concept-xks-proxy"></a>

Il proxy di *archiviazione delle chiavi esterno («proxy* XKS») è un'applicazione software di proprietà e gestita dal cliente che media tutte le comunicazioni tra e il gestore delle chiavi esterno. AWS KMS Inoltre, traduce le AWS KMS richieste generiche in un formato comprensibile al gestore di chiavi esterno specifico del fornitore. Per un archivio delle chiavi esterne è necessario un relativo proxy. Ogni archivio delle chiavi esterne è associato a un relativo proxy.

![\[Proxy dell'archivio delle chiavi esterne\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-proxy-concept-40.png)


AWS KMS non può creare, eliminare o gestire chiavi esterne. Il materiale delle chiavi crittografiche resta sempre all'interno del gestore delle chiavi. Tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno sono mediate dal proxy dell'archivio chiavi esterno. AWS KMS invia richieste al proxy dell'archivio chiavi esterno e riceve risposte dal proxy dell'archivio chiavi esterno. Il proxy dell'archivio chiavi esterno è responsabile della trasmissione delle richieste dal AWS KMS gestore delle chiavi esterno e della trasmissione delle risposte dal gestore delle chiavi esterno a AWS KMS

Tieni presente che, in quanto proprietario e gestore del proxy dell'archivio delle chiavi esterne, sei responsabile della manutenzione e del funzionamento. È possibile sviluppare un proxy di archiviazione chiavi esterno in base alla [specifica dell'API proxy dell'archivio chiavi esterno](https://github.com/aws/aws-kms-xksproxy-api-spec/) open source che AWS KMS pubblica o acquista un'applicazione proxy da un fornitore. Il proxy dell'archivio delle chiavi esterne potrebbe essere incluso nel gestore delle chiavi esterne. Per supportare lo sviluppo del proxy, fornisce AWS KMS anche un esempio di key store proxy esterno ([aws-kms-xks-proxy](https://github.com/aws-samples/aws-kms-xks-proxy)) e un client di test ([xks-kms-xksproxy-test-client](https://github.com/aws-samples/aws-kms-xksproxy-test-client)) che verifica che il proxy dell'archivio chiavi esterno sia conforme alle specifiche.

Per l'autenticazione AWS KMS, il proxy utilizza certificati TLS lato server. [Per autenticarti sul tuo proxy, AWS KMS firma tutte le richieste al tuo proxy di archiviazione chiavi esterno con una credenziale di autenticazione proxy SigV4.](#concept-xks-credential)

Il proxy dell'archivio di chiavi esterno deve supportare HTTP/1.1 o versione successiva e TLS 1.2 o versione successiva con almeno una delle seguenti suite di crittografia:
+ TLS\$1AES\$1256\$1GCM\$1 (TLS 1.3SHA384 )
+ TLS\$1 \$1 CHACHA20 (POLY1305SHA256 TLS 1.3)
**Nota**  
Non AWS GovCloud (US) Region supporta CHACHA20 TLS\$1 \$1 \$1. POLY1305 SHA256
+ TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 (TLS 1.2SHA384 )
+ TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 (TLS 1.2SHA384 )

Per creare e utilizzare le chiavi KMS nell'archivio delle chiavi esterne, devi innanzitutto [connettere l'archivio delle chiavi esterne](xks-connect-disconnect.md) al relativo proxy. Puoi anche disconnettere l'archivio delle chiavi esterne dal relativo proxy su richiesta. Quando esegui questa operazione, tutte le chiavi KMS nell'archivio delle chiavi esterne diventano [non disponibili](key-state.md), di conseguenza non possono essere utilizzate in alcuna operazione di crittografia.

### Connettività proxy dell'archivio delle chiavi esterne
<a name="concept-xks-connectivity"></a>

La connettività proxy dell'archivio chiavi esterno («connettività proxy XKS») descrive il metodo utilizzato per comunicare con il proxy dell'archivio chiavi esterno. AWS KMS 

Puoi specificare l'opzione di connettività proxy durante la creazione dell'archivio delle chiavi esterne, rendendola così una proprietà di tale archivio. Puoi modificare l'opzione di connettività proxy aggiornando la proprietà dell'archivio delle chiavi personalizzate, tuttavia devi accertarti che il proxy dell'archivio delle chiavi esterne possa comunque accedere alle stesse chiavi esterne.

AWS KMS supporta le seguenti opzioni di connettività.
+ [Connettività pubblica degli endpoint](choose-xks-connectivity.md#xks-connectivity-public-endpoint): AWS KMS invia le richieste per il proxy dell'archivio di chiavi esterno tramite Internet a un endpoint pubblico controllato dall'utente. Questa opzione è semplice da creare e gestire, ma potrebbe non soddisfare i requisiti di sicurezza per ogni installazione.
+ [Connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity): AWS KMS invia le richieste a un servizio endpoint Amazon Virtual Private Cloud (Amazon VPC) creato e gestito da te. Puoi ospitare il proxy dell'archivio chiavi esterno all'interno di Amazon VPC o ospitare il proxy dell'archivio chiavi esterno all'esterno AWS e utilizzare Amazon VPC solo per la comunicazione. Puoi anche connettere il tuo archivio di chiavi esterno a un servizio endpoint Amazon VPC di proprietà di un altro. Account AWS

Per informazioni dettagliate sulle opzioni di connettività proxy dell'archivio delle chiavi esterne, consulta [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md).

### Credenziali di autenticazione al proxy dell'archivio delle chiavi esterne
<a name="concept-xks-credential"></a>

Per autenticarti sul tuo proxy di archivio chiavi esterno, AWS KMS firma tutte le richieste al tuo proxy di archivio chiavi esterno con una credenziale di autenticazione [Signature V4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html). Stabilisci e gestisci la credenziale di autenticazione sul tuo proxy, quindi fornisci questa credenziale quando crei l'archivio esterno. AWS KMS 

**Nota**  
La credenziale SigV4 AWS KMS utilizzata per firmare le richieste al proxy XKS non è correlata alle credenziali SigV4 associate ai principali del tuo. AWS Identity and Access Management Account AWS Non riutilizzare le credenziali SigV4 IAM per il proxy dell'archivio delle chiavi esterne.

Ogni credenziale di autenticazione proxy è costituita da due parti. Devi fornire entrambe le parti durante la creazione di un archivio delle chiavi esterne o l'aggiornamento delle credenziali di autenticazione per l'archivio delle chiavi esterne.
+ ID chiave di accesso: identifica la chiave di accesso segreta. Puoi fornire questo ID come un testo non crittografato.
+ Chiave di accesso segreta: la parte segreta della credenziale. AWS KMS crittografa la chiave di accesso segreta nella credenziale prima di archiviarla.

Puoi [modificare l'impostazione delle credenziali](update-xks-keystore.md) in qualsiasi momento, ad esempio quando inserisci valori errati, quando modifichi le credenziali nel proxy o quando il proxy esegue la rotazione delle credenziali. Per dettagli tecnici sull' AWS KMS autenticazione al proxy dell'archivio chiavi esterno, vedere [Authentication](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/xks_proxy_api_spec.md#authentication) in the AWS KMS External Key Store Proxy Specification.

Per consentirti di ruotare le tue credenziali senza interrompere l' Servizi AWS utilizzo delle chiavi KMS nell'archivio di chiavi esterno, consigliamo che il proxy dell'archivio chiavi esterno supporti almeno due credenziali di autenticazione valide per. AWS KMS Ciò garantisce che le credenziali precedenti continuino a funzionare mentre fornisci le nuove credenziali a AWS KMS.

Per aiutarti a tenere traccia dell'età delle tue credenziali di autenticazione proxy, AWS KMS definisce una CloudWatch metrica Amazon,. [XksProxyCredentialAge](monitoring-cloudwatch.md#metric-xks-proxy-credential-age) Puoi utilizzare questa metrica per creare un CloudWatch allarme che ti avvisa quando l'età delle tue credenziali raggiunge una soglia da te stabilita.

### Proxy APIs
<a name="concept-proxy-apis"></a>

Per supportare un archivio di chiavi AWS KMS esterno, un [proxy di archiviazione chiavi esterno](#concept-xks-proxy) deve implementare il proxy richiesto APIs come descritto nella [specifica dell'API proxy AWS KMS External Key Store](https://github.com/aws/aws-kms-xksproxy-api-spec/). Queste richieste API proxy sono le uniche richieste AWS KMS inviate al proxy. Sebbene non si inviino mai direttamente queste richieste, conoscerle potrebbe aiutarti a risolvere eventuali problemi che potrebbero verificarsi con l'archivio delle chiavi esterne o il relativo proxy. Ad esempio, AWS KMS include informazioni sulla latenza e le percentuali di successo di queste chiamate API nelle [ CloudWatch metriche Amazon](monitoring-cloudwatch.md) per gli archivi di chiavi esterni. Per informazioni dettagliate, vedi [Monitora gli archivi di chiavi esterni](xks-monitoring.md).

La tabella seguente elenca e descrive ogni proxy. APIs Include inoltre le AWS KMS operazioni che attivano una chiamata all'API proxy e tutte le eccezioni AWS KMS operative relative all'API proxy.


| API proxy | Description | Operazioni correlate AWS KMS  | 
| --- | --- | --- | 
| Decrypt | AWS KMS invia il testo cifrato da decrittografare e l'ID della chiave [esterna](#concept-external-key) da utilizzare. L'algoritmo di crittografia richiesto è AES\$1GCM.  | [Decrittografa, [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) | 
| Crittografa | AWS KMS invia i dati da crittografare e l'ID della [chiave esterna](#concept-external-key) da utilizzare. L'algoritmo di crittografia richiesto è AES\$1GCM.  | [Crittografa](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html), [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) | 
| GetHealthStatus | AWS KMS richiede informazioni sullo stato del proxy e sul gestore delle chiavi esterno. Lo stato di ogni gestore delle chiavi esterne può essere uno dei seguenti.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/keystore-external.html) | [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)(per la connettività [degli endpoint pubblici), [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)(per la connettività](choose-xks-connectivity.md#xks-connectivity-public-endpoint) del servizio [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity))Se tutte le istanze del gestore delle chiavi esterne sono `Unavailable`, i tentativi di creare o connettere l'archivio delle chiavi hanno esito negativo con l'eccezione [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-latency). | 
| GetKeyMetadata | AWS KMS richiede informazioni sulla [chiave esterna associata a una chiave](#concept-external-key) KMS nel tuo archivio di chiavi esterno. La risposta include le specifiche della chiave (`AES_256`), il suo l'utilizzo (`[ENCRYPT, DECRYPT]`) e se la chiave esterna è `ENABLED` o `DISABLED`. | [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Se la specifica della chiave non è `AES_256`, se l'utilizzo della chiave non è `[ENCRYPT, DECRYPT]` o lo stato è `DISABLED`, l'operazione `CreateKey` ha esito negativo con l'eccezione `XksKeyInvalidConfigurationException`. | 

### Doppia crittografia
<a name="concept-double-encryption"></a>

I dati crittografati con una chiave KMS in un archivio delle chiavi esterne vengono crittografati due volte. Innanzitutto, AWS KMS crittografa i dati con materiale AWS KMS chiave specifico per la chiave KMS. Quindi, il testo criptato con AWS KMS viene crittografato dal [gestore delle chiavi esterne](#concept-ekm) utilizzando la [chiave esterna](#concept-external-key). Questo processo è noto come *doppia crittografia*.

La doppia crittografia garantisce che i dati crittografati da una chiave KMS in un archivio delle chiavi esterne siano almeno altrettanto sicuri del testo criptato crittografato da una chiave KMS standard. Protegge inoltre il testo in chiaro in transito dal proxy dell' AWS KMS archivio chiavi esterno. Con la doppia crittografia, mantieni il pieno controllo dei tuoi testi criptati. Se revochi definitivamente l'accesso AWS alla chiave esterna tramite il proxy esterno, qualsiasi testo criptato rimasto in AWS viene effettivamente eliminato in modo crittografato.

![\[Doppia crittografia dei dati protetti da una chiave KMS in un archivio delle chiavi esterne\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-double-encrypt-40.png)


Per abilitare la doppia crittografia, ogni chiave KMS in un archivio delle chiavi esterne dispone di *due* materiali della chiave crittografica:
+ Un materiale AWS KMS chiave esclusivo della chiave KMS. Questo materiale chiave viene generato e utilizzato solo nei moduli di sicurezza hardware certificati AWS KMS [FIPS 140-3 Security Level 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs
+ Una [chiave esterna](#concept-external-key) nel gestore delle chiavi esterne.

La doppia crittografia ha i seguenti effetti:
+ AWS KMS non può decrittografare alcun testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno senza accedere alle chiavi esterne tramite il proxy dell'archivio chiavi esterno.
+ Non è possibile decrittografare alcun testo cifrato crittografato da una chiave KMS in un archivio di chiavi esterno a, anche se si dispone del relativo materiale di AWS chiave esterno.
+ Non puoi ricreare una chiave KMS eliminata da un archivio delle chiavi esterne, anche se disponi del relativo materiale della chiave. Ogni chiave KMS presenta metadati univoci inclusi nel testo criptato simmetrico. Una nuova chiave KMS non sarebbe in grado di decrittografare il testo criptato con la chiave originale, anche se utilizza lo stesso materiale della chiave esterna.

Per un esempio pratico di doppia crittografia, consulta [Funzionamento degli archivi delle chiavi esterne](#xks-how-it-works).

## Funzionamento degli archivi delle chiavi esterne
<a name="xks-how-it-works"></a>

L'[archivio delle chiavi esterne](#concept-external-key-store), il [proxy dell'archivio delle chiavi esterne](#concept-xks-proxy) e il [gestore delle chiavi esterne](#concept-ekm) collaborano insieme per proteggere le tue risorse AWS . La procedura seguente descrive il flusso di lavoro di crittografia di un tipico Servizio AWS che esegue la crittografia di ogni oggetto con una chiave dati univoca protetta da una chiave KMS. In questo caso, hai scelto una chiave KMS in un archivio delle chiavi esterne per proteggere l'oggetto. L'esempio mostra come AWS KMS utilizza la [doppia crittografia](#concept-double-encryption) per proteggere la chiave di dati in transito e garantire che il testo cifrato generato da una chiave KMS in un archivio di chiavi esterno sia sempre almeno altrettanto efficace del testo cifrato crittografato da una chiave KMS simmetrica standard contenente materiale chiave. AWS KMS

I metodi di crittografia utilizzati da ogni effettivo che si integra con variano. Servizio AWS AWS KMS Per maggiori dettagli, consulta l'argomento "Protezione dei dati" nel capitolo Sicurezza della documentazione di Servizio AWS .

![\[Funzionamento degli archivi delle chiavi esterne\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-how-it-works-jan26.png)


1. Aggiungi un nuovo oggetto alla tua Servizio AWS risorsa. Per crittografare l'oggetto, Servizio AWS invia una [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)richiesta all' AWS KMS utilizzo di una chiave KMS nell'archivio di chiavi esterno.

1. AWS KMS genera una [chiave dati simmetrica a 256 bit e si prepara a inviare una copia della chiave](data-keys.md) di dati in chiaro al gestore delle chiavi esterno tramite il proxy dell'archivio chiavi esterno. AWS KMS avvia il processo di [doppia crittografia](#concept-double-encryption) crittografando la chiave di dati in chiaro con il [materiale chiave associato alla chiave KMS nell'AWS KMS archivio chiavi esterno](#concept-double-encryption). 

1. AWS KMS invia una richiesta di [crittografia](#concept-proxy-apis) al proxy dell'archivio chiavi esterno associato all'archivio di chiavi esterno. La richiesta include il testo cifrato della chiave dati da crittografare e l'ID della [chiave esterna](#concept-external-key) associata alla chiave KMS. AWS KMS firma la richiesta utilizzando la [credenziale di autenticazione proxy](#concept-xks-credential) per il proxy di archiviazione delle chiavi esterno. 

   La copia non crittografata della chiave dati non viene inviata al proxy dell'archivio delle chiavi esterno.

1. Il proxy dell'archivio delle chiavi esterne autentica la richiesta di crittografia e quindi la trasmette al gestore delle chiavi esterne. 

   Alcuni proxy dell'archivio delle chiavi esterne implementano anche una [policy di autorizzazione](authorize-xks-key-store.md#xks-proxy-authorization) facoltativa che consente solo ai principali selezionati di eseguire operazioni in condizioni specifiche.

1. Il gestore delle chiavi esterne esegue la crittografia del testo criptato della chiave dati utilizzando la chiave esterna specificata e restituisce la chiave dati con doppia crittografia al proxy dell'archivio delle chiavi esterne che a sua volta la restituisce a AWS KMS.

1. AWS KMS restituisce la chiave di dati in testo semplice e la copia con doppia crittografia di tale chiave dati a. Servizio AWS

1.  Servizio AWS utilizza la chiave dati in testo semplice per crittografare l'oggetto risorsa, distrugge la chiave di dati in testo semplice e archivia la chiave dati crittografata con l'oggetto crittografato. 

   Alcuni Servizi AWS potrebbero memorizzare nella cache la chiave di dati in testo semplice da utilizzare per più oggetti o da riutilizzare mentre la risorsa è in uso. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

[Per decrittografare l'oggetto crittografato, è Servizio AWS necessario inviare nuovamente la chiave di dati crittografata a AWS KMS in una richiesta Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Per decrittografare la chiave dati crittografata, è AWS KMS necessario inviare la chiave dati crittografata al proxy dell'archivio chiavi esterno con l'ID della chiave esterna. Se la richiesta di decrittografia al proxy dell'archivio chiavi esterno non riesce per qualsiasi motivo, non AWS KMS può decrittografare la chiave dati crittografata e non può decrittografare l' Servizio AWS oggetto crittografato.

# Controlla l'accesso al tuo archivio di chiavi esterno
<a name="authorize-xks-key-store"></a>

Tutte le funzionalità di controllo degli AWS KMS accessi ([politiche chiave](key-policies.md), [politiche IAM](iam-policies.md) e [concessioni](grants.md)) che utilizzi con le chiavi KMS standard funzionano allo stesso modo per le chiavi KMS in un archivio di chiavi esterno. Puoi utilizzare le policy IAM per controllare l'accesso alle operazioni API che creano e gestiscono archivi delle chiavi esterne. Utilizzi le policy IAM e le policy chiave per controllare l'accesso al tuo archivio AWS KMS keys di chiavi esterno. Puoi anche utilizzare [le policy di controllo del servizio](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) per la tua AWS organizzazione e le [policy degli endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy) per controllare l'accesso alle chiavi KMS nel tuo archivio di chiavi esterno. 

Ti consigliamo di concedere a utenti e ruoli soltanto le autorizzazioni necessarie per le attività che sono supposti eseguire.

**Topics**
+ [Autorizzazione dei gestori dell'archivio delle chiavi esterne](#authorize-xks-managers)
+ [Autorizzazione degli utenti delle chiavi KMS in archivi delle chiavi esterne](#authorize-xks-users)
+ [Autorizzazione AWS KMS alla comunicazione con il proxy dell'archivio chiavi esterno](#allowlist-kms-xks)
+ [Autorizzazione proxy dell'archivio delle chiavi esterne (facoltativo)](#xks-proxy-authorization)
+ [Autenticazione MTLS (obsoleta)](#xks-mtls)

## Autorizzazione dei gestori dell'archivio delle chiavi esterne
<a name="authorize-xks-managers"></a>

I principali che creano e gestiscono un archivio delle chiavi esterne necessitano di autorizzazioni per eseguire le operazioni dell'archivio delle chiavi personalizzate. L'elenco seguente descrive le autorizzazioni minime necessarie per i gestori dell'archivio delle chiavi esterne. Poiché un archivio chiavi personalizzato non è una AWS risorsa, non è possibile fornire l'autorizzazione a un archivio di chiavi esterno per i responsabili di altri. Account AWS
+ `kms:CreateCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:ConnectCustomKeyStore`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `kms:DeleteCustomKeyStore`

Per creare un archivio di chiavi esterno con la [connettività del servizio endpoint Amazon VPC e il servizio](choose-xks-connectivity.md#xks-vpc-connectivity) endpoint VPC è di proprietà di un'altra persona Account AWS, avrai anche bisogno della seguente autorizzazione:
+ `ec2:DescribeVPCEndpointServices`

I principali che creano un archivio delle chiavi esterne devono disporre dell'autorizzazione per creare e configurare i componenti di tale archivio. I principali possono creare archivi delle chiavi esterne solo nei propri account. Per creare un archivio delle chiavi esterne con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), i principali devono disporre dell'autorizzazione per creare i seguenti componenti:
+ Un Amazon VPC
+ Sottoreti pubbliche e private
+ Un Network Load Balancer e un gruppo di destinazione
+ Un servizio endpoint Amazon VPC

Per maggiori dettagli, consulta le sezioni [Identity and access management per Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), [Identity and Access Management per endpoint VPC e servizi endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) e [Autorizzazioni API di Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html).

## Autorizzazione degli utenti delle chiavi KMS in archivi delle chiavi esterne
<a name="authorize-xks-users"></a>

I responsabili che creano e gestiscono AWS KMS keys nel tuo archivio di chiavi esterno richiedono [le stesse autorizzazioni](create-keys.md#create-key-permissions) di coloro che creano e gestiscono qualsiasi chiave KMS. AWS KMS La [policy chiave predefinita](key-policy-default.md) per le chiavi KMS in un archivio delle chiavi esterne è identica alla policy chiave predefinita per le chiavi KMS in AWS KMS. Il [controllo degli accessi basato su attributi](abac.md) (ABAC), che utilizza tag e alias per controllare l'accesso alle chiavi KMS, sono efficaci anche nelle chiavi KMS negli archivi delle chiavi esterne.

I principali che utilizzano le chiavi KMS nell'archivio delle chiavi personalizzate per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore) devono disporre dell'autorizzazione per eseguire l'operazione di crittografia con la chiave KMS, ad esempio [kms:Decrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html). Puoi fornire queste autorizzazioni in una policy IAM o in una policy delle chiavi. I principali non hanno tuttavia bisogno di autorizzazioni supplementari per utilizzare una chiave KMS in un archivio delle chiavi personalizzate.

Per impostare un'autorizzazione che si applica solo alle chiavi KMS in un archivio delle chiavi esterne, utilizza la condizione della policy [`kms:KeyOrigin`](conditions-kms.md#conditions-kms-key-origin) con un valore di `EXTERNAL_KEY_STORE`. Puoi utilizzare questa condizione per limitare l'autorizzazione [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) o qualsiasi CreateKey autorizzazione specifica per una risorsa chiave KMS. Ad esempio, la policy IAM seguente consente all'identità a cui è associata di chiamare le operazioni specificate in tutte le chiavi KMS, a condizione che le chiavi KMS si trovino in un archivio delle chiavi esterne. Nota che puoi limitare l'autorizzazione alle chiavi KMS in un archivio di chiavi esterno e alle chiavi KMS in un archivio di chiavi esterno Account AWS, ma non in un particolare archivio di chiavi esterno nell'account.

```
{
  "Sid": "AllowKeysInExternalKeyStores",
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL_KEY_STORE"
    }
  }
}
```

## Autorizzazione AWS KMS alla comunicazione con il proxy dell'archivio chiavi esterno
<a name="allowlist-kms-xks"></a>

AWS KMS comunica con il gestore delle chiavi esterno solo tramite il [proxy di archiviazione chiavi esterno](keystore-external.md#concept-xks-proxy) fornito dall'utente. AWS KMS si autentica con il proxy firmando le relative richieste utilizzando il [processo Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) con la credenziale di [autenticazione proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-credential) specificata dall'utente. Se si utilizza la [connettività endpoint pubblica](choose-xks-connectivity.md#xks-connectivity-public-endpoint) per il proxy dell'archivio chiavi esterno, AWS KMS non richiede autorizzazioni aggiuntive. 

Tuttavia, se utilizzi la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), devi AWS KMS autorizzare la creazione di un endpoint di interfaccia per il tuo servizio endpoint Amazon VPC. Questa autorizzazione è richiesta indipendentemente dal fatto che il proxy dell'archivio chiavi esterno si trovi nel tuo VPC o che il proxy dell'archivio chiavi esterno si trovi altrove, ma utilizzi il servizio endpoint VPC per comunicare. AWS KMS

 AWS KMS Per consentire la creazione di un endpoint di interfaccia, utilizza la console [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)l'operazione. Consenti le autorizzazioni per il seguente principale: `cks.kms.<region>.amazonaws.com`.

Se il tuo servizio endpoint Amazon VPC è di proprietà di una persona Account AWS diversa da quella Account AWS proprietaria dell'archivio di chiavi esterne (XKS), dovrai anche consentire a XKS l'accesso al servizio endpoint VPC. A tale scopo, [consenti l' Account AWS ID XKS come principale](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) per il servizio endpoint Amazon VPC.

------
#### [ Same Account AWS ]

Se il servizio endpoint VPC è di proprietà dello stesso Account AWS archivio chiavi esterno, è necessario aggiungerlo AWS KMS all'elenco dei **principali indirizzi consentiti per il servizio endpoint** VPC.

L'esempio seguente utilizza il [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI comando per consentire la connessione AWS KMS al servizio endpoint VPC specificato nella regione Stati Uniti occidentali (Oregon) (us-west-2). Prima di utilizzare questo comando, sostituisci l'ID del servizio Amazon VPC Regione AWS con valori validi per la tua configurazione.

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'
```

Per rimuovere questa autorizzazione, usa la [console Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)con il `RemoveAllowedPrincipals` parametro.

------
#### [ Cross Account AWS ]

Quando il servizio endpoint VPC è di proprietà di un altro Account AWS, è necessario aggiungere entrambi AWS KMS e l'archivio chiavi esterno all'elenco dei **principali indirizzi consentiti** per il servizio endpoint VPC.

L'esempio seguente utilizza il [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI comando per consentire a entrambi AWS KMS e all'archivio di chiavi esterno (XKS) di connettersi al servizio endpoint VPC specificato nella regione Stati Uniti occidentali (Oregon) (us-west-2). Prima di utilizzare questo comando, sostituisci l'ID del servizio Amazon VPC e l'ARN Regione AWS principale IAM con valori validi per la tua configurazione. Il principale IAM deve essere sostituito con un principale nel proprietario di XKS. Account AWS

In questo esempio, `arn:aws:iam::123456789012:role/cks_role` è il principale IAM nell'account proprietario XKS, che verrà utilizzato per creare, aggiornare o connettere XKS al servizio endpoint VPC. Se desideri consentire a tutti i principali dell'account proprietario XKS di accedere al tuo servizio endpoint VPC, puoi specificare. `arn:aws:iam::123456789012:root`

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'
```

Per rimuovere questa autorizzazione, usa la [console Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) o [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)con il `RemoveAllowedPrincipals` parametro.

------

## Autorizzazione proxy dell'archivio delle chiavi esterne (facoltativo)
<a name="xks-proxy-authorization"></a>

Alcuni proxy degli archivi delle chiavi esterne implementano i requisiti di autorizzazione per l'uso delle relative chiavi esterne. Un proxy dell'archivio delle chiavi esterne è consentito, ma non obbligatorio, per progettare e implementare uno schema di autorizzazione che consenta a determinati utenti di richiedere determinate operazioni solo in base ad alcune condizioni. Ad esempio, un proxy potrebbe essere configurato per consentire all'utente A di eseguire la crittografia con una particolare chiave esterna, ma non di effettuare l'operazione inversa.

L'autorizzazione proxy è indipendente dall'[autenticazione proxy basata su SigV4 che AWS KMS richiede tutti i proxy](keystore-external.md#concept-xks-credential) di archiviazione chiavi esterni. È inoltre indipendente dalle policy delle chiavi, dalle policy IAM e dalle concessioni che autorizzano l'accesso alle operazioni che riguardano l'archivio delle chiavi esterne o le relative chiavi KMS.

Per abilitare l'autorizzazione da parte del proxy di archiviazione delle chiavi esterno, AWS KMS include i metadati in ogni [richiesta API proxy](keystore-external.md#concept-proxy-apis), tra cui il chiamante, la chiave KMS, l'operazione e (se presente). AWS KMS Servizio AWS I metadati della richiesta per la versione 1 (v1) dell'API proxy dell'archivio delle chiavi esterne sono i seguenti.

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Ad esempio, è possibile configurare il proxy per consentire le richieste provenienti da un particolare principale (`awsPrincipalArn`), ma solo quando la richiesta viene effettuata per conto del principale da un particolare Servizio AWS (). `kmsViaService`

Se l'autorizzazione del proxy fallisce, l' AWS KMS operazione correlata fallisce e viene visualizzato un messaggio che spiega l'errore. Per maggiori dettagli, consulta [Problemi relativi all'autorizzazione proxy](xks-troubleshooting.md#fix-xks-authorization).

## Autenticazione MTLS (obsoleta)
<a name="xks-mtls"></a>

Le versioni precedenti di questa guida menzionavano il *Mutual Transport Layer Security* (mTLS) come meccanismo di autenticazione secondario opzionale da cui autenticare le richieste. AWS KMS Con MTL, entrambe le parti (AWS KMS come client e il proxy XKS come server) che comunicano tramite un canale TLS utilizzano i certificati per l'autenticazione reciproca.

Tuttavia, le modifiche alla [Chrome Root Program Policy (Sezione 4.2.2)](https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-7/#422-pki-hierarchies-included-in-the-chrome-root-store) vietano a un utente root pubblicamente affidabile CAs incluso nel Chrome Root Store di emettere certificati con l'estensione ClientAuth Extended Key Usage (EKU) dopo il 15 giugno 2026. Di conseguenza, non è più AWS KMS possibile ottenere un certificato client adatto per MTL da [Amazon Trust Services](https://www.amazontrust.com/repository/). Qualsiasi proxy XKS utilizzato per creare un nuovo archivio di chiavi esterno AWS KMS dopo il 16 marzo 2026 non deve richiedere MTL. Dopo il 15 giugno 2026, qualsiasi proxy XKS configurato per richiedere MTL non sarà in grado di comunicare con. AWS KMS I clienti devono fare affidamento sull'autenticazione SigV4 per verificare che le richieste provengano da. AWS KMS Per ulteriori informazioni, consulta Credenziale di [autenticazione proxy dell'archivio di chiavi esterne](keystore-external.md#concept-xks-credential).

# Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno
<a name="choose-xks-connectivity"></a>

Prima di creare l'archivio di chiavi esterno, scegli l'opzione di connettività che determina il modo in cui AWS KMS comunica con i componenti dell'archivio chiavi esterno. L'opzione di connettività scelta determina il resto del processo di pianificazione.

Se state creando un archivio di chiavi esterno, dovete determinare in che modo AWS KMS comunica con il proxy dell'[archivio chiavi esterno](keystore-external.md#concept-xks-proxy). Questa scelta determinerà quali componenti sono necessari e come configurarli. AWS KMS supporta le seguenti opzioni di connettività.
+ [Connettività dell'endpoint pubblico](#xks-connectivity-public-endpoint)
+ [Connettività del servizio endpoint VPC](#xks-vpc-connectivity)

Scegli l'opzione che soddisfa gli obiettivi di prestazioni e sicurezza.

Prima di iniziare, [verifica che sia necessario un archivio delle chiavi esterne](keystore-external.md#do-i-need-xks). La maggior parte dei clienti può utilizzare chiavi KMS supportate da materiale AWS KMS chiave.

**Considerazioni**
+ Se il proxy dell'archivio delle chiavi esterne è integrato nel gestore delle chiavi esterne, la connettività potrebbe essere predeterminata. Per informazioni, consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.
+ Puoi [modificare l'opzione di connettività proxy dell'archivio delle chiavi esterne](update-xks-keystore.md) anche su un archivio delle chiavi esterne operativo. Tuttavia, il processo deve essere pianificato ed eseguito con cura per ridurre al minimo le interruzioni, evitare errori e garantire l'accesso continuo alle chiavi crittografiche che crittografano i dati.

## Connettività dell'endpoint pubblico
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS si connette al proxy di archiviazione delle chiavi esterno (proxy XKS) su Internet utilizzando un endpoint pubblico.

Questa opzione di connettività è molto semplice da configurare e gestire e si allinea bene con alcuni modelli di gestione delle chiavi. Tuttavia, potrebbe non soddisfare i requisiti di sicurezza di alcune organizzazioni.

![\[Connettività dell'endpoint pubblico\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**Requisiti**

Se scegli la connettività all'endpoint pubblico, è necessario quanto segue. 
+ Il proxy dell'archivio delle chiavi esterne deve essere raggiungibile da un endpoint indirizzabile pubblicamente. 
+ Puoi utilizzare lo stesso endpoint pubblico per più archivi delle chiavi esterne, a condizione che utilizzino valori diversi per il [percorso URI proxy](create-xks-keystore.md#require-path). 
+ Non è possibile utilizzare lo stesso endpoint per un archivio di chiavi esterno con connettività endpoint pubblica e qualsiasi archivio di chiavi esterno con connettività dei servizi endpoint VPC nello stesso archivio Regione AWS, anche se gli archivi di chiavi si trovano in archivi diversi. Account AWS
+ Devi ottenere un certificato TLS emesso da un'autorità di certificazione pubblica supportata per gli archivi delle chiavi esterne. Per un elenco, consulta [Autorità di certificazione attendibili](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). 

  Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome di dominio nell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) del proxy dell'archivio delle chiavi esterne. Ad esempio, se l'endpoint pubblico è `https://myproxy.xks.example.com` il TLS, il CN sul certificato TLS deve essere `myproxy.xks.example.com` o `*.xks.example.com`.
+ Assicurati che tutti i firewall tra AWS KMS e il proxy dell'archivio di chiavi esterno consentano il traffico da e verso la porta 443 del proxy. AWS KMS comunica sulla porta 443 tramite. IPv4 Questo valore non è configurabile.

Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements).

## Connettività del servizio endpoint VPC
<a name="xks-vpc-connectivity"></a>

AWS KMS si connette al proxy di archiviazione chiavi esterno (proxy XKS) creando un endpoint di interfaccia verso un servizio endpoint Amazon VPC da te creato e configurato. Sei responsabile della [creazione del servizio endpoint VPC](vpc-connectivity.md) e della connessione del VPC al gestore delle chiavi esterne.

Il tuo servizio endpoint può utilizzare qualsiasi opzione [ network-to-AmazonVPC supportata](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) per le comunicazioni, tra cui. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) 

Questa opzione di connettività è più complessa da configurare e gestire. Ma utilizza AWS PrivateLink, il che consente di AWS KMS connettersi privatamente al tuo Amazon VPC e al tuo proxy di archiviazione chiavi esterno senza utilizzare la rete Internet pubblica.

Puoi posizionare il proxy dell'archivio delle chiavi esterne in Amazon VPC.

![\[Connettività del servizio endpoint VPC - proxy XKS nel VPC\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


In alternativa, puoi localizzare il tuo proxy di archiviazione chiavi esterno all'esterno Cloud AWS e utilizzare il servizio endpoint Amazon VPC solo per comunicazioni sicure con. AWS KMS

![\[Connettività del servizio endpoint VPC: proxy XKS esterno a AWS\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


Puoi anche connettere un archivio di chiavi esterno a un servizio endpoint Amazon VPC di proprietà di un altro. Account AWS Entrambi Account AWS necessitano delle [autorizzazioni necessarie](authorize-xks-key-store.md#authorize-xks-managers) per consentire le comunicazioni tra AWS KMS e il servizio endpoint VPC 

**Ulteriori informazioni:**
+ Rivedi il processo di creazione di un archivio delle chiavi esterne, incluso [l'assemblaggio dei prerequisiti](create-xks-keystore.md#xks-requirements). Ti aiuterà a verificare di disporre di tutti i componenti necessari per la creazione dell'archivio delle chiavi esterne.
+ Scopri come [controllare l'accesso all'archivio delle chiavi esterne](authorize-xks-key-store.md), comprese le autorizzazioni richieste dagli amministratori e dagli utenti dell'archivio. 
+ Scopri le [ CloudWatch metriche e le dimensioni di Amazon](monitoring-cloudwatch.md#kms-metrics) registrate per gli AWS KMS archivi di chiavi esterni. Ti consigliamo di creare allarmi per monitorare l'archivio delle chiavi esterne, in modo da poter rilevare fin dal principio eventuali segnali relativi a problemi operativi e prestazionali.

# Configurazione della connettività del servizio endpoint VPC
<a name="vpc-connectivity"></a>

Utilizza le indicazioni in questa sezione per creare e configurare AWS le risorse e i componenti correlati necessari per un archivio di chiavi esterno che utilizza la connettività del servizio [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Le risorse elencate per questa opzione di connettività sono un supplemento alle [risorse necessarie per tutti gli archivi delle chiavi esterne](create-xks-keystore.md#xks-requirements). Dopo aver creato e configurato le risorse necessarie, puoi [creare l'archivio delle chiavi esterne](create-xks-keystore.md).

Puoi localizzare il tuo proxy di archiviazione chiavi esterno nel tuo Amazon VPC o localizzare il proxy all'esterno AWS e utilizzare il servizio di endpoint VPC per la comunicazione.

Prima di iniziare, [verifica che sia necessario un archivio delle chiavi esterne](keystore-external.md#do-i-need-xks). La maggior parte dei clienti può utilizzare chiavi KMS supportate da materiale chiave. AWS KMS 

**Nota**  
Alcuni degli elementi necessari per la connettività del servizio endpoint VPC potrebbero essere inclusi nel gestore delle chiavi esterne. Inoltre, il software potrebbe avere requisiti di configurazione aggiuntivi. Prima di creare e configurare le AWS risorse in questa sezione, consulta la documentazione del proxy e del gestore delle chiavi.

**Topics**
+ [Requisiti per la connettività del servizio endpoint VPC](#xks-vpce-service-requirements)
+ [Fase 1: creazione di un Amazon VPC e delle sottoreti](#xks-create-vpc)
+ [Fase 2: Creare un gruppo target](#xks-target-group)
+ [Fase 3: Creare un sistema di bilanciamento del carico di rete](#xks-nlb)
+ [Fase 4: Creare un servizio endpoint VPC](#xks-vpc-svc)
+ [Fase 5: Verifica il tuo nome di dominio DNS privato](#xks-private-dns)
+ [Fase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC](#xks-vpc-authorize-kms)

## Requisiti per la connettività del servizio endpoint VPC
<a name="xks-vpce-service-requirements"></a>

Se scegli la connettività del servizio endpoint VPC per l'archivio delle chiavi esterne, sono necessarie le seguenti risorse. 
+ Un Amazon VPC collegato al gestore delle chiavi esterne. Deve avere almeno due [sottoreti](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) private in due zone di disponibilità diverse.

  Puoi utilizzare un Amazon VPC esistente, a condizione che [soddisfi i requisiti](#xks-vpc-requirements) per l'utilizzo con un archivio delle chiavi esterne. Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.
+ Un [servizio endpoint Amazon VPC basato su un AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) con un [Network Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) e un [gruppo di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html). 

  Il servizio endpoint non può richiedere l'accettazione. Inoltre, devi aggiungere AWS KMS come principale consentito. Ciò consente di AWS KMS creare endpoint di interfaccia in modo che possa comunicare con il proxy di archiviazione delle chiavi esterno.
+ Un nome DNS privato per il servizio endpoint VPC univoco nella Regione AWS. 

  Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, deve essere un sottodominio di un dominio pubblico come `xks.example.com` o `example.com`.

  Devi [verificare la proprietà](#xks-private-dns) del dominio DNS per il nome DNS privato.
+ Un certificato TLS emesso da un'[autorità di certificazione pubblica supportata](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) per il proxy dell'archivio delle chiavi esterne. 

  Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ Per ridurre al minimo la latenza di rete, create i AWS componenti nel [supporto Regione AWS](keystore-external.md#xks-regions) più vicino al gestore di [chiavi esterno](keystore-external.md#concept-ekm). Se possibile, scegli una regione con un tempo di andata e ritorno (RTT) della rete di 35 millisecondi o meno.

Per informazioni su tutti i requisiti di un archivio delle chiavi esterne, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements).

## Fase 1: creazione di un Amazon VPC e delle sottoreti
<a name="xks-create-vpc"></a>

La connettività del servizio endpoint VPC richiede un Amazon VPC connesso al gestore delle chiavi esterne con almeno due sottoreti private. Puoi creare un Amazon VPC o utilizzarne uno esistente che soddisfi i requisiti per gli archivi delle chiavi esterne. Per informazioni sulla creazione di un nuovo Amazon VPC, consulta [Creazione di un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) nella *Guida per l'utente di Amazon Virtual Private Cloud*.

### Requisiti per Amazon VPC
<a name="xks-vpc-requirements"></a>

Il servizio endpoint Amazon VPC deve avere le seguenti proprietà per funzionare con archivi di chiavi esterni.
+ Deve trovarsi in una [regione supportata](keystore-external.md#xks-regions) come archivio di chiavi esterno.
+ Richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa.
+ L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il [gestore delle chiavi esterne](keystore-external.md#concept-ekm).
+ Tutti i componenti devono essere utilizzati IPv4.

Le opzioni per connettere Amazon VPC al proxy dell'archivio delle chiavi esterne sono molteplici. Scegli un'opzione che soddisfi le tue esigenze di prestazioni e sicurezza. Per un elenco, consulta [Connect your VPC ad altre reti](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) e Opzioni di connettività [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Per ulteriori dettagli, consulta [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) e la [Guida per l'utente di AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).

### Creazione di un Amazon VPC per l'archivio delle chiavi esterne
<a name="xks-vpc-create"></a>

Utilizza le istruzioni seguenti per creare un Amazon VPC per l'archivio delle chiavi esterne. Un Amazon VPC è necessario solo se scegli l'opzione di [connettività del servizio endpoint VPC](choose-xks-connectivity.md). Puoi utilizzare un Amazon VPC esistente, a condizione che soddisfi i requisiti di un archivio delle chiavi esterne.

Segui le istruzioni nell'argomento [Creazione di VPC, sottoreti e altre risorse VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| IPv4 blocco CIDR | Inserisci gli indirizzi IP per il VPC. L'intervallo di indirizzi IP privati di Amazon VPC non deve sovrapporsi all'intervallo di indirizzi IP privati del data center che ospita il [gestore delle chiavi esterne](keystore-external.md#concept-ekm). | 
| Numero di zone di disponibilità () AZs | 2 o più | 
| Numero di sottoreti pubbliche |  Non è necessario indicare alcun valore (0)  | 
| Numero di sottoreti private | Una per ogni zona di disponibilità | 
| Gateway NAT | Non è necessario indicare alcun valore. | 
| Endpoint VPC | Non è necessario indicare alcun valore. | 
| Enable DNS hostnames (Abilita hostname DNS) | Sì | 
| Abilita risoluzione DNS | Sì | 

Assicurati di testare la comunicazione VPC. Ad esempio, se il proxy dell'archivio delle chiavi esterne non si trova nel tuo Amazon VPC, crea un'istanza Amazon EC2 in Amazon VPC e verifica che Amazon VPC sia in grado di comunicare con il proxy dell'archivio delle chiavi esterne.

### Connessione del VPC al gestore delle chiavi esterne
<a name="xks-vpc-to-ekm"></a>

Connetti il VPC al data center che ospita il gestore delle chiavi esterne utilizzando una delle [opzioni di connettività di rete](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) supportate da Amazon VPC. Assicurati che l'istanza Amazon EC2 nel VPC (o il proxy dell'archivio delle chiavi esterne nel caso in cui si trovi nel VPC) sia in grado di comunicare con il data center e il gestore delle chiavi esterne.

## Fase 2: Creare un gruppo target
<a name="xks-target-group"></a>

Prima di creare il servizio endpoint VPC richiesto, crea i componenti necessari, vale a dire un Network Load Balancer e un gruppo di destinazione. Il Network Load Balancer distribuisce le richieste tra più destinazioni integre, ognuna delle quali può soddisfare la richiesta. In questo passaggio, crea un gruppo di destinazione con almeno due host per il proxy dell'archivio delle chiavi esterne e registra gli indirizzi IP con il gruppo di destinazione.

Segui le istruzioni nell'argomento [Configurazione di un gruppo di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| Target type (Tipo di destinazione) | Indcirizzi IP | 
| Protocollo | TCP | 
| Porta |  443  | 
| Tipo di indirizzo IP | IPv4 | 
| VPC | Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne. | 
| Protocollo e percorso di controllo dell'integrità | Il protocollo e il percorso di controllo dell'integrità saranno diversi a seconda della configurazione del proxy dell'archivio delle chiavi esterne. Consulta la documentazione del gestore delle chiavi esterne o del proxy dell'archivio delle chiavi esterne.Per informazioni generali sulla configurazione dei controlli dell'integrità per i gruppi di destinazione, consulta [Controlli dell'integrità per i gruppi di destinazione](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) nella Guida per l'utente di Elastic Load Balancing per Network Load Balancer. | 
| Rete | Altro indirizzo IP privato | 
| IPv4 indirizzo | Gli indirizzi privati del proxy dell'archivio delle chiavi esterne | 
| Porte | 443 | 

## Fase 3: Creare un sistema di bilanciamento del carico di rete
<a name="xks-nlb"></a>

Il Network Load Balancer distribuisce il traffico di rete, comprese le richieste provenienti da AWS KMS al proxy dell'archivio delle chiavi esterne, fino alle destinazioni configurate.

Segui le istruzioni nell'argomento [Configurare un sistema di bilanciamento del carico e un ascoltatore](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) per configurare e aggiungere un ascoltatore e creare un sistema di bilanciamento del carico utilizzando i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| Schema | Interno | 
| Tipo di indirizzo IP | IPv4 | 
| Mappatura della rete |  Scegli il VPC in cui creare il servizio endpoint VPC per l'archivio delle chiavi esterne.  | 
| Mapping | Scegli entrambe le zone di disponibilità (almeno due) configurate per le sottoreti VPC. Verifica i nomi delle sottoreti e l'indirizzo IP privato. | 
| Protocollo | TCP | 
| Porta | 443 | 
| Azione predefinita: Inoltra a | Scegli il [gruppo di destinazione](#xks-target-group) per il Network Load Balancer. | 

## Fase 4: Creare un servizio endpoint VPC
<a name="xks-vpc-svc"></a>

In genere, la creazione di un endpoint è destinata a un servizio. Tuttavia, quando crei un servizio endpoint VPC, sei il fornitore e AWS KMS crei un endpoint per il tuo servizio. Per un archivio delle chiavi esterne, crea un servizio endpoint VPC con il Network Load Balancer creato nel passaggio precedente. Il servizio endpoint VPC può trovarsi nello stesso Account AWS archivio di chiavi esterno o in un altro. Account AWS

Più archivi delle chiavi esterne possono condividere un Amazon VPC, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

Segui le istruzioni nell'argomento [Creazione di un servizio endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) per creare il servizio endpoint VPC con i seguenti valori obbligatori. Per gli altri campi, accetta i valori predefiniti e immetti i nomi come richiesto.


| Campo | Valore | 
| --- | --- | 
| Nuovo tipo di load balancer | Rete | 
| Sistemi di bilanciamento del carico disponibili | Scegli il [Network Load Balancer](#xks-nlb) creato nella fase precedente.Se il nuovo sistema di bilanciamento del carico non compare nell'elenco, verifica che il suo stato sia attivo. Potrebbero essere necessari alcuni minuti prima che lo stato del sistema di bilanciamento del carico passi dal provisioning ad attivo. | 
| Accettazione richiesta | Falso. Deseleziona la casella di controllo.*Non richiedono* l'accettazione. AWS KMS non può connettersi al servizio endpoint VPC senza un'accettazione manuale. Se è richiesta l'accettazione, i tentativi di [creare l'archivio delle chiavi esterne](create-xks-keystore.md) falliscono con un'eccezione `XksProxyInvalidConfigurationException`.  | 
| Abilita nome DNS privato | Associa un nome DNS privato al servizio | 
| Nome DNS privato | Inserisci un nome DNS privato che sia univoco nella Regione AWS. Il nome DNS privato deve essere un sottodominio di un dominio pubblico di livello superiore. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, deve essere un sottodominio di un dominio pubblico come `xks.example.com` o `example.com`.Questo nome DNS privato deve corrispondere al nome comune del soggetto (CN) nel certificato TLS configurato sul proxy dell'archivio delle chiavi esterne. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.Se il certificato e il nome DNS privato non corrispondono, i tentativi di connettere un archivio delle chiavi esterne al relativo proxy hanno esito negativo con un codice di errore di connessione di `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Per informazioni dettagliate, vedi [Errori di configurazione generale](xks-troubleshooting.md#fix-xks-gen-configuration). | 
| Tipi di indirizzo IP supportati | IPv4 | 

## Fase 5: Verifica il tuo nome di dominio DNS privato
<a name="xks-private-dns"></a>

Quando crei il servizio endpoint VPC, lo stato di verifica del dominio è `pendingVerification`. Prima di creare un archivio delle chiavi esterne con il servizio endpoint VPC, tale stato deve essere `verified`. Per verificare di essere il proprietario del dominio associato al nome DNS privato, devi creare un record TXT in un server DNS pubblico.

Ad esempio, se il nome DNS privato per il tuo servizio endpoint VPC `myproxy-private.xks.example.com` è, devi creare un record TXT in un dominio pubblico, ad esempio `example.com` o, a seconda di `xks.example.com` quale sia pubblico. AWS PrivateLink cerca il record TXT prima e poi. `xks.example.com` `example.com`

**Suggerimento**  
Dopo aver aggiunto un record TXT, potrebbero essere necessari alcuni minuti prima che il valore di **Domain verification status** (Stato di verifica del dominio) passi da `pendingVerification` a `verify`.

Per iniziare, individua lo stato di verifica del dominio utilizzando uno dei metodi seguenti. I valori validi sono `verified`, `pendingVerification` e `failed`. 
+ Nella [console Amazon VPC](https://console.aws.amazon.com/vpc), scegli **Endpoint services** (Servizi endpoint), quindi seleziona il servizio endpoint. Nel riquadro dei dettagli, vedi **Domain verification status** (Stato di verifica del dominio).
+ Usa l'[DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)operazione. Il valore `State` si trova nel campo `ServiceConfigurations.PrivateDnsNameConfiguration.State`.

Se lo stato della verifica non è `verified`, segui le istruzioni nell'argomento [Verifica della proprietà del dominio](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) per aggiungere un record TXT al server DNS del dominio e verificare che il record TXT sia pubblicato. Quindi controlla nuovamente lo stato della verifica.

Non è necessario creare un record A per il nome del dominio DNS privato. Quando AWS KMS crea un endpoint di interfaccia per il tuo servizio endpoint VPC AWS PrivateLink , crea automaticamente una zona ospitata con il record A richiesto per il nome di dominio privato nel VPC. AWS KMS Per gli archivi delle chiavi esterne con connettività del servizio endpoint VPC, ciò accade quando [colleghi l'archivio delle chiavi esterne](xks-connect-disconnect.md) al relativo proxy.

## Fase 6: Autorizzazione AWS KMS alla connessione al servizio endpoint VPC
<a name="xks-vpc-authorize-kms"></a>

Consulta le seguenti procedure per gestire le autorizzazioni del servizio endpoint Amazon VPC. Ogni passaggio dipende dalla connettività e dalla configurazione tra l'archivio chiavi esterno, il servizio endpoint VPC e. Account AWS

------
#### [ Same Account AWS ]

Se il servizio endpoint VPC è di proprietà dello stesso Account AWS archivio chiavi esterno, è necessario aggiungerlo AWS KMS all'elenco dei **principali indirizzi consentiti per il servizio endpoint** VPC. Ciò consente di AWS KMS creare endpoint di interfaccia per il servizio endpoint VPC. Se non AWS KMS è un'opzione principale consentita, i tentativi di creare un archivio di chiavi esterno falliranno con un'eccezione. `XksProxyVpcEndpointServiceNotFoundException`

Segui le istruzioni nell'argomento [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) della *Guida di AWS PrivateLink *. Utilizza il seguente valore obbligatorio.


| Campo | Valore | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.goskope.comAd esempio, `cks.kms.us-east-1.amazonaws.com` | 

------
#### [ Cross Account AWS ]

Quando il tuo servizio endpoint VPC è di proprietà di un altro, Account AWS devi aggiungere entrambi AWS KMS e il tuo account all'elenco **Consenti** principali. Ciò consente AWS KMS e al tuo archivio di chiavi esterno di creare endpoint di interfaccia per il tuo servizio endpoint VPC. Se AWS KMS non rappresenta un principale consentito, i tentativi di creare un archivio delle chiavi esterne avranno esito negativo con un'eccezione `XksProxyVpcEndpointServiceNotFoundException`. Dovrai fornire l' Account AWS ARN in cui risiede l'archivio delle chiavi esterno.

Segui le istruzioni nell'argomento [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) della *Guida di AWS PrivateLink *. Utilizza il seguente valore obbligatorio.


| Campo | Valore | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.goskope.comAd esempio, `cks.kms.us-east-1.amazonaws.com` | 
| Account AWS ARN | arn:aws:iam::111122223333:role/role\$1nameAd esempio, `arn:aws:iam::123456789012:role/cks_role` | 

------

**Successivo:** [Creare un archivio di chiavi esterno](create-xks-keystore.md)

# Creare un archivio di chiavi esterno
<a name="create-xks-keystore"></a>

È possibile creare uno o più archivi di chiavi esterni in ciascuna Account AWS regione. Ogni archivio chiavi esterno deve essere associato a un gestore di chiavi esterno a e a un proxy di AWS archiviazione chiavi esterno (proxy XKS) che media la comunicazione tra AWS KMS e il gestore di chiavi esterno. Per informazioni dettagliate, vedi [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md). Prima di iniziare, [verifica che sia necessario un archivio delle chiavi esterne](keystore-external.md#do-i-need-xks). La maggior parte dei clienti può utilizzare chiavi KMS supportate da AWS KMS materiale chiave.

**Suggerimento**  
Alcuni gestori delle chiavi esterne offrono un metodo più semplice per creare un relativo archivio. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Prima di creare l'archivio delle chiavi esterne, devi [assemblare i prerequisiti](#xks-requirements). Durante il processo di creazione, specifica le proprietà dell'archivio delle chiavi esterne. La cosa più importante è indicare se l'archivio chiavi esterno AWS KMS utilizza un [endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o un servizio [endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity) per connettersi al proxy dell'archivio chiavi esterno. È inoltre necessario specificare i dettagli della connessione, incluso l'endpoint URI del proxy e il percorso all'interno di tale endpoint proxy AWS KMS da cui invia le richieste API al proxy. 

**Considerazioni**
+ KMS non può comunicare IPv6 con archivi di chiavi esterni.
+  Se utilizzi la connettività degli endpoint pubblici, assicurati che sia in AWS KMS grado di comunicare con il tuo proxy su Internet utilizzando una connessione HTTPS. Ciò include la configurazione di TLS sul proxy dell'archivio chiavi esterno e la garanzia che tutti i firewall tra AWS KMS e il proxy consentano il IPv4 traffico da e verso la porta 443 del proxy. Durante la creazione di un archivio di chiavi esterno con connettività endpoint pubblica, AWS KMS verifica la connessione inviando una richiesta di stato al proxy dell'archivio chiavi esterno. Questo test verifica che l'endpoint sia raggiungibile e che il proxy accetti una richiesta firmata con le [credenziali di autenticazione proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-credential). Se tale richiesta di test fallisce, l'operazione di creazione dell'archivio delle chiavi esterne ha esito negativo.
+ Se utilizzi la connettività del servizio endpoint VPC, assicurati che il Network Load Balancer, il nome DNS privato e il servizio endpoint VPC siano operativi e configurati correttamente. Se il proxy dell'archivio chiavi esterno non si trova nel VPC, devi assicurarti che il servizio endpoint VPC possa comunicare con il proxy dell'archivio chiavi esterno. (AWS KMS verifica la connettività del servizio endpoint VPC quando si [collega l'archivio chiavi esterno al relativo proxy dell'archivio](xks-connect-disconnect.md) chiavi esterno.)
+ AWS KMS registra i [ CloudWatch parametri e le dimensioni di Amazon](monitoring-cloudwatch.md#kms-metrics), in particolare per gli archivi di chiavi esterni. I grafici di monitoraggio basati su alcune di queste metriche vengono visualizzati nella AWS KMS console per ogni archivio di chiavi esterno. Ti consigliamo vivamente di utilizzare queste metriche per creare allarmi che monitorino il tuo archivio di chiavi esterno. in modo da poter rilevare eventuali segnali relativi a problemi operativi e prestazionali prima che si verifichino. Per istruzioni, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
+ Gli archivi delle chiavi esterne sono soggetti a [quote di risorse](resource-limits.md#cks-resource-quota). L'uso delle chiavi KMS in un archivio delle chiavi esterne è soggetto a [quote di richieste](requests-per-second.md#rps-key-stores). Esamina queste quote prima di progettare l'implementazione dell'archivio delle chiavi esterne. 

**Nota**  
Rivedi la tua configurazione per verificare eventuali dipendenze circolari che potrebbero impedirne il funzionamento.  
Ad esempio, se crei il proxy dell'archivio chiavi esterno utilizzando AWS risorse, assicurati che il funzionamento del proxy non richieda la disponibilità di una chiave KMS in un archivio di chiavi esterno a cui si accede tramite quel proxy.

Tutti i nuovi archivi delle chiavi esterne vengono creati in uno stato disconnesso. Prima di poter creare chiavi KMS nell'archivio delle chiavi esterne, devi [collegarlo](about-xks-connecting.md) al relativo proxy. Per modificare le proprietà dell'archivio delle chiavi esterne, [modifica le impostazioni](update-xks-keystore.md).

**Topics**
+ [Assemblare i prerequisiti](#xks-requirements)
+ [Crea un nuovo archivio di chiavi esterno](#create-xks)

## Assemblare i prerequisiti
<a name="xks-requirements"></a>

Prima di creare un archivio chiavi esterno, è necessario assemblare i componenti richiesti, incluso il [gestore di chiavi esterno](keystore-external.md#concept-ekm) che verrà utilizzato per supportare l'archivio chiavi esterno e il [proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-proxy) che traduce AWS KMS le richieste in un formato comprensibile al gestore di chiavi esterno. 

I seguenti componenti sono necessari per tutti gli archivi delle chiavi esterne. Oltre a questi elementi, devi fornire anche i componenti necessari per supportare l'[opzione di connettività proxy dell'archivio delle chiavi esterne](choose-xks-connectivity.md) scelta.

**Suggerimento**  
Il gestore delle chiavi esterne potrebbe includere alcuni di questi componenti oppure potrebbero essere configurati automaticamente. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.  
[Se state creando l'archivio di chiavi esterno nella AWS KMS console, avete la possibilità di caricare un [file di configurazione proxy basato su JSON che specifica il percorso URI del proxy](#proxy-configuration-file)[e le credenziali di autenticazione del proxy](#require-path).](keystore-external.md#concept-xks-credential) Alcuni proxy dell'archivio delle chiavi esterne generano automaticamente questo file. Per maggiori dettagli, consulta la documentazione relativa al proxy dell'archivio delle chiavi esterne o al gestore delle chiavi esterne.

### Gestore delle chiavi esterne
<a name="require-ekm"></a>

Ogni archivio delle chiavi esterne richiede almeno un'istanza [del gestore delle chiavi esterne](keystore-external.md#concept-ekm). Può trattarsi di un modulo di sicurezza hardware (HSM) fisico o virtuale o di un software di gestione delle chiavi.

Sebbene sia possibile utilizzare un unico gestore delle chiavi, ti consigliamo di impiegare almeno due istanze correlate che condividono chiavi crittografiche per motivi di ridondanza. L'archivio delle chiavi esterne non richiede l'uso esclusivo del gestore delle chiavi esterne. Tuttavia, il gestore delle chiavi esterno deve avere la capacità di gestire la frequenza prevista delle richieste di crittografia e decrittografia provenienti dai AWS servizi che utilizzano le chiavi KMS nell'archivio di chiavi esterno per proteggere le risorse. Il gestore delle chiavi esterne deve essere configurato per gestire fino a 1.800 richieste al secondo e per rispondere a ciascuna richiesta entro il timeout di 250 millisecondi. Ti consigliamo di posizionare il gestore delle chiavi esterno vicino a un in Regione AWS modo che il tempo di andata e ritorno della rete (RTT) sia pari o inferiore a 35 millisecondi.

Se il proxy dell'archivio delle chiavi esterne lo consente, puoi modificare il gestore delle chiavi esterne associato al proxy, tuttavia il nuovo gestore deve essere un backup o uno snapshot con lo stesso materiale della chiave. Se la chiave esterna associata a una chiave KMS non è più disponibile per il proxy dell'archivio chiavi esterno, non è AWS KMS possibile decrittografare il testo cifrato crittografato con la chiave KMS.

Il gestore delle chiavi esterne deve essere accessibile al proxy dell'archivio delle chiavi esterne. Se la [GetHealthStatus](keystore-external.md#xks-concepts)risposta del proxy riporta che tutte le istanze del gestore di chiavi esterno lo sono`Unavailable`, tutti i tentativi di creare un archivio di chiavi esterno falliscono con un. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-proxy) 

### Proxy dell'archivio delle chiavi esterne
<a name="require-proxy"></a>

Devi specificare un [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy) (proxy XKS) conforme ai requisiti di progettazione della [Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/). È possibile sviluppare o acquistare un proxy di archiviazione chiavi esterno oppure utilizzare un proxy di archiviazione chiavi esterno fornito o integrato nel gestore di chiavi esterno. AWS KMS consiglia di configurare il proxy di archiviazione delle chiavi esterno per gestire fino a 1800 richieste al secondo e rispondere entro il timeout di 250 millisecondi per ogni richiesta. Si consiglia di posizionare il gestore delle chiavi esterno vicino a un in Regione AWS modo che il tempo di andata e ritorno della rete (RTT) sia pari o inferiore a 35 millisecondi.

Puoi utilizzare un proxy dell'archivio delle chiavi esterne per più archivi, ma ogni archivio deve disporre di un endpoint URI univoco e di un percorso all'interno del proxy dell'archivio delle chiavi esterne per le relative richieste.

Se utilizzi la connettività del servizio endpoint VPC, puoi collocare il proxy dell'archivio delle chiavi esterne in Amazon VPC, ma ciò non è necessario. Puoi localizzare il proxy all'esterno AWS, ad esempio nel tuo data center privato, e utilizzare il servizio endpoint VPC solo per comunicare con il proxy. 

### Credenziali di autenticazione proxy
<a name="require-credential"></a>

Per creare un archivio delle chiavi esterne, devi specificare le credenziali di autenticazione proxy dell'archivio (`XksProxyAuthenticationCredential`). 

È necessario stabilire una [credenziale di autenticazione](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) per AWS KMS il proxy dell'archivio chiavi esterno. AWS KMS si autentica sul proxy firmando le relative richieste utilizzando il [processo Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) con la credenziale di autenticazione proxy del key store esterno. Puoi specificare le credenziali di autenticazione durante la creazione dell'archivio delle chiavi esterne e [modificarle](update-xks-keystore.md) in qualsiasi momento. Se il proxy effettua la rotazione delle credenziali, assicurati di aggiornare i valori delle credenziali per l'archivio delle chiavi esterne.

Le credenziali di autenticazione proxy sono composte da due parti. Per l'archivio delle chiavi esterne, devi fornire entrambe.
+ ID chiave di accesso: identifica la chiave di accesso segreta. Puoi fornire questo ID come testo non crittografato.
+ Chiave di accesso segreta: la parte segreta della credenziale. AWS KMS crittografa la chiave di accesso segreta nella credenziale prima di archiviarla.

Le credenziali SigV4 AWS KMS utilizzate per firmare le richieste al proxy dell'archivio chiavi esterno non sono correlate alle credenziali SigV4 associate ai principali degli account. AWS Identity and Access Management AWS Non riutilizzare le credenziali SigV4 IAM per il proxy dell'archivio delle chiavi esterne.

### Connettività proxy
<a name="require-connectivity"></a>

Per creare un archivio delle chiavi esterne, devi specificare l'opzione di connettività proxy (`XksProxyConnectivity`).

AWS KMS può comunicare con il tuo proxy di archiviazione delle chiavi esterno utilizzando un [endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o un servizio endpoint [Amazon Virtual Private Cloud (Amazon VPC)](choose-xks-connectivity.md#xks-vpc-connectivity). Sebbene un endpoint pubblico sia più semplice da configurare e gestire, potrebbe non soddisfare i requisiti di sicurezza per ogni installazione. Se scegli l'opzione di connettività del servizio endpoint Amazon VPC, devi creare e gestire i componenti richiesti, tra cui un Amazon VPC con almeno due sottoreti in due diverse zone di disponibilità, un servizio endpoint VPC con un Network Load Balancer e un gruppo di destinazione e un nome DNS privato per il servizio endpoint VPC.

Puoi [modificare l'opzione di connettività proxy](update-xks-keystore.md) dell'archivio delle chiavi esterne. Tuttavia, devi assicurarti che il materiale della chiave associato alle chiavi KMS sia sempre disponibile nell'archivio. Altrimenti, AWS KMS non può decrittografare alcun testo cifrato crittografato con tali chiavi KMS.

Per informazioni relative all'opzione di connettività proxy migliore per l'archivio delle chiavi esterne, consulta [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md). Per informazioni sulla creazione e sulla configurazione della connettività del servizio endpoint VPC, consulta [Configurazione della connettività del servizio endpoint VPC](vpc-connectivity.md).

### Endpoint dell'URI proxy
<a name="require-endpoint"></a>

Per creare un archivio di chiavi esterno, è necessario specificare l'endpoint (`XksProxyUriEndpoint`) da AWS KMS utilizzare per inviare le richieste al proxy dell'archivio chiavi esterno. 

Il protocollo deve essere HTTPS. AWS KMS comunica IPv4 sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.
+ [Connettività dell'endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint): specifica l'endpoint disponibile per il proxy dell'archivio delle chiavi esterne. Tale endpoint deve essere raggiungibile prima di creare l'archivio delle chiavi esterne. 
+ [Connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity): specifica `https://` seguito dal nome DNS privato del servizio endpoint VPC.

Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve corrispondere al nome di dominio nell'endpoint URI proxy ed essere emesso da un'autorità di certificazione supportata per gli archivi delle chiavi esterne. Per un elenco, consulta [Autorità di certificazione attendibili](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). L'autorità di certificazione richiederà una prova della proprietà del dominio prima di emettere il certificato TLS. 

Il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato. Ad esempio, se il nome DNS privato è `myproxy-private.xks.example.com`, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.

Puoi [modificare l'endpoint dell'URI proxy](update-xks-keystore.md), tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. Altrimenti, AWS KMS non può decrittografare alcun testo cifrato crittografato con quelle chiavi KMS.

**Requisiti di unicità**
+ Il valore combinato di endpoint dell'URI proxy (`XksProxyUriEndpoint`) e percorso URI proxy (`XksProxyUriPath`) deve essere univoco nel tuo Account AWS e nella regione.
+ Gli archivi delle chiavi esterne con connettività dell'endpoint pubblico possono condividere lo stesso endpoint URI proxy, a condizione che abbiano valori diversi per il percorso URI proxy.
+ Un archivio di chiavi esterno con connettività endpoint pubblica non può utilizzare lo stesso valore di endpoint URI proxy di qualsiasi archivio di chiavi esterno con connettività dei servizi endpoint VPC nello stesso archivio Regione AWS, anche se gli archivi di chiavi si trovano in archivi diversi. Account AWS
+  Ogni archivio delle chiavi esterne con connettività all'endpoint VPC deve avere il proprio nome DNS privato. L'endpoint URI proxy (nome DNS privato) deve essere univoco nella regione and. Account AWS 

### Percorso URI proxy
<a name="require-path"></a>

Per creare un archivio di chiavi esterno, è necessario specificare il percorso di base del proxy di archiviazione delle chiavi esterno fino al proxy [richiesto](keystore-external.md#concept-proxy-apis). APIs Il valore deve iniziare con `/` e deve terminare con/kms/xks/v1, dove `v1` rappresenta la versione dell' AWS KMS API per il proxy dell'archivio di chiavi esterno. Questo percorso può includere un prefisso facoltativo tra gli elementi richiesti, ad esempio `/example-prefix/kms/xks/v1`. Per trovare questo valore, consulta la documentazione del proxy dell'archivio delle chiavi esterne.

AWS KMS invia le richieste proxy all'indirizzo specificato dalla concatenazione dell'endpoint URI del proxy e del percorso URI del proxy. Ad esempio, se l'endpoint URI del proxy è `https://myproxy.xks.example.com` e il percorso URI del proxy è`/kms/xks/v1`, AWS KMS invia le relative richieste API proxy a. `https://myproxy.xks.example.com/kms/xks/v1` 

Puoi [modificare il percorso URI proxy](update-xks-keystore.md), tuttavia devi assicurarti che il proxy dell'archivio delle chiavi esterne abbia accesso al materiale della chiave associato alle chiavi KMS nell'archivio. In caso contrario, AWS KMS non è possibile decrittografare alcun testo cifrato crittografato con tali chiavi KMS.

**Requisiti di unicità**
+ Il valore combinato di endpoint dell'URI proxy (`XksProxyUriEndpoint`) e percorso URI proxy (`XksProxyUriPath`) deve essere univoco nel tuo Account AWS e nella regione. 

### Servizio endpoint VPC
<a name="require-vpc-service-name"></a>

Specifica il nome del servizio endpoint Amazon VPC utilizzato per comunicare con il proxy dell'archivio delle chiavi esterne. Questo componente è richiesto solo per gli archivi delle chiavi esterne che utilizzano la connettività del servizio endpoint VPC. Per informazioni sull'impostazione e sulla configurazione del servizio endpoint VPC per un archivio delle chiavi esterne, consulta [Configurazione della connettività del servizio endpoint VPC](vpc-connectivity.md).

Il servizio endpoint VPC deve avere le seguenti proprietà:
+ Il servizio endpoint VPC può risiedere nello stesso o in un altro Account AWS archivio di chiavi esterno.
  + Il servizio endpoint VPC deve risiedere nello stesso archivio delle chiavi Regione AWS esterno.
  + Dovrai fornire l' Account AWS ID del servizio endpoint VPC se si trova in un altro. Account AWS
+ Deve avere un Network Load Balancer (NLB) connesso ad almeno due sottoreti, ognuna in una zona di disponibilità diversa.
+ L'*elenco dei principali consentiti* per il servizio endpoint VPC deve includere AWS KMS l'entità del servizio per la regione`cks.kms.<region>.amazonaws.com`:, ad esempio. `cks.kms.us-east-1.amazonaws.com`
  + Se il tuo servizio endpoint Amazon VPC è di proprietà di una persona Account AWS diversa da quella Account AWS proprietaria dell'archivio di chiavi esterne (XKS), dovrai anche consentire a XKS l'accesso al servizio endpoint VPC. A tale scopo, [consenti l' Account AWS ID XKS come principale](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) per il servizio endpoint Amazon VPC.
+ Non deve richiedere l'accettazione delle richieste di connessione. 
+ Deve avere un nome DNS privato all'interno di un dominio pubblico di livello superiore. Ad esempio, potresti avere un nome DNS privato myproxy-private.xks.example.com nel dominio `xks.example.com` pubblico.

  Il nome DNS privato per un archivio delle chiavi esterne con connettività del servizio endpoint VPC deve essere univoco nella Regione AWS.
+ Lo [stato di verifica del dominio](vpc-connectivity.md#xks-private-dns) per il dominio del nome DNS privato deve essere `verified`. 
+ Il certificato del server TLS configurato sul proxy dell'archivio delle chiavi esterne deve indicare il nome host DNS privato in cui l'endpoint è raggiungibile.

**Requisiti di unicità**
+ Gli archivi delle chiavi esterne con connettività all'endpoint VPC possono condividere un `Amazon VPC`, ma ogni archivio deve avere il proprio servizio endpoint VPC e il proprio nome DNS privato.

### File di configurazione proxy
<a name="proxy-configuration-file"></a>

Un *file di configurazione proxy* è un file facoltativo basato su JSON che contiene valori per le proprietà del [percorso URI proxy](#require-path) e delle [credenziali di autenticazione proxy](#require-credential) dell'archivio delle chiavi esterne. Quando crei o [modifichi un archivio delle chiavi esterne](update-xks-keystore.md) nella console AWS KMS , puoi caricare un file di configurazione proxy per fornire i valori di configurazione dell'archivio. L'utilizzo di questo file consente di evitare errori correlati alle operazioni di digitazione e di copia e incolla, garantendo che i valori nell'archivio delle chiavi esterne corrispondano ai valori del relativo proxy. 

I file di configurazione proxy vengono generati dal proxy dell'archivio delle chiavi esterne. Per scoprire se il proxy dell'archivio delle chiavi esterne offre un file di configurazione proxy, consulta la relativa documentazione.

Di seguito è riportato un esempio di un file di configurazione proxy ben formato con valori fittizi.

```
{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}
```

Puoi caricare un file di configurazione del proxy solo quando crei o modifichi un archivio di chiavi esterno nella console. AWS KMS Non è possibile utilizzarlo con le [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazioni [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)o, ma è possibile utilizzare i valori nel file di configurazione del proxy per assicurarsi che i valori dei parametri siano corretti.

## Crea un nuovo archivio di chiavi esterno
<a name="create-xks"></a>

Dopo aver assemblato i prerequisiti necessari, è possibile creare un nuovo archivio di chiavi esterno nella AWS KMS console o utilizzando l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="create-keystore-console"></a>

Prima di creare un archivio di chiavi esterno, [scegli il tipo di connettività proxy](choose-xks-connectivity.md) e assicurati di aver creato e configurato tutti i [componenti richiesti](#xks-requirements). Se hai bisogno di aiuto per trovare uno dei valori richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

**Nota**  
Quando crei un archivio di chiavi esterno in Console di gestione AWS, puoi caricare un *file di configurazione proxy* basato su JSON con i valori per il [percorso URI del proxy](#require-path) e le credenziali di [autenticazione del proxy](#require-credential). Alcuni proxy generano automaticamente questo file, ma non è obbligatorio.

1. [Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su /kms. https://console.aws.amazon.com](https://console.aws.amazon.com/kms)

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli **Create external key store** (Crea archivio delle chiavi esterne).

1. Immetti un nome descrittivo per l'archivio delle chiavi esterne. Il nome deve essere univoco tra tutti gli archivi delle chiavi esterne nel tuo account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei log e in altri output. CloudTrail 

1. Scegli il tipo di [connettività proxy](#require-connectivity). 

   La scelta della connettività proxy determina i [componenti necessari](#xks-requirements) per il proxy dell'archivio delle chiavi esterne. Per assistenza durante la scelta, consulta [Scegli un'opzione di connettività proxy per l'archivio di chiavi esterno](choose-xks-connectivity.md).

   1. Seleziona Servizio **endpoint VPC per più account se il tuo servizio endpoint** VPC risiede in un altro. Account AWS Quindi inserisci l' Account AWS ID del proprietario dell'endpoint VPC nel campo ID account proprietario del servizio **endpoint VPC**.

   1. Scegli o inserisci il nome del [servizio endpoint VPC](#require-vpc-service-name) per questo archivio delle chiavi esterne. Questo passaggio viene visualizzato solo quando il tipo di connettività proxy dell'archivio chiavi esterno è il servizio **endpoint VPC**.

      Il servizio endpoint VPC e il suo VPCs devono soddisfare i requisiti per un archivio di chiavi esterno. Per informazioni dettagliate, vedi [Assemblare i prerequisiti](#xks-requirements).

1. Scegli o inserisci il nome del [servizio endpoint VPC](#require-vpc-service-name) per questo archivio delle chiavi esterne. Questo passaggio viene visualizzato solo quando il tipo di connettività proxy è **servizio endpoint VPC**.

   Il servizio endpoint VPC e il suo VPCs devono soddisfare i requisiti per un archivio di chiavi esterno. Per informazioni dettagliate, vedi [Assemblare i prerequisiti](#xks-requirements).

1. Inserisci l'[endpoint URI proxy](#require-endpoint). Il protocollo deve essere HTTPS. AWS KMS comunica IPv4 sulla porta 443. Non specificare la porta nel valore dell'endpoint URI proxy.

   Se AWS KMS riconosce il servizio endpoint VPC specificato nel passaggio precedente, completa questo campo per te.

   Per la connettività dell'endpoint pubblico, inserisci un URI endpoint disponibile pubblicamente. Per la connettività dell'endpoint VPC, inserisci `https://` seguito dal nome DNS privato del servizio endpoint VPC.

1. Per inserire i valori relativi al prefisso del [percorso URI proxy](#require-path) e le [credenziali di autenticazione proxy](#require-credential), carica un file di configurazione proxy o inserisci i valori manualmente.
   + Se disponi di un [file di configurazione proxy](#proxy-configuration-file) facoltativo che contiene i valori del [percorso URI proxy](#require-path.title) e delle [credenziali di autenticazione proxy](#require-credential), scegli **Upload configuration file** (Carica file di configurazione). Segui le istruzioni per caricare il file.

     Quando il file viene caricato, la console visualizza i valori del file in campi modificabili. Puoi modificare i valori in questo momento o [modificarli](update-xks-keystore.md) dopo la creazione dell'archivio delle chiavi esterne.

     Per visualizzare il valore della chiave di accesso segreta, scegli **Show secret access key** (Mostra chiave di accesso segreta).
   + Se non hai a disposizione un file di configurazione proxy, puoi inserire manualmente i valori del percorso URI proxy e delle credenziali di autenticazione proxy.

     1. Se non disponi di un file di configurazione proxy, puoi inserire l'URI proxy manualmente. **La console fornisce il valore/1 richiesto. kms/xks/v** 

        Se il [percorso URI proxy](#require-path) comprende un prefisso facoltativo, ad esempio `example-prefix` in `/example-prefix/kms/xks/v1`, inseriscilo nel campo **Proxy URI path prefix** (Prefisso del percorso URI proxy). In caso contrario, lascia vuoto il campo.

     1. Se non disponi di un file di configurazione proxy, puoi inserire le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) manualmente. Sono necessari sia l'ID chiave di accesso che la chiave di accesso segreta.
        + In **Proxy credential: Access key ID** (Credenziali proxy: ID chiave di accesso), inserisci l'ID chiave di accesso delle credenziali di autenticazione proxy. L'ID della chiave di accesso identifica la chiave di accesso segreta. 
        + In **Proxy credential: Secret access key** (Credenziali proxy: chiave di accesso segreta), inserisci la chiave di accesso segreta delle credenziali di autenticazione proxy.

        Per visualizzare il valore della chiave di accesso segreta, scegli **Show secret access key** (Mostra chiave di accesso segreta).

        Questa procedura non imposta o modifica le credenziali di autenticazione stabilite sul proxy dell'archivio delle chiavi esterne, ma associa semplicemente tali valori all'archivio. Per informazioni sull'impostazione, la modifica e la rotazione delle credenziali di autenticazione proxy, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi. 

        Se le credenziali di autenticazione proxy cambiano, [modifica l'impostazione delle credenziali](update-xks-keystore.md) per l'archivio delle chiavi esterne.

1. Scegli **Create external key store** (Crea archivio delle chiavi esterne).

Quando la procedura ha esito positivo, il nuovo archivio delle chiavi esterne viene visualizzato nell'elenco degli archivi delle chiavi esterne dell'account e della regione. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [CreateKey errori per la chiave esterna](xks-troubleshooting.md#fix-external-key-create).

**Successivo**: i nuovi archivi delle chiavi esterne non sono connessi automaticamente. Prima di poter creare AWS KMS keys nell'archivio chiavi esterno, è necessario [connettere l'archivio chiavi esterno](xks-connect-disconnect.md) al relativo proxy dell'archivio chiavi esterno.

### Utilizzo dell' AWS KMS API
<a name="create-keystore-api"></a>

È possibile utilizzare l'[CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operazione per creare un nuovo archivio di chiavi esterno. Per assistenza nell'individuazione dei valori per i parametri richiesti, consulta la documentazione del proxy dell'archivio delle chiavi esterne o del software di gestione delle chiavi.

**Suggerimento**  
Non puoi caricare un [file di configurazione proxy](#proxy-configuration-file) quando utilizzi l'operazione `CreateCustomKeyStore`. Tuttavia, puoi utilizzare i valori presenti nel file di configurazione proxy per assicurarti che i valori dei parametri siano corretti.

Per creare un archivio delle chiavi esterne, l'operazione `CreateCustomKeyStore` richiede i valori di parametro seguenti.
+ `CustomKeyStoreName`: un nome descrittivo per l'archivio delle chiavi esterne univoco nell'account.
**Importante**  
Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.
+ `CustomKeyStoreType`: specifica `EXTERNAL_KEY_STORE`.
+ [`XksProxyConnectivity`](#require-connectivity): specifica `PUBLIC_ENDPOINT` o `VPC_ENDPOINT_SERVICE`.
+ [`XksProxyAuthenticationCredential`](keystore-external.md#concept-xks-credential): specifica sia l'ID chiave di accesso che la chiave di accesso segreta. 
+ [`XksProxyUriEndpoint`](#require-endpoint): l'endpoint utilizzato da AWS KMS per comunicare con il proxy dell'archivio delle chiavi esterne.
+ [`XksProxyUriPath`](#require-path)— Il percorso all'interno del proxy verso il proxy. APIs 
+ [`XksProxyVpcEndpointServiceName`](#require-vpc-service-name): obbligatorio solo quando il valore di `XksProxyConnectivity` è `VPC_ENDPOINT_SERVICE`.

**Nota**  
Se utilizzate la AWS CLI versione 1.0, eseguite il comando seguente prima di specificare un parametro con un valore HTTP o HTTPS, ad esempio il `XksProxyUriEndpoint` parametro.  

```
aws configure set cli_follow_urlparam false
```
In caso contrario, la AWS CLI versione 1.0 sostituisce il valore del parametro con il contenuto trovato in quell'indirizzo URI, causando il seguente errore:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

Gli esempi seguenti utilizzano valori fittizi. Prima di eseguire il comando, sostituiscili con valori validi per l'archivio delle chiavi esterne.

Crea un archivio delle chiavi esterne con connettività dell'endpoint pubblico.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Crea un archivio delle chiavi esterne con connettività del servizio endpoint VPC.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Se l'operazione riesce, `CreateCustomKeyStore` restituisce l'ID store chiavi personalizzate, come illustrato nel seguente esempio di risposta.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Se l'operazione ha esito negativo, correggi l'errore indicato dall'eccezione e riprova. Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).

**Successivo**: Per utilizzare l'archivio delle chiavi esterne, [connettilo al relativo proxy dell'archivio delle chiavi esterne](xks-connect-disconnect.md).

# Modifica delle proprietà dell'archivio chiavi esterno
<a name="update-xks-keystore"></a>

Puoi modificare le proprietà selezionate di un archivio delle chiavi esterne esistente. 

Quando l'archivio delle chiavi esterne è connesso o disconnesso, puoi modificare solo alcune proprietà. Per modificare le altre proprietà, [disconnetti l'archivio delle chiavi esterne](xks-connect-disconnect.md) dal relativo proxy. Lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne deve essere `DISCONNECTED`. Quando un archivio delle chiavi esterne è disconnesso, puoi gestire l'archivio e le relative chiavi KMS, ma non puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi esterne. Per trovare lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) del tuo archivio di chiavi esterno, utilizza l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione o consulta la sezione **Configurazione generale** nella pagina dei dettagli dell'archivio di chiavi esterno.

Prima di aggiornare le proprietà dell'archivio di chiavi esterno, AWS KMS invia una [GetHealthStatus](keystore-external.md#concept-proxy-apis)richiesta al proxy dell'archivio chiavi esterno utilizzando i nuovi valori. Se la richiesta ha esito positivo, indica che è possibile connettersi e autenticarsi a un proxy dell'archivio delle chiavi esterne con i valori delle proprietà aggiornati. Se la richiesta non riesce, l'operazione di modifica ha esito negativo con un'eccezione che identifica l'errore.

Al termine dell'operazione di modifica, i valori delle proprietà aggiornati per l'archivio di chiavi esterno vengono visualizzati nella AWS KMS console e nella `DescribeCustomKeyStores` risposta. Tuttavia, possono essere necessari fino a cinque minuti affinché le modifiche diventino effettive.

[Se modifichi l'archivio di chiavi esterno nella AWS KMS console, hai la possibilità di caricare un [file di configurazione del proxy basato su JSON che specifica il percorso dell'URI del proxy](create-xks-keystore.md#proxy-configuration-file)[e le credenziali di autenticazione del proxy](create-xks-keystore.md#require-path).](keystore-external.md#concept-xks-credential) Alcuni proxy dell'archivio delle chiavi esterne generano automaticamente questo file. Per maggiori dettagli, consulta la documentazione relativa al proxy dell'archivio delle chiavi esterne o al gestore delle chiavi esterne.

**avvertimento**  
I valori delle proprietà aggiornati devono connettere l'archivio delle chiavi esterne a un proxy per lo stesso gestore delle chiavi esterne dei valori precedenti o per un backup o uno snapshot del gestore con le stesse chiavi crittografiche. Se l'archivio delle chiavi esterne perde definitivamente l'accesso alle chiavi esterne associate alle relative chiavi KMS, il testo criptato crittografato con tali chiavi esterne è irrecuperabile. In particolare, la modifica della connettività proxy di un archivio di chiavi esterno può AWS KMS impedire l'accesso alle chiavi esterne.

**Suggerimento**  
Alcuni gestori delle chiavi esterne offrono un metodo più semplice per modificare le proprietà dell'archivio delle chiavi esterne. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

Puoi modificare le seguenti proprietà di un archivio delle chiavi esterne.


| Proprietà modificabili dell'archivio delle chiavi esterne | Qualsiasi stato di connessione | Richiede lo stato Disconnesso | 
| --- | --- | --- | 
| Il nome dello store delle chiavi personalizzate Un nome descrittivo per l'archivio delle chiavi personalizzate. Non includere informazioni riservate o sensibili in questo campo. Questo campo può essere visualizzato in testo semplice nei CloudTrail log e in altri output.  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) |  | 
| Credenziali di [autenticazione proxy](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredentialDevi specificare sia l'ID chiave di accesso che la chiave di accesso segreta, anche se modifichi un solo elemento. | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Percorso URI del proxy](create-xks-keystore.md#require-path) () XksProxyUriPath | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Connettività proxy](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)Devi inoltre aggiornare l'endpoint URI proxy. Se stai passando alla connettività del servizio endpoint VPC, devi specificare un nome del servizio endpoint VPC del proxy. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 
| [Endpoint URI proxy](create-xks-keystore.md#require-endpoint) () XksProxyUriEndpointSe modifichi l'URI endpoint proxy, potrebbe anche essere necessario modificare il certificato TLS associato. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 
| Nome del [servizio endpoint VPC proxy](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceNameQuesto campo è obbligatorio per la connettività del servizio endpoint VPC |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 
| Titolare del [servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwnerQuesto campo è obbligatorio per la connettività del servizio endpoint VPC |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/icon-successful.png) | 

## Modifica le proprietà del tuo archivio di chiavi esterno
<a name="edit-xks-keystore"></a>

È possibile modificare le proprietà dell'archivio di chiavi esterno nella AWS KMS console o utilizzando l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione.

### Utilizzo della AWS KMS console
<a name="update-keystore-console"></a>

Quando si modifica un archivio di chiavi, è possibile modificare qualsiasi valore modificabile. Alcune modifiche richiedono la disconnessione dell'archivio delle chiavi esterne dal relativo proxy.

Se stai modificando il percorso URI proxy o le credenziali di autenticazione proxy, puoi inserire i nuovi valori o caricare un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) dell'archivio delle chiavi esterne che includa i nuovi valori.

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli l'archivio delle chiavi che desideri modificare.

   1. Se necessario, disconnetti l'archivio delle chiavi esterne dal relativo proxy. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Edit** (Modifica).

1. Modifica una o più proprietà configurabili dell'archivio delle chiavi esterne. Puoi inoltre caricare un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) dell'archivio delle chiavi esterne con i valori per il percorso URI proxy e le credenziali di autenticazione proxy. Puoi utilizzare tale file di configurazione proxy anche se alcuni valori specificati nel file non sono stati modificati.

1. Scegli **Update external key store** (Aggiornamento dell'archivio delle chiavi esterne). 

1. Esamina l'avviso e, se decidi di continuare, confermalo, quindi scegli **Update external key store** (Aggiornamento dell'archivio delle chiavi esterne).

   Se la procedura ha esito positivo, un messaggio descrive le proprietà modificate. Se ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo.

1. Se necessario, connetti nuovamente l'archivio delle chiavi esterne. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti).

   Puoi lasciarlo disconnesso, ma in questo stato, non puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi esterne per [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore).

### Utilizzo dell' AWS KMS API
<a name="update-keystore-api"></a>

Per modificare le proprietà di un archivio di chiavi esterno, utilizzare l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione. Puoi modificare più proprietà di un archivio delle chiavi esterne con la stessa operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. 

Utilizza il parametro `CustomKeyStoreId` per identificare l'archivio delle chiavi esterne. Utilizza gli altri parametri per modificare le proprietà. Non puoi utilizzare un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) con l'operazione `UpdateCustomKeyStore`, Il file di configurazione del proxy è supportato solo dalla AWS KMS console. Tuttavia, puoi utilizzare il file di configurazione proxy per determinare i valori dei parametri corretti per il proxy dell'archivio delle chiavi esterne.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Prima di iniziare, [se necessario](#update-xks-keystore), [disconnetti l'archivio delle chiavi esterne](xks-connect-disconnect.md) dal relativo proxy. Dopo l'aggiornamento, se necessario, [connetti nuovamente l'archivio](xks-connect-disconnect.md) al proxy dell'archivio delle chiavi esterne. Puoi lasciare l'archivio delle chiavi esterne disconnesso, ma devi connetterlo per poter creare nuove chiavi KMS o utilizzare le chiavi KMS esistenti nell'archivio delle chiavi per operazioni di crittografia.

**Nota**  
Se utilizzi la AWS CLI versione 1.0, esegui il comando seguente prima di specificare un parametro con un valore HTTP o HTTPS, ad esempio il `XksProxyUriEndpoint` parametro.  

```
aws configure set cli_follow_urlparam false
```
In caso contrario, la AWS CLI versione 1.0 sostituisce il valore del parametro con il contenuto trovato in quell'indirizzo URI, causando il seguente errore:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

#### Modifica del nome dell'archivio delle chiavi esterne
<a name="xks-edit-name"></a>

Il primo esempio utilizza l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione per modificare il nome descrittivo dell'archivio di chiavi esterno in`XksKeyStore`. Il comando utilizza il parametro `CustomKeyStoreId` per identificare lo store delle chiavi personalizzate e `CustomKeyStoreName` per specificarne il nuovo nome. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```

#### Modifica delle credenziali di autenticazione proxy
<a name="xks-edit-credential"></a>

L'esempio seguente aggiorna le credenziali di autenticazione proxy utilizzate da AWS KMS per l'autenticazione nel proxy dell'archivio delle chiavi esterne. Puoi utilizzare un comando simile a questo per aggiornare le credenziali se vengono ruotate sul proxy.

Aggiorna prima le credenziali nel proxy dell'archivio delle chiavi esterne. Quindi, utilizza questa funzione per segnalare la modifica ad AWS KMS. (Il proxy supporterà brevemente sia la vecchia che la nuova credenziale, in modo da avere il tempo di aggiornare le credenziali). AWS KMS

Nelle credenziali devi specificare sia l'ID chiave di accesso che la chiave di accesso segreta, anche se viene modificato un solo valore. 

I primi due comandi impostano le variabili per contenere i valori delle credenziali. Le operazioni `UpdateCustomKeyStore` utilizzano il parametro `CustomKeyStoreId` per identificare l'archivio delle chiavi esterne. Utilizza il parametro `XksProxyAuthenticationCredential` con i relativi campi `AccessKeyId` e `RawSecretAccessKey` per specificare le nuove credenziali. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```

#### Modifica del percorso URI proxy
<a name="xks-edit-path"></a>

L'esempio seguente aggiorna il percorso URI proxy (`XksProxyUriPath`). La combinazione dell'endpoint URI del proxy e del percorso URI del proxy deve essere unica nella Account AWS regione and. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1
```

#### Passaggio alla connettività del servizio endpoint VPC
<a name="xks-edit-connectivity-vpc"></a>

L'esempio seguente utilizza l'[UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operazione per modificare il tipo di connettività del proxy dell'archivio chiavi esterno in`VPC_ENDPOINT_SERVICE`. Per apportare questa modifica, devi specificare i valori richiesti per la connettività del servizio endpoint VPC, incluso il nome del servizio endpoint VPC (`XksProxyVpcEndpointServiceName`) e un valore dell'endpoint URI proxy (`XksProxyUriEndpoint`) che includa il nome DNS privato per il servizio endpoint VPC. Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```

#### Passaggio alla connettività dell'endpoint pubblico
<a name="xks-edit-connectivity-public"></a>

L'esempio seguente modifica il tipo di connettività del proxy dell'archivio delle chiavi esterne in `PUBLIC_ENDPOINT`. Quando apporti questa modifica, devi aggiornare il valore dell'endpoint URI proxy (`XksProxyUriEndpoint`). Sostituisci tutti i valori di esempio con i valori effettivi per l'archivio delle chiavi esterne.

**Nota**  
La connettività dell'endpoint VPC offre una maggiore sicurezza rispetto alla connettività dell'endpoint pubblico. Prima di passare alla connettività dell'endpoint pubblico, prendi in considerazione altre opzioni, tra cui il posizionamento del proxy dell'archivio delle chiavi esterne on-premise e l'utilizzo del VPC solo per la comunicazione. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com
```

# Visualizza gli archivi di chiavi esterni
<a name="view-xks-keystore"></a>

È possibile visualizzare gli archivi di chiavi esterni in ogni account e regione utilizzando la AWS KMS console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

Quando visualizzi un archivio delle chiavi esterne, hai accesso alle seguenti informazioni:
+ Informazioni di base sull'archivio delle chiavi, tra cui nome descrittivo, ID, tipo di archivio e data di creazione.
+ Informazioni di configurazione per il [proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-xks-proxy), tra cui [tipo di connettività](keystore-external.md#concept-xks-connectivity), [endpoint URI proxy](create-xks-keystore.md#require-endpoint), [percorso URI proxy](create-xks-keystore.md#require-path) e [ID della chiave di accesso](keystore-external.md#concept-xks-credential) delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) correnti.
+ Se il proxy dell'archivio delle chiavi esterne utilizza la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), la console visualizza il nome del servizio endpoint VPC.
+ Lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) corrente. 
**Nota**  
Il valore **Disconnected** (Disconnesso) dello stato di connessione indica che l'archivio delle chiavi esterne non è mai stato connesso oppure che è stato intenzionalmente disconnesso dal relativo proxy. Se tuttavia i tentativi di utilizzare una chiave KMS in un archivio delle chiavi esterne connesso non riescono, è possibile che vi sia un problema con l'archivio o con il cluster . Per assistenza, consulta [Errori di connessione all'archivio delle chiavi esterne](xks-troubleshooting.md#fix-xks-connection).
+ Una sezione di [monitoraggio](xks-monitoring.md) con grafici delle [ CloudWatch metriche di Amazon](monitoring-cloudwatch.md#kms-metrics) progettati per aiutarti a rilevare e risolvere problemi con il tuo archivio di chiavi esterno. Per informazioni sull'interpretazione dei grafici, sul loro utilizzo nella pianificazione e risoluzione dei problemi e sulla creazione di CloudWatch allarmi in base alle metriche dei grafici, consulta. [Monitora gli archivi di chiavi esterni](xks-monitoring.md)

## Proprietà dell'archivio delle chiavi esterne
<a name="view-xks-properties"></a>

Le seguenti proprietà di un archivio di chiavi esterno sono visibili nella console e nella AWS KMS risposta. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 

### Proprietà dell'archivio delle chiavi personalizzate
<a name="view-xks-custom-key-store"></a>

I seguenti valori vengono visualizzati nella sezione **Configurazione generale** della pagina di dettaglio di ogni archivio di chiavi personalizzato. Queste proprietà si applicano a tutti gli archivi di chiavi personalizzati, inclusi gli archivi di AWS CloudHSM chiavi e gli archivi di chiavi esterni.

**ID dello store delle chiavi personalizzate**  
Un ID univoco che viene AWS KMS assegnato all'archivio chiavi personalizzato.

**Il nome dello store delle chiavi personalizzate**  
Nome descrittivo assegnato all'archivio delle chiavi personalizzate durante la sua creazione. Puoi modificare questo valore in qualsiasi momento.

**Tipo di archivio delle chiavi personalizzate**  
Il tipo di archivio delle chiavi personalizzate. I valori validi sono AWS CloudHSM (`AWS_CLOUDHSM`) o External key store (Archivio delle chiavi esterne) (`EXTERNAL_KEY_STORE`). Il tipo di archivio non può essere modificato dopo la creazione.

**Data di creazione**  
La data in cui è stato creato l'archivio delle chiavi personalizzate. Questa data viene visualizzata nell'ora locale per la Regione AWS. 

**Stato connessione**  
Indica se l'archivio delle chiavi personalizzate è connesso al relativo archivio del materiale della chiave. Lo stato della connessione è `DISCONNECTED` solo se l'archivio delle chiavi personalizzate non è mai stato collegato al relativo archivio del materiale della chiave o se è stato disconnesso intenzionalmente. Per informazioni dettagliate, vedi [Stato connessione](xks-connect-disconnect.md#xks-connection-state).

### Proprietà di configurazione dell'archivio delle chiavi esterne
<a name="view-xks-configuration"></a>

I seguenti valori vengono visualizzati nella sezione di **configurazione del proxy dell'archivio chiavi esterno** della pagina di dettaglio per ogni archivio di chiavi esterno e nell'`XksProxyConfiguration`elemento della [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta. Per una descrizione dettagliata di ogni campo, inclusi i requisiti di unicità e le informazioni utili per determinare il valore corretto per ogni campo, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements) nell'argomento *Creazione di un archivio delle chiavi esterne*.

**Connettività proxy**  
Indica se l'archivio delle chiavi esterne utilizza la [connettività dell'endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint) o la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity).

**Endpoint dell'URI proxy**  
L'endpoint AWS KMS utilizzato per connettersi al [proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-proxy). 

**Percorso URI proxy**  
Il percorso dall'endpoint URI del proxy a cui AWS KMS invia le richieste [API proxy](keystore-external.md#concept-proxy-apis).

**Credenziali proxy: ID chiave di accesso**  
Parte delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) che stabilisci nel proxy dell'archivio delle chiavi esterne. L'ID della chiave di accesso identifica la chiave di accesso segreta nelle credenziali.   
AWS KMS utilizza il processo di firma SigV4 e la credenziale di autenticazione del proxy per firmare le sue richieste al proxy di archiviazione delle chiavi esterno. La credenziale contenuta nella firma consente al proxy dell'archivio chiavi esterno di autenticare le richieste per conto dell'utente da. AWS KMS

**Nome del servizio endpoint VPC**  
Il nome del servizio endpoint Amazon VPC che supporta l'archivio delle chiavi esterne. Questo valore viene visualizzato solo quando l'archivio delle chiavi esterne utilizza la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Puoi individuare il proxy dell'archivio delle chiavi esterne nel VPC oppure puoi utilizzare il servizio endpoint VPC per comunicare in modo sicuro con il proxy.

**ID del proprietario del servizio endpoint VPC**  
L'ID del servizio endpoint Amazon VPC che supporta l'archivio di chiavi esterno. Questo valore viene visualizzato solo quando l'archivio delle chiavi esterne utilizza la [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Puoi individuare il proxy dell'archivio delle chiavi esterne nel VPC oppure puoi utilizzare il servizio endpoint VPC per comunicare in modo sicuro con il proxy.

## Visualizza le proprietà del tuo archivio di chiavi esterne
<a name="view-xks"></a>

È possibile visualizzare l'archivio di chiavi esterno e le proprietà associate nella AWS KMS console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

### Utilizzo della AWS KMS console
<a name="view-xks-keystore-console"></a>

Per visualizzare gli archivi delle chiavi esterne in determinati account e regioni, utilizza la procedura seguente.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Per visualizzare le informazioni dettagliate su un archivio delle chiavi esterne, scegli il nome dell'archivio delle chiavi.

### Utilizzando l'API AWS KMS
<a name="view-xks-keystore-api"></a>

Per visualizzare gli archivi di chiavi esterni, utilizzate l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare l'output a un determinato store delle chiavi personalizzate. 

Per quanto riguarda gli archivi delle chiavi personalizzate, l'output include l'ID, il nome e il tipo dell'archivio delle chiavi personalizzate, oltre allo [lo stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi. Se lo stato della connessione è `FAILED`, l'output include un `ConnectionErrorCode` che descrive il motivo dell'errore. Per informazioni sull'interpretazione di `ConnectionErrorCode` per un archivio delle chiavi esterne, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

Per gli archivi delle chiavi esterne, l'output include anche l'elemento `XksProxyConfiguration`. Questo elemento comprende il [tipo di connettività](create-xks-keystore.md#require-connectivity), l'[endpoint URI proxy](create-xks-keystore.md#require-endpoint), il [percorso URI proxy](create-xks-keystore.md#require-path) e l'ID della chiave di accesso delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential).

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Ad esempio, il comando seguente restituisce tutti gli store delle chiavi personalizzate presenti nell'account e nella regione. Per scorrere gli store delle chiavi personalizzate nell'output puoi utilizzare i parametri `Limit` e `Marker`.

```
$ aws kms describe-custom-key-stores
```

Il comando seguente utilizza il parametro `CustomKeyStoreName` per ottenere solo l'archivio delle chiavi esterne di esempio con il nome descrittivo `ExampleXksPublic`. Tale archivio delle chiavi utilizza la connettività dell'endpoint pubblico ed è collegato al relativo proxy dell'archivio delle chiavi esterne. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleXksPublic",
      "ConnectionState": "CONNECTED",    
      "CreationDate": "2022-12-14T20:17:36.419000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE12345670EXAMPLE",
        "Connectivity": "PUBLIC_ENDPOINT",
        "UriEndpoint": "https://xks.example.com:6443",
        "UriPath": "/example/prefix/kms/xks/v1"
      }
    }
  ]
}
```

Tramite il comando seguente si ottiene un archivio delle chiavi esterne di esempio con connettività del servizio endpoint VPC. In questo esempio, l'archivio delle chiavi esterne è connesso al relativo proxy. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Se [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state) è `Disconnected`, indica che un archivio delle chiavi esterne non è mai stato connesso oppure è stato intenzionalmente disconnesso dal relativo proxy. Se tuttavia i tentativi di utilizzare una chiave KMS in un archivio delle chiavi esterne connesso non riescono, è possibile che vi sia un problema con il proxy o altri componenti esterni.

Se il campo `ConnectionState` dell'archivio delle chiavi esterne è `FAILED`, la risposta `DescribeCustomKeyStores` include un elemento `ConnectionErrorCode` che descrive il motivo dell'errore.

Ad esempio, nell'output seguente, il `XKS_PROXY_TIMED_OUT` valore indica che AWS KMS può connettersi al proxy dell'archivio chiavi esterno, ma la connessione è fallita perché il proxy dell'archivio chiavi esterno non ha risposto AWS KMS nel tempo assegnato. Se visualizzi ripetutamente questo codice di errore di connessione, informa il fornitore del proxy dell'archivio delle chiavi esterne. Per informazioni su questo e altri errori di connessione, consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Monitora gli archivi di chiavi esterni
<a name="xks-monitoring"></a>

AWS KMS raccoglie le metriche per ogni interazione con un archivio di chiavi esterno e le pubblica nel tuo account. CloudWatch Questi parametri vengono utilizzati per generare i grafici nella sezione di monitoraggio della pagina dei dettagli relativa a ogni archivio delle chiavi esterne. L'argomento seguente descrive in dettaglio come utilizzare i grafici per identificare e risolvere i problemi operativi e di configurazione che influiscono sull'archivio delle chiavi esterne. Ti consigliamo di utilizzare le CloudWatch metriche per impostare allarmi che ti avvisino quando l'archivio chiavi esterno non funziona come previsto. Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).

**Topics**
+ [Visualizzazione dei grafici](#xks-monitoring-navigate)
+ [Interpretazione dei grafici](#interpreting-graphs)

## Visualizzazione dei grafici
<a name="xks-monitoring-navigate"></a>

Puoi visualizzare i grafici a diversi livelli di dettaglio. Per impostazione predefinita, ogni grafico utilizza un intervallo di tempo di tre ore e un [periodo](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) di aggregazione di cinque minuti. Puoi regolare la visualizzazione del grafico all'interno della console, ma le modifiche verranno ripristinate alle impostazioni predefinite quando la pagina dei dettagli dell'archivio delle chiavi esterne viene chiusa o quando il browser viene aggiornato. Per assistenza sulla CloudWatch terminologia di Amazon, consulta [Amazon CloudWatch concepts](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html).

### Visualizzazione dei dettagli di punti dati
<a name="graph-data-point"></a>

I dati in ogni grafico vengono raccolti in base ai [parametri di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics). Per visualizzare ulteriori informazioni su un punto dati specifico, posiziona il puntatore del mouse sul punto dati del grafico a linee. Verrà visualizzato un popup con ulteriori informazioni sul parametro da cui è stato derivato il grafico. Ogni elemento dell'elenco visualizza il valore della [dimensione](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) registrato in quel punto dati. Il popup visualizza un valore nullo (**—**) se non sono disponibili dati di parametro per il valore della dimensione in quel punto dati. Alcuni grafici registrano più dimensioni e valori per un singolo punto dati. Altri grafici, come il [grafico di affidabilità](#reliability-graph), utilizzano i dati raccolti dal parametro per calcolare un valore univoco. Ogni elemento dell'elenco è associato a un colore diverso del grafico a linee.

### Modifica dell'intervallo di tempo
<a name="graph-time-range"></a>

Per modificare l'[intervallo temporale](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html), seleziona uno degli intervalli di tempo predefiniti nell'angolo in alto a destra della sezione di monitoraggio. Questi intervalli predefiniti vanno da 1 ora a 1 settimana (**1h** [1 ora], **3h** [3 ore], **12h** [12 ore], **1d** [1 giorno], **3d** [3 giorni] oppure **1w** [1 settimana]). In questo modo si regola l'intervallo di tempo per tutti i grafici. Se desideri visualizzare un grafico specifico in un intervallo di tempo diverso o se desideri impostare un intervallo di tempo personalizzato, ingrandisci il grafico o visualizzalo nella CloudWatch console Amazon.

### Ingrandimento dei grafici
<a name="graph-zoom"></a>

Puoi utilizzare la [funzione di ingrandimento mini-mappa](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html) per concentrarti su sezioni di grafici a linee e porzioni impilate dei grafici senza passare tra la visualizzazione ingrandita e ridimensionata. Ad esempio, puoi utilizzare la funzione di ingrandimento mini-mappa per concentrarti su un picco di un grafico a linee, in modo da poter confrontare il picco con altri grafici nella sezione di monitoraggio dalla stessa sequenza temporale. 

1. Seleziona e trascina l'area del grafico che desideri ingrandire, quindi rilasciala.

1. Per ripristinare lo zoom, seleziona l'icona **Reset zoom**, a forma di lente d'ingrandimento con un simbolo meno (-) all'interno.

### Ingrandimento di un grafico
<a name="graph-enlarge"></a>

Per ingrandire un grafico, seleziona l'icona del menu nell'angolo in alto a destra di un singolo grafico e scegli **Enlarge** (Ingrandisci). Puoi anche selezionare l'icona di ingrandimento che appare accanto all'icona del menu quando passi il mouse su un grafico.

L'ingrandimento di un grafico consente di modificare ulteriormente la visualizzazione di un grafico specificando un periodo diverso, un intervallo di tempo personalizzato o un intervallo di aggiornamento. Queste modifiche verranno ripristinate alle impostazioni predefinite quando si chiude la vista ingrandita.

Modifica del periodo  

1. Scegli il menu **Period options** (Opzioni periodo). Per impostazione predefinita, questo menu visualizza il valore **5 minuti**.

1. Scegli un periodo; i periodi predefiniti vanno da 1 secondo a 30 giorni.

   Ad esempio, puoi scegliere la visualizzazione di un minuto, che può essere utile durante la risoluzione dei problemi. In alternativa, scegli la visualizzazione meno dettagliata di un'ora. Può essere utile quando si visualizza un intervallo di tempo più ampio (ad esempio 3 giorni) in modo da poter vedere le tendenze nel tempo. Per ulteriori informazioni, consulta [Periodi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) nella *Amazon CloudWatch User Guide*.

Modifica dell'intervallo di tempo o del fuso orario  

1. Seleziona uno degli intervalli di tempo predefiniti, che partono da 1 ora fino a 1 settimana: **1h** (1 ora), **3h** (3 ore), **12h** (12 ore), **1d** (1 giorno), **3d** (3 giorni) oppure **1w** (1 settimana). In alternativa, è possibile scegliere **Personalizza** per impostare il tuo intervallo di tempo.

1. Scegli **Custom** (Personalizzato)

   1. *Intervallo di tempo:* seleziona la scheda **Absolute** (Assoluto) nell'angolo in alto a sinistra della casella. Utilizza la selezione calendario o i campi di testo per specificare l'intervallo di tempo.

   1. *Fuso orario:* scegli il menu a discesa nell'angolo in alto a destra della casella. È possibile modificare il fuso orario in **UTC** o **Fuso orario locale**.

1. Dopo aver specificato un intervallo di tempo, scegli **Applica**.

Modifica la frequenza di aggiornamento dei dati nel grafico  

1. Scegli il menu **Refresh options** (Aggiorna opzioni) nell'angolo in alto a destra.

1. Scegli un intervallo di aggiornamento: **Off** (Disattivato), **10 Seconds** (10 secondi), **1 Minute** (1 minuto), **2 Minutes** (2 minuti), **5 Minutes** (5 minuti) o **15 Minutes** (15 minuti). 

### Visualizza i grafici nella console Amazon CloudWatch
<a name="graph-in-cloudwatch"></a>

I grafici nella sezione di monitoraggio derivano da metriche predefinite pubblicate su Amazon AWS KMS . CloudWatch Puoi aprirli all'interno della CloudWatch console e salvarli nelle dashboard. CloudWatch Se disponi di più archivi di chiavi esterni, puoi aprire i rispettivi grafici CloudWatch e salvarli in un'unica dashboard per confrontarne lo stato e l'utilizzo.

**Aggiungi alla dashboard CloudWatch**  
Seleziona **Aggiungi alla dashboard** nell'angolo in alto a destra per aggiungere tutti i grafici a una CloudWatch dashboard di Amazon. Puoi selezionare un pannello di controllo esistente o crearne uno nuovo. Per informazioni sull'utilizzo di questa dashboard per creare visualizzazioni personalizzate dei grafici e degli allarmi, consulta Using [Amazon CloudWatch dashboard nella *Amazon CloudWatch *](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) User Guide.

**Visualizza nelle metriche CloudWatch**  
Seleziona l'icona del menu nell'angolo in alto a destra di un singolo grafico e scegli **Visualizza nelle metriche** per visualizzare questo grafico nella CloudWatch console Amazon. Dalla CloudWatch console, puoi aggiungere questo grafico singolo a una dashboard e modificare intervalli di tempo, periodi e intervalli di aggiornamento. Per ulteriori informazioni, consulta la sezione [Grafica delle metriche](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) nella *Amazon CloudWatch User Guide*.

## Interpretazione dei grafici
<a name="interpreting-graphs"></a>

AWS KMS fornisce diversi grafici per monitorare lo stato dell'archivio di chiavi esterno all'interno della console. AWS KMS Questi grafici vengono configurati automaticamente e derivati dai [parametri di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics).

I dati del grafico vengono raccolti come parte delle chiamate effettuate all'archivio delle chiavi esterne e alle chiavi esterne. È possibile che i dati compaiano nei grafici in un intervallo di tempo in cui non sono state effettuate chiamate. Questi dati provengono dalle `GetHealthStatus` chiamate periodiche che AWS KMS effettuiamo per conto dell'utente per verificare lo stato del proxy dell'archivio chiavi esterno e del gestore di chiavi esterno. Se nei grafici viene visualizzato il messaggio **No data available** (Nessun dato disponibile), significa che non sono state registrate chiamate durante tale intervallo di tempo o che l'archivio delle chiavi esterne si trova in uno stato [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state). Potresti riuscire a identificare l'ora in cui l'archivio delle chiavi esterne è stato disconnesso [regolando la visualizzazione](#graph-time-range) su un intervallo di tempo più ampio.

**Topics**
+ [Total Requests (Richieste totali)](#total-requests-graph)
+ [Affidabilità](#reliability-graph)
+ [Latenza](#latency-graph)
+ [Le 5 eccezioni principali](#top-5-exceptions-graph)
+ [Giorni alla scadenza del certificato](#cert-expire-graph)

### Total Requests (Richieste totali)
<a name="total-requests-graph"></a>

Il numero totale di AWS KMS richieste ricevute per uno specifico archivio di chiavi esterno in un determinato intervallo di tempo. Usa questo grafico per determinare se sei a rischio di limitazione (della larghezza di banda della rete).

AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se ti avvicini a 540.000 chiamate in un periodo di cinque minuti, sei a rischio di limitazione (della larghezza di banda della rete).

Puoi monitorare il numero di richieste di operazioni crittografiche sulle chiavi KMS nel tuo archivio di chiavi esterno, che limita la AWS KMS metrica. [ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling) 

Se ricevi errori `KMSInvalidStateException` molto frequenti con un messaggio che spiega che la richiesta è stata rifiutata "a causa di un tasso di richieste molto elevato", ciò potrebbe indicare che il gestore delle chiavi esterne o il proxy dell'archivio delle chiavi esterne non è in grado di tenere il passo con il tasso di richieste corrente. Se possibile, riduci il tasso di richiesta. Potresti anche prendere in considerazione la possibilità di richiedere una riduzione del valore della quota di richiesta dell'archivio delle chiavi personalizzate. La riduzione di questo valore di quota potrebbe aumentare la limitazione, ma ciò significa rifiutare rapidamente le richieste in eccesso prima che AWS KMS vengano inviate al proxy dell'archivio chiavi esterno o al gestore di chiavi esterno. Per richiedere una riduzione della quota, consulta la sezione [Centro Supporto AWS](https://console.aws.amazon.com/support/home) e crea un caso.

Il grafico delle richieste totali deriva dal parametro [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors), che raccoglie dati sulle risposte riuscite e non riuscite che AWS KMS riceve dal proxy dell'archivio delle chiavi esterne. Quando si [visualizza un punto dati specifico](#graph-data-point), il pop-up mostra il valore della `CustomKeyStoreId` dimensione insieme al numero totale di AWS KMS richieste registrate in quel punto dati. Il valore di `CustomKeyStoreId` sarà sempre lo stesso.

### Affidabilità
<a name="reliability-graph"></a>

La percentuale di AWS KMS richieste per le quali il proxy dell'archivio chiavi esterno ha restituito una risposta corretta o un errore irreversibile. Utilizza questo grafico per valutare lo stato operativo del proxy dell'archivio delle chiavi esterne.

Quando il grafico mostra un valore inferiore al 100%, indica i casi in cui il proxy non ha risposto o ha risposto con un errore non irreversibile. Ciò può indicare problemi con la rete, lentezza del proxy o del gestore delle chiavi esterne o bug di implementazione.

Se la richiesta include credenziali non valide e il proxy risponde con un'eccezione `AuthenticationFailedException`, il grafico indicherà comunque un'affidabilità del 100% perché il proxy ha identificato un valore errato nella [richiesta dell'API proxy dell'archivio delle chiavi esterne](keystore-external.md#concept-proxy-apis) e quindi l'errore è previsto. Se la percentuale del grafico di affidabilità è del 100%, il proxy dell'archivio delle chiavi esterne risponde come previsto. Se il grafico mostra un valore inferiore al 100%, il proxy ha risposto con un errore non irreversibile o è scaduto. Ad esempio, se il proxy risponde con un'eccezione `ThrottlingException` a causa di un tasso di richiesta molto elevato, mostrerà una percentuale di affidabilità inferiore perché il proxy non è stato in grado di identificare un problema specifico nella richiesta che ne ha causato l'errore. Questo perché gli errori non irreversibili sono probabilmente problemi temporanei che possono essere risolti ripetendo la richiesta.

Le seguenti risposte di errore ridurranno la percentuale di affidabilità. Puoi utilizzare il grafico [Le 5 eccezioni principali](#top-5-exceptions-graph) e il parametro [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) per monitorare ulteriormente la frequenza con cui il proxy restituisce ogni errore non irreversibile.
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`

Il grafico di affidabilità è derivato dalla [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica, che raccoglie i dati sulle risposte riuscite e non riuscite AWS KMS ricevute dal proxy dell'archivio chiavi esterno. La percentuale di affidabilità diminuirà solo se la risposta ha un valore `ErrorType` di `Retryable`. Quando si [visualizza un punto dati specifico](#graph-data-point), il pop-up mostra il valore della `CustomKeyStoreId` dimensione insieme alla percentuale di affidabilità per le AWS KMS richieste registrate in quel punto dati. Il valore di `CustomKeyStoreId` sarà sempre lo stesso.

Ti consigliamo di utilizzare la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica per creare un CloudWatch allarme che ti avvisi di potenziali problemi di rete avvisandoti quando vengono registrati più di cinque errori ripetibili in un periodo di un minuto. Per ulteriori informazioni, consulta [Crea un allarme per errori ripetibili](xks-alarms.md#retryable-errors-alarm).

### Latenza
<a name="latency-graph"></a>

Il numero di millisecondi impiegato da un proxy di archiviazione chiavi esterno per rispondere a una richiesta. AWS KMS Utilizza questo grafico per valutare le prestazioni del proxy dell'archivio delle chiavi esterne e del gestore delle chiavi esterne.

AWS KMS prevede che il proxy di archiviazione delle chiavi esterno risponda a ciascuna richiesta entro 250 millisecondi. In caso di timeout di rete, riproverà la richiesta una volta. AWS KMS Se il proxy restituisce ancora una volta un errore, la latenza registrata è il limite di timeout combinato per entrambi i tentativi di richiesta e il grafico mostrerà circa 500 millisecondi. In tutti gli altri casi in cui il proxy non risponde entro il limite di timeout di 250 millisecondi, la latenza registrata è di 250 millisecondi. Se il proxy è spesso in timeout durante le operazioni di crittografia e decrittografia, rivolgiti all'amministratore del proxy esterno. Per informazioni sulla risoluzione dei problemi di latenza, consulta [Errori di latenza e timeout](xks-troubleshooting.md#fix-xks-latency).

Le risposte lente potrebbero anche indicare che il gestore delle chiavi esterno non è in grado di gestire il traffico della richiesta corrente. AWS KMS consiglia che il gestore delle chiavi esterno sia in grado di gestire fino a 1800 richieste di operazioni crittografiche al secondo. Se il gestore delle chiavi esterne non è in grado di gestire 1.800 richieste al secondo, prendi in considerazione la possibilità di richiedere una riduzione della [quota di richieste per le chiavi KMS in un archivio delle chiavi personalizzate](requests-per-second.md#rps-key-stores). Le richieste relative alle operazioni di crittografia che utilizzano le chiavi KMS nell'archivio delle chiavi esterne anticiperanno rapidamente l'errore (fail fast) con un'[eccezione di limitazione](throttling.md) (della larghezza di banda della rete), anziché essere elaborate e successivamente rifiutate dal proxy o dal gestore delle chiavi esterne.

Il grafico della latenza è derivato dal parametro [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency). Quando [visualizzi un punto dati specifico](#graph-data-point), il popup mostra i valori delle dimensioni `KmsOperation` e `XksOperation` corrispondenti, oltre alla latenza media registrata per le operazioni in quel punto dati. Gli elementi dell'elenco sono ordinati dalla latenza più alta a quella più bassa.

Ti consigliamo di utilizzare la [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrica per creare un CloudWatch allarme che ti avvisi quando la latenza si avvicina al limite di timeout. Per ulteriori informazioni, consulta [Crea un allarme per il timeout della risposta](xks-alarms.md#latency-alarm).

### Le 5 eccezioni principali
<a name="top-5-exceptions-graph"></a>

Le cinque eccezioni principali per le operazioni di crittografia e di gestione non riuscite in un determinato intervallo di tempo. Usa questo grafico per tenere traccia degli errori più frequenti, in modo da poter assegnare priorità diverse agli interventi tecnici.

Questo conteggio include le eccezioni AWS KMS ricevute dal proxy dell'archivio chiavi esterno e quelle che vengono AWS KMS restituite internamente quando non è in grado di stabilire una comunicazione con il `XksProxyUnreachableException` proxy dell'archivio chiavi esterno.

Tassi elevati di errori non irreversibili potrebbero indicare errori di rete, mentre un'elevata percentuale di errori irreversibili potrebbe indicare un problema con la configurazione dell'archivio delle chiavi esterne. Ad esempio, un picco `AuthenticationFailedExceptions` indica una discrepanza tra le credenziali di autenticazione configurate nel AWS KMS proxy dell'archivio chiavi esterno. Per visualizzare la configurazione dell'archivio delle chiavi esterne, consulta [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md). Per modificare le impostazioni dell'archivio delle chiavi esterne, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

Le eccezioni AWS KMS ricevute dal proxy dell'archivio chiavi esterno sono diverse dalle eccezioni che AWS KMS vengono restituite quando un'operazione fallisce. AWS KMS le operazioni crittografiche restituiscono un `KMSInvalidStateException` valore per tutti gli errori relativi alla configurazione esterna o allo stato di connessione dell'archivio di chiavi esterno. Per identificare il problema, utilizza il testo del messaggio di errore allegato.

La tabella seguente mostra le eccezioni che possono apparire nel grafico delle prime 5 eccezioni e le eccezioni corrispondenti che vengono restituite all'utente. AWS KMS 


| Tipi di errore | Eccezione visualizzata nel grafico | Eccezione che AWS KMS ti è stata restituita | 
| --- | --- | --- | 
| Irreversibile | AccessDeniedException   Per la risoluzione dei problemi, consultare [Problemi relativi all'autorizzazione proxy](xks-troubleshooting.md#fix-xks-authorization). | **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | AuthenticationFailedException   Per la risoluzione dei problemi, consultare [Errori delle credenziali di autenticazione](xks-troubleshooting.md#fix-xks-credentials). | **`XksProxyIncorrectAuthenticationCredentialException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`.**`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`DependencyTimeoutException`** Per la risoluzione dei problemi, consultare [Errori di latenza e timeout](xks-troubleshooting.md#fix-xks-latency). | **`XksProxyUriUnreachableException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`InternalException`** Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non è in grado di comunicare con il gestore delle chiavi esterne. Verifica che la configurazione del proxy dell'archivio delle chiavi esterne sia corretta e che il gestore delle chiavi esterne sia disponibile. | **`XksProxyInvalidResponseException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidCiphertextException`** Per la risoluzione dei problemi, consultare [Errori di decrittografia](xks-troubleshooting.md#fix-xks-decrypt). | **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidKeyUsageException`** Per la risoluzione dei problemi, consultare [Errori relativi alle operazioni di crittografia per la chiave esterna](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidStateException`** Per la risoluzione dei problemi, consultare [Errori relativi alle operazioni di crittografia per la chiave esterna](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`InvalidUriPathException`** Per la risoluzione dei problemi, consultare [Errori di configurazione generale](xks-troubleshooting.md#fix-xks-gen-configuration). | **`XksProxyInvalidConfigurationException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`KeyNotFoundException`** Per la risoluzione dei problemi, consultare [Errori relativi alla chiave esterna](xks-troubleshooting.md#fix-external-key). | **`XksKeyNotFoundException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`ThrottlingException`** Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta a causa di un tasso di richieste molto elevato. Riduci la frequenza delle chiamate utilizzando le chiavi KMS in questo archivio delle chiavi esterne. | **`XksProxyUriUnreachableException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`UnsupportedOperationException`** Per la risoluzione dei problemi, consultare [Errori relativi alle operazioni di crittografia per la chiave esterna](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidResponseException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Irreversibile | **`ValidationException`** Per la risoluzione dei problemi, consultare [Problemi relativi al proxy](xks-troubleshooting.md#fix-xks-proxy). | **`XksProxyInvalidResponseException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 
| Non irreversibile | **`XksProxyUnreachableException`** Se riscontri ripetutamente questo errore, verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete. Verifica inoltre che il percorso URI e l'URI endpoint o il nome del servizio VPC all'interno dell'archivio delle chiavi esterne siano corretti. | **`XksProxyUriUnreachableException`** in risposta alle operazioni `CreateCustomKeyStore` e `UpdateCustomKeyStore`. **`CustomKeyStoreInvalidStateException`** in risposta alle operazioni `CreateKey`. **`KMSInvalidStateException`** in risposta alle operazioni di crittografia. | 

Il grafico delle 5 eccezioni principali deriva dal parametro [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors). Quando [visualizzi un punto dati specifico](#graph-data-point), il popup mostra il valore della dimensione `ExceptionName`, insieme al numero di volte in cui l'eccezione è stata registrata in quel punto dati. Le cinque voci dell'elenco sono ordinate dall'eccezione più frequente alla meno frequente.

Ti consigliamo di utilizzare la [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrica per creare un CloudWatch allarme che ti avvisi di potenziali problemi di configurazione avvisandoti quando vengono registrati più di cinque errori irreparabili in un periodo di un minuto. Per ulteriori informazioni, consulta [Crea un allarme per errori irreparabili](xks-alarms.md#nonretryable-errors-alarm).

### Giorni alla scadenza del certificato
<a name="cert-expire-graph"></a>

Il numero di giorni che mancano alla scadenza del certificato TLS per l'endpoint proxy dell'archivio delle chiavi esterne (`XksProxyUriEndpoint`). Utilizza questo grafico per monitorare la scadenza imminente del certificato TLS.

Quando il certificato scade, AWS KMS non può comunicare con il proxy esterno dell'archivio chiavi. Tutti i dati protetti dalle chiavi KMS nell'archivio delle chiavi esterne diventano inaccessibili fino al rinnovo del certificato. 

Il grafico dei giorni di scadenza del certificato deriva dal parametro [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire). Ti consigliamo vivamente di utilizzare questa metrica per creare un CloudWatch allarme che ti avvisi della scadenza imminente. La scadenza del certificato potrebbe impedirti di accedere alle risorse crittografate. Configura l'allarme in modo che l'organizzazione abbia la possibilità di rinnovare il certificato prima della sua scadenza. Per ulteriori informazioni, consulta [Crea un avviso di scadenza del certificato](xks-alarms.md#cert-expire-alarm).

# Connect e disconnetti gli archivi di chiavi esterni
<a name="xks-connect-disconnect"></a>

I nuovi archivi delle chiavi esterne non sono connessi. Per creare e utilizzare AWS KMS keys nell'archivio chiavi esterno, è necessario collegare l'archivio chiavi esterno al relativo [proxy di archiviazione chiavi esterno](keystore-external.md#concept-xks-proxy). Puoi connettere e disconnettere l'archivio delle chiavi esterne in qualsiasi momento e [visualizzare il relativo stato di connessione](view-xks-keystore.md).

Mentre l'archivio chiavi esterno è disconnesso, AWS KMS non è possibile comunicare con il proxy dell'archivio chiavi esterno. Di conseguenza, puoi visualizzare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS, ma non puoi creare chiavi KMS nell'archivio delle chiavi esterne o utilizzare le relative chiavi KMS in operazioni di crittografia. In alcuni casi, ad esempio si modificano le proprietà, potresti dover disconnettere l'archivio delle chiavi esterne, per cui ti consigliamo di pianificare le operazioni di conseguenza. La disconnessione dell'archivio chiavi potrebbe interrompere il funzionamento dei AWS servizi che utilizzano le relative chiavi KMS. 

Non sei obbligato a connettere l'archivio delle chiavi esterne. Puoi lasciarlo disconnesso indefinitamente e connetterlo solo quando devi utilizzarlo. Puoi tuttavia testare la connessione periodicamente per verificare che le impostazioni sono corrette e che non vi sono problemi di connessione dello store.

Quando disconnetti un archivio delle chiavi personalizzate, le chiavi KMS nell'archivio diventano immediatamente inutilizzabili (in base alla coerenza finale). Tuttavia, le risorse crittografate con [chiavi di dati](data-keys.md) protette dalla chiave KMS non sono interessate fino a quando la chiave KMS non viene nuovamente utilizzata, ad esempio per decrittografare la chiave dati. Questo problema riguarda i Servizi AWS, molti dei quali proteggono le risorse tramite le chiavi dati. Per informazioni dettagliate, vedi [In che modo le chiavi KMS inutilizzabili influiscono sulle chiavi dati](unusable-kms-keys.md).

**Nota**  
Gli archivi delle chiavi esterne presentano lo stato `DISCONNECTED` solo quando l'archivio non è mai stato connesso o se lo si disconnette esplicitamente. Lo stato `CONNECTED` non indica che l'archivio delle chiavi esterne o i relativi componenti di supporto funzionino in modo efficiente. Per informazioni relative alle prestazioni dei componenti dell'archivio delle chiavi esterne, consulta i grafici nella sezione **Monitoraggio** della pagina dei dettagli di ogni archivio delle chiavi esterne. Per informazioni dettagliate, vedi [Monitora gli archivi di chiavi esterni](xks-monitoring.md).  
Il gestore delle chiavi esterno potrebbe fornire metodi aggiuntivi per interrompere e riavviare la comunicazione tra l'archivio chiavi AWS KMS esterno e il proxy dell'archivio chiavi esterno o tra il proxy dell'archivio chiavi esterno e il gestore di chiavi esterno. Per ulteriori informazioni, consulta la documentazione del gestore delle chiavi esterne.

**Topics**
+ [Stato connessione](#xks-connection-state)
+ [Connect un key store esterno](about-xks-connecting.md)
+ [Disconnetti un archivio di chiavi esterno](about-xks-disconnecting.md)

## Stato connessione
<a name="xks-connection-state"></a>

La connessione e la disconnessione modificano lo *stato di connessione* dell'archivio delle chiavi personalizzate. I valori dello stato di connessione sono gli stessi per gli archivi di AWS CloudHSM chiavi e gli archivi di chiavi esterni. 

Per visualizzare lo stato di connessione del tuo archivio chiavi personalizzato, utilizza l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operazione o la AWS KMS console. Il campo **Connection state** (Stato connessione) viene visualizzato in ogni tabella dell'archivio delle chiavi personalizzate, nella sezione **General configuration** (Configurazione generale) della pagina dei dettagli di ogni archivio e nella scheda **Cryptographic configuration** (Configurazione crittografica) delle chiavi KMS. Per informazioni dettagliate, consulta [Visualizza un archivio di AWS CloudHSM chiavi](view-keystore.md) e [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md).

Un archivio delle chiavi personalizzate può avere uno dei seguenti stati di connessione:
+ `CONNECTED`: l'archivio delle chiavi personalizzate è connesso al relativo archivio del materiale della chiave. Puoi creare o utilizzare le chiavi KMS nell'archivio delle chiavi personalizzate.

  L'*archivio di chiavi di backup* per un AWS CloudHSM key store è il AWS CloudHSM cluster associato. L'*archivio del materiale della chiave* per un archivio delle chiavi esterne è rappresentato da un proxy dell'archivio delle chiavi esterne e dal gestore delle chiavi esterne che supporta.

  Uno stato CONNECTED (CONNESSO) indica che la connessione è riuscita e che l'archivio delle chiavi personalizzate non è stato disconnesso intenzionalmente. Non indica che la connessione sta funzionando correttamente. Per informazioni sullo stato del AWS CloudHSM cluster associato al tuo AWS CloudHSM key store, consulta [Ottenere le CloudWatch metriche AWS CloudHSM nella Guida per](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html) l' AWS CloudHSM utente. Per informazioni sullo stato e sul funzionamento dell'archivio delle chiavi esterne, consulta i grafici nella sezione **Monitoring** (Monitoraggio) della pagina dei dettagli di ogni archivio. Per informazioni dettagliate, vedi [Monitora gli archivi di chiavi esterni](xks-monitoring.md).
+ `CONNECTING`: il processo di connessione di un archivio delle chiavi personalizzate è in corso. Si tratta di uno stato transitorio.
+ `DISCONNECTED`: L'archivio chiavi personalizzato non è mai stato collegato al relativo supporto oppure è stato disconnesso intenzionalmente utilizzando la AWS KMS console o l'operazione. [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html) 
+ `DISCONNECTING`: il processo di disconnessione di un archivio delle chiavi personalizzate è in corso. Si tratta di uno stato transitorio.
+ `FAILED`: tentativo di connessione dell'archivio delle chiavi personalizzate non riuscito. `ConnectionErrorCode`Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)risposta indica il problema.

Per connettere un archivio delle chiavi personalizzate, il relativo stato di connessione deve essere `DISCONNECTED`. Se lo stato della connessione è `FAILED`, utilizza `ConnectionErrorCode` per identificare e risolvere il problema. Disconnetti quindi l'archivio delle chiavi personalizzate prima di provare a connetterlo di nuovo. Per informazioni sugli errori di connessione, consulta [Errori di connessione all'archivio delle chiavi esterne](xks-troubleshooting.md#fix-xks-connection). Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

Per visualizzare il codice di errore della connessione:
+ Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta, visualizza il valore dell'`ConnectionErrorCode`elemento. Tale elemento appare nella risposta `DescribeCustomKeyStores` solo quando `ConnectionState` è nello stato `FAILED`.
+ Per visualizzare il codice di errore di connessione nella AWS KMS console, vai alla pagina di dettaglio dell'archivio chiavi esterno e passa il mouse sul valore **Failed**.  
![\[Codice di errore di connessione nella pagina dei dettagli dell'archivio delle chiavi personalizzate\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/connection-error-code.png)

# Connect un key store esterno
<a name="about-xks-connecting"></a>

Quando l'archivio delle chiavi esterne è connesso al relativo proxy, puoi [creare chiavi KMS nello stesso archivio delle chiavi esterne](create-cmk-keystore.md) e utilizzare le chiavi KMS esistenti in [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore). 

Il processo che collega un archivio delle chiavi esterne al relativo proxy varia in base alla connettività dell'archivio.
+ Quando connetti un archivio di chiavi esterno con [connettività endpoint pubblica](keystore-external.md#concept-xks-connectivity), AWS KMS invia una [GetHealthStatus richiesta](keystore-external.md#concept-proxy-apis) al proxy dell'archivio chiavi esterno per convalidare l'[endpoint URI del proxy, il percorso URI](create-xks-keystore.md#require-endpoint) [del proxy](create-xks-keystore.md#require-path) e le credenziali di autenticazione del [proxy](keystore-external.md#concept-xks-credential). Una risposta positiva da parte del proxy conferma che l'[endpoint dell'URI proxy](create-xks-keystore.md#require-endpoint) e il [percorso URI proxy](create-xks-keystore.md#require-path) sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne.
+ Quando colleghi un key store esterno con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity) al relativo proxy di archiviazione chiavi esterno, AWS KMS effettua le seguenti operazioni: 
  + Conferma che il dominio per il nome DNS privato specificato nell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) è [verificato](vpc-connectivity.md#xks-private-dns). 
  + Crea un endpoint di interfaccia da un AWS KMS VPC al tuo servizio di endpoint VPC.
  + Crea una zona ospitata privata per il nome DNS privato specificato nell'endpoint URI proxy
  + Invia una [GetHealthStatusrichiesta al proxy](keystore-external.md#concept-proxy-apis) dell'archivio chiavi esterno. Una risposta positiva da parte del proxy conferma che l'[endpoint dell'URI proxy](create-xks-keystore.md#require-endpoint) e il [percorso URI proxy](create-xks-keystore.md#require-path) sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne.

L'operazione di connessione avvia il processo di connessione dell'archivio delle chiavi personalizzate, ma il collegamento di un archivio delle chiavi esterne al relativo proxy esterno richiede circa cinque minuti. Una risposta positiva dell'operazione di connessione non indica che l'archivio delle chiavi esterne sia connesso. Per confermare che la connessione è avvenuta correttamente, utilizza la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operazione per visualizzare lo [stato della connessione](xks-connect-disconnect.md#xks-connection-state) del tuo key store esterno.

Quando lo stato della connessione è `FAILED` 0, nella AWS KMS console viene visualizzato un codice di errore di connessione che viene aggiunto alla `DescribeCustomKeyStore` risposta. Per informazioni sull'interpretazione dei codici di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

## Connect e riconnettiti al tuo key store esterno
<a name="connect-xks"></a>

È possibile connettere o ricollegare l'archivio chiavi esterno nella AWS KMS console o utilizzando l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="connect-xks-console"></a>

È possibile utilizzare la AWS KMS console per connettere un archivio chiavi esterno al relativo proxy di archiviazione chiavi esterno. 

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi connettere. 

   Se la voce [Connection state](xks-connect-disconnect.md#xks-connection-state) (Stato connessione) dell'archivio delle chiavi esterne è **FAILED** (NON RIUSCITO), devi [disconnettere l'archivio](disconnect-keystore.md#disconnect-keystore-console) prima di connetterlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti).

Il completamento del processo di connessione richiede in genere circa cinque minuti. Al termine dell'operazione, lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) cambia in **CONNECTED** (CONNESSO). 

Se lo stato della connessione è **Failed** (Non riuscito), passa il mouse sullo stato per visualizzare il *codice di errore di connessione* e la causa dell'errore. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes). Per connettere un archivio delle chiavi esterne con uno stato di connessione **Failed** (Non riuscito), devi innanzitutto [disconnettere l'archivio delle chiavi personalizzate](disconnect-keystore.md#disconnect-keystore-console).

### Utilizzando l'API AWS KMS
<a name="connect-xks-api"></a>

Per connettere un archivio di chiavi esterno disconnesso, utilizzare l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione. 

Prima della connessione, lo [stato](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne deve essere `DISCONNECTED`. Se lo stato di connessione corrente è `FAILED`, [disconnetti l'archivio delle chiavi esterne](about-xks-disconnecting.md#disconnect-xks-api) e riconnettilo. 

Il completamento del processo di connessione può richiedere fino a cinque minuti. Se l'operazione non genera rapidamente un errore, `ConnectCustomKeyStore` restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare se l'archivio chiavi esterno è connesso, vedi lo stato della connessione nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta. 

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Per identificare l'archivio delle chiavi esterne, utilizza l'ID dell'archivio delle chiavi personalizzate. È possibile trovare l'ID nella pagina **Custom key stores** della console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

L'operazione `ConnectCustomKeyStore` non restituisce alcun `ConnectionState` nella risposta. Per verificare che l'archivio chiavi esterno sia connesso, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Un `ConnectionState` con valore `CONNECTED` indica che l'archivio delle chiavi esterne è connesso al relativo proxy.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Se il valore `ConnectionState` nella risposta `DescribeCustomKeyStores` è `FAILED`, l'elemento `ConnectionErrorCode` indica il motivo dell'errore. 

Nell'esempio seguente, il `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valore di `ConnectionErrorCode` indica che non AWS KMS riesce a trovare il servizio endpoint VPC che utilizza per comunicare con il proxy dell'archivio chiavi esterno. Verifica che `XksProxyVpcEndpointServiceName` sia corretto, che l'entità del AWS KMS servizio sia un'entità consentita sul servizio endpoint Amazon VPC e che il servizio endpoint VPC non richieda l'accettazione delle richieste di connessione. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Disconnetti un archivio di chiavi esterno
<a name="about-xks-disconnecting"></a>

Quando disconnetti un archivio delle chiavi esterne con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity) dal relativo proxy dell'archivio delle chiavi esterne, AWS KMS elimina l'endpoint di interfaccia per il servizio endpoint VPC e rimuove l'infrastruttura di rete che ha creato per supportare la connessione. Non è richiesto alcun processo equivalente per gli archivi delle chiavi esterne con connettività dell'endpoint pubblico. Questa operazione non influisce sul servizio endpoint VPC o sui suoi componenti di supporto. Inoltre, non ha alcun impatto sul proxy dell'archivio delle chiavi esterne o su eventuali componenti esterni.

Mentre l'archivio chiavi esterno è disconnesso, AWS KMS non invia alcuna richiesta al proxy dell'archivio chiavi esterno. Lo stato di connessione dell'archivio delle chiavi esterne è `DISCONNECTED`. Le chiavi KMS nell'archivio delle chiavi esterne disconnesso presentano uno [stato `UNAVAILABLE`](key-state.md) (a meno che non siano in [attesa di eliminazione](deleting-keys.md)), pertanto non possono essere utilizzate nelle operazioni di crittografia. Tuttavia, puoi comunque visualizzare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS esistenti. 

Lo stato disconnesso è progettato per essere temporaneo e reversibile. La riconnessione dell'archivio delle chiavi esterne può avvenire in qualsiasi momento. In genere, non è necessaria alcuna riconfigurazione. Tuttavia, se alcune proprietà del proxy dell'archivio delle chiavi esterne associato sono state modificate durante la disconnessione, ad esempio la rotazione delle [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential), è necessario [modificare le impostazioni dell'archivio delle chiavi esterne](update-xks-keystore.md) prima di riconnetterlo. 

**Nota**  
Quando un archivio delle chiavi personalizzate è disconnesso, tutti i tentativi di creare chiavi KMS nell'archivio delle chiavi personalizzate o di utilizzare le chiavi KMS in operazioni di crittografia avrà esito negativo. Questa azione può impedire agli utenti di archiviare e accedere ai dati sensibili.

Per valutare meglio l'effetto della disconnessione dell'archivio delle chiavi esterne, identifica le chiavi KMS e [determinane l'utilizzo precedente](deleting-keys-determining-usage.md).

Puoi disconnettere un archivio delle chiavi esterne per i seguenti motivi:
+ **Per modificarne le proprietà.** Puoi modificare il nome dell'archivio delle chiavi personalizzate, il percorso URI proxy e le credenziali di autenticazione proxy mentre l'archivio delle chiavi esterne è connesso. Tuttavia, per modificare il tipo di connettività proxy, l'endpoint dell'URI proxy o il nome del servizio endpoint VPC, devi prima disconnettere l'archivio delle chiavi esterne. Per informazioni dettagliate, vedi [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).
+ **Per interrompere tutte le comunicazioni** tra AWS KMS e il proxy dell'archivio chiavi esterno. Puoi anche interrompere la comunicazione tra AWS KMS e il tuo proxy disabilitando l'endpoint o il servizio endpoint VPC. Inoltre, il proxy di archiviazione delle chiavi esterno o il software di gestione delle chiavi potrebbe fornire meccanismi aggiuntivi per AWS KMS impedire la comunicazione con il proxy o per impedire al proxy di accedere al gestore di chiavi esterno.
+ **Per disabilitare tutte le chiavi KMS** nell'archivio delle chiavi esterne. È possibile [disabilitare e riattivare le chiavi KMS](enabling-keys.md) in un archivio di chiavi esterno utilizzando la AWS KMS console o l'operazione. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Queste operazioni vengono completate rapidamente (in base alla coerenza finale), ma agiscono su una sola chiave KMS alla volta. La disconnessione modifica lo stato di chiave di tutte le chiavi KMS nell'archivio delle chiavi esterne in `Unavailable`, che ne impedisce l'utilizzo in qualsiasi operazione di crittografia.
+ **Per riparare un tentativo di connessione non riuscito**. Se un tentativo di connessione di un archivio delle chiavi esterne ha esito negativo (il relativo stato di connessione è `FAILED`), devi disconnettere l'archivio prima di eseguire un nuovo tentativo di connessione.

## Disconnetti l'archivio di chiavi esterno
<a name="disconnect-xks"></a>

È possibile disconnettere l'archivio di chiavi esterno nella AWS KMS console o utilizzando l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione.

### Utilizzo della console AWS KMS
<a name="disconnect-xks-console"></a>

È possibile utilizzare la AWS KMS console per connettere un archivio chiavi esterno al relativo proxy di archiviazione chiavi esterno. Questo processo dura circa 5 minuti. 

1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi disconnettere. 

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Disconnect** (Disconnetti).

Al completamento dell'operazione, lo stato della connessione cambia da **CONNECTED (CONNESSO)** a **DISCONNECTED (DISCONNESSO)**. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Errori di connessione all'archivio delle chiavi esterne](xks-troubleshooting.md#fix-xks-connection).

### Utilizzando l'API AWS KMS
<a name="disconnect-xks-api"></a>

Per disconnettere un archivio di chiavi esterno connesso, utilizzare l'[DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Il completamento del processo può richiedere fino a cinque minuti. Per trovare lo stato di connessione dell'archivio di chiavi esterno, utilizzate l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato. 

Questo esempio disconnette un archivio delle chiavi esterne con connettività del servizio endpoint VPC. Prima di eseguire questo comando, sostituisci l'ID dell'archivio delle chiavi personalizzate di esempio con uno valido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per verificare che l'archivio chiavi esterno sia disconnesso, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Il `ConnectionState` con valore `DISCONNECTED` indica che questo archivio delle chiavi esterne di esempio non è più connesso al relativo proxy.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Eliminare un archivio chiavi esterno
<a name="delete-xks"></a>

Quando si elimina un archivio di chiavi esterno, AWS KMS elimina tutti i metadati relativi all'archivio chiavi esterno da AWS KMS, incluse le informazioni sul proxy dell'archivio chiavi esterno. Questa operazione non influisce sul [proxy dell'archivio chiavi esterno](keystore-external.md#concept-xks-proxy), sul [gestore](keystore-external.md#concept-ekm) delle [chiavi esterne, sulle chiavi esterne](keystore-external.md#concept-external-key) o su qualsiasi AWS risorsa creata per supportare l'archivio chiavi esterno, come un Amazon VPC o un servizio endpoint VPC.

Prima di eliminare un archivio delle chiavi esterne, devi [eliminare tutte le chiavi KMS](deleting-keys.md) dall'archivio delle chiavi e [disconnettere l'archivio](xks-connect-disconnect.md) dal relativo proxy. In caso contrario, i tentativi di eliminare l'archivio delle chiavi hanno esito negativo.

L'operazione di eliminazione di un archivio delle chiavi esterne è irreversibile, tuttavia puoi creare un nuovo archivio e associarlo allo stesso proxy dell'archivio delle chiavi esterne e allo stesso gestore delle chiavi esterne. Tuttavia, non è possibile ricreare le chiavi KMS di crittografia simmetrica nell'archivio di chiavi esterno, anche se si ha accesso allo stesso materiale di chiave esterna. AWS KMS include i metadati nel testo cifrato simmetrico unico per ogni chiave KMS. Questa funzionalità di sicurezza garantisce che solo la chiave KMS che ha crittografato i dati possa decrittografarli. 

Anziché eliminare l'archivio delle chiavi esterne, puoi disconnetterlo. Mentre un archivio chiavi esterno è disconnesso, è possibile gestire l'archivio chiavi esterno e il relativo, AWS KMS keys ma non è possibile creare o utilizzare le chiavi KMS nell'archivio chiavi esterno. Puoi ricollegare l'archivio delle chiavi esterne in qualsiasi momento e utilizzare le chiavi KMS per crittografare e decrittografare i dati. Non è previsto alcun costo per un proxy dell'archivio delle chiavi esterne disconnesso o per le relative chiavi KMS non disponibili.

È possibile eliminare l'archivio di chiavi esterno nella AWS KMS console o utilizzando l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione.

## Utilizzo della AWS KMS console
<a name="delete-xks-console"></a>

È possibile utilizzare la AWS KMS console per eliminare un archivio di chiavi esterno.

1. Accedi Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) in [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.

1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).

1. Trova la riga che rappresenta l'archivio delle chiavi esterne da rimuovere. Se la voce **Connection state** (Stato connessione) dell'archivio delle chiavi esterne non è **DISCONNECTED** (DISCONNESSO), devi [disconnettere l'archivio delle chiavi esterne](about-xks-disconnecting.md#disconnect-xks-console) prima di eliminarlo.

1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Delete** (Elimina).

Se l'operazione riesce, viene visualizzato un messaggio di conferma e l'archivio delle chiavi esterne non è più visualizzato nel relativo elenco. Se l'operazione ha esito negativo, viene visualizzato un messaggio di errore che descrive il problema e fornisce istruzioni su come risolverlo. Per ulteriori informazioni, consulta [Risoluzione dei problemi relativi all'archivio delle chiavi esterne](xks-troubleshooting.md).

## Utilizzando l'API AWS KMS
<a name="delete-xks-api"></a>

Per eliminare un archivio di chiavi esterno, utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione. Se l'operazione ha esito positivo, AWS KMS restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà.

Per iniziare, disconnetti l'archivio delle chiavi esterne. Prima di eseguire questo comando, sostituisci l’ID store chiavi personalizzate di esempio con uno valido.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Dopo la disconnessione dell'archivio chiavi esterno, è possibile utilizzare l'[DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operazione per eliminarlo. 

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Per confermare che l'archivio chiavi esterno è stato eliminato, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione.

```
$ aws kms describe-custom-key-stores
            
{
    "CustomKeyStores": []
}
```

Se si specifica un nome o un ID di archivio chiavi personalizzato che non esiste più, AWS KMS restituisce un'`CustomKeyStoreNotFoundException`eccezione.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0

An error occurred (CustomKeyStoreNotFoundException) when calling the DescribeCustomKeyStore operation:
```

# Risoluzione dei problemi relativi all'archivio delle chiavi esterne
<a name="xks-troubleshooting"></a>

La risoluzione per la maggior parte dei problemi con gli archivi di chiavi esterni è indicata dal messaggio di errore AWS KMS visualizzato con ogni eccezione o dal [codice di errore di connessione](#fix-xks-connection) che viene AWS KMS restituito quando un tentativo di [connettere l'archivio chiavi esterno al relativo proxy dell'archivio](xks-connect-disconnect.md) chiavi esterno ha esito negativo. Tuttavia, alcune questioni sono un po' più complesse. 

Durante la diagnosi di un problema con un archivio delle chiavi esterne, individua innanzitutto la causa. Questa operazione consente di restringere la gamma di rimedi e rendere più efficiente la risoluzione dei problemi.
+ AWS KMS — Il problema potrebbe essere interno AWS KMS, ad esempio un valore errato nella [configurazione dell'archivio chiavi esterno](create-xks-keystore.md#xks-requirements).
+ Esterno: il problema potrebbe avere origine all'esterno AWS KMS, inclusi problemi con la configurazione o il funzionamento del proxy dell'archivio chiavi esterno, del gestore delle chiavi esterne, delle chiavi esterne o del servizio endpoint VPC.
+ Rete: potrebbe essere un problema di connettività o di rete, ad esempio un problema con l'endpoint proxy, la porta, lo stack IP o il nome o dominio DNS privato.

**Nota**  
Quando le operazioni di gestione negli archivi delle chiavi esterne hanno esito negativo, generano diverse eccezioni. Tuttavia, le operazioni AWS KMS crittografiche si ripetono `KMSInvalidStateException` per tutti gli errori relativi alla configurazione esterna o allo stato di connessione dell'archivio di chiavi esterno. Per identificare il problema, utilizza il testo del messaggio di errore allegato.  
L'[ConnectCustomKeyStore](xks-connect-disconnect.md)operazione viene completata rapidamente prima del completamento del processo di connessione. Per determinare se il processo di connessione ha esito positivo, visualizza lo [stato della connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne. Se il processo di connessione fallisce, AWS KMS restituisce un [codice di errore di connessione](#xks-connection-error-codes) che spiega la causa e suggerisce una soluzione.

**Topics**
+ [Strumenti per la risoluzione dei problemi degli archivi delle chiavi esterne](#xks-troubleshooting-tools)
+ [Errori di configurazione](#fix-xks-configuration)
+ [Errori di connessione all'archivio delle chiavi esterne](#fix-xks-connection)
+ [Errori di latenza e timeout](#fix-xks-latency)
+ [Errori delle credenziali di autenticazione](#fix-xks-credentials)
+ [Errori relativi allo stato delle chiavi](#fix-unavailable-xks-keys)
+ [Errori di decrittografia](#fix-xks-decrypt)
+ [Errori relativi alla chiave esterna](#fix-external-key)
+ [Problemi relativi al proxy](#fix-xks-proxy)
+ [Problemi relativi all'autorizzazione proxy](#fix-xks-authorization)

## Strumenti per la risoluzione dei problemi degli archivi delle chiavi esterne
<a name="xks-troubleshooting-tools"></a>

AWS KMS fornisce diversi strumenti che consentono di identificare e risolvere i problemi relativi all'archivio chiavi esterno e alle relative chiavi. Utilizza questi strumenti insieme alle funzioni fornite con il proxy dell'archivio delle chiavi esterne e il gestore delle chiavi esterne.

**Nota**  
Il proxy dell'archivio delle chiavi esterne e il gestore delle chiavi esterne potrebbero fornire metodi più semplici per creare e gestire l'archivio delle chiavi esterne e le relative chiavi KMS. Per ulteriori informazioni, consulta la documentazione degli strumenti esterni. 

**AWS KMS eccezioni e messaggi di errore**  
AWS KMS fornisce un messaggio di errore dettagliato su qualsiasi problema riscontrato. Puoi trovare ulteriori informazioni sulle AWS KMS eccezioni nell'[https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) Reference e. AWS SDKs Anche se utilizzi la AWS KMS console, potresti trovare utili questi riferimenti. Ad esempio, consulta l'elenco [Errori](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) per l'operazione `CreateCustomKeyStores`.  
Per ottimizzare le prestazioni del proxy di archiviazione delle chiavi esterno, AWS KMS restituisce le eccezioni in base all'affidabilità del proxy entro un determinato periodo di aggregazione di 5 minuti. In caso di errore interno del server 500, servizio 503 non disponibile o timeout di connessione, viene restituito un proxy con elevata affidabilità `KMSInternalException` e attiva un nuovo tentativo automatico per garantire che le richieste vadano a buon fine. Tuttavia, viene restituito un proxy con bassa affidabilità. `KMSInvalidStateException` Per ulteriori informazioni, vedere [Monitoraggio di un archivio di chiavi esterno](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).   
Se il problema si presenta in un AWS servizio diverso, ad esempio quando si utilizza una chiave KMS nell'archivio di chiavi esterno per proteggere una risorsa in un altro AWS servizio, il AWS servizio potrebbe fornire informazioni aggiuntive per aiutarti a identificare il problema. Se il AWS servizio non fornisce il messaggio, puoi visualizzare il messaggio di errore nei [CloudTrail log](logging-using-cloudtrail.md) che registrano l'uso della tua chiave KMS.

**[CloudTrail logs](logging-using-cloudtrail.md)**  
Ogni operazione AWS KMS API, incluse le azioni nella AWS KMS console, viene registrata nei AWS CloudTrail log. AWS KMS registra una voce di registro per le operazioni riuscite e non riuscite. Per le operazioni con esito negativo, la voce di log include il nome dell'eccezione AWS KMS (`errorCode`) e il messaggio di errore (`errorMessage`). Puoi utilizzare queste informazioni per identificare e risolvere l'errore. Per vedere un esempio, consulta [Errore di decrittografia con una chiave KMS in un archivio delle chiavi esterne](ct-decrypt.md#ct-decrypt-xks-fail).  
La voce di log include anche l'ID della richiesta. Se la richiesta ha raggiunto il proxy dell'archivio delle chiavi esterne, puoi utilizzare l'ID della richiesta nella voce di log per trovare la richiesta corrispondente nei log del proxy, se disponibili.

**[CloudWatch metriche](monitoring-cloudwatch.md#kms-metrics)**  
AWS KMS registra CloudWatch metriche Amazon dettagliate sul funzionamento e le prestazioni del tuo archivio di chiavi esterno, tra cui latenza, throttling, errori proxy, stato di gestore di chiavi esterno, il numero di giorni che mancano alla scadenza del certificato TLS e l'età riportata delle credenziali di autenticazione proxy. Puoi utilizzare queste metriche per sviluppare modelli di dati per il funzionamento del tuo archivio di chiavi esterno e CloudWatch allarmi che ti avvisano di problemi imminenti prima che si verifichino.   
AWS KMS consiglia di creare CloudWatch allarmi per monitorare le metriche dell'archivio di chiavi esterne. Questi allarmi ti avvisano dei primi segnali di problemi prima che si verifichino.

**[Grafici di monitoraggio](xks-monitoring.md)**  
AWS KMS visualizza i grafici delle CloudWatch metriche dell'archivio chiavi esterno nella pagina di dettaglio di ogni archivio di chiavi esterno nella console. AWS KMS È possibile utilizzare i dati nei grafici per individuare l'origine degli errori, rilevare problemi imminenti, stabilire linee di base e perfezionare le soglie di allarme. CloudWatch Per informazioni dettagliate sull'interpretazione dei grafici di monitoraggio e sull'utilizzo dei relativi dati, consulta [Monitora gli archivi di chiavi esterni](xks-monitoring.md).

**Visualizzazione di archivi delle chiavi esterne e chiavi KMS**  
AWS KMS visualizza informazioni dettagliate sugli archivi di chiavi esterni e sulle chiavi KMS nell'archivio chiavi esterno della AWS KMS console e nella risposta alle operazioni and. [DescribeCustomKeyStores[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Queste visualizzazioni includono campi speciali per gli archivi delle chiavi esterne e le chiavi KMS con informazioni che è possibile utilizzare per la risoluzione dei problemi, come [lo stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne e l'ID della chiave esterna associata alla chiave KMS. Per informazioni dettagliate, vedi [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md).

**[Client di test proxy XKS](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**  
AWS KMS fornisce un client di test open source che verifica che il proxy dell'archivio chiavi esterno sia conforme alla specifica dell'API [AWS KMS External Key Store Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/). Puoi utilizzare tale client di test per identificare e risolvere i problemi relativi al proxy dell'archivio delle chiavi esterne.

## Errori di configurazione
<a name="fix-xks-configuration"></a>

Durante la creazione di un archivio delle chiavi esterne, puoi specificare i valori delle proprietà che comprendono la *configurazione* dell'archivio, come le [credenziali di autenticazione proxy](create-xks-keystore.md#require-credential), l'[endpoint URI proxy](create-xks-keystore.md#require-endpoint), il [percorso URI proxy](create-xks-keystore.md#require-path) e [il nome del servizio dell'endpoint VPC](create-xks-keystore.md#require-vpc-service-name). Quando AWS KMS rileva un errore nel valore di una proprietà, l'operazione ha esito negativo e restituisce un errore che indica il valore difettoso. 

Molti problemi di configurazione possono essere risolti correggendo il valore errato. Puoi correggere un percorso URI proxy o le credenziali di autenticazione proxy non valide senza disconnettere l'archivio delle chiavi esterne. Per le definizioni di questi valori, inclusi i requisiti di unicità, consulta [Assemblare i prerequisiti](create-xks-keystore.md#xks-requirements). Per istruzioni sull'aggiornamento di tali valori, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

Per evitare errori con il percorso URI proxy e i valori delle credenziali di autenticazione proxy, quando crei o aggiorni l'archivio delle chiavi esterne, carica un [file di configurazione proxy](create-xks-keystore.md#proxy-configuration-file) nella console AWS KMS . Si tratta di un file basato su JSON con il percorso URI proxy e i valori delle credenziali di autenticazione proxy forniti dal proxy o dal gestore delle chiavi esterne. Non è possibile utilizzare un file di configurazione proxy con le operazioni AWS KMS API, ma è possibile utilizzare i valori del file per fornire valori di parametro per le richieste API che corrispondano ai valori del proxy.

### Errori di configurazione generale
<a name="fix-xks-gen-configuration"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `XksProxyInvalidConfigurationException` (operazioni di gestione, ad eccezione di `CreateKey`)

[**Codici di errore di connessione**](#xks-connection-error-codes): `XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`

Per gli archivi di chiavi esterni con [connettività pubblica degli endpoint](choose-xks-connectivity.md#xks-connectivity-public-endpoint), AWS KMS verifica i valori delle proprietà quando crei e aggiorni l'archivio di chiavi esterno. Per gli archivi delle chiavi esterne con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity), AWS KMS testa i valori delle proprietà durante la connessione e l'aggiornamento dell'archivio delle chiavi esterne. 

**Nota**  
L'operazione `ConnectCustomKeyStore`, che è asincrona, potrebbe avere esito positivo anche se il tentativo di connettere l'archivio delle chiavi esterne al relativo proxy fallisce. In tal caso non vi è alcuna eccezione, ma lo stato di connessione dell'archivio delle chiavi esterne è Failed (Non riuscito) e viene visualizzato un codice di errore di connessione che spiega il messaggio di errore. Per ulteriori informazioni, consulta [Errori di connessione all'archivio delle chiavi esterne](#fix-xks-connection).

Se AWS KMS rileva un errore nel valore di una proprietà, l'operazione ha esito negativo e restituisce `XksProxyInvalidConfigurationException` uno dei seguenti messaggi di errore.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta a causa di un percorso URI non valido. Verifica il percorso URI dell'archivio delle chiavi esterne e aggiornalo, se necessario. | 
+ Il [percorso URI del proxy](create-xks-keystore.md#require-path) è il percorso di base per AWS KMS le richieste al proxy APIs. Se questo percorso non è corretto, tutte le richieste al proxy hanno esito negativo. Per [visualizzare il percorso URI proxy corrente](view-xks-keystore.md) dell'archivio delle chiavi esterne, usa la console AWS KMS o l'operazione `DescribeCustomKeyStores`. Per trovare il percorso URI proxy corretto, consulta la documentazione del proxy dell'archivio delle chiavi esterne. Per informazioni sulla correzione del valore relativo al percorso URI proxy, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).
+ Il percorso URI proxy per il proxy dell'archivio delle chiavi esterne può cambiare con gli aggiornamenti del proxy o del gestore delle chiavi esterne. Per informazioni relative a queste modifiche, consulta la documentazione del proxy o del gestore delle chiavi esterne.


|  | 
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS non è in grado di stabilire una connessione TLS al proxy dell'archivio delle chiavi esterne. Verifica la configurazione TLS e il relativo certificato. | 
+ Tutti i proxy dell'archivio delle chiavi esterne richiedono un certificato TLS. Il certificato TLS deve essere emesso da un'autorità di certificazione (CA) pubblica supportata per gli archivi delle chiavi esterne. Per un elenco di quelle supportate CAs, consulta [Trusted Certificate Authorities](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) nella specifica dell'API proxy AWS KMS External Key Store.
+ Per quanto riguarda la connettività dell'endpoint pubblico, il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome di dominio nell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) per il proxy dell'archivio delle chiavi esterne. Ad esempio, se l'endpoint pubblico è https://myproxy.xks.example.com il TLS, il CN sul certificato TLS deve essere `myproxy.xks.example.com` o `*.xks.example.com`.
+ Per la connettività del servizio endpoint VPC, il nome comune del soggetto (CN) sul certificato TLS deve corrispondere al nome DNS privato del [servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name). Ad esempio, se il nome DNS privato è myproxy-private.xks.example.com, il CN sul certificato TLS deve essere `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ Il certificato TLS non deve essere scaduto. Per ottenere la data di scadenza di un certificato TLS, utilizza gli strumenti SSL, come [OpenSSL](https://www.openssl.org/). Per monitorare la data di scadenza di un certificato TLS associato a un archivio di chiavi esterno, utilizza la [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch metrica. Il numero di giorni che mancano alla data di scadenza della certificazione TLS viene visualizzato anche nella [sezione **Monitoraggio** della console](xks-monitoring.md). AWS KMS 
+ Se utilizzi la [connettività dell'endpoint pubblico](choose-xks-connectivity.md#xks-connectivity-public-endpoint), testa la configurazione SSL tramite gli strumenti di test SSL. Gli errori di connessione TLS possono derivare da un concatenamento errato dei certificati. 

### Errori di configurazione per la connettività del servizio endpoint VPC
<a name="fix-xks-vpc-configuration"></a>

**Eccezioni**: `XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`

Oltre ai problemi di connettività generali, potresti riscontrare i seguenti problemi durante la creazione, la connessione o l'aggiornamento di un archivio di chiavi esterno con connettività del servizio endpoint VPC. AWS KMS verifica i valori delle proprietà di un archivio di chiavi esterno con connettività del servizio endpoint VPC durante la [creazione](create-xks-keystore.md), la [connessione](xks-connect-disconnect.md) e l'[aggiornamento](update-xks-keystore.md) dell'archivio chiavi esterno. Quando le operazioni di gestione falliscono a causa di errori di configurazione, generano le seguenti eccezioni:


|  | 
| --- |
| XksProxyVpcEndpointServiceNotFoundException | 

Di seguito è riportata la possibile causa:
+ Un nome del servizio endpoint VPC errato. Verifica che il nome del servizio endpoint VPC per l'archivio delle chiavi esterne sia corretto e corrisponda al valore dell'endpoint URI proxy per l'archivio delle chiavi esterne. Per trovare il nome del servizio endpoint VPC, usa la console Amazon [VPC](https://console.aws.amazon.com/vpc) o l'operazione. [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html) Per trovare il nome del servizio endpoint VPC e l'endpoint URI proxy di un key store esterno esistente, usa la AWS KMS console o l'operazione. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Per informazioni dettagliate, vedi [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md).
+ Il servizio endpoint VPC potrebbe trovarsi in un archivio chiavi Regione AWS diverso da quello esterno. Verifica che il servizio endpoint VPC e l'archivio delle chiavi esterne si trovino nella stessa regione. (Il nome esterno del nome della regione, ad esempio, fa parte del nome del servizio endpoint VPC`us-east-1`, ad esempio com.amazonaws.vpce.us-east-1. vpce-svc-example.) Per un elenco dei requisiti per il servizio endpoint VPC di un archivio delle chiavi esterne, consulta [Servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name). Non puoi spostare un servizio endpoint VPC o un archivio delle chiavi esterne in una regione diversa, tuttavia puoi creare un nuovo archivio delle chiavi esterne nella stessa regione del servizio endpoint VPC. Per informazioni dettagliate, consulta [Configurazione della connettività del servizio endpoint VPC](vpc-connectivity.md) e [Creare un archivio di chiavi esterno](create-xks-keystore.md).
+ AWS KMS non è un principale consentito per il servizio endpoint VPC. L'elenco **Allow principals** (Consenti entità principali) per il servizio endpoint VPC deve includere il valore `cks.kms.<region>.amazonaws.com`, ad esempio `cks.kms.eu-west-3.amazonaws.com`. Per istruzioni sull'aggiunta di questo valore, consulta [Gestione delle autorizzazioni](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) nella *Guida di AWS PrivateLink *.


|  | 
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException | 

Questo errore si verifica quando il servizio endpoint VPC non soddisfa uno dei seguenti requisiti:
+ Il VPC richiede almeno due sottoreti private, ognuna in una zona di disponibilità diversa. Per assistenza sull'aggiunta di una sottorete al VPC, consulta [Creazione di una sottorete nel VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets) nella *Guida per l'utente di Amazon VPC*.
+ Il [tipo di servizio endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) deve utilizzare un Network Load Balancer, non un sistema di bilanciamento del carico gateway.
+ L'accettazione non deve essere richiesta per il servizio endpoint VPC (**Acceptance required** [Accettazione richiesta] deve essere false). Se è richiesta l'accettazione manuale di ogni richiesta di connessione, AWS KMS non è possibile utilizzare il servizio endpoint VPC per connettersi al proxy dell'archivio chiavi esterno. Per maggiori dettagli, consulta [Accettare o rifiutare le richieste di connessione](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) nella *Guida di AWS PrivateLink *.
+ Il servizio endpoint VPC deve avere un nome DNS privato che è un sottodominio di un dominio pubblico. Ad esempio, se il nome DNS privato è `https://myproxy-private.xks.example.com`, i domini `xks.example.com` o `example.com` devono disporre di un server DNS pubblico. Per visualizzare o modificare il nome DNS privato per il servizio endpoint VPC, consulta [Gestione dei nomi DNS per i servizi endpoint VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) nella *Guida di AWS PrivateLink *.
+ Il valore di **Domain verification status** (Stato di verifica del dominio) per il nome DNS privato deve essere `verified`. Per visualizzare e aggiornare lo stato di verifica del dominio del nome DNS privato, consulta [Fase 5: Verifica il tuo nome di dominio DNS privato](vpc-connectivity.md#xks-private-dns). Potrebbero essere necessari alcuni minuti prima che venga visualizzato lo stato di verifica aggiornato dopo aver aggiunto il record di testo richiesto. 
**Nota**  
Un dominio DNS privato può essere verificato solo se è il sottodominio di un dominio pubblico. In caso contrario, lo stato di verifica del dominio DNS privato non cambia, anche dopo aver aggiunto il record TXT richiesto. 
+ Assicurati che tutti i firewall tra AWS KMS e il proxy dell'archivio chiavi esterno consentano il traffico da e verso la porta 443 del proxy. AWS KMS comunica sulla porta 443 tramite. IPv4 Questo valore non è configurabile.
+ Il nome DNS privato del servizio endpoint VPC deve corrispondere al valore dell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) per l'archivio delle chiavi esterne. Per un archivio delle chiavi esterne con connettività del servizio endpoint VPC, l'endpoint URI proxy deve essere `https://` seguito dal nome DNS privato del servizio endpoint VPC. Per visualizzare il valore dell'endpoint URI proxy, consulta [Visualizza gli archivi di chiavi esterni](view-xks-keystore.md). Per modificare il valore dell'endpoint URI proxy, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

## Errori di connessione all'archivio delle chiavi esterne
<a name="fix-xks-connection"></a>

Il [processo di connessione di un archivio delle chiavi esterne](about-xks-connecting.md) al relativo proxy richiede circa cinque minuti. Se l'operazione non genera rapidamente un errore, l'operazione `ConnectCustomKeyStore` restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare se l'archivio delle chiavi esterne è connesso, visualizza lo [stato della connessione](xks-connect-disconnect.md#xks-connection-state). Se la connessione fallisce, lo stato di connessione dell'archivio chiavi esterno cambia `FAILED` e AWS KMS restituisce un [codice di errore di connessione](#xks-connection-error-codes) che spiega la causa dell'errore.

**Nota**  
Quando lo stato di connessione di un archivio delle chiavi personalizzate è `FAILED`, devi disconnettere l'archivio prima di tentare di riconnetterlo. Non puoi connettere uno store delle chiavi personalizzate il cui stato di connessione è `FAILED`.

Per visualizzare lo stato di connessione di un archivio delle chiavi esterne:
+ Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta, visualizza il valore dell'`ConnectionState`elemento.
+ Nella AWS KMS console, **lo stato della connessione** viene visualizzato nella tabella dell'archivio chiavi esterno. Inoltre, nella pagina dei dettagli di ogni archivio delle chiavi esterne, il campo **Connection state** (Stato connessione) viene visualizzato nella sezione **General configuration** (Configurazione generale).

Quando lo stato della connessione è `FAILED`, il codice di errore di connessione indica l'errore. 

Per visualizzare il codice di errore della connessione:
+ Nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta, visualizza il valore dell'`ConnectionErrorCode`elemento. Tale elemento appare nella risposta `DescribeCustomKeyStores` solo quando `ConnectionState` è nello stato `FAILED`.
+ Per visualizzare il codice di errore di connessione nella AWS KMS console, vai alla pagina di dettaglio dell'archivio chiavi esterno e passa il mouse sul valore **Failed**.  
![\[Codice di errore di connessione nella pagina dei dettagli dell'archivio delle chiavi personalizzate\]](http://docs.aws.amazon.com/it_it/kms/latest/developerguide/images/connection-error-code.png)

### Codici di errore di connessione per archivi delle chiavi esterne
<a name="xks-connection-error-codes"></a>

I seguenti codici di errore di connessione si applicano agli archivi delle chiavi esterne

`INTERNAL_ERROR`  
AWS KMS impossibile completare la richiesta a causa di un errore interno. Riprova la richiesta . Per le richieste `ConnectCustomKeyStore`, scollega lo store delle chiavi personalizzate prima di provare a connetterti di nuovo.

`INVALID_CREDENTIALS`  
Uno o entrambi i valori `XksProxyAuthenticationCredential` non sono validi nel proxy dell'archivio delle chiavi esterne specificato.

`NETWORK_ERRORS`  
Gli errori di rete AWS KMS impediscono la connessione dell'archivio chiavi personalizzato al relativo archivio chiavi di supporto.

`XKS_PROXY_ACCESS_DENIED`  
AWS KMS alle richieste viene negato l'accesso al proxy dell'archivio chiavi esterno. Se tale proxy dispone di regole di autorizzazione, verifica che consentano ad AWS KMS di comunicare con il proxy per tuo conto.

`XKS_PROXY_INVALID_CONFIGURATION`  
Un errore di configurazione impedisce all'archivio delle chiavi esterne di connettersi al relativo proxy. Verifica il valore di `XksProxyUriPath`.

`XKS_PROXY_INVALID_RESPONSE`  
AWS KMS non è in grado di interpretare la risposta dal proxy dell'archivio chiavi esterno. Se visualizzi ripetutamente questo codice di errore di connessione, informa il fornitore del proxy dell'archivio delle chiavi esterne.

`XKS_PROXY_INVALID_TLS_CONFIGURATION`  
AWS KMS non può connettersi al proxy dell'archivio chiavi esterno perché la configurazione TLS non è valida. Verifica che il proxy dell'archivio delle chiavi esterne supporti TLS 1.2 o 1.3. Inoltre, verifica che il certificato TLS sia ancora valido, che corrisponda al nome host nel valore `XksProxyUriEndpoint` e che sia firmato da un'autorità di certificazione affidabile inclusa nell'elenco delle [autorità di certificazione attendibili](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).

`XKS_PROXY_NOT_REACHABLE`  
AWS KMS non riesce a comunicare con il proxy dell'archivio chiavi esterno. Verifica che `XksProxyUriEndpoint` e `XksProxyUriPath` siano corretti. Utilizza gli strumenti del proxy dell'archivio delle chiavi esterne per verificare che il proxy sia attivo e disponibile sulla rete. Inoltre, verifica che le istanze del gestore delle chiavi esterne funzionino correttamente. I tentativi di connessione hanno esito negativo e restituiscono questo codice di errore di connessione se il proxy segnala che tutte le istanze del gestore delle chiavi esterne non sono disponibili.

`XKS_PROXY_TIMED_OUT`  
AWS KMS può connettersi al proxy dell'archivio di chiavi esterno, ma il proxy non risponde AWS KMS nel tempo assegnato. Se visualizzi ripetutamente questo codice di errore di connessione, informa il fornitore del proxy dell'archivio delle chiavi esterne.

`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`  
La configurazione del servizio endpoint Amazon VPC non è conforme ai requisiti per un AWS KMS archivio di chiavi esterno.  
+ Il servizio endpoint VPC deve essere un servizio endpoint per gli endpoint di interfaccia nell' Account AWS del chiamante.
+ Deve avere un Network Load Balancer (NLB) connesso ad almeno due sottoreti, ognuna in una zona di disponibilità diversa.
+ L'`Allow principals`elenco deve includere il AWS KMS servizio principale per la regione`cks.kms.<region>.amazonaws.com`, ad esempio. `cks.kms.us-east-1.amazonaws.com`
+ *Non* deve richiedere l'[accettazione](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) delle richieste di connessione.
+ Deve avere un nome DNS privato. Il nome DNS privato per un archivio delle chiavi esterne con connettività `VPC_ENDPOINT_SERVICE` deve essere univoco nella Regione AWS.
+ Lo [stato di verifica](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html) per il dominio del nome DNS privato deve essere `verified`.
+ Il [certificato TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) specifica il nome host DNS privato in cui è raggiungibile l'endpoint.

`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`  
AWS KMS non riesce a trovare il servizio endpoint VPC che utilizza per comunicare con il proxy di archiviazione chiavi esterno. Verifica che `XksProxyVpcEndpointServiceName` sia corretto e che il principale del servizio AWS KMS disponga delle autorizzazioni consumer per il servizio endpoint Amazon VPC.

## Errori di latenza e timeout
<a name="fix-xks-latency"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `XksProxyUriUnreachableException` (operazioni di gestione)

[**Codici di errore di connessione**](#xks-connection-error-codes): `XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`

Quando non AWS KMS riesce a contattare il proxy entro l'intervallo di timeout di 250 millisecondi, restituisce un'eccezione. `CreateCustomKeyStore``XksProxyUriUnreachableException`e torna. `UpdateCustomKeyStore` Le operazioni crittografiche restituiscono lo standard `KMSInvalidStateException` con un messaggio di errore che descrive il problema. Se `ConnectCustomKeyStore` fallisce, AWS KMS restituisce un [codice di errore di connessione](#fix-xks-connection) che descrive il problema. 

Gli errori di timeout possono essere problemi temporanei che possono essere risolti ripetendo la richiesta. Se il problema persiste, verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete e che l'endpoint URI proxy, il percorso URI proxy e il nome del servizio endpoint VPC (se presente) siano corretti. Inoltre, verifica che il gestore delle chiavi esterno sia vicino Regione AWS all'archivio delle chiavi esterno. Se è necessario aggiornare uno di questi valori, consulta [Modifica delle proprietà dell'archivio chiavi esterno](update-xks-keystore.md).

Per tenere traccia dei modelli di latenza, utilizza la [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch metrica e il grafico della **latenza media** (basato su tale metrica) nella [sezione **Monitoraggio della console**](xks-monitoring.md). AWS KMS Il proxy dell'archivio delle chiavi esterne potrebbe anche generare log e parametri in grado di tracciare la latenza e i timeout.


|  | 
| --- |
| `XksProxyUriUnreachableException`AWS KMS non è in grado di comunicare con il proxy dell'archivio chiavi esterno. Potrebbe trattarsi di un problema di rete temporaneo. Se visualizzi questo errore ripetutamente, verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete e che l'URI endpoint sia corretto. | 
+ Il proxy dell'archivio chiavi esterno non ha risposto a una richiesta API AWS KMS proxy entro l'intervallo di timeout di 250 millisecondi. Ciò potrebbe indicare un problema di rete temporaneo o un problema operativo o di prestazioni con il proxy. Se un nuovo tentativo non risolve il problema, informa l'amministratore del proxy dell'archivio delle chiavi esterne.

Gli errori di latenza e timeout si manifestano spesso come errori di connessione. Quando l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione ha esito negativo, lo *stato di connessione* dell'archivio chiavi esterno cambia `FAILED` e AWS KMS restituisce un *codice di errore di connessione che spiega l'errore.* Per un elenco di codici di errore di connessione e suggerimenti per la relativa risoluzione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](#xks-connection-error-codes). Gli elenchi dei codici di connessione per **All custom key stores** (Tutti gli archivi delle chiavi personalizzate) e **External key stores** (Archivi delle chiavi esterne) si applicano agli archivi delle chiavi esterne. I seguenti errori di connessione sono correlati alla latenza e ai timeout.


|  | 
| --- |
| `XKS_PROXY_NOT_REACHABLE`oppure`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS non può comunicare con il proxy dell'archivio chiavi esterno. Verifica che il proxy dell'archivio delle chiavi esterne sia attivo e connesso alla rete e che il percorso URI e l'URI endpoint o il nome del servizio VPC siano corretti nell'archivio delle chiavi esterne. | 

Questo errore può verificarsi per i seguenti motivi:
+ Il proxy dell'archivio delle chiavi esterne non è attivo o non è connesso alla rete.
+ Si è verificato un errore nei valori [endpoint URI proxy](create-xks-keystore.md#require-endpoint), [percorso URI proxy](create-xks-keystore.md#require-path) o del [nome del servizio endpoint VPC](create-xks-keystore.md#require-vpc-service-name) (se applicabile) nella configurazione dell'archivio delle chiavi esterne. Per visualizzare la configurazione dell'archivio chiavi esterno, utilizza l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione o [visualizza la pagina di dettaglio](view-xks-keystore.md) dell'archivio chiavi esterno nella AWS KMS console.
+ Potrebbe esserci un errore di configurazione di rete, ad esempio un errore di porta, nel percorso di rete tra AWS KMS e il proxy dell'archivio chiavi esterno. AWS KMS comunica con il proxy dell'archivio chiavi esterno sulla porta 443 tramite. IPv4 Questo valore non è configurabile.
+ Quando il proxy dell'archivio chiavi esterno segnala (in [GetHealthStatus](keystore-external.md#concept-proxy-apis)risposta) che tutte le istanze del gestore di chiavi esterno lo sono`UNAVAILABLE`, l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione fallisce e restituisce un valore di. `ConnectionErrorCode` `XKS_PROXY_NOT_REACHABLE` Per assistenza, consulta la documentazione del gestore delle chiavi esterne.
+ Questo errore può derivare da una lunga distanza fisica tra il gestore di chiavi esterno e Regione AWS l'archivio chiavi esterno. La latenza del ping (network round-trip time (RTT)) tra il gestore delle chiavi Regione AWS e quello esterno non deve superare i 35 millisecondi. Potrebbe essere necessario creare un archivio di chiavi esterno in un Regione AWS data center più vicino al gestore di chiavi esterno o spostare il gestore di chiavi esterno in un data center più vicino al. Regione AWS


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`oppure`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS ha rifiutato la richiesta perché il proxy dell'archivio delle chiavi esterne non ha risposto in tempo. Riprova la richiesta . Se visualizzi questo errore ripetutamente, segnalalo all'amministratore del proxy dell'archivio delle chiavi esterne. | 

Questo errore può verificarsi per i seguenti motivi:
+ Questo errore può essere causato da una grande distanza fisica tra il gestore delle chiavi esterne e il proxy dell'archivio delle chiavi esterne. Se possibile, avvicina il proxy al gestore delle chiavi esterne.
+ Gli errori di timeout possono verificarsi quando il proxy non è progettato per gestire il volume e la frequenza delle richieste da AWS KMS. Se le tue CloudWatch metriche indicano un problema persistente, avvisa l'amministratore proxy dell'archivio chiavi esterno.
+ Gli errori di timeout possono verificarsi quando la connessione tra il gestore delle chiavi esterne e Amazon VPC per l'archivio delle chiavi esterne non funziona correttamente. Se lo utilizzi AWS Direct Connect, verifica che il tuo VPC e il gestore di chiavi esterno possano comunicare in modo efficace. Per assistenza nella risoluzione di eventuali problemi, consulta [Risoluzione dei problemi AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html) nella Guida per l' Direct Connect utente. 


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`oppure`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Il proxy dell'archivio delle chiavi esterne non ha risposto alla richiesta nel tempo assegnato. Riprova la richiesta . Se visualizzi questo errore ripetutamente, segnalalo all'amministratore del proxy dell'archivio delle chiavi esterne. | 
+ Questo errore può essere causato da una grande distanza fisica tra il gestore delle chiavi esterne e il proxy dell'archivio delle chiavi esterne. Se possibile, avvicina il proxy al gestore delle chiavi esterne.

## Errori delle credenziali di autenticazione
<a name="fix-xks-credentials"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `XksProxyIncorrectAuthenticationCredentialException` (operazioni di gestione diverse da `CreateKey`)

L'utente stabilisce e mantiene una credenziale di autenticazione per AWS KMS il proxy di archiviazione delle chiavi esterno. Quindi, quando AWS KMS crei un archivio di chiavi esterno, indichi i valori delle credenziali. Per modificare le credenziali di autenticazione, esegui questa operazione nel proxy dell'archivio delle chiavi esterne. Quindi [aggiorna le credenziali](update-xks-keystore.md#xks-edit-name) per l'archivio delle chiavi esterne. Se il proxy effettua la rotazione delle credenziali, devi [aggiornarle](update-xks-keystore.md#xks-edit-name). 

Se il proxy dell'archivio delle chiavi esterne non autentica una richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne, l'effetto dipende dalla richiesta:
+ `CreateCustomKeyStore` e `UpdateCustomKeyStore` hanno esito negativo con un'eccezione `XksProxyIncorrectAuthenticationCredentialException`.
+ `ConnectCustomKeyStore` ha esito positivo, ma la connessione fallisce. Lo stato della connessione è `FAILED` e il codice di errore è `INVALID_CREDENTIALS`. Per informazioni dettagliate, vedi [Errori di connessione all'archivio delle chiavi esterne](#fix-xks-connection).
+ Le operazioni crittografiche restituiscono tutti `KMSInvalidStateException` gli errori di configurazione esterni e gli errori dello stato di connessione in un archivio di chiavi esterno. Il messaggio di errore allegato descrive il problema.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non era in grado di autenticare AWS KMS. Verifica le credenziali dell'archivio delle chiavi esterne e aggiornale se necessario.  | 

Questo errore può verificarsi per i seguenti motivi:
+ L'ID della chiave di accesso o la chiave di accesso segreta per l'archivio delle chiavi esterne non corrisponde ai valori stabiliti nel proxy. 

  Per correggere questo errore, [aggiorna le credenziali di autenticazione proxy](update-xks-keystore.md#xks-edit-name) per l'archivio delle chiavi esterne. Puoi apportare questa modifica senza disconnettere l'archivio delle chiavi esterne.
+ Un proxy inverso tra AWS KMS e il proxy dell'archivio di chiavi esterno potrebbe manipolare le intestazioni HTTP in modo da invalidare le firme SigV4. Per correggere questo errore, informa l'amministratore del proxy.

## Errori relativi allo stato delle chiavi
<a name="fix-unavailable-xks-keys"></a>

**Eccezioni**: `KMSInvalidStateException`

`KMSInvalidStateException` viene utilizzato per due scopi distinti per le chiavi KMS negli archivi delle chiavi personalizzate. 
+ Quando un'operazione di gestione, ad esempio `CancelKeyDeletion`, ha esito negativo e restituisce questa eccezione, indica che lo [stato](key-state.md) della chiave KMS non è compatibile con l'operazione.
+ Quando un'[operazione di crittografia](kms-cryptography.md#cryptographic-operations) su una chiave KMS in un archivio delle chiavi personalizzate ha esito negativo e restituisce un'eccezione `KMSInvalidStateException`, può indicare un problema con lo stato della chiave KMS. Tuttavia, le operazioni AWS KMS crittografiche restituiscono tutti gli errori di configurazione esterni e `KMSInvalidStateException` gli errori dello stato di connessione in un archivio di chiavi esterno. Per identificare il problema, utilizza il messaggio di errore che accompagna l'eccezione.

Per trovare lo stato della chiave richiesto per le operazioni di un' AWS KMS API, vedere[Stati chiave delle AWS KMS chiavi](key-state.md). Per trovare lo stato di chiave di una chiave KMS, nella pagina **Chiavi gestite cliente**, visualizza il campo **Stato** della chiave KMS. In alternativa, utilizzate l'[DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operazione e visualizzate l'`KeyState`elemento nella risposta. Per informazioni dettagliate, vedi [Identifica e visualizza le chiavi](viewing-keys.md).

**Nota**  
Lo stato di una chiave KMS in un archivio delle chiavi esterne non indica lo stato della [chiave esterna](keystore-external.md#concept-external-key) associata. Per informazioni sullo stato della chiave esterna, usa il gestore delle chiavi esterne e gli strumenti del proxy dell'archivio delle chiavi esterne.   
`CustomKeyStoreInvalidStateException` si riferisce allo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne, non allo [stato chiave](key-state.md) di una chiave KMS.

Un'operazione di crittografia su una chiave KMS in un archivio personalizzato potrebbe non riuscire perché lo stato della chiave KMS è `Unavailable` o `PendingDeletion`. (I tasti disattivati restituiscono `DisabledException`).
+ Una chiave KMS ha uno stato `Disabled` chiave solo quando la disabiliti intenzionalmente nella AWS KMS console o utilizzando l'operazione. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Quando una chiave KMS è disabilitata, puoi visualizzare e gestire la chiave, ma non utilizzarla per operazioni di crittografia. Per risolvere il problema, abilita la chiave. Per informazioni dettagliate, vedi [Attivazione e disattivazione delle chiavi](enabling-keys.md).
+ Una chiave KMS ha uno stato chiave `Unavailable` quando l'archivio delle chiavi esterne viene disconnesso dal relativo proxy. Per correggere una chiave KMS non disponibile, [riconnetti l'archivio delle chiavi esterne](xks-connect-disconnect.md). Dopo la riconnessione, per le chiavi KMS nell'archivio delle chiavi esterne viene ripristinato lo stato di chiave precedente, ovvero `Enabled` o `Disabled`.

  Una chiave KMS ha uno stato di chiave `PendingDeletion` quando ne è stata programmata l'eliminazione e si trova nel periodo di attesa. Un errore di stato della chiave su una chiave KMS in attesa di eliminazione indica che la chiave non deve essere eliminata, perché viene utilizzata per la crittografia o è necessaria per la decrittografia. Per riattivare la chiave KMS, annulla l'eliminazione pianificata e [abilita la chiave](enabling-keys.md). Per informazioni dettagliate, vedi [Pianifica l'eliminazione delle chiavi](deleting-keys-scheduling-key-deletion.md).

## Errori di decrittografia
<a name="fix-xks-decrypt"></a>

**Eccezioni**: `KMSInvalidStateException`

Quando un'operazione di [decrittografia](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) con una chiave KMS in un archivio di chiavi esterno non riesce, AWS KMS restituisce lo standard `KMSInvalidStateException` utilizzato dalle operazioni di crittografia per tutti gli errori di configurazione esterni e gli errori dello stato di connessione su un archivio di chiavi esterno. Il messaggio di errore indica il problema.

Per decrittografare un testo criptato con [doppia crittografia](keystore-external.md#concept-double-encryption), il gestore delle chiavi esterne utilizza prima la chiave esterna per decrittografare il livello esterno. Quindi AWS KMS utilizza il materiale AWS KMS chiave contenuto nella chiave KMS per decrittografare lo strato interno del testo cifrato. Un testo criptato non valido o danneggiato può essere rifiutato dal gestore delle chiavi esterne o da AWS KMS.

I seguenti messaggi di errore accompagnano `KMSInvalidStateException` quando la decrittografia ha esito negativo. Indica un problema con il testo criptato o il contesto di crittografia opzionale nella richiesta.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché il testo criptato specificato o i dati autenticati aggiuntivi sono danneggiati, mancanti o non validi. | 
+ Quando il proxy dell'archivio chiavi esterno o il gestore di chiavi esterno segnala che un testo cifrato o il relativo contesto di crittografia non sono validi, in genere indica un problema con il testo cifrato o il contesto di crittografia nella richiesta inviata a. `Decrypt` AWS KMS Per `Decrypt` le operazioni, AWS KMS invia al proxy lo stesso testo cifrato e lo stesso contesto di crittografia che riceve nella richiesta. `Decrypt` 

  Questo errore potrebbe essere causato da un problema di rete in transito, ad esempio un bit capovolto. Riprova la richiesta `Decrypt`. Se il problema persiste, verifica che il testo criptato non sia stato alterato o danneggiato. Inoltre, verifica che il contesto di crittografia nella `Decrypt` richiesta AWS KMS corrisponda al contesto di crittografia nella richiesta che ha crittografato i dati.


|  | 
| --- |
| Il testo criptato o il contesto di crittografia inviato dal proxy dell'archivio delle chiavi esterne per la decrittografia è danneggiato, mancante o non valido. | 
+ Quando AWS KMS rifiuta il testo cifrato ricevuto dal proxy, indica che il gestore delle chiavi o il proxy esterno ha restituito un testo cifrato non valido o danneggiato a. AWS KMS

  Questo errore potrebbe essere causato da un problema di rete in transito, ad esempio un bit capovolto. Riprova la richiesta `Decrypt`. Se il problema persiste, verifica che il gestore di chiavi esterno funzioni correttamente e che il proxy dell'archivio chiavi esterno non alteri il testo cifrato ricevuto dal gestore di chiavi esterno prima di restituirlo. AWS KMS

## Errori relativi alla chiave esterna
<a name="fix-external-key"></a>

Una [chiave esterna](keystore-external.md#concept-external-key) è una chiave crittografica nel gestore delle chiavi esterne che funge da materiale della chiave per una chiave KMS. AWS KMS non è in grado di accedere direttamente alla chiave esterna, ma deve chiedere al gestore delle chiavi esterne (tramite il proxy dell'archivio delle chiavi esterne) di utilizzare la chiave esterna per crittografare i dati o decrittografare un testo criptato.

L'ID della chiave esterna viene specificato nel relativo gestore durante la creazione di una chiave KMS nell'archivio delle chiavi esterne. Non puoi modificare l'ID della chiave esterna dopo la creazione della chiave KMS. Per evitare problemi con la chiave KMS, puoi utilizzare l'operazione `CreateKey` per chiedere al proxy dell'archivio delle chiavi esterne di verificare l'ID e la configurazione della chiave esterna. Se la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione `CreateKey` ha esito negativo con un'eccezione e un messaggio di errore che identifica il problema. 

Tuttavia, possono verificarsi problemi dopo la creazione della chiave KMS. Se un'operazione di crittografia fallisce a causa di un problema con la chiave esterna, l'operazione ha esito negativo e restituisce un'eccezione `KMSInvalidStateException` con un messaggio di errore che indica il problema.

### CreateKey errori per la chiave esterna
<a name="fix-external-key-create"></a>

**Eccezioni**: `XksKeyAlreadyInUseException`, `XksKeyNotFoundException`, `XksKeyInvalidConfigurationException`

L'[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)operazione tenta di verificare l'ID e le proprietà della chiave esterna fornita nel parametro **External key ID** (console) o `XksKeyId` (API). Questa procedura è progettata per rilevare gli errori in anticipo prima di provare a utilizzare la chiave esterna con la chiave KMS.

**Chiave esterna in uso** 

Ogni chiave KMS in un archivio delle chiavi esterne deve utilizzare una chiave esterna diversa. Quando `CreateKey` riconosce che l'ID della chiave esterna (XksKeyId) per una chiave KMS non è univoco nell'archivio delle chiavi esterne, fallisce e restituisce un. `XksKeyAlreadyInUseException` 

Se ne usi più di una IDs per la stessa chiave esterna, `CreateKey` non riconoscerà la chiave duplicata. Tuttavia, le chiavi KMS con la stessa chiave esterna non sono interoperabili perché hanno materiali AWS KMS chiave e metadati diversi. 

**Chiave esterna non trovata** 

Quando il proxy dell'archivio chiavi esterno segnala di non riuscire a trovare la chiave esterna utilizzando l'ID della chiave esterna (XksKeyId) per la chiave KMS, l'`CreateKey`operazione fallisce e restituisce il seguente messaggio `XksKeyNotFoundException` di errore.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non riusciva a trovare la chiave esterna. | 

Questo errore può verificarsi per i seguenti motivi:
+ L'ID della chiave esterna (`XksKeyId`) per la chiave KMS potrebbe non essere valido. Per individuare l'ID utilizzato dal proxy dell'archivio delle chiavi esterne per identificare la chiave esterna, consulta la documentazione del proxy o del gestore delle chiavi esterne. 
+ La chiave esterna potrebbe essere stata eliminata dal gestore delle chiavi esterne. Per verificare, utilizza gli strumenti del gestore delle chiavi esterne. Se la chiave esterna viene eliminata definitivamente, usa una chiave esterna diversa con la chiave KMS. Per un elenco dei requisiti per la chiave esterna, consulta [Requisiti per una chiave KMS in un archivio delle chiavi esterne](create-xks-keys.md#xks-key-requirements).

**Requisiti della chiave esterna non soddisfatti**

Quando il proxy dell'archivio delle chiavi esterne segnala che la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione `CreateKey` ha esito negativo e restituisce l'eccezione `XksKeyInvalidConfigurationException` con uno dei seguenti messaggi di errore.


|  | 
| --- |
| La specifica della chiave per la chiave esterna deve essere AES\$1256. La specifica chiave della chiave esterna specificata è. <key-spec> | 
+ La chiave esterna deve essere una chiave crittografica simmetrica a 256 bit con una specifica della chiave AES\$1256. Se la chiave esterna specificata è di tipo diverso, specifica l'ID di una chiave esterna che soddisfi questo requisito. 


|  | 
| --- |
| Lo stato della chiave esterna deve essere ENABLED (ABILITATO). Lo stato della chiave esterna specificata è<status>. | 
+ La chiave esterna deve essere abilitata nel gestore delle chiavi esterne. Se la chiave esterna specificata non è abilitata, utilizza gli strumenti del gestore delle chiavi esterne per abilitarla o specifica una chiave esterna abilitata.


|  | 
| --- |
| L'utilizzo della chiave per la chiave esterna deve includere ENCRYPT e DECRYPT. L'uso chiave della chiave esterna specificata è < key-usage >. | 
+ La chiave esterna deve essere configurata per la crittografia e la decrittografia nel gestore delle chiavi esterne. Se la chiave esterna specificata non include queste operazioni, utilizza gli strumenti del gestore delle chiavi esterne per modificare le operazioni o specifica una chiave esterna diversa.

### Errori relativi alle operazioni di crittografia per la chiave esterna
<a name="fix-external-key-crypto"></a>

**Eccezioni**: `KMSInvalidStateException`

Quando il proxy dell'archivio delle chiavi esterne non riesce a trovare la chiave esterna associata alla chiave KMS o la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione di crittografia ha esito negativo. 

I problemi relativi alla chiave esterna rilevati durante un'operazione di crittografia sono più difficili da risolvere rispetto ai problemi rilevati prima della creazione della chiave KMS. Non puoi modificare l'ID della chiave esterna dopo la creazione della chiave KMS. Se la chiave KMS non ha ancora crittografato alcun dato, puoi eliminare la chiave KMS e crearne una nuova con un ID diverso. Tuttavia, il testo cifrato generato con la chiave KMS non può essere decrittografato da nessun'altra chiave KMS, nemmeno da una con la stessa chiave esterna, poiché le chiavi avranno metadati chiave diversi e materiale chiave diverso. AWS KMS Al contrario, utilizza per quanto possibile gli strumenti del gestore delle chiavi esterne per risolvere il problema con la chiave esterna. 

Quando il proxy dell'archivio delle chiavi esterne segnala un problema con la chiave esterna, le operazioni di crittografia restituiscono l'eccezione `KMSInvalidStateException` con un messaggio di errore che identifica il problema.

**Chiave esterna non trovata**

Quando il proxy dell'archivio di chiavi esterno segnala di non riuscire a trovare la chiave esterna utilizzando l'ID della chiave esterna (XksKeyId) per la chiave KMS, le operazioni crittografiche restituiscono un messaggio di errore con il seguente messaggio di errore. `KMSInvalidStateException` 


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché non riusciva a trovare la chiave esterna. | 

Questo errore può verificarsi per i seguenti motivi:
+ L'ID della chiave esterna (`XksKeyId`) per la chiave KMS non è più valido. 

  Per trovare l'ID della chiave esterna associato alla chiave KMS, [visualizza i dettagli della chiave KMS](identify-key-types.md#view-xks-key). Per individuare l'ID utilizzato dal proxy dell'archivio delle chiavi esterne per identificare la chiave esterna, consulta la documentazione del proxy o del gestore delle chiavi esterne.

  AWS KMS verifica l'ID della chiave esterna quando crea una chiave KMS in un archivio di chiavi esterno. Tuttavia, l'ID potrebbe non essere valido, soprattutto se il valore dell'ID della chiave esterna è un alias o un nome modificabile. Non puoi modificare l'ID della chiave esterna associato a una chiave KMS esistente. Per decrittografare un testo criptato generato con la chiave KMS, devi associare nuovamente la chiave esterna all'ID della chiave esterna esistente.

  Se non hai ancora utilizzato la chiave KMS per crittografare i dati, puoi creare una nuova chiave KMS con un ID della chiave esterna valido. Tuttavia, se hai generato un testo criptato con la chiave KMS, non puoi usare nessun'altra chiave KMS per decrittografarlo, anche se utilizza la stessa chiave esterna.
+ La chiave esterna potrebbe essere stata eliminata dal gestore delle chiavi esterne. Per verificare, utilizza gli strumenti del gestore delle chiavi esterne. Se possibile, prova a [recuperare il materiale della chiave](fix-keystore.md#fix-keystore-recover-backing-key) da una copia o da un backup del gestore delle chiavi esterne. Se la chiave esterna viene eliminata definitivamente, qualsiasi testo criptato generato con la chiave KMS associata è irrecuperabile.

**Errori di configurazione della chiave esterna**

Quando il proxy dell'archivio delle chiavi esterne segnala che la chiave esterna non [soddisfa i requisiti](create-xks-keys.md#xks-key-requirements) per l'uso con una chiave KMS, l'operazione di crittografia genera l'eccezione `KMSInvalidStateException` con uno dei seguenti messaggi di errore. 


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché la chiave esterna non supporta l'operazione richiesta. | 
+ La chiave esterna deve supportare sia la crittografia che la decrittografia. Se l'utilizzo della chiave non include queste due operazioni, utilizza gli strumenti del gestore delle chiavi esterne per modificarlo.


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta perché la chiave esterna non è abilitata nel gestore delle chiavi esterne. | 
+ La chiave esterna deve essere abilitata e disponibile per l'uso nel gestore delle chiavi esterne. Se lo stato della chiave esterna non è `Enabled`, utilizza gli strumenti del gestore delle chiavi esterne per abilitarlo.

## Problemi relativi al proxy
<a name="fix-xks-proxy"></a>

**Eccezioni:** 

 `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operazioni di crittografia), `UnsupportedOperationException`, `XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (operazioni di gestione diverse da `CreateKey`)

Il proxy dell'archivio chiavi esterno media tutte le comunicazioni tra AWS KMS e il gestore delle chiavi esterno. Traduce AWS KMS le richieste generiche in un formato comprensibile al gestore delle chiavi esterno. Se il proxy dell'archivio chiavi esterno non è conforme alla [specifica dell'API AWS KMS External Key Store Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/), o se non funziona correttamente o non è in grado di comunicare con esso AWS KMS, non sarai in grado di creare o utilizzare le chiavi KMS nel tuo archivio di chiavi esterno. 

Sebbene molti errori menzionino il proxy dell'archivio delle chiavi esterne a causa del suo ruolo fondamentale nell'architettura dell'archivio, tali problemi potrebbero avere origine nel gestore delle chiavi esterne o nella chiave esterna. 

I problemi descritti in questa sezione riguardano errori relativi alla progettazione o al funzionamento del proxy dell'archivio delle chiavi esterne. La risoluzione di questi problemi potrebbe richiedere una modifica al software proxy. Rivolgiti al tuo amministratore proxy. Per aiutarti nell'eseguire la diagnostica dei problemi relativi al proxy, AWS KMS mette a disposizione un [client di test XKS Proxy](https://github.com/aws-samples/aws-kms-xksproxy-test-client), un client open source che verifica la conformità del proxy dell'archivio delle chiavi esterne alla [Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/).


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `XksProxyUriUnreachableException`Il proxy dell'archivio delle chiavi esterne è in uno stato non integro. Se visualizzi questo messaggio ripetutamente, informa l'amministratore del proxy dell'archivio delle chiavi esterne. | 
+ Questo errore può indicare un problema operativo o un errore software nel proxy dell'archivio delle chiavi esterne. Puoi trovare le voci di CloudTrail registro relative all'operazione AWS KMS API che ha generato ogni errore. Questo errore può essere risolto riprovando a eseguire l'operazione. Se persiste, contatta l'amministratore del proxy dell'archivio delle chiavi esterne.
+ Quando il proxy dell'archivio di chiavi esterno segnala (in una [GetHealthStatus](keystore-external.md#concept-proxy-apis)risposta) che tutte le istanze del gestore di chiavi esterno lo sono`UNAVAILABLE`, i tentativi di creare o aggiornare un archivio di chiavi esterno falliscono con questa eccezione. Se l'errore persiste, consulta la documentazione del gestore delle chiavi esterne.


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `XksProxyInvalidResponseException`AWS KMS non è in grado di interpretare la risposta dal proxy dell'archivio chiavi esterno. Se visualizzi questo errore ripetutamente, rivolgiti all'amministratore del proxy dell'archivio delle chiavi esterne. | 
+ AWS KMS le operazioni generano questa eccezione quando il proxy restituisce una risposta indefinita che AWS KMS non può essere analizzata o interpretata. Questo errore può verificarsi occasionalmente a causa di problemi esterni temporanei o errori di rete sporadici. Se l'errore persiste, potrebbe indicare che il proxy dell'archivio delle chiavi esterne non è conforme alla [Specifica API relativa al proxy dell'archivio delle chiavi esterne di AWS KMS](https://github.com/aws/aws-kms-xksproxy-api-spec/). Informa l'amministratore o il fornitore dell'archivio delle chiavi esterne.


|  | 
| --- |
|  `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` o `UnsupportedOperationException` Il proxy dell'archivio delle chiavi esterne ha rifiutato la richiesta in quanto non supporta l'operazione di crittografia richiesta. | 
+ Il proxy dell'archivio chiavi esterno deve supportare tutti i [proxy APIs](keystore-external.md#concept-proxy-apis) definiti nella specifica dell'[API AWS KMS External Key Store Proxy](https://github.com/aws/aws-kms-xksproxy-api-spec/). Questo errore indica che il proxy non supporta l'operazione correlata alla richiesta. Informa l'amministratore o il fornitore dell'archivio delle chiavi esterne.

## Problemi relativi all'autorizzazione proxy
<a name="fix-xks-authorization"></a>

**Eccezioni**: `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`

Alcuni proxy degli archivi delle chiavi esterne implementano i requisiti di autorizzazione per l'uso delle relative chiavi esterne. Un proxy dell'archivio delle chiavi esterne è consentito, ma non obbligatorio, per progettare e implementare uno schema di autorizzazione che consenta a determinati utenti di richiedere operazioni particolari in determinate condizioni. Ad esempio, un proxy potrebbe consentire a un utente di eseguire la crittografia con una particolare chiave esterna, ma non di effettuare l'operazione inversa. Per ulteriori informazioni, consulta [Autorizzazione proxy dell'archivio delle chiavi esterne (facoltativo)](authorize-xks-key-store.md#xks-proxy-authorization).

L'autorizzazione del proxy si basa sui metadati AWS KMS inclusi nelle sue richieste al proxy. I campi `awsSourceVpc` e `awsSourceVpce` sono inclusi nei metadati solo quando la richiesta proviene da un endpoint VPC e solo quando il chiamante si trova nello stesso account della chiave KMS. 

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Quando il proxy rifiuta una richiesta a causa di un errore di autorizzazione, l' AWS KMS operazione correlata fallisce. `CreateKey`restituisce`CustomKeyStoreInvalidStateException`. AWS KMS le operazioni crittografiche ritornano`KMSInvalidStateException`. Entrambi utilizzano il messaggio di errore seguente:


|  | 
| --- |
| Il proxy dell'archivio delle chiavi esterne ha negato l'accesso all'operazione. Verifica che l'utente e la chiave esterna siano autorizzati per questa operazione e riprova a eseguire la richiesta. | 
+ Per risolvere l'errore, utilizza il gestore delle chiavi esterne o gli strumenti del proxy per determinare il motivo per cui l'autorizzazione non è riuscita. Quindi, aggiorna la procedura che ha causato un errore nella richiesta di autorizzazione o utilizza gli strumenti del proxy dell'archivio delle chiavi esterne per aggiornare la policy di autorizzazione. Non puoi risolvere questo errore in AWS KMS.