Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Elección de una opción de conectividad proxy del almacén de claves externo
<a name="choose-xks-connectivity"></a>

Antes de crear el almacén de claves externo, elija la opción de conectividad que determine cómo AWS KMS se comunica con los componentes del almacén de claves externo. La opción de conectividad que elija determina el resto del proceso de planificación.

Si va a crear un almacén de claves externo, debe determinar cómo AWS KMS se comunica con el [proxy del almacén de claves externo](keystore-external.md#concept-xks-proxy). Esta elección determinará qué componentes necesita y cómo los configura. AWS KMS admite las siguientes opciones de conectividad.
+ [Conectividad de punto de conexión público](#xks-connectivity-public-endpoint)
+ [Conectividad del servicio del punto de conexión de VPC](#xks-vpc-connectivity)

Elija la opción que se ajuste a sus objetivos de rendimiento y seguridad.

Antes de empezar, [confirme que necesita un almacén de claves externo](keystore-external.md#do-i-need-xks). La mayoría de los clientes pueden usar claves KMS respaldadas por material AWS KMS clave.

**Consideraciones**
+ Si el proxy del almacén de claves externo está integrado en el administrador de claves externo, es posible que la conectividad esté predeterminada. Para obtener orientación, consulte la documentación de su administrador de claves externo o proxy del almacén de claves externo.
+ Puede [cambiar la opción de conectividad proxy del almacén de claves externo](update-xks-keystore.md) incluso en un almacén de claves externo en funcionamiento. Sin embargo, el proceso debe planificarse y ejecutarse en detalle para minimizar las interrupciones, evitar errores y garantizar el acceso continuo a las claves criptográficas que cifran los datos.

## Conectividad de punto de conexión público
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS se conecta al proxy del almacén de claves externo (proxy XKS) a través de Internet mediante un punto final público.

Esta opción de conectividad es más fácil de configurar y mantener, y se alinea bien con algunos modelos de administración de claves. Sin embargo, es posible que no cumpla con los requisitos de seguridad de algunas organizaciones.

![\[Conectividad de punto de conexión público\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**Requisitos**

Si elige la conectividad de punto de conexión público, se requiere lo siguiente. 
+ El proxy de su almacén de claves externo debe estar accesible en un punto de conexión que se pueda enrutar públicamente. 
+ Puede utilizar el mismo punto de conexión público para varios almacenes de claves externos, siempre que utilicen valores de [ruta URI de proxy](create-xks-keystore.md#require-path) diferentes. 
+ No puede usar el mismo punto final para un almacén de claves externo con conectividad de punto final público y cualquier almacén de claves externo con conectividad de servicios de punto final de VPC en el mismo lugar Región de AWS, incluso si los almacenes de claves están en diferentes. Cuentas de AWS
+ Debe obtener un certificado TLS emitido por una autoridad de certificación pública compatible con almacenes de claves externos. Para obtener una lista, consulte [Autoridades de certificación de confianza](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). 

  El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre de dominio en el [punto de conexión URI del proxy](create-xks-keystore.md#require-endpoint) para el proxy del almacén de claves externo. Por ejemplo, si el punto de conexión público es `https://myproxy.xks.example.com`, el TLS, el CN del certificado TLS debe ser `myproxy.xks.example.com` o `*.xks.example.com`.
+ Asegúrese de que todos los firewalls que se encuentren entre el proxy del almacén de claves externo AWS KMS y el servidor proxy permitan el tráfico desde y hacia el puerto 443 del proxy. AWS KMS se comunica a través del puerto 443. IPv4 Este valor no se puede configurar.

Para conocer todos los requisitos de un almacén de claves externo, consulte [Ensamblaje de los requisitos previos](create-xks-keystore.md#xks-requirements).

## Conectividad del servicio del punto de conexión de VPC
<a name="xks-vpc-connectivity"></a>

AWS KMS se conecta al proxy del almacén de claves externo (proxy XKS) mediante la creación de un punto de enlace de interfaz a un servicio de punto final de Amazon VPC que usted cree y configure. Usted es responsable de [crear el servicio de punto de conexión de VPC](vpc-connectivity.md) y de conectar la VPC al administrador de claves externo.

Su servicio de punto final puede usar cualquiera de las [opciones de network-to-Amazon VPC compatibles para las](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) comunicaciones, incluidas. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) 

Esta opción de conectividad es más complicada de configurar y mantener. Pero lo utiliza AWS PrivateLink, lo que le permite AWS KMS conectarse de forma privada a su Amazon VPC y a su proxy de almacén de claves externo sin utilizar la Internet pública.

Puede localizar su proxy del almacén de claves externo en su VPC de Amazon.

![\[Conectividad del servicio de punto de conexión de VPC: proxy XKS en su VPC\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


Como alternativa, puede ubicar el proxy de su almacén de claves externo fuera del servicio de puntos de conexión de Amazon VPC Nube de AWS y utilizarlo únicamente para comunicarse de forma segura con él. AWS KMS

![\[Conectividad del servicio de punto final de VPC: proxy XKS fuera de AWS\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


También puede conectar un almacén de claves externo a un servicio de punto final de Amazon VPC propiedad de otra persona. Cuenta de AWS Ambos Cuentas de AWS necesitan los [permisos necesarios](authorize-xks-key-store.md#authorize-xks-managers) para permitir las comunicaciones entre AWS KMS y el servicio de punto final de la VPC. 

**Más información:**
+ Revise el proceso de creación de un almacén de claves externo, incluido [el ensamblaje de los requisitos previos](create-xks-keystore.md#xks-requirements). Lo ayudará a asegurarse de que dispone de todos los componentes que necesita para crear su almacén de claves externo.
+ Aprenda a [controlar el acceso a su almacén de claves externo](authorize-xks-key-store.md), incluidos los permisos que requieren los administradores y usuarios del almacén de claves externo. 
+ Obtén información sobre las [ CloudWatch métricas y dimensiones de Amazon](monitoring-cloudwatch.md#kms-metrics) que AWS KMS registran los almacenes clave externos. Le recomendamos encarecidamente que cree alarmas para monitorear su almacén de claves externo y así poder detectar los primeros signos de problemas operativos y de rendimiento.

# Configuración de la conectividad del servicio de punto de conexión de VPC
<a name="vpc-connectivity"></a>

Utilice las instrucciones de esta sección para crear y configurar AWS los recursos y los componentes relacionados necesarios para un almacén de claves externo que utilice la conectividad del [servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Los recursos que se enumeran para esta opción de conectividad complementan los [recursos necesarios para todos los almacenes de claves externos](create-xks-keystore.md#xks-requirements). Después de crear y configurar los recursos necesarios, puede [crear su almacén de claves externo](create-xks-keystore.md).

Puede ubicar el proxy de su almacén de claves externo en su Amazon VPC o ubicar el proxy fuera de su servicio de punto final de VPC AWS y usarlo para comunicarse.

Antes de empezar, [confirme que necesita un almacén de claves externo](keystore-external.md#do-i-need-xks). La mayoría de los clientes pueden usar claves de KMS respaldadas por material AWS KMS clave.

**nota**  
Es posible que algunos de los elementos necesarios para la conectividad del servicio de punto de conexión de VPC estén incluidos en el administrador de claves externo. Además, es posible que el software tenga requisitos de configuración adicionales. Antes de crear y configurar los AWS recursos de esta sección, consulte la documentación del proxy y del administrador de claves.

**Topics**
+ [Requisitos para la conectividad del servicio del punto de conexión de VPC](#xks-vpce-service-requirements)
+ [Paso 1: Crear una VPCde Amazon y subredes](#xks-create-vpc)
+ [Paso 2: Crear un grupo de destino](#xks-target-group)
+ [Paso 3: Crear un equilibrador de carga de red](#xks-nlb)
+ [Paso 4: Crear un servicio de punto de conexión de VPC](#xks-vpc-svc)
+ [Paso 5: Verificar el dominio de su nombre DNS privado](#xks-private-dns)
+ [Paso 6: Autorizar AWS KMS la conexión al servicio de punto final de la VPC](#xks-vpc-authorize-kms)

## Requisitos para la conectividad del servicio del punto de conexión de VPC
<a name="xks-vpce-service-requirements"></a>

Si elige la conectividad del servicio de punto de conexión de VPC para su almacén de claves externo, necesitará los siguientes recursos. 
+ Una VPC de Amazon que esté conectada a su administrador de claves externo. Debe tener al menos dos [subredes](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) privadas en dos zonas de disponibilidad diferentes.

  Puede utilizar una VPC de Amazon existente para su almacén de claves externo, siempre que [cumpla los requisitos](#xks-vpc-requirements) para su uso con un almacén de claves externo. Varios almacenes de claves externos pueden compartir una VPC de Amazon, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y un nombre DNS privado.
+ Un [servicio de punto de conexión de VPC de Amazon proporcionado por un AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) con un [Equilibrador de carga de red](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) y un [grupo de destino](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html). 

  El servicio de punto de conexión no puede requerir aceptación. Además, debe agregar AWS KMS como entidad principal permitida. Esto permite AWS KMS crear puntos finales de interfaz para que pueda comunicarse con el proxy externo del almacén de claves.
+ Un nombre de DNS privado para el servicio de punto de conexión de VPC que es único en su Región de AWS. 

  El nombre DNS privado debe ser un subdominio de un dominio público de nivel superior. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, debe ser un subdominio de un dominio público, como `xks.example.com` o `example.com`.

  Debe [verificar la propiedad](#xks-private-dns) del dominio de DNS para el nombre DNS privado.
+ Un certificado TLS emitido por una [autoridad de certificación pública admitida](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) para su proxy del almacén de claves externo. 

  El nombre común del sujeto (CN) en el certificado TLS debe coincidir con el nombre DNS privado. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, el CN del certificado TLS debe ser `myproxy-private.xks.example.com` o `*.xks.example.com`.
+ Para minimizar la latencia de la red, cree sus AWS componentes en el [soporte Región de AWS](keystore-external.md#xks-regions) que esté más cerca de su [administrador de claves externo](keystore-external.md#concept-ekm). Si es posible, elija una región con un tiempo de ida y vuelta (RTT) de la red de 35 milisegundos o menos.

Para conocer todos los requisitos de un almacén de claves externo, consulte [Ensamblaje de los requisitos previos](create-xks-keystore.md#xks-requirements).

## Paso 1: Crear una VPCde Amazon y subredes
<a name="xks-create-vpc"></a>

La conectividad del servicio de punto de conexión de VPC requiere una VPC de Amazon que esté conectada a su administrador de claves externo con al menos dos subredes privadas. Puede crear una VPC de Amazon o utilizar una VPC de Amazon existente que cumpla con los requisitos para los almacenes de claves externos. Para obtener ayuda con la creación de una nueva VPC de Amazon, consulte [Crear una VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) en la *Guía del usuario de Amazon Virtual Private Cloud*.

### Requisitos para su VPC de Amazon
<a name="xks-vpc-requirements"></a>

Para trabajar con almacenes de claves externos el servicio de punto de conexión de Amazon VPC debe tener las siguientes propiedades.
+ Debe estar en la misma [región admitida](keystore-external.md#xks-regions) que su almacén de claves externo.
+ Requiere al menos dos subredes privadas, cada una en una zona de disponibilidad diferente.
+ El intervalo de direcciones IP privadas de su VPC de Amazon no debe superponerse con el intervalo de direcciones IP privadas del centro de datos que aloja su [administrador de claves externo](keystore-external.md#concept-ekm).
+ Se deben utilizar todos los componentes IPv4.

Tiene muchas opciones para conectar la VPC de Amazon a su proxy del almacén de claves externo. Elija la opción que se ajuste a sus necesidades de rendimiento y seguridad. Para ver una lista, consulte [Conectar la VPC a otras redes](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) y Opciones de conectividad de la [Network-to-Amazon VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Para obtener más detalles, consulte [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) y la [Guía del usuario de AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/).

### Creación de una VPC de Amazon para su almacén de claves externo
<a name="xks-vpc-create"></a>

Use las siguientes instrucciones para crear la VPC de Amazon para su almacén de claves externo. Solo se requiere una VPC de Amazon si elige la opción de [conectividad del servicio de punto de conexión de VPC](choose-xks-connectivity.md). Puede utilizar una VPC de Amazon existente que cumpla los requisitos para un almacén de claves externo.

Siga las instrucciones que se indican en el tema [Crear una VPC, subredes y otros recursos de la VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.


| Campo | Valor | 
| --- | --- | 
| IPv4 Bloque CIDR | Introduzca las direcciones IP de la VPC. El intervalo de direcciones IP privadas de su VPC de Amazon no debe superponerse con el intervalo de direcciones IP privadas del centro de datos que aloja su [administrador de claves externo](keystore-external.md#concept-ekm). | 
| Número de zonas de disponibilidad () AZs | 2 o más | 
| Número de subredes públicas |  No se requiere ninguna (0)  | 
| Número de subredes privadas | Una para cada AZ | 
| Puerta de enlace NAT | No se requiere ninguna. | 
| Puntos de conexión de VPC | No se requiere ninguna. | 
| Enable DNS hostnames | Sí | 
| Habilitar la resolución de DNS | Sí | 

Asegúrese de probar la comunicación de la VPC. Por ejemplo, si su proxy de almacén de claves externo no se encuentra en su VPC de Amazon, cree una instancia de Amazon EC2 en su VPC de Amazon y compruebe que la VPC de Amazon pueda comunicarse con su proxy del almacén de claves externo.

### Conexión de la VPC al administrador de claves externo
<a name="xks-vpc-to-ekm"></a>

Conecte la VPC al centro de datos que aloja su administrador de claves externo mediante cualquiera de las [opciones de conectividad de red](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) que admite la VPC de Amazon. Asegúrese de que la instancia de Amazon EC2 en la VPC (o el proxy del almacén de claves externo, si está en la VPC) pueda comunicarse con el centro de datos y el administrador de claves externo.

## Paso 2: Crear un grupo de destino
<a name="xks-target-group"></a>

Antes de crear el servicio de punto de conexión de VPC requerido, cree los componentes necesarios, un equilibrador de carga de red (NLB) y un grupo de destino. El equilibrador de carga de red (NLB) distribuye las solicitudes entre varios objetivos en buen estado, cualquiera de los cuales puede atender la solicitud. En este paso, crea un grupo de destino con al menos dos servidores para su proxy del almacén de claves externo y registra sus direcciones IP en el grupo de destino.

Siga las instrucciones que se indican en el tema [Configuración de un grupo de destino](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.


| Campo | Valor | 
| --- | --- | 
| Tipo de destino | Direcciones IP | 
| Protocolo | TCP | 
| Puerto |  443  | 
| Tipo de dirección IP | IPv4 | 
| VPC | Elija la VPC en la que va a crear el servicio de punto de conexión de VPC para su almacén de claves externo. | 
| Protocolo y ruta de comprobación de estado | El protocolo y la ruta de comprobación de estado variarán según la configuración del proxy del almacén de claves externo. Consulte la documentación de su administrador de claves externo o proxy del almacén de claves externo.Para obtener información general sobre la configuración de comprobaciones de estado para sus grupos de destino, consulte [Comprobaciones de estado para sus grupos de destino](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) en la Guía del usuario del equilibrador de carga elástico para el equilibrador de carga de red. | 
| Network | Otra dirección IP privada | 
| IPv4 dirección | Las direcciones privadas del proxy de su almacén de claves externo | 
| Puertos | 443 | 

## Paso 3: Crear un equilibrador de carga de red
<a name="xks-nlb"></a>

El equilibrador de carga de red distribuye el tráfico de la red, incluidas las solicitudes de AWS KMS a su proxy del almacén de claves externo, a los destinos configurados.

Siga las instrucciones del tema [Configuración de un equilibrador de carga y un oyente](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) para configurar y agregar un oyente y crear un equilibrador de carga con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.


| Campo | Valor | 
| --- | --- | 
| Esquema | Internal | 
| Tipo de dirección IP | IPv4 | 
| Asignación de redes |  Elija la VPC en la que va a crear el servicio de punto de conexión de VPC para su almacén de claves externo.  | 
| Correspondencia | Elija las dos zonas de disponibilidad (al menos dos) que configuró para las subredes de VPC. Compruebe los nombres de las subredes y la dirección IP privada. | 
| Protocolo | TCP | 
| Puerto | 443 | 
| Acción predeterminada: Reenviar a | Elija el [grupo de destino](#xks-target-group) para su equilibrador de carga de red. | 

## Paso 4: Crear un servicio de punto de conexión de VPC
<a name="xks-vpc-svc"></a>

Por lo general, se crea un punto de conexión para un servicio. Sin embargo, cuando crea un servicio de punto final de VPC, usted es el proveedor y AWS KMS crea un punto final para su servicio. Para un almacén de claves externo, cree un servicio de punto de conexión de VPC con el equilibrador de carga de red que creó en el paso anterior. El servicio de punto final de la VPC puede estar en el Cuenta de AWS mismo almacén de claves externo o en uno diferente. Cuenta de AWS

Varios almacenes de claves externos pueden compartir una VPC de Amazon, pero cada almacén de claves externo debe tener su propio servicio de punto de conexión de VPC y un nombre DNS privado.

Siga las instrucciones del tema [Crear un servicio de punto de conexión](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) para crear un servicio de punto de conexión de VPC con los siguientes valores obligatorios. Para los demás campos, acepte los valores predeterminados y proporcione los nombres solicitados.


| Campo | Valor | 
| --- | --- | 
| Tipo de equilibrador de carga | Network | 
| Equilibradores de carga disponibles | Elija el [equilibrador de carga de red](#xks-nlb) que creó en el paso anterior.Si el nuevo equilibrador de carga no aparece en la lista, compruebe que su estado esté activo. Es posible que el estado del equilibrador de carga tarde unos minutos en cambiar de aprovisionamiento a activo. | 
| Se requiere aceptación | False. Anule la selección de la casilla de verificación.*No requieren aceptación*. AWS KMS no se puede conectar al servicio de punto final de la VPC sin una aceptación manual. Si se requiere la aceptación, los intentos de [crear el almacén de claves externo](create-xks-keystore.md) fallan con una excepción `XksProxyInvalidConfigurationException`.  | 
| Habilitación de nombre DNS privado | Asociar un nombre DNS privado con el servicio | 
| Nombre de DNS privado | Introduzca un nombre DNS privado que sea único en su Región de AWS. El nombre DNS privado debe ser un subdominio de un dominio público de nivel superior. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, debe ser un subdominio de un dominio público, como `xks.example.com` o `example.com`.Este nombre DNS privado debe coincidir con el nombre común del asunto (CN) del certificado TLS configurado en el proxy del almacén de claves externo. Por ejemplo, si el nombre DNS privado es `myproxy-private.xks.example.com`, el CN del certificado TLS debe ser `myproxy-private.xks.example.com` o `*.xks.example.com`.Si el certificado y el nombre DNS privado no coinciden, los intentos de conectar un almacén de claves externo a su proxy del almacén de claves externo fallan con un código de error de conexión de `XKS_PROXY_INVALID_TLS_CONFIGURATION`. Para obtener más información, consulte [Errores de configuración general](xks-troubleshooting.md#fix-xks-gen-configuration). | 
| Tipos de direcciones IP compatibles | IPv4 | 

## Paso 5: Verificar el dominio de su nombre DNS privado
<a name="xks-private-dns"></a>

Al crear el servicio de punto de conexión de VPC, su estado de verificación de dominio es `pendingVerification`. Antes de utilizar el servicio de punto de conexión de VPC para crear un almacén de claves externo, este estado debe ser `verified`. Para verificar que es el propietario del dominio asociado con su nombre DNS privado, debe crear un registro TXT en un servidor DNS público.

Por ejemplo, si el nombre de DNS privado de su servicio de punto final de VPC es`myproxy-private.xks.example.com`, debe crear un registro TXT en un dominio público, como `xks.example.com` o`example.com`, el que sea público. AWS PrivateLink busca el registro TXT primero en `xks.example.com` y después en`example.com`.

**sugerencia**  
Después de agregar un registro TXT, es posible que el **estado de verificación del dominio** tarde unos minutos en cambiar de `pendingVerification` a `verify`.

Para empezar, busque el estado de verificación de su dominio mediante uno de los siguientes métodos. Los valores válidos son `verified`, `pendingVerification` y `failed`. 
+ En la [consola de VPC de Amazon](https://console.aws.amazon.com/vpc), seleccione **Endpoint services** (Servicios de punto de conexión) y elija su servicio de punto de conexión. En el panel de detalles, consulte **Estado de verificación del dominio**.
+ Utilice la operación [DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html). El valor `State` está en el campo `ServiceConfigurations.PrivateDnsNameConfiguration.State`.

Si el estado de verificación no es `verified`, siga las instrucciones del tema [Verificación de la propiedad del dominio](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) para agregar un registro TXT al servidor de DNS de su dominio y comprobar que el registro TXT esté publicado. A continuación, vuelva a comprobar el estado de la verificación.

No es necesario crear un registro A para el nombre de dominio DNS privado. Cuando AWS KMS crea un punto de enlace de interfaz para el servicio de punto final de la VPC, crea AWS PrivateLink automáticamente una zona alojada con el registro A necesario para el nombre de dominio privado de la AWS KMS VPC. Para almacenes de claves externos con conectividad de servicio de punto de conexión de VPC, esto sucede cuando [conecta su almacén de claves externo](xks-connect-disconnect.md) a su proxy de almacén de claves externo.

## Paso 6: Autorizar AWS KMS la conexión al servicio de punto final de la VPC
<a name="xks-vpc-authorize-kms"></a>

Consulte los siguientes procedimientos para gestionar los permisos del servicio de punto de conexión de Amazon VPC. Cada paso depende de la conectividad y la configuración entre el almacén de claves externo, el servicio de punto de conexión de VPC y la Cuenta de AWS.

------
#### [ Same Cuenta de AWS ]

Si su servicio de punto final de VPC es propiedad de la Cuenta de AWS misma propiedad que su almacén de claves externo, debe agregarlo AWS KMS a la lista **Permitir entidades principales de su servicio de** punto final de VPC. Esto permite AWS KMS crear puntos de enlace de interfaz para su servicio de punto final de VPC. Si no AWS KMS es un principal permitido, los intentos de crear un almacén de claves externo fallarán con una `XksProxyVpcEndpointServiceNotFoundException` excepción.

Siga las instrucciones del tema [Administrar permisos](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) de la *Guía de AWS PrivateLink *. Use el siguiente valor obligatorio.


| Campo | Valor | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caPor ejemplo, `cks.kms.us-east-1.amazonaws.com` | 

------
#### [ Cross Cuenta de AWS ]

Si su servicio de punto final de VPC es propiedad de otra persona, Cuenta de AWS debe añadir ambos AWS KMS y su cuenta a la lista de usuarios **principales permitidos.** Esto permite que AWS KMS su almacén de claves externo cree puntos de conexión de interfaz para su servicio de puntos de enlace de VPC. Si AWS KMS no es una entidad principal permitida, los intentos de crear un almacén de claves externo fallarán con una excepción `XksProxyVpcEndpointServiceNotFoundException`. Deberá proporcionar el Cuenta de AWS ARN en el que reside el almacén de claves externo.

Siga las instrucciones del tema [Administrar permisos](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) de la *Guía de AWS PrivateLink *. Use el siguiente valor obligatorio.


| Campo | Valor | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caPor ejemplo, `cks.kms.us-east-1.amazonaws.com` | 
| Cuenta de AWS ARN | arn:aws:iam::111122223333:role/role\$1namePor ejemplo, `arn:aws:iam::123456789012:role/cks_role` | 

------

**Siguiente:** [Creación de un almacén de claves externo](create-xks-keystore.md)