Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Toko-toko utama
<a name="key-store-overview"></a>

*Toko kunci* adalah lokasi yang aman untuk menyimpan dan menggunakan kunci kriptografi. Penyimpanan kunci default AWS KMS juga mendukung metode untuk menghasilkan dan mengelola kunci yang disimpannya. Secara default, materi kunci kriptografi untuk AWS KMS keys yang Anda buat dihasilkan dan dilindungi oleh modul keamanan perangkat keras (HSMs) yang AWS KMS merupakan Program Validasi Modul [Kriptografi FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884). Materi kunci untuk kunci KMS Anda tidak pernah meninggalkan yang tidak HSMs terenkripsi.

AWS KMS mendukung beberapa jenis toko kunci untuk melindungi materi kunci Anda saat menggunakan AWS KMS untuk membuat dan mengelola kunci enkripsi Anda. Semua opsi penyimpanan utama yang disediakan oleh terus AWS KMS divalidasi di bawah FIPS 140-3 di Security Level 3 dan dirancang untuk mencegah siapa pun, termasuk AWS operator, mengakses kunci teks biasa Anda atau menggunakannya tanpa izin Anda.

## AWS KMS toko kunci standar
<a name="default-key-store"></a>

Secara default, kunci KMS dibuat menggunakan AWS KMS HSM standar. Jenis HSM ini dapat dianggap sebagai armada multi-penyewa yang memungkinkan toko kunci HSMs yang paling skalabel, biaya terendah, dan termudah untuk dikelola dari sudut pandang Anda. Jika Anda membuat kunci KMS untuk digunakan dalam satu atau lebih Layanan AWS sehingga layanan dapat mengenkripsi data Anda atas nama Anda, Anda akan membuat kunci simetris. Jika Anda menggunakan kunci KMS untuk desain aplikasi Anda sendiri, Anda dapat memilih untuk membuat kunci enkripsi simetris, kunci asimetris, atau kunci HMAC.

Dalam opsi penyimpanan kunci standar, AWS KMS buat kunci Anda, lalu enkripsi di bawah kunci yang dikelola layanan secara internal. Beberapa salinan versi terenkripsi kunci Anda kemudian disimpan dalam sistem yang dirancang untuk daya tahan. Menghasilkan dan melindungi bahan utama Anda dalam jenis toko kunci standar memungkinkan Anda memanfaatkan sepenuhnya skalabilitas, ketersediaan, dan daya tahan AWS KMS dengan beban operasional dan biaya terendah dari toko-toko AWS utama.

## AWS KMS toko kunci standar dengan bahan kunci impor
<a name="imported-key-material"></a>

Alih-alih meminta AWS KMS untuk menghasilkan dan menyimpan satu-satunya salinan kunci yang diberikan, Anda dapat memilih untuk mengimpor materi kunci ke dalam AWS KMS, memungkinkan Anda untuk membuat kunci enkripsi simetris 256-bit Anda sendiri, kunci RSA atau kurva eliptik (ECC), atau kunci Kode Otentikasi Pesan Berbasis Hash (HMAC), dan menerapkannya ke pengidentifikasi kunci KMS (KeyID). Ini kadang-kadang disebut sebagai *membawa kunci Anda sendiri* (BYOK). Materi kunci yang diimpor dari sistem manajemen kunci lokal Anda harus dilindungi dengan menggunakan kunci publik yang dikeluarkan oleh AWS KMS, algoritma pembungkus kriptografi yang didukung, dan token impor berbasis waktu yang disediakan oleh. AWS KMS Proses ini memverifikasi bahwa kunci yang dienkripsi dan diimpor hanya dapat didekripsi oleh AWS KMS HSM setelah meninggalkan lingkungan Anda.

Materi kunci yang diimpor mungkin berguna jika Anda memiliki persyaratan khusus di sekitar sistem yang menghasilkan kunci, atau menginginkan salinan kunci Anda di luar AWS sebagai cadangan. Perhatikan bahwa Anda bertanggung jawab atas ketersediaan dan daya tahan material kunci impor secara keseluruhan. Meskipun AWS KMS memiliki salinan kunci impor Anda dan akan tetap sangat tersedia saat Anda membutuhkannya, kunci impor menawarkan API khusus untuk penghapusan —. DeleteImportedKeyMaterial API ini akan segera menghapus semua salinan materi kunci impor yang AWS KMS memiliki, tanpa opsi AWS untuk memulihkan kunci. Selain itu, Anda dapat mengatur waktu kedaluwarsa pada kunci yang diimpor, setelah itu kuncinya tidak dapat digunakan. Untuk membuat kunci berguna lagi AWS KMS, Anda harus mengimpor ulang materi kunci dan menetapkannya ke KeyID yang sama. Tindakan penghapusan untuk kunci impor ini berbeda dari kunci standar yang AWS KMS menghasilkan dan disimpan untuk Anda atas nama Anda. Dalam kasus standar, proses penghapusan kunci memiliki masa tunggu wajib di mana kunci yang dijadwalkan untuk dihapus pertama kali diblokir dari penggunaan. Tindakan ini memungkinkan Anda melihat kesalahan akses ditolak dalam log dari aplikasi atau AWS layanan apa pun yang mungkin memerlukan kunci tersebut untuk mengakses data. Jika Anda melihat permintaan akses tersebut, Anda dapat memilih untuk membatalkan penghapusan terjadwal dan mengaktifkan kembali kunci tersebut. Setelah masa tunggu yang dapat dikonfigurasi (antara 7 dan 30 hari), baru kemudian KMS akan benar-benar menghapus materi kunci, keyID dan semua metadata yang terkait dengan kunci. Untuk informasi selengkapnya tentang ketersediaan dan daya tahan, lihat [Melindungi materi kunci yang diimpor](import-keys-protect.md) di *Panduan AWS KMS Pengembang*.

Ada beberapa batasan tambahan dengan bahan kunci impor yang harus diperhatikan. Karena AWS KMS tidak dapat menghasilkan materi kunci baru, tidak ada cara untuk mengonfigurasi rotasi otomatis kunci yang diimpor. Anda perlu membuat kunci KMS baru dengan KeyID baru, lalu mengimpor materi kunci baru untuk mencapai rotasi yang efektif. Selain itu, ciphertext yang dibuat di AWS KMS bawah kunci simetris yang diimpor tidak dapat dengan mudah didekripsi menggunakan salinan lokal Anda dari kunci di luar. AWS Ini karena format enkripsi yang diautentikasi yang digunakan dengan AWS KMS menambahkan metadata tambahan ke ciphertext untuk memberikan jaminan selama operasi dekripsi bahwa ciphertext dibuat oleh kunci KMS yang diharapkan di bawah operasi enkripsi sebelumnya. Sebagian besar sistem kriptografi eksternal tidak akan mengerti cara mengurai metadata ini untuk mendapatkan akses ke ciphertext mentah untuk dapat menggunakan salinan kunci simetris mereka. Ciphertext yang dibuat di bawah kunci asimetris yang diimpor (misalnya RSA atau ECC) dapat digunakan di luar AWS KMS dengan bagian kunci yang cocok (publik atau pribadi) karena tidak ada metadata tambahan yang ditambahkan ke ciphertext. AWS KMS 

## AWS KMS toko kunci kustom
<a name="custom-key-store-overview"></a>

Namun, jika Anda memerlukan lebih banyak kontrol HSMs, Anda dapat membuat toko kunci khusus.

*Toko kunci khusus adalah toko* kunci di dalamnya AWS KMS yang didukung oleh manajer kunci di luar AWS KMS, yang Anda miliki dan kelola. Toko kunci khusus menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kemampuan untuk memiliki dan mengontrol materi utama dan operasi kriptografi. Ketika Anda menggunakan kunci KMS di toko kunci kustom, operasi kriptografi dilakukan oleh manajer kunci Anda menggunakan kunci kriptografi Anda. Akibatnya, Anda memikul lebih banyak tanggung jawab atas ketersediaan dan daya tahan kunci kriptografi, dan untuk pengoperasian HSMs. 

Memiliki Anda HSMs mungkin berguna untuk membantu memenuhi persyaratan peraturan tertentu yang belum memungkinkan layanan web multi-penyewa seperti toko kunci KMS standar untuk menyimpan kunci kriptografi Anda. Toko kunci khusus tidak lebih aman daripada toko kunci KMS yang menggunakan AWS-managed HSMs, tetapi mereka memiliki implikasi manajemen dan biaya yang berbeda (dan lebih tinggi). Akibatnya, Anda memikul lebih banyak tanggung jawab atas ketersediaan dan daya tahan kunci kriptografi dan untuk pengoperasian HSMs. Terlepas dari apakah Anda menggunakan toko kunci standar dengan AWS KMS HSMs atau toko kunci khusus, layanan ini dirancang sehingga tidak ada seorang pun, termasuk AWS karyawan, dapat mengambil kunci teks biasa Anda atau menggunakannya tanpa izin Anda. AWS KMS mendukung dua jenis toko kunci kustom, toko AWS CloudHSM kunci dan toko kunci eksternal.

**Fitur yang tidak didukung**

AWS KMS tidak mendukung fitur-fitur berikut di toko kunci khusus.
+ [Kunci KMS Asimetris](symmetric-asymmetric.md)
+ [Kunci HMAC KMS](hmac.md)
+ [Kunci KMS dengan bahan kunci impor](importing-keys.md)
+ [Rotasi kunci otomatis](rotate-keys.md)
+ [Kunci Multi-Region](multi-region-keys-overview.md)

### AWS CloudHSM toko kunci
<a name="hsm-store"></a>

 Anda dapat membuat kunci KMS di penyimpanan [AWS CloudHSM](https://aws.amazon.com/kms/pricing/)kunci, tempat kunci pengguna root dihasilkan, disimpan, dan digunakan dalam AWS CloudHSM cluster yang Anda miliki dan kelola. Permintaan AWS KMS untuk menggunakan kunci untuk beberapa operasi kriptografi diteruskan ke AWS CloudHSM cluster Anda untuk melakukan operasi. Sementara AWS CloudHSM cluster di-host oleh AWS, ini adalah solusi penyewa tunggal yang langsung dikelola dan dioperasikan oleh Anda. Anda memiliki banyak ketersediaan dan kinerja kunci KMS dalam sebuah AWS CloudHSM cluster. Untuk melihat apakah toko kunci AWS CloudHSM khusus cocok untuk kebutuhan Anda, baca [Apakah toko kunci AWS KMS khusus tepat untuk Anda?](https://aws.amazon.com/blogs/security/are-kms-custom-key-stores-right-for-you/) di blog AWS keamanan.

### Toko kunci eksternal
<a name="external-store"></a>

 Anda dapat mengonfigurasi AWS KMS untuk menggunakan External Key Store (XKS), di mana kunci pengguna root dihasilkan, disimpan, dan digunakan dalam sistem manajemen kunci di AWS Cloud luar. Permintaan AWS KMS untuk menggunakan kunci untuk beberapa operasi kriptografi diteruskan ke sistem yang dihosting secara eksternal untuk melakukan operasi. Secara khusus, permintaan diteruskan ke Proxy XKS di jaringan Anda, yang kemudian meneruskan permintaan ke sistem kriptografi mana pun yang Anda gunakan. Proxy XKS adalah spesifikasi sumber terbuka yang dapat diintegrasikan oleh siapa saja. Banyak vendor manajemen kunci komersial mendukung spesifikasi XKS Proxy. Karena Toko Kunci Eksternal dihosting oleh Anda atau pihak ketiga, Anda memiliki semua ketersediaan, daya tahan, dan kinerja kunci dalam sistem. Untuk melihat apakah Toko Kunci Eksternal cocok untuk kebutuhan Anda, baca [Mengumumkan Toko Kunci AWS KMS Eksternal (XKS)](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) di blog AWS Berita.

# AWS CloudHSM toko-toko utama
<a name="keystore-cloudhsm"></a>

Toko AWS CloudHSM kunci adalah [toko kunci khusus](key-store-overview.md#custom-key-store-overview) yang didukung oleh [AWS CloudHSM cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/). Saat Anda membuat AWS KMS key di penyimpanan kunci khusus, buat dan simpan materi AWS KMS kunci yang tidak dapat diekstraksi untuk kunci KMS dalam AWS CloudHSM klaster yang Anda miliki dan kelola. Bila Anda menggunakan kunci KMS di toko kunci kustom, [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dilakukan di HSMs dalam cluster. Fitur ini menggabungkan kenyamanan dan integrasi luas AWS KMS dengan kontrol tambahan AWS CloudHSM cluster di Anda Akun AWS. 

AWS KMS menyediakan konsol lengkap dan dukungan API untuk membuat, menggunakan, dan mengelola toko kunci kustom Anda. Anda dapat menggunakan kunci KMS di toko kunci kustom Anda dengan cara yang sama seperti Anda menggunakan kunci KMS apa pun. Misalnya, Anda dapat menggunakan kunci KMS untuk menghasilkan kunci data dan mengenkripsi data. Anda juga dapat menggunakan kunci KMS di toko kunci kustom Anda dengan AWS layanan yang mendukung kunci yang dikelola pelanggan.

**Apakah saya memerlukan toko kunci khusus?**

Bagi sebagian besar pengguna, penyimpanan AWS KMS kunci default, yang dilindungi oleh [modul kriptografi tervalidasi FIPS 140-3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), memenuhi persyaratan keamanan mereka. Tidak perlu menambahkan lapisan tambahan dari tanggung jawab pemeliharaan atau dependensi pada layanan tambahan. 

Namun, Anda dapat mempertimbangkan untuk membuat penyimpanan kunci kustom jika organisasi Anda memiliki salah satu persyaratan berikut:
+ Anda memiliki kunci yang secara eksplisit diperlukan untuk dilindungi dalam HSM penyewa tunggal atau dalam HSM yang Anda memiliki kendali langsung atas.
+ Anda membutuhkan kemampuan untuk segera menghapus materi kunci dari AWS KMS.
+ Anda harus dapat mengaudit semua penggunaan kunci Anda secara independen dari AWS KMS atau AWS CloudTrail.

**Bagaimana cara kerja toko kunci khusus?**

Setiap toko kunci khusus dikaitkan dengan AWS CloudHSM cluster di Anda Akun AWS. Saat Anda menghubungkan penyimpanan kunci khusus ke klasternya, AWS KMS buat infrastruktur jaringan untuk mendukung koneksi. Kemudian masuk ke AWS CloudHSM klien kunci di cluster menggunakan kredensyal [pengguna crypto khusus](#concept-kmsuser) di cluster.

Anda membuat dan mengelola toko kunci kustom Anda di AWS KMS dan membuat dan mengelola klaster HSM Anda di. AWS CloudHSM Saat Anda membuat AWS KMS keys di toko kunci AWS KMS khusus, Anda melihat dan mengelola kunci KMS di AWS KMS. Tetapi Anda juga dapat melihat dan mengelola material kunci di AWS CloudHSM, seperti yang akan Anda lakukan untuk kunci lain dalam klaster.

![\[Mengelola kunci KMS di toko kunci khusus\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/kms-hsm-view.png)


Anda dapat [membuat kunci KMS enkripsi simetris](create-cmk-keystore.md) dengan materi kunci yang dihasilkan oleh AWS KMS di toko kunci kustom Anda. Kemudian gunakan teknik yang sama untuk melihat dan mengelola kunci KMS di toko kunci kustom Anda yang Anda gunakan untuk kunci KMS di toko AWS KMS kunci. Anda dapat mengontrol akses dengan IAM dan kebijakan kunci, membuat tag dan alias, mengaktifkan dan menonaktifkan kunci KMS, dan menjadwalkan penghapusan kunci. Anda dapat menggunakan kunci KMS untuk [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dan menggunakannya dengan AWS layanan yang terintegrasi dengannya. AWS KMS

Selain itu, Anda memiliki kontrol penuh atas AWS CloudHSM cluster, termasuk membuat dan menghapus HSMs dan mengelola cadangan. Anda dapat menggunakan AWS CloudHSM klien dan pustaka perangkat lunak yang didukung untuk melihat, mengaudit, dan mengelola materi utama untuk kunci KMS Anda. Sementara toko kunci khusus terputus, AWS KMS tidak dapat mengaksesnya, dan pengguna tidak dapat menggunakan kunci KMS di toko kunci khusus untuk operasi kriptografi. Lapisan kontrol tambahan ini membuat penyimpanan kunci kustom menjadi solusi yang ampuh untuk organisasi yang memerlukannya.

**Di mana saya mulai?**

Untuk membuat dan mengelola toko AWS CloudHSM kunci, Anda menggunakan fitur AWS KMS dan AWS CloudHSM.

1. Mulai masuk AWS CloudHSM. [Buat klaster AWS CloudHSM aktif](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) atau pilih klaster yang ada. Cluster harus memiliki setidaknya dua yang aktif HSMs di Availability Zone yang berbeda. Kemudian buat [akun pengguna kripto (CU) khusus](#concept-kmsuser) di klaster tersebut untuk AWS KMS. 

1. Di AWS KMS, [buat penyimpanan kunci khusus](create-keystore.md) yang terkait dengan AWS CloudHSM cluster yang Anda pilih. AWS KMS menyediakan antarmuka manajemen lengkap yang memungkinkan Anda membuat, melihat, mengedit, dan menghapus toko kunci kustom Anda.

1. Saat Anda siap menggunakan toko kunci kustom Anda, [sambungkan ke AWS CloudHSM klaster terkait](connect-keystore.md). AWS KMS menciptakan infrastruktur jaringan yang dibutuhkan untuk mendukung koneksi. Ini kemudian login ke klaster menggunakan kredensial akun pengguna kripto khusus sehingga dapat menghasilkan dan mengelola material kunci dalam klaster.

1. Sekarang, Anda dapat [membuat kunci KMS enkripsi simetris di toko kunci khusus Anda](create-cmk-keystore.md). Cukup tentukan toko kunci khusus saat Anda membuat kunci KMS.

Jika Anda bingung pada suatu titik, Anda dapat menemukan bantuan di topik [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md). Jika pertanyaan Anda tidak terjawab, gunakan tautan umpan balik di bagian bawah setiap halaman panduan ini atau posting pertanyaan di [Forum Diskusi AWS Key Management Service](https://repost.aws/tags/TAMC3vcPOPTF-rPAHZVRj1PQ/aws-key-management-service).

**Kuota**

AWS KMS memungkinkan hingga [10 toko kunci khusus](resource-limits.md) di masing-masing Akun AWS dan Wilayah, termasuk toko utama dan [toko AWS CloudHSM kunci](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) [eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), terlepas dari status koneksi mereka. Selain itu, ada kuota AWS KMS permintaan tentang [penggunaan kunci KMS di toko AWS CloudHSM kunci](requests-per-second.md#rps-key-stores).

**Harga**

Untuk informasi tentang biaya toko kunci AWS KMS khusus dan kunci yang dikelola pelanggan di toko kunci kustom, lihat [AWS Key Management Service harga](https://aws.amazon.com/kms/pricing/). Untuk informasi tentang biaya AWS CloudHSM cluster dan HSMs, lihat [AWS CloudHSM Harga](https://aws.amazon.com/cloudhsm/pricing/).<a name="cks-regions"></a>

**Daerah**

AWS KMS mendukung toko-toko AWS CloudHSM utama di semua Wilayah AWS tempat yang AWS KMS didukung, kecuali untuk Asia Pasifik (Melbourne), Tiongkok (Beijing), Tiongkok (Ningxia), dan Eropa (Spanyol).

**Fitur yang tidak didukung**

AWS KMS tidak mendukung fitur berikut di toko kunci khusus.
+ [Tombol Asymmetric KMS](symmetric-asymmetric.md)
+ [Kunci HMAC KMS](hmac.md)
+ [Kunci KMS dengan bahan kunci impor](importing-keys.md)
+ [Rotasi kunci otomatis](rotate-keys.md)
+ [Kunci Multi-Region](multi-region-keys-overview.md)

## AWS CloudHSM konsep toko utama
<a name="hsm-key-store-concepts"></a>

Topik ini menjelaskan beberapa istilah dan konsep yang digunakan di toko-toko AWS CloudHSM utama.

### AWS CloudHSM toko kunci
<a name="concept-hsm-key-store"></a>

*Toko AWS CloudHSM kunci adalah toko* [kunci khusus](key-store-overview.md#custom-key-store-overview) yang terkait dengan AWS CloudHSM cluster yang Anda miliki dan kelola. AWS CloudHSM cluster didukung oleh modul keamanan perangkat keras (HSMs) yang disertifikasi di [FIPS 140-2 atau FIPS 140-3Level 3](https://docs.aws.amazon.com/cloudhsm/latest/userguide/compliance.html).

Saat Anda membuat kunci KMS di toko kunci Anda, AWS KMS buat AWS CloudHSM kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkait. AWS CloudHSM Materi kunci ini tidak pernah meninggalkan Anda yang HSMs tidak terenkripsi. Bila Anda menggunakan kunci KMS di toko AWS CloudHSM kunci, operasi kriptografi dilakukan di HSMs dalam cluster. 

AWS CloudHSM toko utama menggabungkan antarmuka manajemen kunci yang nyaman dan komprehensif AWS KMS dengan kontrol tambahan yang disediakan oleh AWS CloudHSM cluster di Anda Akun AWS. Fitur terintegrasi ini memungkinkan Anda membuat, mengelola, dan menggunakan kunci KMS AWS KMS sambil mempertahankan kontrol penuh dari HSMs yang menyimpan materi utama mereka, termasuk mengelola cluster, HSMs, dan backup. Anda dapat menggunakan AWS KMS konsol dan APIs mengelola toko AWS CloudHSM kunci dan kunci KMS-nya. Anda juga dapat menggunakan AWS CloudHSM konsol, perangkat lunak klien APIs, dan pustaka perangkat lunak terkait untuk mengelola klaster terkait.

Anda dapat [melihat dan mengelola](view-keystore.md) toko AWS CloudHSM kunci Anda, [mengedit propertinya](update-keystore.md), dan [menghubungkan](connect-keystore.md) dan [memutusnya](disconnect-keystore.md) dari AWS CloudHSM klaster terkait. Jika Anda perlu [menghapus toko AWS CloudHSM kunci](delete-keystore.md#delete-keystore-console), Anda harus terlebih dahulu menghapus kunci KMS di toko AWS CloudHSM kunci dengan menjadwalkan penghapusan mereka dan menunggu sampai masa tenggang berakhir. Menghapus penyimpanan AWS CloudHSM kunci menghapus sumber daya dari AWS KMS, tetapi itu tidak mempengaruhi AWS CloudHSM cluster Anda.

### AWS CloudHSM kluster
<a name="concept-cluster"></a>

Setiap toko AWS CloudHSM kunci dikaitkan dengan satu *AWS CloudHSM cluster*. Saat Anda membuat AWS KMS key di toko AWS CloudHSM kunci Anda, AWS KMS buat materi kuncinya di cluster terkait. Ketika Anda menggunakan kunci KMS di toko AWS CloudHSM kunci Anda, operasi kriptografi dilakukan di cluster terkait.

Setiap AWS CloudHSM cluster dapat dikaitkan dengan hanya satu penyimpanan AWS CloudHSM kunci. Cluster yang Anda pilih tidak dapat dikaitkan dengan penyimpanan AWS CloudHSM kunci lain atau berbagi riwayat cadangan dengan cluster yang terkait dengan penyimpanan AWS CloudHSM kunci lain. Cluster harus diinisialisasi dan aktif, dan harus sama Akun AWS dan Region sebagai penyimpanan AWS CloudHSM kunci. Anda dapat membuat cluster baru atau menggunakan yang sudah ada. AWS KMS tidak perlu penggunaan cluster secara eksklusif. Untuk membuat kunci KMS di toko AWS CloudHSM kunci, cluster terkait itu harus berisi setidaknya dua aktif HSMs. Semua operasi lain hanya memerlukan satu HSM.

Anda menentukan AWS CloudHSM cluster saat Anda membuat penyimpanan AWS CloudHSM kunci, dan Anda tidak dapat mengubahnya. Namun, Anda dapat mengganti setiap klaster yang berbagi riwayat cadangan dengan klaster asli. Hal ini memungkinkan Anda menghapus klaster, jika perlu, dan menggantinya dengan klaster yang dibuat dari salah satu cadangan. Anda mempertahankan kontrol penuh atas AWS CloudHSM klaster terkait sehingga Anda dapat mengelola pengguna dan kunci, membuat dan menghapus HSMs, serta menggunakan dan mengelola cadangan. 

Ketika Anda siap untuk menggunakan toko AWS CloudHSM kunci Anda, Anda menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutus penyimpanan kunci kustom Anda kapan saja. Ketika toko kunci khusus terhubung, Anda dapat membuat dan menggunakan kunci KMS-nya. Ketika terputus, Anda dapat melihat dan mengelola toko AWS CloudHSM kunci dan kunci KMS-nya. Tetapi Anda tidak dapat membuat kunci KMS baru atau menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi.

### Pengguna kripto `kmsuser`
<a name="concept-kmsuser"></a>

Untuk membuat dan mengelola materi utama di AWS CloudHSM klaster terkait atas nama Anda, AWS KMS gunakan *[pengguna AWS CloudHSM kripto](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-users.html#crypto-user) khusus (CU)* di cluster bernama`kmsuser`. `kmsuser`CU adalah akun CU standar yang secara otomatis disinkronkan ke semua HSMs di cluster dan disimpan dalam cadangan cluster. 

Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda [membuat akun `kmsuser` CU](create-keystore.md#before-keystore) di AWS CloudHSM cluster Anda menggunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) di CloudHSM CLI. Kemudian ketika Anda [membuat toko AWS CloudHSM kunci](create-keystore.md), Anda memberikan kata sandi `kmsuser` akun ke AWS KMS. Saat Anda [menghubungkan toko kunci khusus](connect-keystore.md), AWS KMS masuk ke cluster sebagai `kmsuser` CU dan memutar kata sandinya. AWS KMS mengenkripsi `kmsuser` kata sandi Anda sebelum menyimpannya dengan aman. Ketika kata sandi diputar, kata sandi baru dienkripsi dan disimpan dengan cara yang sama.

AWS KMS tetap masuk `kmsuser` selama toko AWS CloudHSM kunci terhubung. Anda tidak boleh menggunakan akun CU ini untuk tujuan lain. Namun, Anda mempertahankan kontrol tertinggi dari akun CU `kmsuser`. Kapan saja, Anda dapat [menemukan kunci yang](find-key-material.md) `kmsuser` dimilikinya. Jika perlu, Anda dapat [memutuskan koneksi penyimpanan kunci kustom](disconnect-keystore.md), mengubah kata sandi `kmsuser`,[login ke klaster sebagai `kmsuser`](fix-keystore.md#fix-login-as-kmsuser), serta melihat dan mengelola kunci yang dimiliki `kmsuser`.

Untuk petunjuk tentang cara membuat akun CU `kmsuser` Anda, lihat [Membuat Pengguna Kripto `kmsuser`](create-keystore.md#before-keystore).

### Kunci KMS di toko AWS CloudHSM kunci
<a name="concept-cmk-key-store"></a>

Anda dapat menggunakan AWS KMS API AWS KMS atau untuk membuat AWS KMS keys di toko AWS CloudHSM kunci. Anda menggunakan teknik yang sama yang akan Anda gunakan pada kunci KMS apa pun. Satu-satunya perbedaan adalah Anda harus mengidentifikasi penyimpanan AWS CloudHSM kunci dan menentukan bahwa asal bahan utama adalah AWS CloudHSM cluster. 

Saat Anda [membuat kunci KMS di penyimpanan kunci, buat AWS CloudHSM kunci](create-cmk-keystore.md) KMS AWS KMS dan itu menghasilkan AWS KMS materi kunci simetris Advanced Encryption Standard (AES) 256-bit, persisten, dan tidak dapat diekspor di klaster terkaitnya. Ketika Anda menggunakan AWS KMS kunci dalam operasi kriptografi, operasi dilakukan di AWS CloudHSM cluster menggunakan kunci AES berbasis cluster. Meskipun AWS CloudHSM mendukung kunci simetris dan asimetris dari berbagai jenis, toko AWS CloudHSM kunci hanya mendukung kunci enkripsi simetris AES.

Anda dapat melihat kunci KMS di penyimpanan AWS CloudHSM kunci di AWS KMS konsol, dan menggunakan opsi konsol untuk menampilkan ID penyimpanan kunci khusus. Anda juga dapat menggunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi untuk menemukan ID penyimpanan AWS CloudHSM kunci dan ID AWS CloudHSM cluster.

Kunci KMS di toko AWS CloudHSM kunci berfungsi seperti kunci KMS apa pun. AWS KMS Pengguna yang berwenang memerlukan izin yang sama untuk menggunakan dan mengelola kunci KMS. Anda menggunakan prosedur konsol dan operasi API yang sama untuk melihat dan mengelola kunci KMS di penyimpanan AWS CloudHSM kunci. Ini termasuk mengaktifkan dan menonaktifkan kunci KMS, membuat dan menggunakan tag dan alias, dan mengatur dan mengubah IAM dan kebijakan utama. Anda dapat menggunakan kunci KMS di toko AWS CloudHSM kunci untuk operasi kriptografi, dan menggunakannya dengan [AWS layanan terintegrasi](service-integration.md) yang mendukung penggunaan kunci yang dikelola pelanggan Namun, Anda tidak dapat mengaktifkan [rotasi kunci otomatis](rotate-keys.md) atau [mengimpor bahan kunci](importing-keys.md) ke kunci KMS di toko kunci. AWS CloudHSM 

Anda juga menggunakan proses yang sama untuk [menjadwalkan penghapusan](deleting-keys.md#delete-cmk-keystore) kunci KMS di toko kunci. AWS CloudHSM Setelah masa tunggu berakhir, AWS KMS hapus kunci KMS dari KMS. Kemudian itu membuat upaya terbaik untuk menghapus materi kunci untuk kunci KMS dari AWS CloudHSM cluster terkait. Namun, Anda mungkin perlu secara manual [menghapus material kunci tanpa induk](fix-keystore.md#fix-keystore-orphaned-key) dari klaster dan cadangannya.

# Kontrol akses ke toko AWS CloudHSM kunci Anda
<a name="authorize-key-store"></a>

Anda menggunakan kebijakan IAM untuk mengontrol akses ke penyimpanan AWS CloudHSM kunci dan AWS CloudHSM klaster Anda. Anda dapat menggunakan kebijakan utama, kebijakan IAM, dan hibah untuk mengontrol akses ke toko AWS KMS keys AWS CloudHSM kunci Anda. Sebaiknya Anda menyediakan pengguna, grup, dan peran izin yang hanya mereka perlukan untuk tugas-tugas yang sangat mungkin akan mereka lakukan.

Untuk mendukung toko AWS CloudHSM utama Anda, AWS KMS perlu izin untuk mendapatkan informasi tentang AWS CloudHSM cluster Anda. Ini juga membutuhkan izin untuk membuat infrastruktur jaringan yang menghubungkan toko AWS CloudHSM kunci Anda ke AWS CloudHSM klasternya. Untuk mendapatkan izin ini, AWS KMS buat peran **AWSServiceRoleForKeyManagementServiceCustomKeyStores**terkait layanan di Anda. Akun AWS Untuk informasi selengkapnya, lihat [Otorisasi AWS KMS untuk mengelola AWS CloudHSM dan sumber daya Amazon EC2](authorize-kms.md).

Saat mendesain toko AWS CloudHSM kunci Anda, pastikan bahwa kepala sekolah yang menggunakan dan mengelolanya hanya memiliki izin yang mereka butuhkan. Daftar berikut menjelaskan izin minimum yang diperlukan untuk pengelola dan pengguna toko AWS CloudHSM utama.
+ Prinsipal yang membuat dan mengelola toko AWS CloudHSM kunci Anda memerlukan izin berikut untuk menggunakan operasi API penyimpanan AWS CloudHSM kunci.
  + `cloudhsm:DescribeClusters`
  + `kms:CreateCustomKeyStore`
  + `kms:ConnectCustomKeyStore`
  + `kms:DeleteCustomKeyStore`
  + `kms:DescribeCustomKeyStores`
  + `kms:DisconnectCustomKeyStore`
  + `kms:UpdateCustomKeyStore`
  + `iam:CreateServiceLinkedRole`
+ Prinsipal yang membuat dan mengelola AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda memerlukan izin untuk membuat dan menginisialisasi cluster. AWS CloudHSM Ini termasuk izin untuk membuat atau menggunakan Amazon Virtual Private Cloud (VPC), membuat subnet, dan membuat instance Amazon. EC2 Mereka mungkin juga perlu membuat dan menghapus HSMs, dan mengelola cadangan. Untuk daftar izin yang diperlukan, lihat [Identitas dan manajemen akses AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/identity-access-management.html) di *Panduan AWS CloudHSM Pengguna*.
+ Prinsipal yang membuat dan mengelola AWS KMS keys di toko AWS CloudHSM kunci Anda memerlukan [izin yang sama dengan](create-keys.md#create-key-permissions) mereka yang membuat dan mengelola kunci KMS apa pun. AWS KMS[Kebijakan kunci default](key-policy-default.md) untuk kunci KMS di penyimpanan AWS CloudHSM kunci identik dengan kebijakan kunci default untuk kunci KMS di. AWS KMS[Attribute-based access control](abac.md) (ABAC), yang menggunakan tag dan alias untuk mengontrol akses ke kunci KMS, juga efektif pada kunci KMS di toko-toko utama. AWS CloudHSM 
+ [Prinsipal yang menggunakan kunci KMS di toko AWS CloudHSM kunci Anda untuk operasi kriptografi memerlukan izin untuk melakukan [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dengan kunci KMS, seperti KMS: Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Anda dapat memberikan izin ini dalam kebijakan utama, kebijakan IAM. Tapi, mereka tidak memerlukan izin tambahan untuk menggunakan kunci KMS di toko AWS CloudHSM kunci.

# Buat toko AWS CloudHSM kunci
<a name="create-keystore"></a>

Anda dapat membuat satu atau beberapa toko AWS CloudHSM utama di akun Anda. Setiap toko AWS CloudHSM kunci dikaitkan dengan satu AWS CloudHSM cluster di wilayah Akun AWS dan yang sama. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda perlu [merakit prasyarat](#before-keystore). Kemudian, sebelum Anda dapat menggunakan toko AWS CloudHSM kunci Anda, Anda harus [menghubungkannya](connect-keystore.md) ke AWS CloudHSM klasternya.

**Catatan**  
KMS tidak dapat berkomunikasi IPv6 dengan toko-toko AWS CloudHSM utama.  
Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci *terputus* yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM .   
Anda tidak harus segera menghubungkan toko AWS CloudHSM kunci Anda. Anda dapat membiarkannya dalam keadaan terputus sampai Anda siap menggunakannya. Namun, untuk memverifikasi bahwa itu dikonfigurasi dengan benar, Anda mungkin ingin [menghubungkannya](connect-keystore.md), [melihat status koneksinya](view-keystore.md), dan kemudian [memutuskannya](disconnect-keystore.md).

**Topics**
+ [Memasang prasyarat](#before-keystore)
+ [Buat toko AWS CloudHSM kunci baru](#create-hsm-keystore)

## Memasang prasyarat
<a name="before-keystore"></a>

Setiap toko AWS CloudHSM kunci didukung oleh sebuah AWS CloudHSM cluster. Untuk membuat penyimpanan AWS CloudHSM kunci, Anda harus menentukan AWS CloudHSM cluster aktif yang belum dikaitkan dengan penyimpanan kunci lain. Anda juga perlu membuat pengguna kripto khusus (CU) di cluster HSMs yang AWS KMS dapat digunakan untuk membuat dan mengelola kunci atas nama Anda.

Sebelum Anda membuat toko AWS CloudHSM kunci, lakukan hal berikut:

**Pilih AWS CloudHSM klaster**  
Setiap toko AWS CloudHSM kunci [dikaitkan dengan tepat satu AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster). Saat Anda membuat AWS KMS keys di toko AWS CloudHSM kunci, AWS KMS buat metadata kunci KMS, seperti ID dan Nama Sumber Daya Amazon (ARN) di. AWS KMS Kemudian menciptakan materi kunci di HSMs cluster terkait. Anda dapat [membuat AWS CloudHSM cluster baru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) atau menggunakan yang sudah ada. AWS KMS tidak memerlukan akses eksklusif ke cluster.  
 AWS CloudHSM Cluster yang Anda pilih secara permanen terkait dengan penyimpanan AWS CloudHSM kunci. Setelah Anda membuat penyimpanan AWS CloudHSM kunci, Anda dapat [mengubah ID cluster](update-keystore.md) dari cluster terkait, tetapi cluster yang Anda tentukan harus berbagi riwayat cadangan dengan cluster asli. Untuk menggunakan cluster yang tidak terkait, Anda perlu membuat toko AWS CloudHSM kunci baru.  
 AWS CloudHSM Cluster yang Anda pilih harus memiliki karakteristik sebagai berikut:  
+ **Klaster harus aktif**. 

  Anda harus membuat cluster, menginisialisasi, menginstal perangkat lunak AWS CloudHSM klien untuk platform Anda, dan kemudian mengaktifkan cluster. Untuk petunjuk terperinci, lihat [Memulai AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) di *Panduan AWS CloudHSM Pengguna*.
+ **Mutual TLS (mTLS) tidak diaktifkan.** 

  KMS tidak mendukung mTL untuk cluster. Pengaturan ini tidak boleh diaktifkan.
+ **Cluster harus berada di akun dan Wilayah yang sama** dengan penyimpanan AWS CloudHSM kunci. Anda tidak dapat mengaitkan penyimpanan AWS CloudHSM kunci di satu Wilayah dengan klaster di Wilayah yang berbeda. Untuk membuat infrastruktur utama di beberapa Wilayah, Anda harus membuat penyimpanan dan klaster AWS CloudHSM utama di setiap Wilayah.
+ **Cluster tidak dapat dikaitkan dengan penyimpanan kunci khusus lain** di akun dan Wilayah yang sama. Setiap penyimpanan AWS CloudHSM kunci di akun dan Wilayah harus dikaitkan dengan AWS CloudHSM cluster yang berbeda. Anda tidak dapat menentukan klaster yang sudah dikaitkan dengan penyimpanan kunci kustom atau klaster yang berbagi riwayat pencadangan dengan klaster yang dikaitkan. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat cluster cluster, gunakan AWS CloudHSM konsol atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi.

  Jika Anda [mencadangkan AWS CloudHSM kluster ke Wilayah yang berbeda](https://docs.aws.amazon.com/cloudhsm/latest/userguide/copy-backup-to-region.html), itu dianggap sebagai klaster yang berbeda, dan Anda dapat mengaitkan cadangan dengan penyimpanan kunci khusus di Wilayahnya. Namun, kunci KMS di dua toko kunci khusus tidak dapat dioperasikan, bahkan jika mereka memiliki kunci dukungan yang sama. AWS KMS mengikat metadata ke ciphertext sehingga dapat didekripsi hanya dengan kunci KMS yang mengenkripsi itu.
+ Klaster harus dikonfigurasi dengan [subnet privat](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) dalam **minimal dua Availability Zone** di Wilayah tersebut. Karena tidak AWS CloudHSM didukung di semua Availability Zone, kami sarankan Anda membuat subnet pribadi di semua Availability Zone di wilayah tersebut. Anda tidak dapat mengonfigurasi ulang subnet untuk klaster yang ada, tetapi Anda dapat [membuat sebuah klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dengan subnet yang berbeda dalam konfigurasi klaster.
**penting**  
Setelah Anda membuat toko AWS CloudHSM kunci Anda, jangan hapus salah satu subnet pribadi yang dikonfigurasi untuk AWS CloudHSM klasternya. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk [terhubung ke penyimpanan kunci kustom](connect-keystore.md) gagal dengan status kesalahan `SUBNET_NOT_FOUND` koneksi. Lihat perinciannya di [Cara memperbaiki kegagalan koneksi](fix-keystore.md#fix-keystore-failed).
+ [Grup keamanan untuk cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/configure-sg.html) (`cloudhsm-cluster-<cluster-id>-sg`) harus menyertakan aturan masuk dan aturan keluar yang memungkinkan lalu lintas TCP berakhir IPv4, pada port 2223-2225. **Sumber** dalam aturan masuk dan **Tujuan** dalam aturan keluar harus sesuai dengan ID grup keamanan. Aturan ini ditetapkan secara default saat Anda membuat klaster. Jangan menghapus atau mengubah aturan tersebut.
+ **Cluster harus berisi setidaknya dua aktif HSMs** di Availability Zone yang berbeda. Untuk memverifikasi jumlah HSMs, gunakan AWS CloudHSM konsol atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Jika perlu, Anda dapat [menambahkan HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html#add-hsm).

**Temukan sertifikat jangkar tepercaya**  
Saat membuat penyimpanan kunci khusus, Anda harus mengunggah sertifikat jangkar kepercayaan untuk AWS CloudHSM AWS KMS klaster. AWS KMS membutuhkan sertifikat jangkar kepercayaan untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klaster terkaitnya.  
Setiap AWS CloudHSM cluster aktif memiliki *sertifikat jangkar kepercayaan*. Ketika [menginisialisasi klaster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr), Anda menghasilkan sertifikat ini, menyimpannya dalam file `customerCA.crt`, dan menyalinnya ke host yang terhubung ke klaster.

**Buat pengguna `kmsuser` crypto untuk AWS KMS**  <a name="kmsuser-concept"></a>
Untuk mengelola toko AWS CloudHSM kunci Anda, masuk AWS KMS ke akun [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) (CU) di klaster yang dipilih. Sebelum Anda membuat toko AWS CloudHSM kunci Anda, Anda harus membuat `kmsuser` CU. Kemudian ketika Anda membuat toko AWS CloudHSM kunci Anda, Anda memberikan kata sandi `kmsuser` untuk AWS KMS. Setiap kali Anda menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster terkait AWS KMS , masuk sebagai `kmsuser` dan memutar kata sandi `kmsuser`   
Jangan menentukan opsi `2FA` saat Anda membuat CU `kmsuser`. Jika Anda melakukannya, AWS KMS tidak dapat masuk dan toko AWS CloudHSM kunci Anda tidak dapat terhubung ke AWS CloudHSM cluster ini. Setelah Anda menentukan 2FA, Anda tidak dapat membatalkannya. Sebaliknya, Anda harus menghapus CU dan membuatnya ulang.
**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

1. *Ikuti prosedur memulai seperti yang dijelaskan dalam topik [Memulai dengan CloudHSM Command Line Interface (CLI](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html)) dari Panduan Pengguna.AWS CloudHSM *

1. Gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-user-cloudhsm-cli.html) untuk membuat CU bernama`kmsuser`.

   Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.

   Contoh perintah berikut menciptakan `kmsuser` CU. 

   ```
   aws-cloudhsm > user create --username kmsuser --role crypto-user
   Enter password:
   Confirm password:
   {
    "error_code": 0,
    "data": {
      "username": "kmsuser",
      "role": "crypto-user"
    }
   }
   ```

## Buat toko AWS CloudHSM kunci baru
<a name="create-hsm-keystore"></a>

Setelah [merakit prasyarat](#before-keystore), Anda dapat membuat toko AWS CloudHSM kunci baru di AWS KMS konsol atau dengan menggunakan operasi. [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)

### Menggunakan AWS KMS konsol
<a name="create-keystore-console"></a>

Saat Anda membuat penyimpanan AWS CloudHSM kunci di Konsol Manajemen AWS, Anda dapat menambahkan dan membuat [prasyarat](#before-keystore) sebagai bagian dari alur kerja Anda. Namun, prosesnya lebih cepat saat Anda merakitnya terlebih dahulu.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih **Buat toko kunci**.

1. Masukkan nama yang mudah diingat untuk penyimpanan kunci kustom. Nama harus unik di antara semua toko kunci khusus di akun Anda.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

1. [Pilih AWS CloudHSM cluster](keystore-cloudhsm.md#concept-cluster) untuk penyimpanan AWS CloudHSM kunci. Atau, untuk membuat AWS CloudHSM cluster baru, pilih link **Create an AWS CloudHSM cluster**.

   Menu menampilkan AWS CloudHSM cluster di akun dan wilayah Anda yang belum dikaitkan dengan toko AWS CloudHSM kunci. Klaster harus [memenuhi persyaratan](#before-keystore) untuk asosiasi dengan penyimpanan kunci kustom. 

1. Pilih **Pilih file**, lalu unggah sertifikat jangkar kepercayaan untuk AWS CloudHSM klaster yang Anda pilih. Ini adalah file `customerCA.crt` yang Anda buat saat Anda [menginisialisasi klaster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html#sign-csr).

1. Masukkan kata sandi dari [pengguna kripto (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) yang Anda buat dalam klaster yang dipilih. 

1. Pilih **Buat**.

Ketika prosedur berhasil, toko AWS CloudHSM kunci baru muncul di daftar toko AWS CloudHSM utama di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci *terputus* yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM . 

**Berikutnya**: Toko AWS CloudHSM kunci baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko AWS CloudHSM kunci, Anda harus [menghubungkan toko kunci khusus](connect-keystore.md) ke AWS CloudHSM cluster terkait.

### Menggunakan AWS KMS API
<a name="create-keystore-api"></a>

Anda dapat menggunakan [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operasi untuk membuat toko AWS CloudHSM kunci baru yang terkait dengan AWS CloudHSM cluster di akun dan Wilayah. Contoh-contoh ini menggunakan AWS Command Line Interface (AWS CLI), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.

Operasi `CreateCustomKeyStore` memerlukan nilai parameter berikut.
+ CustomKeyStoreName — Nama ramah untuk toko kunci khusus yang unik di akun.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.
+ CloudHsmClusterId — ID cluster AWS CloudHSM cluster yang [memenuhi persyaratan](#before-keystore) untuk penyimpanan AWS CloudHSM kunci.
+ KeyStorePassword — Kata sandi akun `kmsuser` CU di cluster yang ditentukan. 
+ TrustAnchorCertificate — Isi `customerCA.crt` file yang Anda buat saat Anda [menginisialisasi cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/initialize-cluster.html).

Contoh berikut menggunakan ID klaster fiktif. Sebelum menjalankan perintah, ganti dengan ID klaster yang valid.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate <certificate-goes-here>
```

Jika Anda menggunakan AWS CLI, Anda dapat menentukan file sertifikat jangkar kepercayaan, bukan isinya. Dalam contoh berikut, file `customerCA.crt` tidak berada dalam direktori akar.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleCloudHSMKeyStore \
        --cloud-hsm-cluster-id cluster-1a23b4cdefg \
        --key-store-password kmsPswd \
        --trust-anchor-certificate file://customerCA.crt
```

Saat operasi berhasil, `CreateCustomKeyStore` mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Jika Anda mencoba membuat penyimpanan AWS CloudHSM kunci dengan semua nilai properti yang sama dengan penyimpanan AWS CloudHSM kunci *terputus* yang ada, AWS KMS tidak membuat penyimpanan AWS CloudHSM kunci baru, dan itu tidak memunculkan pengecualian atau menampilkan kesalahan. Sebaliknya, AWS KMS mengenali duplikat sebagai konsekuensi yang mungkin dari percobaan ulang, dan mengembalikan ID dari penyimpanan kunci yang ada AWS CloudHSM . 

**Berikutnya**: Untuk menggunakan toko AWS CloudHSM kunci, [hubungkan ke AWS CloudHSM klaster nya](connect-keystore.md).

# Lihat toko AWS CloudHSM kunci
<a name="view-keystore"></a>

Anda dapat melihat toko AWS CloudHSM utama di setiap akun dan Wilayah dengan menggunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. 

## Menggunakan AWS KMS konsol
<a name="view-keystore-console"></a>

Ketika Anda melihat toko-toko AWS CloudHSM utama di Konsol Manajemen AWS, Anda dapat melihat yang berikut:
+ Nama dan ID toko kunci kustom
+ ID AWS CloudHSM klaster terkait
+ Jumlah HSMs dalam cluster
+ Status koneksi saat ini

Nilai status koneksi (**Status**) dari **Terputus** menunjukkan bahwa penyimpanan kunci khusus baru dan belum pernah terhubung, atau sengaja terputus [dari klasternya](disconnect-keystore.md). AWS CloudHSM Namun, jika upaya Anda untuk menggunakan kunci KMS di penyimpanan kunci kustom yang terhubung gagal, itu mungkin menunjukkan masalah dengan penyimpanan kunci khusus atau AWS CloudHSM klasternya. Untuk bantuan, lihat [Cara memperbaiki kunci KMS yang gagal](fix-keystore.md#fix-cmk-failed).

Untuk melihat toko AWS CloudHSM utama di akun dan Wilayah tertentu, gunakan prosedur berikut.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

Untuk menyesuaikan tampilan, klik ikon roda gigi yang muncul di bawah tombol **Buat penyimpanan kunci**.

## Menggunakan AWS KMS API
<a name="view-keystore-api"></a>

Untuk melihat toko AWS CloudHSM utama Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi output ke penyimpanan kunci kustom tertentu. Untuk penyimpanan AWS CloudHSM kunci, output terdiri dari ID dan nama penyimpanan kunci kustom, jenis penyimpanan kunci kustom, ID AWS CloudHSM cluster terkait, dan status koneksi. Jika status koneksi menunjukkan kesalahan, output juga menyertakan kode kesalahan yang menjelaskan alasan kesalahan.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Misalnya, perintah berikut mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Anda dapat menggunakan parameter `Limit` dan `Marker` ke halaman melalui penyimpanan kunci kustom dalam output.

```
$ aws kms describe-custom-key-stores
```

Contoh perintah berikut menggunakan parameter `CustomKeyStoreName` untuk mendapatkan hanya penyimpanan kunci kustom dengan nama `ExampleCloudHSMKeyStore` yang mudah diingat. Anda dapat menggunakan parameter `CustomKeyStoreName` atau `CustomKeyStoreId` (tetapi tidak keduanya) di setiap perintah.

Contoh output berikut merupakan penyimpanan AWS CloudHSM kunci yang terhubung ke AWS CloudHSM cluster nya.

**catatan**  
`CustomKeyStoreType`Bidang ditambahkan ke `DescribeCustomKeyStores` respons untuk membedakan toko AWS CloudHSM kunci dari toko kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleCloudHSMKeyStore
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionState": "CONNECTED",
         "CreationDate": "1.499288695918E9",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

A `ConnectionState` `Disconnected` menunjukkan bahwa toko kunci khusus tidak pernah terhubung atau sengaja terputus [dari klasternya AWS CloudHSM](disconnect-keystore.md). Namun, jika upaya untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci yang terhubung gagal, itu mungkin menunjukkan masalah dengan penyimpanan AWS CloudHSM kunci atau AWS CloudHSM klasternya. Untuk bantuan, lihat [Cara memperbaiki kunci KMS yang gagal](fix-keystore.md#fix-cmk-failed).

Jika `ConnectionState` dari penyimpanan kunci kustom adalah `FAILED`, respons `DescribeCustomKeyStores` mencakup elemen `ConnectionErrorCode` yang menjelaskan alasan kesalahan.

Sebagai contoh, dalam output berikut, nilai `INVALID_CREDENTIALS` menunjukkan bahwa koneksi penyimpanan kunci kustom gagal karena [kata sandi `kmsuser` tidak valid](fix-keystore.md#fix-keystore-password). Untuk bantuan dengan hal ini dan kegagalan kesalahan koneksi lainnya, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [ 
      { 
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "ConnectionErrorCode": "INVALID_CREDENTIALS",
         "ConnectionState": "FAILED",
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
         "CustomKeyStoreType": "AWS_CLOUDHSM",
         "CreationDate": "1.499288695918E9",
         "TrustAnchorCertificate": "<certificate appears here>"
      }
   ]
}
```

**Pelajari lebih lanjut:**
+ [Lihat toko kunci eksternal](view-xks-keystore.md)
+ [Identifikasi kunci KMS di toko-toko AWS CloudHSM utama](identify-key-types.md#identify-key-hsm-keystore)
+ [Logging panggilan AWS KMS API dengan AWS CloudTrail](logging-using-cloudtrail.md)

# Edit pengaturan penyimpanan AWS CloudHSM kunci
<a name="update-keystore"></a>

Anda dapat mengubah pengaturan toko AWS CloudHSM kunci yang ada. Toko kunci khusus harus terputus AWS CloudHSM klasternya.

Untuk mengedit pengaturan penyimpanan AWS CloudHSM kunci:

1. [Putuskan koneksi penyimpanan kunci kustom](disconnect-keystore.md) dari klaster AWS CloudHSM -nya.

   [Sementara toko kunci khusus terputus, Anda tidak dapat membuat AWS KMS keys (kunci KMS) di toko kunci khusus dan Anda tidak dapat menggunakan kunci KMS yang dikandungnya untuk operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore) 

1. Edit satu atau beberapa pengaturan penyimpanan AWS CloudHSM utama.

   Anda dapat mengedit pengaturan berikut di penyimpanan kunci kustom:  
Nama penyimpanan kunci kustom yang mudah diingat.  
Masukkan nama baru yang mudah diingat. Nama baru harus unik di antara semua toko kunci khusus di Anda Akun AWS.  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.  
ID cluster dari AWS CloudHSM cluster terkait.  
Edit nilai ini untuk menggantikan AWS CloudHSM cluster terkait dengan yang asli. Anda dapat menggunakan fitur ini untuk memperbaiki penyimpanan kunci khusus jika AWS CloudHSM klasternya rusak atau dihapus.   
Tentukan AWS CloudHSM klaster yang berbagi riwayat cadangan dengan klaster asli dan [memenuhi persyaratan](create-keystore.md#before-keystore) untuk asosiasi dengan penyimpanan kunci khusus, termasuk dua aktif HSMs di Availability Zone yang berbeda. Klaster yang berbagi riwayat pencadangan memiliki sertifikat klaster yang sama. Untuk melihat sertifikat cluster cluster, gunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Anda tidak dapat menggunakan fitur edit untuk mengaitkan penyimpanan kunci kustom dengan klaster AWS CloudHSM yang tidak terkait.   
Kata sandi saat ini dari [pengguna kripto (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser).  
 AWS KMS Memberitahu kata sandi `kmsuser` CU saat ini di AWS CloudHSM cluster. Tindakan ini tidak mengubah kata sandi `kmsuser` CU di AWS CloudHSM cluster.  
Jika Anda mengubah kata sandi `kmsuser` CU di AWS CloudHSM cluster, gunakan fitur ini untuk memberi tahu AWS KMS `kmsuser` kata sandi baru. Jika tidak, AWS KMS tidak dapat login ke klaster dan semua upaya untuk menghubungkan penyimpanan kunci kustom untuk klaster mengalami kegagalan. 

1. [Sambungkan kembali penyimpanan kunci kustom](connect-keystore.md) ke klaster AWS CloudHSM -nya.

## Edit pengaturan toko kunci Anda
<a name="edit-keystore-settings"></a>

Anda dapat mengedit pengaturan penyimpanan AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="update-keystore-console"></a>

Saat Anda mengedit penyimpanan AWS CloudHSM kunci, Anda dapat mengubah salah satu atau nilai yang dapat dikonfigurasi.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih baris toko AWS CloudHSM kunci yang ingin Anda edit. 

   Jika nilai di kolom **status Koneksi** tidak **Terputus**, Anda harus memutuskan penyimpanan kunci khusus sebelum Anda dapat mengeditnya. (Dari menu **Key store actions**, pilih **Disconnect**.)

   Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci. AWS CloudHSM 

1. Dari menu **Key store actions**, pilih **Edit**.

1. Lakukan satu atau beberapa tindakan berikut.
   + Ketikkan nama yang mudah diingat untuk penyimpanan kunci kustom.
   + Ketik ID cluster dari AWS CloudHSM cluster terkait.
   + Ketik kata sandi pengguna `kmsuser` kripto saat ini di AWS CloudHSM cluster terkait.

1. Pilih **Simpan**.

   Ketika prosedur berhasil, suatu pesan akan menjelaskan pengaturan yang Anda diedit. Ketika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

1. [Hubungkan kembali penyimpanan kunci kustom](connect-keystore.md).

   Untuk menggunakan toko AWS CloudHSM kunci, Anda harus menghubungkannya kembali setelah mengedit. Anda dapat membiarkan toko AWS CloudHSM kunci terputus. [Tetapi saat terputus, Anda tidak dapat membuat kunci KMS di toko AWS CloudHSM kunci atau menggunakan kunci KMS di toko kunci dalam operasi AWS CloudHSM kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)

### Menggunakan AWS KMS API
<a name="update-keystore-api"></a>

Untuk mengubah properti toko AWS CloudHSM kunci, gunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi. Anda dapat mengubah beberapa properti dari penyimpanan kunci kustom dalam perintah yang sama. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Untuk memverifikasi bahwa perubahannya efektif, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Mulailah dengan menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)untuk [memutuskan penyimpanan kunci kustom](disconnect-keystore.md) dari AWS CloudHSM klasternya. Ganti contoh ID penyimpanan kunci kustom, cks-1234567890abcdef0, dengan ID yang sebenarnya.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Contoh pertama digunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)untuk mengubah nama ramah dari toko AWS CloudHSM kunci menjadi`DevelopmentKeys`. Perintah menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan `CustomKeyStoreName` untuk menentukan nama baru untuk toko kunci kustom.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name DevelopmentKeys
```

Contoh berikut mengubah cluster yang terkait dengan penyimpanan AWS CloudHSM kunci ke cadangan lain dari cluster yang sama. Perintah menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan `CloudHsmClusterId` parameter untuk menentukan ID cluster baru. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --cloud-hsm-cluster-id cluster-1a23b4cdefg
```

Contoh berikut mengatakan AWS KMS bahwa `kmsuser` kata sandi saat ini adalah`ExamplePassword`. Perintah menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan AWS CloudHSM kunci dan `KeyStorePassword` parameter untuk menentukan kata sandi saat ini.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password ExamplePassword
```

Perintah terakhir menghubungkan kembali penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya. [Anda dapat meninggalkan penyimpanan kunci khusus dalam keadaan terputus, tetapi Anda harus menghubungkannya sebelum Anda dapat membuat kunci KMS baru atau menggunakan kunci KMS yang ada untuk operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore) Ganti contoh ID penyimpanan kunci kustom dengan ID yang sebenarnya.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

# Connect toko AWS CloudHSM kunci
<a name="connect-keystore"></a>

Toko AWS CloudHSM kunci baru tidak terhubung. Sebelum Anda dapat membuat dan menggunakan AWS KMS keys di toko AWS CloudHSM kunci Anda, Anda harus menghubungkannya ke AWS CloudHSM cluster terkait. Anda dapat menghubungkan dan memutuskan penyimpanan AWS CloudHSM kunci Anda kapan saja, dan [melihat status koneksinya](view-keystore.md#view-keystore-console). 

Anda tidak diharuskan untuk menghubungkan toko AWS CloudHSM kunci Anda. Anda dapat meninggalkan toko AWS CloudHSM kunci dalam keadaan terputus tanpa batas waktu dan menghubungkannya hanya ketika Anda perlu menggunakannya. Namun, Anda mungkin ingin menguji koneksi secara berkala untuk memverifikasi bahwa pengaturan sudah benar dan dapat tersambung.

**catatan**  
AWS CloudHSM toko kunci memiliki status `DISCONNECTED` koneksi hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. Jika status koneksi penyimpanan AWS CloudHSM kunci Anda `CONNECTED` tetapi Anda mengalami masalah dalam menggunakannya, pastikan AWS CloudHSM klaster terkaitnya aktif dan berisi setidaknya satu aktif HSMs. Untuk bantuan dengan kegagalan koneksi, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Saat Anda menghubungkan penyimpanan AWS CloudHSM kunci, AWS KMS temukan AWS CloudHSM klaster terkait, sambungkan ke sana, masuk ke AWS CloudHSM klien sebagai [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) (CU), dan kemudian memutar `kmsuser` kata sandi. AWS KMS tetap masuk ke AWS CloudHSM klien selama toko AWS CloudHSM kunci terhubung.

Untuk membuat koneksi, AWS KMS buat [grup keamanan](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) bernama `kms-<custom key store ID>` di virtual private cloud (VPC) cluster. Grup keamanan memiliki aturan tunggal yang memungkinkan lalu lintas masuk dari grup keamanan cluster. AWS KMS juga membuat [elastic network interface](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) (ENI) di setiap Availability Zone dari subnet pribadi untuk cluster. AWS KMS menambahkan ENIs ke grup `kms-<cluster ID>` keamanan dan grup keamanan untuk cluster. Deskripsi dari masing-masing ENI adalah `KMS managed ENI for cluster <cluster-ID>`.

Proses koneksi dapat memakan waktu yang lama untuk selesai; hingga 20 menit. 

Sebelum Anda menghubungkan toko AWS CloudHSM kunci, verifikasi bahwa itu memenuhi persyaratan.
+  AWS CloudHSM Cluster yang terkait harus mengandung setidaknya satu HSM aktif. Untuk menemukan jumlah HSMs di cluster, lihat cluster di AWS CloudHSM konsol atau gunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Jika perlu, Anda dapat [menambahkan HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html).
+ Cluster harus memiliki akun [pengguna `kmsuser` kripto](create-keystore.md#kmsuser-concept) (CU), tetapi CU tersebut tidak dapat masuk ke cluster saat Anda menghubungkan penyimpanan AWS CloudHSM kunci. Untuk bantuan dengan logout, lihat [Cara logout dan menghubungkan kembali](fix-keystore.md#login-kmsuser-2).
+ Status koneksi dari toko AWS CloudHSM kunci tidak dapat `DISCONNECTING` atau`FAILED`. Untuk melihat status koneksi, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. Jika status koneksi`FAILED`, lepaskan penyimpanan kunci khusus, perbaiki masalahnya, lalu sambungkan.

Untuk bantuan dengan kegagalan koneksi, lihat [Cara memperbaiki kegagalan koneksi](fix-keystore.md#fix-keystore-failed).

Ketika toko AWS CloudHSM kunci Anda terhubung, Anda dapat [membuat kunci KMS di dalamnya dan menggunakan kunci](create-cmk-keystore.md) KMS yang ada dalam operasi [kriptografi](manage-cmk-keystore.md#use-cmk-keystore).

## Connect dan sambungkan kembali ke toko AWS CloudHSM utama Anda
<a name="connect-hsm-keystore"></a>

Anda dapat menghubungkan, atau menghubungkan kembali, toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="connect-keystore-console"></a>

Untuk menghubungkan toko AWS CloudHSM kunci di Konsol Manajemen AWS, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman **Toko kunci kustom**. Proses koneksi bisa memakan waktu hingga 20 menit untuk menyelesaikannya.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih baris toko AWS CloudHSM kunci yang ingin Anda sambungkan. 

   Jika status koneksi penyimpanan AWS CloudHSM kunci **Gagal**, Anda harus [memutuskan penyimpanan kunci khusus](disconnect-keystore.md#disconnect-keystore-console) sebelum Anda menghubungkannya.

1. Dari menu **Key Store Actions**, pilih **Connect**.

AWS KMS memulai proses menghubungkan toko kunci kustom Anda. Itu menemukan klaster AWS CloudHSM terkait, membangun infrastruktur jaringan yang diperlukan, menghubungkan ke sana, login ke klaster AWS CloudHSM sebagai CU `kmsuser`, dan memutar kata sandi `kmsuser`. Ketika operasi selesai, status koneksi berubah menjadi **Terhubung**. 

Jika operasi gagal, muncul pesan kesalahan yang menjelaskan alasan kegagalan. Sebelum Anda mencoba menghubungkan lagi, [lihat status koneksi](view-keystore.md) toko AWS CloudHSM kunci Anda. Jika **Gagal**, Anda harus [memutuskan penyimpanan kunci khusus](disconnect-keystore.md#disconnect-keystore-console) sebelum Anda menghubungkannya lagi. Jika Anda memerlukan bantuan, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

**Berikutnya:**[Buat kunci KMS di toko AWS CloudHSM kunci](create-cmk-keystore.md).

### Menggunakan AWS KMS API
<a name="connect-keystore-api"></a>

Untuk menghubungkan toko AWS CloudHSM kunci yang terputus, gunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi. AWS CloudHSM Cluster terkait harus berisi setidaknya satu HSM aktif dan status koneksi tidak dapat`FAILED`.

Proses koneksi memerlukan waktu yang lama untuk selesai; hingga 20 menit. Kecuali mengalami kegagalan dengan cepat, operasi tersebut mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan status koneksi penyimpanan kunci kustom, lihat [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)responsnya.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Untuk mengidentifikasi toko AWS CloudHSM kunci, gunakan ID toko kunci kustom. Anda dapat menemukan ID di halaman **toko kunci kustom** di konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi tanpa parameter. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk memverifikasi bahwa toko AWS CloudHSM kunci terhubung, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. Nilai `ConnectionState` dari `CONNECTED` menunjukkan bahwa penyimpanan kunci kustom terhubung ke klaster AWS CloudHSM .

**catatan**  
`CustomKeyStoreType`Bidang ditambahkan ke `DescribeCustomKeyStores` respons untuk membedakan toko AWS CloudHSM kunci dari toko kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}
```

Jika nilai `ConnectionState` gagal, elemen `ConnectionErrorCode` menunjukkan alasan kegagalan. Dalam hal ini, tidak AWS KMS dapat menemukan AWS CloudHSM cluster di akun Anda dengan ID cluster`cluster-1a23b4cdefg`. Jika Anda menghapus klaster, Anda dapat [memulihkannya dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari klaster asli dan [mengedit ID klaster](update-keystore.md) untuk penyimpanan kunci kustom. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Cara memperbaiki kegagalan koneksi](fix-keystore.md#fix-keystore-failed).

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}
```

# Putuskan sambungan toko AWS CloudHSM kunci
<a name="disconnect-keystore"></a>

Saat Anda memutuskan sambungan penyimpanan AWS CloudHSM kunci, AWS KMS keluar dari AWS CloudHSM klien, terputus dari AWS CloudHSM cluster terkait, dan menghapus infrastruktur jaringan yang dibuatnya untuk mendukung koneksi.

Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci. AWS CloudHSM Status koneksi dari toko kunci adalah `DISCONNECTED` dan [status kunci kunci](key-state.md) KMS di toko kunci kustom adalah`Unavailable`, kecuali mereka`PendingDeletion`. Anda dapat menghubungkan kembali toko AWS CloudHSM kunci kapan saja.

**catatan**  
AWS CloudHSM toko kunci memiliki status `DISCONNECTED` koneksi hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. Jika status koneksi penyimpanan AWS CloudHSM kunci Anda `CONNECTED` tetapi Anda mengalami masalah dalam menggunakannya, pastikan AWS CloudHSM klaster terkaitnya aktif dan berisi setidaknya satu aktif HSMs. Untuk bantuan dengan kegagalan koneksi, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

Saat Anda memutuskan penyimpanan kunci khusus, kunci KMS di toko kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan [kunci data](data-keys.md) yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Untuk memperkirakan efek pemutusan toko kunci kustom Anda dengan lebih baik, [identifikasi kunci KMS di toko kunci](find-cmk-in-keystore.md) khusus dan [tentukan penggunaannya di masa lalu](deleting-keys-determining-usage.md).

Anda dapat memutuskan sambungan penyimpanan AWS CloudHSM kunci karena alasan seperti berikut:
+ **Untuk memutar kata sandi `kmsuser`.** AWS KMS mengubah kata sandi `kmsuser` setiap kali terhubung ke klaster AWS CloudHSM . Untuk memberlakukan rotasi kata sandi, cukup putuskan koneksi dan hubungkan kembali.
+ **Untuk mengaudit materi kunci** untuk kunci KMS di AWS CloudHSM cluster. Saat Anda memutuskan penyimpanan kunci khusus, AWS KMS keluar dari akun [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) di AWS CloudHSM klien. Ini memungkinkan Anda untuk masuk ke cluster sebagai `kmsuser` CU dan mengaudit dan mengelola materi utama untuk kunci KMS.
+ **Untuk segera menonaktifkan semua kunci KMS** di toko AWS CloudHSM kunci. Anda dapat [menonaktifkan dan mengaktifkan kembali kunci KMS](enabling-keys.md) di toko AWS CloudHSM kunci dengan menggunakan Konsol Manajemen AWS atau operasi. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Operasi ini selesai dengan cepat, tetapi mereka bertindak pada satu kunci KMS pada satu waktu. Memutuskan sambungan penyimpanan AWS CloudHSM kunci segera mengubah status kunci dari semua kunci KMS di toko AWS CloudHSM kunci`Unavailable`, yang mencegahnya digunakan dalam operasi kriptografi apa pun.
+ **Untuk memperbaiki upaya koneksi yang gagal**. Jika upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal (status koneksi penyimpanan kunci kustom`FAILED`), Anda harus memutuskan sambungan penyimpanan AWS CloudHSM kunci sebelum Anda mencoba menghubungkannya lagi.

## Putuskan sambungan toko AWS CloudHSM kunci Anda
<a name="disconnect-hsm-keystore"></a>

Anda dapat memutuskan sambungan toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi.

### Putuskan sambungan menggunakan konsol AWS KMS
<a name="disconnect-keystore-console"></a>

Untuk memutuskan penyimpanan AWS CloudHSM kunci yang terhubung di AWS KMS konsol, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman **Toko Kunci Kustom**.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Pilih baris toko kunci eksternal yang ingin Anda putuskan. 

1. Dari menu **Key Store Actions**, pilih **Disconnect**.

**Ketika operasi selesai, status koneksi berubah dari **Memutuskan sambungan ke Terputus**.** Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

### Putuskan sambungan menggunakan API AWS KMS
<a name="disconnect-keystore-api"></a>

Untuk memutuskan sambungan AWS CloudHSM kunci yang terhubung, gunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Contoh ini memutus penyimpanan AWS CloudHSM kunci. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terputus, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` dan `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. `ConnectionState`Nilai `DISCONNECTED` menunjukkan bahwa penyimpanan AWS CloudHSM kunci contoh ini tidak terhubung ke AWS CloudHSM klasternya.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}
```

# Hapus toko AWS CloudHSM kunci
<a name="delete-keystore"></a>

Saat Anda menghapus penyimpanan AWS CloudHSM kunci, AWS KMS menghapus semua metadata tentang penyimpanan AWS CloudHSM kunci dari KMS, termasuk informasi tentang hubungannya dengan klaster. AWS CloudHSM Operasi ini tidak mempengaruhi AWS CloudHSM cluster, nya HSMs, atau penggunanya. Anda dapat membuat penyimpanan AWS CloudHSM kunci baru yang terkait dengan AWS CloudHSM cluster yang sama, tetapi Anda tidak dapat membatalkan operasi penghapusan.

Anda hanya dapat menghapus penyimpanan AWS CloudHSM kunci yang terputus dari AWS CloudHSM klasternya dan tidak berisi apa pun AWS KMS keys. Sebelum Anda menghapus penyimpanan kunci kustom, lakukan hal berikut:
+ Verifikasi bahwa Anda tidak perlu menggunakan salah satu kunci KMS di toko kunci untuk operasi [kriptografi](manage-cmk-keystore.md#use-cmk-keystore) apa pun. Kemudian [jadwalkan penghapusan](deleting-keys.md#delete-cmk-keystore) semua kunci KMS dari toko kunci. Untuk bantuan menemukan kunci KMS di toko AWS CloudHSM kunci, lihat[Temukan kunci KMS di toko AWS CloudHSM kunci](find-cmk-in-keystore.md).
+ Konfirmasikan bahwa semua kunci KMS telah dihapus. Untuk melihat kunci KMS di toko AWS CloudHSM kunci, lihat[Identifikasi kunci KMS di toko-toko AWS CloudHSM utama](identify-key-types.md#identify-key-hsm-keystore).
+ [Putuskan sambungan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md) dari AWS CloudHSM klasternya.

Alih-alih menghapus penyimpanan AWS CloudHSM kunci, pertimbangkan untuk [memutuskannya](disconnect-keystore.md) dari cluster terkait AWS CloudHSM . Sementara toko AWS CloudHSM kunci terputus, Anda dapat mengelola toko AWS CloudHSM kunci dan nya AWS KMS keys. Tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko AWS CloudHSM kunci. Anda dapat menghubungkan kembali toko AWS CloudHSM kunci kapan saja.

## Hapus toko AWS CloudHSM kunci Anda
<a name="delete-hsm-keystore"></a>

Anda dapat menghapus toko AWS CloudHSM kunci Anda di AWS KMS konsol atau dengan menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="delete-keystore-console"></a>

Untuk menghapus toko AWS CloudHSM kunci di Konsol Manajemen AWS, mulailah dengan memilih toko AWS CloudHSM kunci dari halaman **Toko kunci kustom**.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, toko AWS CloudHSM ** **utama**.

1. Temukan baris yang mewakili penyimpanan AWS CloudHSM kunci yang ingin Anda hapus. Jika **status koneksi** penyimpanan AWS CloudHSM kunci tidak **Terputus**, Anda harus [memutuskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md) sebelum Anda menghapusnya.

1. Dari menu **Key Store Actions**, pilih **Delete**.

Ketika operasi selesai, pesan sukses muncul dan toko AWS CloudHSM kunci tidak lagi muncul di daftar toko utama. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah penyimpanan kunci kustom](fix-keystore.md).

### Menggunakan AWS KMS API
<a name="delete-keystore-api"></a>

Untuk menghapus toko AWS CloudHSM kunci, gunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.

Untuk memulai, verifikasi bahwa toko AWS CloudHSM kunci tidak mengandung apa pun AWS KMS keys. Anda tidak dapat menghapus toko kunci khusus yang berisi kunci KMS. Perintah contoh pertama [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)menggunakan [ListKeys](https://docs.aws.amazon.com/kms/latest/APIReference/API_ListKeys.html)dan mencari AWS KMS keys di toko AWS CloudHSM kunci dengan contoh ID toko kunci *cks-1234567890abcdef0* kustom. Dalam hal ini, perintah tidak mengembalikan kunci KMS apa pun. Jika ya, gunakan [ScheduleKeyDeletion](https://docs.aws.amazon.com/kms/latest/APIReference/API_ScheduleKeyDeletion.html)operasi untuk menjadwalkan penghapusan masing-masing tombol KMS.

------
#### [ Bash ]

```
for key in $(aws kms list-keys --query 'Keys[*].KeyId' --output text) ; 
do aws kms describe-key --key-id $key | 
grep '"CustomKeyStoreId": "cks-1234567890abcdef0"' --context 100; done
```

------
#### [ PowerShell ]

```
PS C:\> Get-KMSKeyList | Get-KMSKey | where CustomKeyStoreId -eq 'cks-1234567890abcdef0'
```

------

Selanjutnya, lepaskan AWS CloudHSM kunci toko. Perintah contoh ini menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi untuk memutuskan penyimpanan AWS CloudHSM kunci dari AWS CloudHSM klaster nya. Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

------
#### [ Bash ]

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Disconnect-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

Setelah toko kunci khusus terputus, Anda dapat menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi untuk menghapusnya. 

------
#### [ Bash ]

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

------
#### [ PowerShell ]

```
PS C:\> Remove-KMSCustomKeyStore -CustomKeyStoreId cks-1234567890abcdef0
```

------

# Memecahkan masalah penyimpanan kunci kustom
<a name="fix-keystore"></a>

AWS CloudHSM toko-toko utama dirancang agar tersedia dan tangguh. Namun, ada beberapa kondisi kesalahan yang mungkin harus Anda perbaiki agar toko AWS CloudHSM kunci Anda tetap beroperasi.

**Topics**
+ [Cara memperbaiki kunci KMS yang tidak tersedia](#fix-unavailable-cmks)
+ [Cara memperbaiki kunci KMS yang gagal](#fix-cmk-failed)
+ [Cara memperbaiki kegagalan koneksi](#fix-keystore-failed)
+ [Bagaimana menanggapi kegagalan operasi kriptografi](#fix-keystore-communication)
+ [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password)
+ [Cara menghapus material kunci tanpa induk](#fix-keystore-orphaned-key)
+ [Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS](#fix-keystore-recover-backing-key)
+ [Cara login sebagai `kmsuser`](#fix-login-as-kmsuser)

## Cara memperbaiki kunci KMS yang tidak tersedia
<a name="fix-unavailable-cmks"></a>

[Keadaan kunci](key-state.md) AWS KMS keys di toko AWS CloudHSM kunci biasanya`Enabled`. Seperti semua kunci KMS, status kunci berubah ketika Anda menonaktifkan kunci KMS di toko AWS CloudHSM kunci atau menjadwalkannya untuk dihapus. Namun, tidak seperti kunci KMS lainnya, kunci KMS di toko kunci khusus juga dapat memiliki [status kunci](key-state.md). `Unavailable` 

Status kunci `Unavailable` menunjukkan bahwa kunci KMS berada di penyimpanan kunci khusus yang sengaja [terputus](disconnect-keystore.md) dan mencoba untuk menghubungkannya kembali, jika ada, gagal. [Meskipun kunci KMS tidak tersedia, Anda dapat melihat dan mengelola kunci KMS, tetapi Anda tidak dapat menggunakannya untuk operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)

Untuk menemukan status kunci kunci KMS, pada halaman **Kunci yang dikelola Pelanggan**, lihat bidang **Status** kunci KMS. Atau, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi dan lihat `KeyState` elemen dalam respons. Lihat perinciannya di [Identifikasi dan lihat kunci](viewing-keys.md).

Kunci KMS di toko kunci kustom yang terputus akan memiliki status kunci atau. `Unavailable` `PendingDeletion` Kunci KMS yang dijadwalkan untuk dihapus dari toko kunci khusus memiliki status `Pending Deletion` kunci, bahkan ketika toko kunci khusus terputus. Hal ini memungkinkan Anda membatalkan penghapusan kunci terjadwal tanpa menghubungkan kembali penyimpanan kunci kustom. 

Untuk memperbaiki kunci KMS yang tidak tersedia, [sambungkan kembali toko kunci kustom](disconnect-keystore.md). Setelah penyimpanan kunci kustom terhubung kembali, status kunci kunci KMS di toko kunci kustom secara otomatis dikembalikan ke keadaan sebelumnya, seperti `Enabled` atau. `Disabled` Kunci KMS yang tertunda penghapusan tetap berada di negara bagian. `PendingDeletion` Namun, sementara masalah tetap ada, [mengaktifkan dan menonaktifkan kunci KMS yang tidak tersedia tidak mengubah status kuncinya](enabling-keys.md). Tindakan mengaktifkan atau menonaktifkan hanya berlaku ketika kunci menjadi tersedia.

Untuk bantuan dengan koneksi yang gagal, lihat [Cara memperbaiki kegagalan koneksi](#fix-keystore-failed). 

## Cara memperbaiki kunci KMS yang gagal
<a name="fix-cmk-failed"></a>

Masalah dengan membuat dan menggunakan kunci KMS di toko-toko AWS CloudHSM utama dapat disebabkan oleh masalah dengan toko AWS CloudHSM kunci Anda, AWS CloudHSM cluster terkait, kunci KMS, atau materi utamanya. 

Ketika penyimpanan AWS CloudHSM kunci terputus dari AWS CloudHSM klasternya, status kunci kunci KMS di toko kunci kustom adalah. `Unavailable` Semua permintaan untuk membuat kunci KMS di toko AWS CloudHSM kunci yang terputus mengembalikan pengecualian. `CustomKeyStoreInvalidStateException` Semua permintaan untuk mengenkripsi, mendekripsi, mengenkripsi ulang, atau menghasilkan kunci data mengembalikan pengecualian `KMSInvalidStateException`. Untuk memperbaiki masalah, [sambungkan kembali toko AWS CloudHSM kunci](connect-keystore.md).

Namun, upaya Anda untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci untuk [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) mungkin gagal bahkan ketika status kuncinya `Enabled` dan status koneksi penyimpanan AWS CloudHSM kunci adalah. `Connected` Ini mungkin disebabkan oleh salah satu kondisi berikut.
+ Materi kunci untuk kunci KMS mungkin telah dihapus dari AWS CloudHSM cluster terkait. Untuk menyelidiki, [temukan id kunci](find-handle-for-cmk-id.md) dari bahan kunci untuk kunci KMS dan, jika perlu, cobalah untuk [memulihkan materi kunci](#fix-keystore-recover-backing-key).
+ Semua HSMs dihapus dari AWS CloudHSM cluster yang terkait dengan penyimpanan AWS CloudHSM kunci. Untuk menggunakan kunci KMS di penyimpanan AWS CloudHSM kunci dalam operasi kriptografi, AWS CloudHSM klaster harus berisi setidaknya satu HSM aktif. Untuk memverifikasi jumlah dan status HSMs dalam sebuah AWS CloudHSM cluster, [gunakan AWS CloudHSM konsol](https://docs.aws.amazon.com/cloudhsm/latest/userguide/add-remove-hsm.html) atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Untuk menambahkan HSM ke cluster, gunakan AWS CloudHSM konsol atau [CreateHsm](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateHsm.html)operasi.
+  AWS CloudHSM Cluster yang terkait dengan penyimpanan AWS CloudHSM kunci telah dihapus. Untuk memperbaiki masalah, [buat klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) yang berkaitan dengan klaster asli, seperti cadangan klaster asli, atau cadangan yang digunakan untuk membuat klaster asli. Kemudian, [edit ID klaster](update-keystore.md) dalam pengaturan penyimpanan kunci kustom. Untuk petunjuk, lihat [Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS](#fix-keystore-recover-backing-key).
+  AWS CloudHSM Cluster yang terkait dengan penyimpanan kunci khusus tidak memiliki sesi PKCS \$111 yang tersedia. Ini biasanya terjadi selama periode lalu lintas burst tinggi ketika sesi tambahan diperlukan untuk melayani lalu lintas. Untuk menanggapi `KMSInternalException` dengan pesan kesalahan tentang sesi PKCS \$111, mundur dan coba lagi permintaan tersebut. 

## Cara memperbaiki kegagalan koneksi
<a name="fix-keystore-failed"></a>

Jika Anda mencoba [menghubungkan penyimpanan AWS CloudHSM kunci](connect-keystore.md) ke AWS CloudHSM klasternya, tetapi operasi gagal, status koneksi penyimpanan AWS CloudHSM kunci berubah menjadi`FAILED`. Untuk menemukan status koneksi penyimpanan AWS CloudHSM kunci, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. 

Atau, beberapa upaya koneksi gagal dengan cepat karena kesalahan konfigurasi klaster dengan mudah terdeteksi. Dalam hal ini, status koneksi masih`DISCONNECTED`. Kegagalan ini mengembalikan pesan kesalahan atau [pengecualian](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html#API_ConnectCustomKeyStore_Errors) yang menjelaskan mengapa percobaan mengalami kegagalan. Tinjau deskripsi pengecualian dan [persyaratan cluster](create-keystore.md#before-keystore), perbaiki masalah, [perbarui toko AWS CloudHSM kunci](update-keystore.md), jika perlu, dan coba sambungkan lagi.

Ketika status koneksi`FAILED`, jalankan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi dan lihat `ConnectionErrorCode` elemen dalam respons.

**catatan**  
Ketika status koneksi penyimpanan AWS CloudHSM kunci`FAILED`, Anda harus [memutuskan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkannya](disconnect-keystore.md) kembali. Anda tidak dapat menghubungkan toko AWS CloudHSM kunci dengan status `FAILED` koneksi.
+ `CLUSTER_NOT_FOUND`menunjukkan bahwa AWS KMS tidak dapat menemukan AWS CloudHSM cluster dengan ID cluster yang ditentukan. Hal ini mungkin terjadi karena ID klaster yang salah disediakan untuk operasi API atau klaster telah dihapus dan tidak diganti. Untuk memperbaiki kesalahan ini, verifikasi ID cluster, seperti dengan menggunakan AWS CloudHSM konsol atau [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Jika klaster telah dihapus, [buat klaster dari cadangan terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari aslinya. Kemudian, [lepaskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md), [edit pengaturan ID cluster penyimpanan AWS CloudHSM kunci](update-keystore.md), dan [sambungkan kembali penyimpanan AWS CloudHSM kunci](connect-keystore.md) ke cluster.
+ `INSUFFICIENT_CLOUDHSM_HSMS`menunjukkan bahwa AWS CloudHSM cluster terkait tidak mengandung apapun HSMs. Untuk menghubungkan, klaster harus memiliki minimal satu HSM. Untuk menemukan jumlah HSMs di cluster, gunakan [DescribeClusters](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeClusters.html)operasi. Untuk mengatasi kesalahan ini, [tambahkan minimal satu HSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-hsm.html) ke klaster. Jika Anda menambahkan beberapa HSMs, yang terbaik adalah membuatnya di Availability Zone yang berbeda.
+ `INSUFFICIENT_FREE_ADDRESSES_IN_SUBNET`menunjukkan bahwa tidak AWS KMS dapat menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM klasternya karena setidaknya satu [subnet pribadi yang terkait dengan cluster](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-subnets.html) tidak memiliki alamat IP yang tersedia. Koneksi penyimpanan AWS CloudHSM kunci memerlukan satu alamat IP gratis di masing-masing subnet pribadi terkait, meskipun dua lebih disukai.

  Anda [tidak dapat menambahkan alamat IP](https://aws.amazon.com/premiumsupport/knowledge-center/vpc-ip-address-range/) (blok CIDR) ke subnet yang ada. Jika memungkinkan, pindahkan atau hapus sumber daya lain yang menggunakan alamat IP di subnet, seperti instans EC2 yang tidak digunakan atau antarmuka jaringan elastis. Jika tidak, Anda dapat [membuat cluster dari cadangan klaster terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dengan subnet pribadi baru atau yang sudah ada yang memiliki [lebih banyak ruang alamat kosong](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html#subnet-sizing). AWS CloudHSM Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, [lepaskan penyimpanan kunci kustom](disconnect-keystore.md), [ubah ID cluster](update-keystore.md) penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi.
**Tip**  
Untuk menghindari [pengaturan ulang `kmsuser` kata sandi](#fix-keystore-password), gunakan cadangan AWS CloudHSM klaster terbaru.
+ `INTERNAL_ERROR`menunjukkan bahwa tidak AWS KMS dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. Untuk `ConnectCustomKeyStore` permintaan, putuskan sambungan penyimpanan AWS CloudHSM kunci sebelum mencoba menghubungkan lagi.
+ `INVALID_CREDENTIALS`menunjukkan bahwa AWS KMS tidak dapat masuk ke AWS CloudHSM cluster terkait karena tidak memiliki kata sandi `kmsuser` akun yang benar. Untuk bantuan dengan kesalahan ini, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
+ `NETWORK_ERRORS` biasanya menunjukkan masalah jaringan sementara. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md), tunggu beberapa menit, dan coba sambungkan lagi.
+ `SUBNET_NOT_FOUND`menunjukkan bahwa setidaknya satu subnet dalam konfigurasi AWS CloudHSM cluster telah dihapus. Jika AWS KMS tidak dapat menemukan semua subnet dalam konfigurasi cluster, upaya untuk menghubungkan penyimpanan AWS CloudHSM kunci ke AWS CloudHSM cluster gagal. 

  Untuk memperbaiki kesalahan ini, [buat cluster dari cadangan terbaru](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) dari AWS CloudHSM cluster yang sama. (Proses ini membuat konfigurasi klaster baru dengan VPC dan subnet privat.) Pastikan klaster baru memenuhi [persyaratan untuk penyimpanan kunci kustom](create-keystore.md#before-keystore), dan perhatikan ID klaster baru. Kemudian, untuk mengaitkan cluster baru dengan penyimpanan AWS CloudHSM kunci Anda, [lepaskan penyimpanan kunci kustom](disconnect-keystore.md), [ubah ID cluster](update-keystore.md) penyimpanan AWS CloudHSM kunci ke ID cluster baru, dan coba sambungkan lagi.
**Tip**  
Untuk menghindari [pengaturan ulang `kmsuser` kata sandi](#fix-keystore-password), gunakan cadangan AWS CloudHSM klaster terbaru.
+ `USER_LOCKED_OUT` menunjukkan bahwa [akun pengguna kripto (CU) `kmsuser`](keystore-cloudhsm.md#concept-kmsuser) dikunci dari klaster AWS CloudHSM yang terkait karena terlalu banyak upaya sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).

  Untuk memperbaiki kesalahan ini, [lepaskan penyimpanan AWS CloudHSM kunci](disconnect-keystore.md) dan gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) akun. `kmsuser` Kemudian, [edit pengaturan kata sandi `kmsuser`](update-keystore.md) untuk penyimpanan kunci kustom, dan coba untuk menyambungkan lagi. Untuk bantuan, gunakan prosedur yang dijelaskan dalam topik [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).
+ `USER_LOGGED_IN`menunjukkan bahwa akun `kmsuser` CU masuk ke AWS CloudHSM cluster terkait. Ini AWS KMS mencegah memutar kata sandi `kmsuser` akun dan masuk ke cluster. Untuk memperbaiki kesalahan ini, logout CU `kmsuser` dari cluster. Jika Anda mengubah `kmsuser` kata sandi untuk masuk ke cluster, Anda juga harus memperbarui nilai kata sandi penyimpanan kunci untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat [Cara logout dan menghubungkan kembali](#login-kmsuser-2).
+ `USER_NOT_FOUND`menunjukkan bahwa AWS KMS tidak dapat menemukan akun `kmsuser` CU di AWS CloudHSM cluster terkait. Untuk memperbaiki kesalahan ini, [buat akun `kmsuser` CU](create-keystore.md#kmsuser-concept) di cluster, lalu [perbarui nilai kata sandi penyimpanan kunci](update-keystore.md) untuk penyimpanan AWS CloudHSM kunci. Untuk bantuan, lihat [Cara memperbaiki kredensial `kmsuser` tidak valid](#fix-keystore-password).

## Bagaimana menanggapi kegagalan operasi kriptografi
<a name="fix-keystore-communication"></a>

Operasi kriptografi yang menggunakan kunci KMS di toko kunci khusus mungkin gagal dengan file. `KMSInvalidStateException` Pesan kesalahan berikut mungkin menyertai`KMSInvalidStateException`.


|  | 
| --- |
| KMS tidak dapat berkomunikasi dengan klaster CloudHSM Anda. Ini mungkin masalah jaringan sementara. Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa aturan Jaringan ACLs dan grup keamanan untuk VPC AWS CloudHSM klaster Anda sudah benar. | 
+ Meskipun ini adalah kesalahan HTTPS 400, mungkin ini adalah hasil dari masalah jaringan sementara. Untuk menanggapi, mulailah dengan mencoba kembali permintaan. Namun, jika terus gagal, periksa konfigurasi komponen jaringan Anda. Kesalahan ini kemungkinan besar disebabkan oleh kesalahan konfigurasi komponen jaringan, seperti aturan firewall atau aturan grup keamanan VPC yang memblokir lalu lintas keluar. Misalnya, KMS tidak dapat berkomunikasi dengan AWS CloudHSM cluster. IPv6 Untuk detail tentang prasyarat, lihat. [Buat toko AWS CloudHSM kunci](create-keystore.md)


|  | 
| --- |
| KMS tidak dapat berkomunikasi dengan AWS CloudHSM cluster Anda karena kmsuser terkunci. Jika Anda melihat kesalahan ini berulang kali, lepaskan AWS CloudHSM kunci penyimpanan dan setel ulang kata sandi akun kmsuser. Perbarui kata sandi kmsuser untuk toko kunci khusus dan coba permintaan lagi. | 
+ Pesan kesalahan ini menunjukkan bahwa [akun pengguna `kmsuser` kripto (CU)](keystore-cloudhsm.md#concept-kmsuser) dikunci dari AWS CloudHSM cluster terkait karena terlalu banyak upaya kata sandi yang gagal. Untuk bantuan dengan kesalahan ini, lihat [Cara memutuskan koneksi dan login](#login-kmsuser-1).

## Cara memperbaiki kredensial `kmsuser` tidak valid
<a name="fix-keystore-password"></a>

Saat Anda [menghubungkan penyimpanan AWS CloudHSM kunci](connect-keystore.md), AWS KMS masuk ke AWS CloudHSM klaster terkait sebagai [pengguna `kmsuser` kripto](keystore-cloudhsm.md#concept-kmsuser) (CU). Itu tetap masuk sampai toko AWS CloudHSM kunci terputus. Respons [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) menunjukkan `ConnectionState` dari nilai `FAILED` dan `ConnectionErrorCode` dari `INVALID_CREDENTIALS`, seperti yang ditunjukkan dalam contoh berikut.

Jika Anda memutuskan penyimpanan AWS CloudHSM kunci dan mengubah `kmsuser` kata sandi, AWS KMS tidak dapat masuk ke AWS CloudHSM cluster dengan kredensi akun CU. `kmsuser` Akibatnya, semua upaya untuk menghubungkan toko AWS CloudHSM kunci gagal. Respons `DescribeCustomKeyStores` menunjukkan `ConnectionState` dari nilai `FAILED` dan `ConnectionErrorCode` dari `INVALID_CREDENTIALS`, seperti yang ditunjukkan dalam contoh berikut.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "INVALID_CREDENTIALS"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Selain itu, setelah lima kali percobaan gagal untuk login ke klaster dengan kata sandi yang salah, AWS CloudHSM mengunci akun pengguna. Untuk login ke klaster, Anda harus mengubah kata sandi akun.

Jika AWS KMS mendapat respons penguncian saat mencoba masuk ke cluster sebagai `kmsuser` CU, permintaan untuk menghubungkan penyimpanan AWS CloudHSM kunci gagal. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Respons termasuk `ConnectionState` dari `FAILED` dan `ConnectionErrorCode` nilai`USER_LOCKED_OUT`, seperti yang ditunjukkan pada contoh berikut.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleKeyStore
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionErrorCode": "USER_LOCKED_OUT"
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
   ],
}
```

Untuk memperbaiki salah satu kondisi ini, gunakan prosedur berikut. 

1. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md). 

1. Jalankan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi dan lihat nilai `ConnectionErrorCode` elemen dalam respons. 
   + Jika nilai `ConnectionErrorCode` adalah `INVALID_CREDENTIALS`, tentukan kata sandi saat ini untuk akun `kmsuser`. Jika perlu, gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengatur kata sandi ke nilai yang diketahui.
   + Jika `ConnectionErrorCode` nilainya`USER_LOCKED_OUT`, Anda harus menggunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengubah kata sandi. `kmsuser`

1. [Edit pengaturan kata sandi `kmsuser`](update-keystore.md) sehingga cocok dengan kata sandi `kmsuser` saat ini dalam klaster. Tindakan ini memberi tahu kata sandi AWS KMS mana yang digunakan untuk login ke klaster. Itu tidak mengubah kata sandi `kmsuser` dalam klaster.

1. [Hubungkan penyimpanan kunci kustom](connect-keystore.md).

## Cara menghapus material kunci tanpa induk
<a name="fix-keystore-orphaned-key"></a>

Setelah menjadwalkan penghapusan kunci KMS dari penyimpanan AWS CloudHSM kunci, Anda mungkin perlu menghapus materi kunci yang sesuai secara manual dari cluster terkait. AWS CloudHSM 

Saat Anda membuat kunci KMS di penyimpanan AWS CloudHSM kunci, AWS KMS buat metadata kunci KMS AWS KMS dan buat materi kunci di cluster terkait. AWS CloudHSM Saat Anda menjadwalkan penghapusan kunci KMS di toko AWS CloudHSM kunci, setelah masa tunggu, AWS KMS menghapus metadata kunci KMS. Kemudian AWS KMS lakukan upaya terbaik untuk menghapus materi kunci yang sesuai dari AWS CloudHSM cluster. Upaya mungkin gagal jika AWS KMS tidak dapat mengakses klaster, seperti ketika terputus dari penyimpanan AWS CloudHSM kunci atau perubahan `kmsuser` kata sandi. AWS KMS tidak mencoba menghapus materi kunci dari cadangan cluster.

AWS KMS melaporkan hasil upayanya untuk menghapus materi kunci dari cluster dalam entri `DeleteKey` peristiwa AWS CloudTrail log Anda. Muncul dalam `backingKeysDeletionStatus` elemen `additionalEventData` elemen, seperti yang ditunjukkan pada entri contoh berikut. Entri ini juga mencakup ARN kunci KMS, AWS CloudHSM ID cluster, dan ID `backing-key-id` () dari materi kunci.

```
{
    "eventVersion": "1.08",
    "userIdentity": {
        "accountId": "111122223333",
        "invokedBy": "AWS Internal"
    },
    "eventTime": "2021-12-10T14:23:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DeleteKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "AWS Internal",
    "userAgent": "AWS Internal",
    "requestParameters": null,
    "responseElements":  {
        "keyId":"arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "additionalEventData": {
        "customKeyStoreId": "cks-1234567890abcdef0",
        "clusterId": "cluster-1a23b4cdefg",
        "backingKeys": "[{\"backingKeyId\":\"backing-key-id\"}]",
        "backingKeysDeletionStatus": "[{\"backingKeyId\":\"backing-key-id\",\"deletionStatus\":\"FAILURE\"}]"
    },
    "eventID": "c21f1f47-f52b-4ffe-bff0-6d994403cf40",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:eu-west-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsServiceEvent",
    "recipientAccountId": "111122223333",
    "managementEvent": true,
    "eventCategory": "Management"
}
```

**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

Prosedur berikut menunjukkan cara menghapus materi kunci yatim piatu dari cluster terkait. AWS CloudHSM 

1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus, lalu [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-login.html), seperti yang dijelaskan di. [Cara memutuskan koneksi dan login](#login-kmsuser-1)
**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

1. Gunakan perintah [hapus kunci](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-key-delete.html) di CloudHSM CLI untuk menghapus kunci HSMs dari dalam cluster.

   Semua entri CloudTrail log untuk operasi kriptografi dengan kunci KMS di toko AWS CloudHSM kunci menyertakan `additionalEventData` bidang dengan dan. `customKeyStoreId` `backingKey` Nilai yang dikembalikan di `backingKeyId` bidang adalah atribut kunci `id` CloudHSM. Kami menyarankan `id` untuk memfilter operasi **penghapusan kunci dengan menghapus** materi kunci yatim piatu yang Anda identifikasi di log Anda. CloudTrail 

   AWS CloudHSM mengenali `backingKeyId` nilai sebagai nilai heksadesimal. Untuk memfilter`id`, Anda harus menambahkan dengan. `backingKeyId` `Ox` Misalnya, jika `backingKeyId` di CloudTrail log Anda`1a2b3c45678abcdef`, Anda akan memfilter berdasarkan`0x1a2b3c45678abcdef`.

   Contoh berikut menghapus kunci dari HSMs dalam cluster Anda. `backing-key-id`Ini tercantum dalam entri CloudTrail log. Sebelum menjalankan perintah ini, ganti contoh `backing-key-id` dengan yang valid dari akun Anda.

   ```
   aws-cloudhsm key delete --filter attr.id="0x<backing-key-id>"
   {
     "error_code": 0,
     "data": {
       "message": "Key deleted successfully"
     }
   }
   ```

1. Keluar dan sambungkan kembali toko AWS CloudHSM kunci seperti yang dijelaskan di[Cara logout dan menghubungkan kembali](#login-kmsuser-2).

## Bagaimana memulihkan materi kunci yang dihapus untuk kunci KMS
<a name="fix-keystore-recover-backing-key"></a>

Jika materi kunci untuk sebuah AWS KMS key dihapus, kunci KMS tidak dapat digunakan dan semua ciphertext yang dienkripsi di bawah kunci KMS tidak dapat didekripsi. Hal ini dapat terjadi jika materi kunci untuk kunci KMS di penyimpanan AWS CloudHSM kunci dihapus dari AWS CloudHSM cluster terkait. Namun, itu mungkin untuk memulihkan material kunci.

Saat Anda membuat AWS KMS key (kunci KMS) di penyimpanan AWS CloudHSM kunci, AWS KMS log ke AWS CloudHSM cluster terkait dan membuat materi kunci untuk kunci KMS. Ini juga mengubah kata sandi ke nilai yang hanya diketahui dan tetap masuk selama penyimpanan AWS CloudHSM kunci terhubung. Karena hanya pemilik kunci, yaitu CU yang membuat kunci, dapat menghapus kunci, kecil kemungkinan kunci akan dihapus dari yang HSMs tidak sengaja. 

Namun, jika materi kunci untuk kunci KMS dihapus dari HSMs dalam cluster, status kunci dari kunci KMS akhirnya berubah menjadi. `UNAVAILABLE` Jika Anda mencoba menggunakan kunci KMS untuk operasi kriptografi, operasi gagal dengan `KMSInvalidStateException` pengecualian. Yang terpenting, data apa pun yang dienkripsi di bawah kunci KMS tidak dapat didekripsi.

Dalam keadaan tertentu, Anda dapat memulihkan material kunci yang dihapus dengan [membuat klaster dari cadangan](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html) yang berisi material utama. Strategi ini hanya berfungsi ketika setidaknya satu cadangan dibuat sementara kunci pernah ada dan sebelumnya dihapus. 

Gunakan proses berikut untuk memulihkan material utama.

1. Temukan cadangan klaster yang berisi material kunci. Cadangan juga harus berisi semua pengguna dan kunci yang Anda butuhkan untuk mendukung klaster dan data terenkripsinya.

   Gunakan [DescribeBackups](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DescribeBackups.html)operasi untuk membuat daftar cadangan untuk sebuah cluster. Kemudian gunakan stempel waktu cadangan untuk membantu Anda memilih cadangan. Untuk membatasi output ke cluster yang terkait dengan penyimpanan AWS CloudHSM kunci, gunakan `Filters` parameter, seperti yang ditunjukkan pada contoh berikut. 

   ```
   $ aws cloudhsmv2 describe-backups --filters clusterIds=<cluster ID>
   {
       "Backups": [
           {
               "ClusterId": "cluster-1a23b4cdefg",
               "BackupId": "backup-9g87f6edcba",
               "CreateTimestamp": 1536667238.328,
               "BackupState": "READY"
           },
                ...
       ]
   }
   ```

1. [Buat klaster dari cadangan yang dipilih](https://docs.aws.amazon.com/cloudhsm/latest/userguide/create-cluster-from-backup.html). Verifikasi bahwa cadangan berisi kunci yang dihapus serta pengguna lain dan kunci yang diperlukan klaster. 

1. [Putuskan sambungan toko AWS CloudHSM kunci](disconnect-keystore.md) sehingga Anda dapat mengedit propertinya.

1. [Edit ID cluster](update-keystore.md) dari penyimpanan AWS CloudHSM kunci. Masukkan ID klaster dari klaster yang Anda buat dari cadangan. Karena klaster berbagi riwayat cadangan dengan klaster asli, ID klaster yang baru harus valid. 

1. [Hubungkan kembali toko AWS CloudHSM kunci](connect-keystore.md).

## Cara login sebagai `kmsuser`
<a name="fix-login-as-kmsuser"></a>

Untuk membuat dan mengelola materi utama di AWS CloudHSM cluster untuk toko AWS CloudHSM kunci Anda, AWS KMS gunakan [akun pengguna `kmsuser` kripto (CU)](keystore-cloudhsm.md#concept-kmsuser). Anda [membuat akun `kmsuser` CU](create-keystore.md#before-keystore) di cluster Anda dan memberikan kata sandinya AWS KMS saat Anda membuat toko AWS CloudHSM kunci Anda.

Secara umum, AWS KMS mengelola `kmsuser` akun. Namun, untuk beberapa tugas, Anda perlu memutuskan penyimpanan AWS CloudHSM kunci, masuk ke cluster sebagai `kmsuser` CU, dan menggunakan [CloudHSM Command Line Interface](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) (CLI).

**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Topik ini menjelaskan cara [memutuskan penyimpanan AWS CloudHSM kunci Anda dan masuk](#login-kmsuser-1) sebagai`kmsuser`, menjalankan alat baris AWS CloudHSM perintah, dan [keluar dan menghubungkan kembali toko AWS CloudHSM kunci Anda](#login-kmsuser-2).

**Topics**
+ [Cara memutuskan koneksi dan login](#login-kmsuser-1)
+ [Cara logout dan menghubungkan kembali](#login-kmsuser-2)

### Cara memutuskan koneksi dan login
<a name="login-kmsuser-1"></a>

Gunakan prosedur berikut setiap kali perlu masuk ke cluster terkait sebagai pengguna `kmsuser` kripto.

**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

1. Putuskan sambungan toko AWS CloudHSM kunci, jika belum terputus. Anda dapat menggunakan AWS KMS konsol atau AWS KMS API. 

   Saat AWS CloudHSM kunci Anda AWS KMS terhubung, masuk sebagai file`kmsuser`. Hal ini mencegah Anda login sebagai `kmsuser` atau mengubah kata sandi `kmsuser`.

   Misalnya, perintah ini digunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)untuk memutuskan sambungan penyimpanan kunci contoh. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.

   ```
   $ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Gunakan perintah **login** untuk login sebagai admin. *Gunakan prosedur yang dijelaskan di bagian [Menggunakan CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI dari Panduan Pengguna.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username admin --role admin
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "admin",
       "role": "admin"
     }
   }
   ```

1. Gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-user-change-password.html) di CloudHSM CLI untuk mengubah kata sandi akun menjadi kata sandi yang Anda ketahui. `kmsuser` (AWS KMS memutar kata sandi saat Anda menghubungkan toko AWS CloudHSM kunci Anda.) Kata sandi harus berisi 7–32 karakter alfanumerik. Kata sandi peka huruf besar/kecil dan tidak dapat berisi karakter khusus.

1. Login seperti `kmsuser` menggunakan kata sandi yang Anda tetapkan. *Untuk petunjuk terperinci, lihat bagian [Menggunakan CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-getting-started.html#w17aac19c11c13b7) CLI pada Panduan Pengguna.AWS CloudHSM *

   ```
   aws-cloudhsm > login --username kmsuser --role crypto-user
             Enter password:
   {
     "error_code": 0,
     "data": {
       "username": "kmsuser",
       "role": "crypto-user"
     }
   }
   ```

### Cara logout dan menghubungkan kembali
<a name="login-kmsuser-2"></a>

Gunakan prosedur berikut setiap kali Anda harus keluar sebagai pengguna `kmsuser` kripto dan sambungkan kembali toko kunci Anda.

**Catatan**  
Prosedur berikut menggunakan alat baris perintah AWS CloudHSM Client SDK 5, [CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli.html) CLI. CloudHSM CLI `key-handle` menggantikan dengan. `key-reference`  
Pada tanggal 1 Januari 2025, AWS CloudHSM akan mengakhiri dukungan untuk alat baris perintah Client SDK 3, CloudHSM Management Utility (CMU) dan Key Management Utility (KMU). *Untuk informasi selengkapnya tentang perbedaan antara alat baris perintah Client SDK 3 dan alat baris perintah Client SDK 5, lihat [Memigrasi dari Client SDK 3 CMU dan KMU ke Client SDK 5 CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-migrate-from-kmu-cmu.html) CLI di Panduan Pengguna.AWS CloudHSM *

1. Lakukan tugas, lalu gunakan perintah [https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html](https://docs.aws.amazon.com/cloudhsm/latest/userguide/cloudhsm_cli-logout.html) di CloudHSM CLI untuk keluar. Jika Anda tidak keluar, upaya untuk menghubungkan kembali toko AWS CloudHSM kunci Anda akan gagal.

   ```
   aws-cloudhsm  logout
   {
     "error_code": 0,
     "data": "Logout successful"
   }
   ```

1. [Edit pengaturan kata sandi `kmsuser`](update-keystore.md) untuk penyimpanan kunci kustom. 

   Ini memberi tahu AWS KMS kata sandi saat ini untuk `kmsuser` di cluster. Jika Anda menghilangkan langkah ini, tidak AWS KMS akan dapat masuk ke cluster sebagai`kmsuser`, dan semua upaya untuk menghubungkan kembali toko kunci kustom Anda akan gagal. Anda dapat menggunakan AWS KMS konsol atau `KeyStorePassword` parameter [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.

   Misalnya, perintah ini memberi tahu AWS KMS bahwa kata sandi saat ini adalah`tempPassword`. Ganti contoh kata sandi dengan kata sandi yang sebenarnya. 

   ```
   $ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --key-store-password tempPassword
   ```

1. Hubungkan kembali toko AWS KMS kunci ke AWS CloudHSM klasternya. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid. Selama proses koneksi, AWS KMS ubah `kmsuser` kata sandi ke nilai yang hanya diketahui.

   [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Operasi kembali dengan cepat, tetapi proses koneksi dapat memakan waktu lama. Respons awal tidak menunjukkan keberhasilan proses koneksi.

   ```
   $ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
   ```

1. Gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi untuk memverifikasi bahwa penyimpanan AWS CloudHSM kunci terhubung. Ganti contoh ID penyimpanan AWS CloudHSM kunci dengan yang valid.

   Dalam contoh ini, bidang status koneksi menunjukkan bahwa penyimpanan AWS CloudHSM kunci sekarang terhubung.

   ```
   $ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
   {
      "CustomKeyStores": [
         "CustomKeyStoreId": "cks-1234567890abcdef0",
         "CustomKeyStoreName": "ExampleKeyStore",
         "CloudHsmClusterId": "cluster-1a23b4cdefg",
         "TrustAnchorCertificate": "<certificate string appears here>",
         "CreationDate": "1.499288695918E9",
         "ConnectionState": "CONNECTED"
      ],
   }
   ```

# Toko kunci eksternal
<a name="keystore-external"></a>

Penyimpanan kunci eksternal memungkinkan Anda untuk melindungi AWS sumber daya Anda menggunakan kunci kriptografi di luar. AWS Fitur canggih ini dirancang untuk beban kerja yang diatur yang harus Anda lindungi dengan kunci enkripsi yang disimpan dalam sistem manajemen kunci eksternal yang Anda kontrol. Toko kunci eksternal mendukung [janji kedaulatan AWS digital untuk memberi Anda kontrol kedaulatan](https://aws.amazon.com/blogs/security/aws-digital-sovereignty-pledge-control-without-compromise/) atas data Anda AWS, termasuk kemampuan untuk mengenkripsi dengan materi utama yang Anda miliki dan kendalikan di luar. AWS

*Toko kunci eksternal adalah toko* [kunci khusus](key-store-overview.md#custom-key-store-overview) yang didukung oleh *manajer kunci eksternal* yang Anda miliki dan kelola di luar AWS. Manajer kunci eksternal Anda dapat berupa modul keamanan perangkat keras fisik atau virtual (HSMs), atau sistem berbasis perangkat keras atau berbasis perangkat lunak apa pun yang mampu menghasilkan dan menggunakan kunci kriptografi. Operasi enkripsi dan dekripsi yang menggunakan kunci KMS di penyimpanan kunci eksternal dilakukan oleh manajer kunci eksternal Anda menggunakan bahan kunci kriptografi Anda, fitur yang dikenal sebagai *hold your own* keys (). HYOKs 

AWS KMS tidak pernah berinteraksi langsung dengan pengelola kunci eksternal Anda, dan tidak dapat membuat, melihat, mengelola, atau menghapus kunci Anda. Sebaliknya, AWS KMS berinteraksi hanya dengan perangkat lunak [proxy penyimpanan kunci eksternal (proxy](#concept-xks-proxy) XKS) yang Anda sediakan. Proxy penyimpanan kunci eksternal Anda memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Ini mentransmisikan semua permintaan dari AWS KMS ke manajer kunci eksternal Anda, dan mengirimkan tanggapan dari manajer kunci eksternal Anda kembali ke. AWS KMS Proxy penyimpanan kunci eksternal juga menerjemahkan permintaan generik dari AWS KMS ke dalam format khusus vendor yang dapat dipahami oleh manajer kunci eksternal Anda, memungkinkan Anda untuk menggunakan toko kunci eksternal dengan manajer kunci dari berbagai vendor.

Anda dapat menggunakan kunci KMS di penyimpanan kunci eksternal untuk enkripsi sisi klien, termasuk dengan file. [AWS Encryption SDK](https://docs.aws.amazon.com/encryption-sdk/latest/developer-guide/) Tetapi penyimpanan kunci eksternal adalah sumber daya penting untuk enkripsi sisi server, memungkinkan Anda untuk melindungi AWS sumber daya Anda dalam beberapa Layanan AWS dengan kunci kriptografi Anda di luar. AWS Layanan AWS yang mendukung [kunci yang dikelola pelanggan](concepts.md#customer-mgn-key) untuk enkripsi simetris juga mendukung kunci KMS di toko kunci eksternal. Untuk detail dukungan layanan, lihat [Integrasi AWS Layanan](https://aws.amazon.com/kms/features/#AWS_service_integration).

Penyimpanan kunci eksternal memungkinkan Anda AWS KMS untuk menggunakan beban kerja yang diatur di mana kunci enkripsi harus disimpan dan digunakan di luar. AWS Tetapi mereka adalah penyimpangan besar dari model tanggung jawab bersama standar, dan membutuhkan beban operasional tambahan. Risiko yang lebih besar terhadap ketersediaan dan latensi akan, bagi sebagian besar pelanggan, melebihi manfaat keamanan yang dirasakan dari toko kunci eksternal.

Toko kunci eksternal memungkinkan Anda mengontrol akar kepercayaan. Data yang dienkripsi di bawah kunci KMS di toko kunci eksternal Anda dapat didekripsi hanya dengan menggunakan pengelola kunci eksternal yang Anda kontrol. Jika Anda mencabut sementara akses ke manajer kunci eksternal Anda, seperti dengan memutuskan penyimpanan kunci eksternal atau memutuskan koneksi manajer kunci eksternal Anda dari proxy penyimpanan kunci eksternal, AWS kehilangan semua akses ke kunci kriptografi Anda sampai Anda mengembalikannya. Selama interval itu, ciphertext yang dienkripsi di bawah kunci KMS Anda tidak dapat didekripsi. Jika Anda secara permanen mencabut akses ke pengelola kunci eksternal Anda, semua ciphertext yang dienkripsi di bawah kunci KMS di toko kunci eksternal Anda menjadi tidak dapat dipulihkan. Satu-satunya pengecualian adalah AWS layanan yang secara singkat menyimpan [kunci data yang dilindungi oleh kunci](data-keys.md) KMS Anda. Kunci data ini terus berfungsi sampai Anda menonaktifkan sumber daya atau cache kedaluwarsa. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

Penyimpanan kunci eksternal membuka blokir beberapa kasus penggunaan untuk beban kerja yang diatur di mana kunci enkripsi harus tetap berada di bawah kendali Anda dan tidak dapat diakses. AWS Tetapi ini adalah perubahan besar dalam cara Anda mengoperasikan infrastruktur berbasis cloud dan perubahan signifikan dalam model tanggung jawab bersama. Untuk sebagian besar beban kerja, beban operasional tambahan dan risiko yang lebih besar terhadap ketersediaan dan kinerja akan melebihi manfaat keamanan yang dirasakan dari toko kunci eksternal.



**Apakah saya memerlukan toko kunci eksternal?**

Bagi sebagian besar pengguna, penyimpanan AWS KMS kunci default, yang dilindungi oleh [modul keamanan perangkat keras yang divalidasi FIPS 140-3 Security Level 3, memenuhi persyaratan keamanan](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884), kontrol, dan peraturan mereka. Pengguna toko kunci eksternal dikenakan biaya yang besar, pemeliharaan, dan beban pemecahan masalah, dan risiko terhadap latensi, ketersediaan, dan keandalan.

Saat mempertimbangkan penyimpanan kunci eksternal, luangkan waktu untuk memahami alternatifnya, termasuk [toko AWS CloudHSM kunci](keystore-cloudhsm.md) yang didukung oleh AWS CloudHSM cluster yang Anda miliki dan kelola, dan kunci KMS dengan [materi kunci impor](importing-keys.md) yang Anda hasilkan sendiri HSMs dan dapat dihapus dari kunci KMS sesuai permintaan. Secara khusus, mengimpor bahan kunci dengan interval kedaluwarsa yang sangat singkat dapat memberikan tingkat kontrol yang sama tanpa risiko kinerja atau ketersediaan.

Penyimpanan kunci eksternal mungkin merupakan solusi yang tepat untuk organisasi Anda jika Anda memiliki persyaratan berikut:
+ Anda diharuskan menggunakan kunci kriptografi di pengelola kunci lokal atau pengelola kunci di luar AWS yang Anda kendalikan.
+ Anda harus menunjukkan bahwa kunci kriptografi Anda disimpan hanya di bawah kendali Anda di luar cloud.
+ Anda harus mengenkripsi dan mendekripsi menggunakan kunci kriptografi dengan otorisasi independen.
+ Material kunci harus tunduk pada jalur audit sekunder yang independen.

Jika Anda memilih penyimpanan kunci eksternal, batasi penggunaannya untuk beban kerja yang memerlukan perlindungan dengan kunci kriptografi di luar. AWS



**Model tanggung jawab bersama**

Kunci KMS standar menggunakan bahan kunci yang dihasilkan dan digunakan dalam HSMs yang AWS KMS memiliki dan mengelola. Anda membuat kebijakan kontrol akses pada kunci KMS Anda dan mengonfigurasinya Layanan AWS menggunakan kunci KMS untuk melindungi sumber daya Anda. AWS KMS bertanggung jawab atas keamanan, ketersediaan, latensi, dan daya tahan material utama dalam kunci KMS Anda.

Kunci KMS di toko kunci eksternal bergantung pada materi utama dan operasi di manajer kunci eksternal Anda. Dengan demikian, keseimbangan tanggung jawab bergeser ke arah Anda. Anda bertanggung jawab atas keamanan, keandalan, daya tahan, dan kinerja kunci kriptografi di manajer kunci eksternal Anda. AWS KMS bertanggung jawab untuk segera menanggapi permintaan dan berkomunikasi dengan proxy penyimpanan kunci eksternal Anda, dan untuk menjaga standar keamanan kami. [*Untuk memastikan bahwa setiap kunci eksternal menyimpan ciphertext setidaknya sekuat AWS KMS ciphertext standar, AWS KMS pertama-tama mengenkripsi semua plaintext dengan materi AWS KMS kunci khusus untuk kunci KMS Anda, dan kemudian mengirimkannya ke pengelola kunci eksternal Anda untuk enkripsi dengan kunci eksternal Anda, prosedur yang dikenal sebagai enkripsi ganda.*](#concept-double-encryption) Akibatnya, baik AWS KMS maupun pemilik materi kunci eksternal tidak dapat mendekripsi ciphertext terenkripsi ganda saja.

Anda bertanggung jawab untuk memelihara manajer kunci eksternal yang memenuhi standar peraturan dan kinerja Anda, untuk memasok dan memelihara proxy penyimpanan kunci eksternal yang sesuai dengan [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/), dan untuk memastikan ketersediaan dan daya tahan materi utama Anda. Anda juga harus membuat, mengkonfigurasi, dan memelihara penyimpanan kunci eksternal. Ketika kesalahan muncul yang disebabkan oleh komponen yang Anda pertahankan, Anda harus siap untuk mengidentifikasi dan menyelesaikan kesalahan sehingga AWS layanan dapat mengakses sumber daya Anda tanpa gangguan yang tidak semestinya. AWS KMS memberikan [panduan pemecahan masalah](xks-troubleshooting.md) untuk membantu Anda menentukan penyebab masalah dan resolusi yang paling mungkin. 

Tinjau [ CloudWatch metrik dan dimensi Amazon](monitoring-cloudwatch.md#kms-metrics) yang AWS KMS mencatat untuk penyimpanan kunci eksternal. AWS KMS sangat menyarankan agar Anda membuat CloudWatch alarm untuk memantau penyimpanan kunci eksternal Anda sehingga Anda dapat mendeteksi tanda-tanda awal masalah kinerja dan operasional sebelum terjadi.

**Apa yang berubah?**

Toko kunci eksternal hanya mendukung kunci KMS enkripsi simetris. Di dalam AWS KMS, Anda menggunakan dan mengelola kunci KMS di penyimpanan kunci eksternal dengan cara yang sama seperti Anda mengelola [kunci yang dikelola pelanggan](concepts.md#customer-mgn-key) lainnya, termasuk [pengaturan kebijakan kontrol akses](authorize-xks-key-store.md) dan [pemantauan penggunaan kunci](monitoring-overview.md). Anda menggunakan parameter yang sama APIs dengan parameter yang sama untuk meminta operasi kriptografi dengan kunci KMS di penyimpanan kunci eksternal yang Anda gunakan untuk kunci KMS apa pun. Harga juga sama dengan kunci KMS standar. Untuk detailnya, lihat [Kunci KMS di toko kunci eksternal](keystore-external-key-manage.md) dan [AWS Key Management Service Harga](https://aws.amazon.com/kms/pricing/).

Namun, dengan penyimpanan kunci eksternal, prinsip-prinsip berikut berubah:
+ Anda bertanggung jawab atas ketersediaan, daya tahan, dan latensi operasi utama.
+ Anda bertanggung jawab atas semua biaya untuk mengembangkan, membeli, mengoperasikan, dan melisensikan sistem manajer kunci eksternal Anda.
+ Anda dapat menerapkan [otorisasi independen](authorize-xks-key-store.md#xks-proxy-authorization) dari semua permintaan dari AWS KMS proxy penyimpanan kunci eksternal Anda.
+ Anda dapat memantau, mengaudit, dan mencatat semua operasi proxy penyimpanan kunci eksternal Anda, dan semua operasi manajer kunci eksternal Anda yang terkait dengan AWS KMS permintaan.

**Di mana saya mulai?**

Untuk membuat dan mengelola penyimpanan kunci eksternal, Anda harus [memilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md), [merakit prasyarat](create-xks-keystore.md#xks-requirements), dan [membuat dan mengonfigurasi penyimpanan kunci eksternal Anda](create-xks-keystore.md).

**Kuota**

AWS KMS memungkinkan hingga [10 toko kunci khusus](resource-limits.md) di masing-masing Akun AWS dan Wilayah, termasuk toko utama dan [toko AWS CloudHSM kunci](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-cloudhsm.html) [eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/keystore-external.html), terlepas dari status koneksinya. Selain itu, ada kuota AWS KMS permintaan tentang [penggunaan kunci KMS di toko kunci eksternal](requests-per-second.md#rps-key-stores). 

Jika Anda memilih [konektivitas proxy VPC](#concept-xks-connectivity) untuk proxy penyimpanan kunci eksternal Anda, mungkin juga ada kuota pada komponen yang diperlukan, seperti, subnet VPCs, dan penyeimbang beban jaringan. Untuk informasi tentang kuota ini, gunakan konsol [Service Quotas](https://console.aws.amazon.com/servicequotas/home).



**Daerah**

Untuk meminimalkan latensi jaringan, buat komponen penyimpanan kunci eksternal Anda yang Wilayah AWS paling dekat dengan [pengelola kunci eksternal](#concept-ekm) Anda. Jika memungkinkan, pilih Wilayah dengan waktu pulang-pergi jaringan (RTT) 35 milidetik atau kurang.

Toko kunci eksternal didukung Wilayah AWS di semua yang AWS KMS didukung kecuali untuk Tiongkok (Beijing) dan Tiongkok (Ningxia). 

**Fitur yang tidak didukung**

AWS KMS tidak mendukung fitur-fitur berikut di toko kunci khusus.
+ [Kunci Asymmetric KMS](symmetric-asymmetric.md)
+ [Kunci HMAC KMS](hmac.md)
+ [Kunci KMS dengan bahan kunci impor](importing-keys.md)
+ [Rotasi kunci otomatis](rotate-keys.md)
+ [Kunci Multi-Region](multi-region-keys-overview.md)

**Pelajari lebih lanjut**:
+ [Mengumumkan Toko Kunci AWS KMS Eksternal](https://aws.amazon.com/blogs/aws/announcing-aws-kms-external-key-store-xks/) di *Blog AWS Berita*.

## Konsep toko kunci eksternal
<a name="xks-concepts"></a>

Pelajari istilah dan konsep dasar yang digunakan di toko kunci eksternal.

### Toko kunci eksternal
<a name="concept-external-key-store"></a>

*Toko kunci eksternal adalah toko* [kunci AWS KMS khusus](key-store-overview.md#custom-key-store-overview) yang didukung oleh manajer kunci eksternal di luar AWS yang Anda miliki dan kelola. Setiap kunci KMS di penyimpanan kunci eksternal dikaitkan dengan [kunci eksternal di manajer kunci](#concept-external-key) eksternal Anda. Ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal untuk enkripsi atau dekripsi, operasi dilakukan di manajer kunci eksternal Anda menggunakan kunci eksternal Anda, pengaturan yang dikenal sebagai *Tahan Kunci Anda Sendiri* (HYOK). Fitur ini dirancang untuk organisasi yang diperlukan untuk mempertahankan kunci kriptografi mereka di manajer kunci eksternal mereka sendiri.

Penyimpanan kunci eksternal memastikan bahwa kunci kriptografi dan operasi yang melindungi AWS sumber daya Anda tetap berada di manajer kunci eksternal Anda di bawah kendali Anda. AWS KMS mengirimkan permintaan ke pengelola kunci eksternal Anda untuk mengenkripsi dan mendekripsi data, tetapi AWS KMS tidak dapat membuat, menghapus, atau mengelola kunci eksternal apa pun. Semua permintaan dari AWS KMS manajer kunci eksternal Anda dimediasi oleh komponen perangkat lunak [proxy penyimpanan kunci eksternal](#concept-xks-proxy) yang Anda suplai, miliki, dan kelola. 

AWS layanan yang mendukung [kunci yang dikelola AWS KMS pelanggan](concepts.md) dapat menggunakan kunci KMS di toko kunci eksternal Anda untuk melindungi data Anda. Akibatnya, data Anda pada akhirnya dilindungi oleh kunci Anda menggunakan operasi enkripsi Anda di pengelola kunci eksternal Anda.

Kunci KMS di toko kunci eksternal memiliki model kepercayaan yang berbeda secara fundamental, [pengaturan tanggung jawab bersama](#xks-shared-responsibility), dan harapan kinerja daripada kunci KMS standar. Dengan toko kunci eksternal, Anda bertanggung jawab atas keamanan dan integritas materi utama dan operasi kriptografi. Ketersediaan dan latensi kunci KMS di toko kunci eksternal dipengaruhi oleh perangkat keras, perangkat lunak, komponen jaringan, dan jarak antara AWS KMS dan manajer kunci eksternal Anda. Anda juga cenderung mengeluarkan biaya tambahan untuk manajer kunci eksternal Anda dan untuk infrastruktur jaringan dan load balancing yang Anda butuhkan untuk manajer kunci eksternal Anda untuk berkomunikasi dengan AWS KMS

Anda dapat menggunakan penyimpanan kunci eksternal Anda sebagai bagian dari strategi perlindungan data Anda yang lebih luas. Untuk setiap AWS sumber daya yang Anda lindungi, Anda dapat memutuskan mana yang memerlukan kunci KMS di toko kunci eksternal dan mana yang dapat dilindungi oleh kunci KMS standar. Ini memberi Anda fleksibilitas untuk memilih kunci KMS untuk klasifikasi data, aplikasi, atau proyek tertentu.

### Manajer kunci eksternal
<a name="concept-ekm"></a>

*Manajer kunci eksternal* adalah komponen di luar AWS yang dapat menghasilkan kunci simetris AES 256-bit dan melakukan enkripsi dan dekripsi simetris. Manajer kunci eksternal untuk penyimpanan kunci eksternal dapat berupa modul keamanan perangkat keras fisik (HSM), HSM virtual, atau manajer kunci perangkat lunak dengan atau tanpa komponen HSM. Ini dapat ditemukan di mana saja di luar AWS, termasuk di tempat Anda, di pusat data lokal atau jarak jauh, atau di cloud apa pun. Penyimpanan kunci eksternal Anda dapat didukung oleh satu manajer kunci eksternal atau beberapa contoh manajer kunci terkait yang berbagi kunci kriptografi, seperti klaster HSM. Toko kunci eksternal dirancang untuk mendukung berbagai manajer eksternal dari vendor yang berbeda. Untuk detail tentang menghubungkan ke pengelola kunci eksternal Anda, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md).

### Kunci eksternal
<a name="concept-external-key"></a>

Setiap kunci KMS di toko kunci eksternal dikaitkan dengan kunci kriptografi di [manajer kunci eksternal](#concept-ekm) Anda yang dikenal sebagai kunci *eksternal*. Ketika Anda mengenkripsi atau mendekripsi dengan kunci KMS di toko kunci eksternal Anda, operasi kriptografi dilakukan di [manajer kunci eksternal Anda menggunakan kunci eksternal](#concept-ekm) Anda.

**Awas**  
Kunci eksternal sangat penting untuk pengoperasian kunci KMS. Jika kunci eksternal hilang atau dihapus, ciphertext yang dienkripsi di bawah kunci KMS terkait tidak dapat dipulihkan.

Untuk penyimpanan kunci eksternal, kunci eksternal harus berupa kunci AES 256-bit yang diaktifkan dan dapat melakukan enkripsi dan dekripsi. Untuk persyaratan kunci eksternal yang terperinci, lihat[Persyaratan untuk kunci KMS di toko kunci eksternal](create-xks-keys.md#xks-key-requirements).

AWS KMS tidak dapat membuat, menghapus, atau mengelola kunci eksternal apa pun. Materi kunci kriptografi Anda tidak pernah meninggalkan manajer kunci eksternal Anda.Saat Anda membuat kunci KMS di penyimpanan kunci eksternal, Anda memberikan ID kunci eksternal (). `XksKeyId` Anda tidak dapat mengubah ID kunci eksternal yang terkait dengan kunci KMS, meskipun pengelola kunci eksternal Anda dapat memutar materi kunci yang terkait dengan ID kunci eksternal.

Selain kunci eksternal Anda, kunci KMS di toko kunci eksternal juga memiliki materi AWS KMS utama. Data yang dilindungi oleh kunci KMS dienkripsi terlebih dahulu dengan AWS KMS menggunakan materi AWS KMS kunci, dan kemudian oleh pengelola kunci eksternal Anda menggunakan kunci eksternal Anda. Proses [enkripsi ganda](#concept-double-encryption) ini memastikan bahwa ciphertext yang dilindungi oleh kunci KMS Anda selalu setidaknya sekuat ciphertext yang hanya dilindungi oleh. AWS KMS

Banyak kunci kriptografi memiliki berbagai jenis pengidentifikasi. Saat membuat kunci KMS di penyimpanan kunci eksternal, berikan ID kunci eksternal yang digunakan [proxy penyimpanan kunci eksternal](#concept-xks-proxy) untuk merujuk ke kunci eksternal. Jika Anda menggunakan pengenal yang salah, upaya Anda untuk membuat kunci KMS di penyimpanan kunci eksternal Anda gagal.

### Proksi penyimpanan kunci eksternal
<a name="concept-xks-proxy"></a>

*Proxy penyimpanan kunci eksternal* (“XKS proxy”) adalah aplikasi perangkat lunak milik pelanggan dan dikelola pelanggan yang memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Ini juga menerjemahkan AWS KMS permintaan generik ke dalam format yang dipahami oleh manajer kunci eksternal khusus vendor Anda. Proxy penyimpanan kunci eksternal diperlukan untuk penyimpanan kunci eksternal. Setiap penyimpanan kunci eksternal dikaitkan dengan satu proxy penyimpanan kunci eksternal.

![\[Proksi penyimpanan kunci eksternal\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-proxy-concept-40.png)


AWS KMS tidak dapat membuat, menghapus, atau mengelola kunci eksternal apa pun. Materi kunci kriptografi Anda tidak pernah meninggalkan manajer kunci eksternal Anda. Semua komunikasi antara AWS KMS dan manajer kunci eksternal Anda dimediasi oleh proxy penyimpanan kunci eksternal Anda. AWS KMS mengirimkan permintaan ke proxy penyimpanan kunci eksternal dan menerima tanggapan dari proxy penyimpanan kunci eksternal. Proxy penyimpanan kunci eksternal bertanggung jawab untuk mengirimkan permintaan dari AWS KMS manajer kunci eksternal Anda dan mengirimkan tanggapan dari manajer kunci eksternal Anda kembali ke AWS KMS

Anda memiliki dan mengelola proxy penyimpanan kunci eksternal untuk toko kunci eksternal Anda, dan Anda bertanggung jawab atas pemeliharaan dan operasinya. Anda dapat mengembangkan proxy penyimpanan kunci eksternal berdasarkan [spesifikasi API proxy toko kunci eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/) sumber terbuka yang AWS KMS menerbitkan atau membeli aplikasi proxy dari vendor. Proxy penyimpanan kunci eksternal Anda mungkin disertakan dalam pengelola kunci eksternal Anda. Untuk mendukung pengembangan proxy, AWS KMS juga menyediakan contoh proxy penyimpanan kunci eksternal ([aws-kms-xks-proxy](https://github.com/aws-samples/aws-kms-xks-proxy)) dan klien pengujian ([xks-kms-xksproxy-test-client](https://github.com/aws-samples/aws-kms-xksproxy-test-client)) yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan spesifikasi.

Untuk mengautentikasi AWS KMS, proxy menggunakan sertifikat TLS sisi server. [Untuk mengautentikasi ke proxy Anda, AWS KMS tandatangani semua permintaan ke proxy penyimpanan kunci eksternal Anda dengan kredensi otentikasi proxy SiGv4.](#concept-xks-credential)

Proxy penyimpanan kunci eksternal Anda harus mendukung HTTP/1.1 atau yang lebih baru dan TLS 1.2 atau yang lebih baru dengan setidaknya satu dari rangkaian sandi berikut:
+ TLS\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.3)
+ TLS\$1 \$1 CHACHA20 POLY1305 \$1 SHA256 (TLS 1.3)
**catatan**  
 AWS GovCloud (US) Region Tidak mendukung TLS\$1 \$1 \$1CHACHA20. POLY1305 SHA256
+ TLS\$1ECDHE\$1RSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.2)
+ TLS\$1ECDHE\$1ECDSA\$1WITH\$1AES\$1256\$1GCM\$1 SHA384 (TLS 1.2)

Untuk membuat dan menggunakan kunci KMS di toko kunci eksternal Anda, Anda harus terlebih dahulu [menghubungkan toko kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal. Anda juga dapat memutuskan penyimpanan kunci eksternal Anda dari proksi sesuai permintaan. Ketika Anda melakukannya, semua kunci KMS di penyimpanan kunci eksternal menjadi [tidak tersedia; mereka tidak](key-state.md) dapat digunakan dalam operasi kriptografi apa pun.

### Konektivitas proxy penyimpanan kunci eksternal
<a name="concept-xks-connectivity"></a>

Konektivitas proxy penyimpanan kunci eksternal (“konektivitas proxy XKS”) menjelaskan metode yang AWS KMS digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. 

Anda menentukan opsi konektivitas proxy saat membuat penyimpanan kunci eksternal, dan itu menjadi properti penyimpanan kunci eksternal. Anda dapat mengubah opsi konektivitas proxy Anda dengan memperbarui properti penyimpanan kunci kustom, tetapi Anda harus yakin bahwa proxy penyimpanan kunci eksternal Anda masih dapat mengakses kunci eksternal yang sama.

AWS KMS mendukung opsi konektivitas berikut.
+ [Konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint) — AWS KMS mengirimkan permintaan untuk proxy penyimpanan kunci eksternal Anda melalui internet ke titik akhir publik yang Anda kontrol. Opsi ini mudah dibuat dan dipelihara, tetapi mungkin tidak memenuhi persyaratan keamanan untuk setiap instalasi.
+ [Konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) — AWS KMS mengirimkan permintaan ke layanan endpoint Amazon Virtual Private Cloud (Amazon VPC) yang Anda buat dan pelihara. Anda dapat meng-host proxy penyimpanan kunci eksternal Anda di dalam VPC Amazon Anda, atau meng-host proxy penyimpanan kunci eksternal Anda di luar AWS dan menggunakan VPC Amazon hanya untuk komunikasi. Anda juga dapat menghubungkan toko kunci eksternal Anda ke layanan endpoint VPC Amazon yang dimiliki oleh orang lain. Akun AWS

Untuk detail tentang opsi konektivitas proxy penyimpanan kunci eksternal, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md).

### Kredensi otentikasi proxy penyimpanan kunci eksternal
<a name="concept-xks-credential"></a>

Untuk mengautentikasi ke proxy penyimpanan kunci eksternal Anda, AWS KMS tandatangani semua permintaan ke proxy penyimpanan kunci eksternal Anda dengan kredensi otentikasi [Signature V4 (SigV4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)). Anda membuat dan mempertahankan kredensi otentikasi pada proxy Anda, kemudian memberikan kredensi ini AWS KMS ketika Anda membuat toko eksternal Anda.

**catatan**  
Kredensyal SiGv4 yang AWS KMS digunakan untuk menandatangani permintaan ke proxy XKS tidak terkait dengan kredensyal SigV4 apa pun yang terkait dengan prinsipal di Anda. AWS Identity and Access Management Akun AWS Jangan gunakan kembali kredensyal IAM SiGv4 apa pun untuk proxy penyimpanan kunci eksternal Anda.

Setiap kredensi otentikasi proxy memiliki dua bagian. Anda harus menyediakan kedua bagian saat membuat penyimpanan kunci eksternal atau memperbarui kredensi otentikasi untuk penyimpanan kunci eksternal Anda.
+ ID kunci akses: Mengidentifikasi kunci akses rahasia. Anda dapat memberikan ID ini dalam teks biasa.
+ Kunci akses rahasia: Bagian rahasia dari kredensi. AWS KMS mengenkripsi kunci akses rahasia di kredensi sebelum menyimpannya.

Anda dapat [mengedit setelan kredensyal](update-xks-keystore.md) kapan saja, seperti ketika Anda memasukkan nilai yang salah, ketika Anda mengubah kredensi Anda pada proxy, atau ketika proxy Anda memutar kredensialnya. Untuk detail teknis tentang AWS KMS autentikasi ke proxy penyimpanan kunci eksternal, lihat [Otentikasi di Spesifikasi](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/xks_proxy_api_spec.md#authentication) API Proxy Toko Kunci AWS KMS Eksternal.

Untuk memungkinkan Anda memutar kredensi Anda tanpa mengganggu Layanan AWS yang menggunakan kunci KMS di penyimpanan kunci eksternal Anda, kami menyarankan agar proxy penyimpanan kunci eksternal mendukung setidaknya dua kredensyal otentikasi yang valid untuk. AWS KMS Ini memastikan bahwa kredensi Anda sebelumnya terus berfungsi saat Anda memberikan kredensi baru Anda. AWS KMS

Untuk membantu Anda melacak usia kredensi autentikasi proxy Anda, AWS KMS tentukan metrik Amazon CloudWatch ,. [XksProxyCredentialAge](monitoring-cloudwatch.md#metric-xks-proxy-credential-age) Anda dapat menggunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda ketika usia kredensi Anda mencapai ambang batas yang Anda tetapkan.

### Proksi APIs
<a name="concept-proxy-apis"></a>

Untuk mendukung penyimpanan kunci AWS KMS eksternal, proxy penyimpanan [kunci eksternal harus mengimplementasikan proxy](#concept-xks-proxy) yang diperlukan APIs seperti yang dijelaskan dalam [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Permintaan API proxy ini adalah satu-satunya permintaan yang AWS KMS dikirim ke proxy. Meskipun Anda tidak pernah mengirim permintaan ini secara langsung, mengetahui tentang mereka dapat membantu Anda memperbaiki masalah apa pun yang mungkin timbul dengan penyimpanan kunci eksternal Anda atau proksi nya. Misalnya, AWS KMS sertakan informasi tentang latensi dan tingkat keberhasilan panggilan API ini dalam [ CloudWatch metrik Amazon untuk penyimpanan](monitoring-cloudwatch.md) kunci eksternal. Lihat perinciannya di [Pantau toko kunci eksternal](xks-monitoring.md).

Tabel berikut mencantumkan dan menjelaskan masing-masing proxy APIs. Ini juga mencakup AWS KMS operasi yang memicu panggilan ke API proxy dan pengecualian AWS KMS operasi apa pun yang terkait dengan API proxy.


| API Proksi | Deskripsi |  AWS KMS Operasi terkait | 
| --- | --- | --- | 
| Dekripsi | AWS KMS mengirimkan ciphertext untuk didekripsi, dan ID kunci [eksternal](#concept-external-key) untuk digunakan. Algoritma enkripsi yang diperlukan adalah AES\$1GCM.  | [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html), [ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html) | 
| Enkripsi | AWS KMS mengirimkan data yang akan dienkripsi, dan ID [kunci eksternal](#concept-external-key) untuk digunakan. Algoritma enkripsi yang diperlukan adalah AES\$1GCM.  | [Enkripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Encrypt.html),, [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html), [GenerateDataKeyWithoutPlaintext[ReEncrypt](https://docs.aws.amazon.com/kms/latest/APIReference/API_ReEncrypt.html)](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKeyWithoutPlaintext.html) | 
| GetHealthStatus | AWS KMS meminta informasi tentang status proxy dan manajer kunci eksternal Anda. Status setiap manajer kunci eksternal dapat menjadi salah satu dari berikut ini.[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/keystore-external.html) | [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)(untuk [konektivitas titik akhir publik), [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)(untuk konektivitas](choose-xks-connectivity.md#xks-connectivity-public-endpoint) layanan titik [akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity))Jika semua instance pengelola kunci eksternal`Unavailable`, upaya untuk membuat atau menghubungkan penyimpanan kunci gagal. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-latency) | 
| GetKeyMetadata | AWS KMS meminta informasi tentang [kunci eksternal](#concept-external-key) yang terkait dengan kunci KMS di toko kunci eksternal Anda. Responsnya mencakup spesifikasi kunci (`AES_256`), penggunaan kunci (`[ENCRYPT, DECRYPT]`), dan apakah kunci eksternal adalah `ENABLED` atau`DISABLED`. | [CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Jika spesifikasi kunci tidak`AES_256`, atau penggunaan kunci tidak`[ENCRYPT, DECRYPT]`, atau statusnya`DISABLED`, `CreateKey` operasi gagal dengan`XksKeyInvalidConfigurationException`. | 

### Enkripsi ganda
<a name="concept-double-encryption"></a>

Data yang dienkripsi oleh kunci KMS di toko kunci eksternal dienkripsi dua kali. Pertama, AWS KMS mengenkripsi data dengan bahan AWS KMS kunci khusus untuk kunci KMS. [Kemudian ciphertext AWS KMS-enkripsi dienkripsi oleh pengelola kunci eksternal Anda menggunakan kunci [eksternal](#concept-ekm) Anda.](#concept-external-key) Proses ini dikenal sebagai *enkripsi ganda*.

Enkripsi ganda memastikan bahwa data yang dienkripsi oleh kunci KMS di penyimpanan kunci eksternal setidaknya sekuat ciphertext yang dienkripsi oleh kunci KMS standar. Ini juga melindungi plaintext Anda dalam perjalanan dari AWS KMS ke proxy toko kunci eksternal Anda. Dengan enkripsi ganda, Anda mempertahankan kendali penuh atas ciphertext Anda. Jika Anda secara permanen mencabut AWS akses ke kunci eksternal Anda melalui proxy eksternal Anda, setiap ciphertext yang tersisa di dalamnya AWS secara efektif diparut kripto.

![\[Enkripsi ganda data yang dilindungi oleh kunci KMS di toko kunci eksternal\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-double-encrypt-40.png)


Untuk mengaktifkan enkripsi ganda, setiap kunci KMS di toko kunci eksternal memiliki *dua* kunci pendukung kriptografi:
+ Bahan AWS KMS kunci yang unik untuk kunci KMS. Bahan utama ini dihasilkan dan hanya digunakan dalam modul keamanan perangkat keras bersertifikat AWS KMS [FIPS 140-3 Security Level 3](https://csrc.nist.gov/projects/cryptographic-module-validation-program/certificate/4884) (). HSMs
+ [Kunci eksternal](#concept-external-key) di manajer kunci eksternal Anda.

Enkripsi ganda memiliki efek sebagai berikut:
+ AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi oleh kunci KMS di toko kunci eksternal tanpa akses ke kunci eksternal Anda melalui proxy penyimpanan kunci eksternal Anda.
+ Anda tidak dapat mendekripsi ciphertext apa pun yang dienkripsi oleh kunci KMS di penyimpanan kunci eksternal di luar AWS, bahkan jika Anda memiliki materi kunci eksternal.
+ Anda tidak dapat membuat ulang kunci KMS yang telah dihapus dari penyimpanan kunci eksternal, bahkan jika Anda memiliki materi kunci eksternal. Setiap kunci KMS memiliki metadata unik yang disertakan dalam ciphertext simetris. Kunci KMS baru tidak akan dapat mendekripsi ciphertext yang dienkripsi oleh kunci asli, bahkan jika menggunakan bahan kunci eksternal yang sama.

Untuk contoh enkripsi ganda dalam praktiknya, lihat[Cara kerja toko kunci eksternal](#xks-how-it-works).

## Cara kerja toko kunci eksternal
<a name="xks-how-it-works"></a>

Penyimpanan [kunci eksternal](#concept-external-key-store) Anda, [proxy penyimpanan kunci eksternal,](#concept-xks-proxy) dan [manajer kunci eksternal](#concept-ekm) bekerja sama untuk melindungi AWS sumber daya Anda. Prosedur berikut menggambarkan alur kerja enkripsi tipikal Layanan AWS yang mengenkripsi setiap objek di bawah kunci data unik yang dilindungi oleh kunci KMS. Dalam hal ini, Anda telah memilih kunci KMS di toko kunci eksternal untuk melindungi objek. Contoh ini menunjukkan bagaimana AWS KMS menggunakan [enkripsi ganda](#concept-double-encryption) untuk melindungi kunci data dalam perjalanan dan memastikan bahwa ciphertext yang dihasilkan oleh kunci KMS di penyimpanan kunci eksternal selalu setidaknya sekuat ciphertext yang dienkripsi oleh kunci KMS simetris standar dengan materi kunci di dalamnya. AWS KMS

Metode enkripsi yang digunakan oleh masing-masing aktual Layanan AWS yang terintegrasi dengan AWS KMS variatif. Untuk detailnya, lihat topik “Perlindungan data” di bagian Keamanan Layanan AWS dokumentasi.

![\[Cara kerja toko kunci eksternal\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-how-it-works-jan26.png)


1. Anda menambahkan objek baru ke Layanan AWS sumber daya Anda. Untuk mengenkripsi objek, Layanan AWS mengirimkan [GenerateDataKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_GenerateDataKey.html)permintaan untuk AWS KMS menggunakan kunci KMS di toko kunci eksternal Anda.

1. AWS KMS menghasilkan [kunci data simetris 256-bit dan bersiap untuk mengirim salinan kunci](data-keys.md) data teks biasa ke manajer kunci eksternal Anda melalui proxy penyimpanan kunci eksternal Anda. AWS KMS memulai proses [enkripsi ganda](#concept-double-encryption) dengan mengenkripsi kunci data plaintext dengan [materi kunci yang terkait dengan AWS KMS kunci](#concept-double-encryption) KMS di penyimpanan kunci eksternal. 

1. AWS KMS mengirimkan permintaan [enkripsi](#concept-proxy-apis) ke proxy penyimpanan kunci eksternal yang terkait dengan penyimpanan kunci eksternal. Permintaan termasuk ciphertext kunci data yang akan dienkripsi dan ID [kunci eksternal yang terkait dengan kunci KMS](#concept-external-key). AWS KMS menandatangani permintaan menggunakan [kredensi otentikasi proxy](#concept-xks-credential) untuk proxy penyimpanan kunci eksternal Anda. 

   Salinan plaintext dari kunci data tidak dikirim ke proxy penyimpanan kunci eksternal.

1. Proxy penyimpanan kunci eksternal mengotentikasi permintaan, dan kemudian meneruskan permintaan enkripsi ke manajer kunci eksternal Anda. 

   Beberapa proxy penyimpanan kunci eksternal juga menerapkan [kebijakan otorisasi](authorize-xks-key-store.md#xks-proxy-authorization) opsional yang memungkinkan hanya prinsipal yang dipilih untuk melakukan operasi dalam kondisi tertentu.

1. Manajer kunci eksternal Anda mengenkripsi ciphertext kunci data menggunakan kunci eksternal yang ditentukan. Manajer kunci eksternal mengembalikan kunci data terenkripsi ganda ke proxy penyimpanan kunci eksternal Anda, yang mengembalikannya ke. AWS KMS

1. AWS KMS mengembalikan kunci data plaintext dan salinan terenkripsi ganda dari kunci data tersebut ke file. Layanan AWS

1.  Layanan AWS Menggunakan kunci data plaintext untuk mengenkripsi objek sumber daya, menghancurkan kunci data plaintext, dan menyimpan kunci data terenkripsi dengan objek terenkripsi. 

   Beberapa Layanan AWS mungkin cache kunci data plaintext untuk digunakan untuk beberapa objek, atau untuk digunakan kembali saat sumber daya sedang digunakan. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

[Untuk mendekripsi objek terenkripsi, Layanan AWS harus mengirim kunci data terenkripsi kembali ke dalam permintaan Dekripsi. AWS KMS](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Untuk mendekripsi kunci data terenkripsi, AWS KMS harus mengirim kunci data terenkripsi kembali ke proxy penyimpanan kunci eksternal Anda dengan ID kunci eksternal. Jika permintaan dekripsi ke proxy penyimpanan kunci eksternal gagal karena alasan apa pun, AWS KMS tidak dapat mendekripsi kunci data terenkripsi, dan tidak dapat mendekripsi objek terenkripsi. Layanan AWS 

# Kontrol akses ke toko kunci eksternal Anda
<a name="authorize-xks-key-store"></a>

Semua fitur kontrol AWS KMS akses — [kebijakan utama, kebijakan](key-policies.md) [IAM](iam-policies.md), dan [hibah](grants.md) — yang Anda gunakan dengan kunci KMS standar, bekerja dengan cara yang sama untuk kunci KMS di penyimpanan kunci eksternal. Anda dapat menggunakan kebijakan IAM untuk mengontrol akses ke operasi API yang membuat dan mengelola penyimpanan kunci eksternal. Anda menggunakan kebijakan IAM dan kebijakan utama untuk mengontrol akses ke AWS KMS keys penyimpanan kunci eksternal Anda. Anda juga dapat menggunakan [kebijakan kontrol layanan](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) untuk AWS organisasi dan [kebijakan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/interface-endpoints.html#edit-vpc-endpoint-policy) Anda untuk mengontrol akses ke kunci KMS di penyimpanan kunci eksternal Anda. 

Sebaiknya Anda hanya memberikan izin kepada pengguna dan peran yang mereka perlukan untuk tugas yang mungkin mereka lakukan.

**Topics**
+ [Mengotorisasi manajer toko kunci eksternal](#authorize-xks-managers)
+ [Mengotorisasi pengguna kunci KMS di toko kunci eksternal](#authorize-xks-users)
+ [Otorisasi AWS KMS untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda](#allowlist-kms-xks)
+ [Otorisasi proxy penyimpanan kunci eksternal (opsional)](#xks-proxy-authorization)
+ [Autentikasi mTLS (tidak digunakan lagi)](#xks-mtls)

## Mengotorisasi manajer toko kunci eksternal
<a name="authorize-xks-managers"></a>

Prinsipal yang membuat dan mengelola penyimpanan kunci eksternal memerlukan izin untuk operasi penyimpanan kunci kustom. Daftar berikut menjelaskan izin minimum yang diperlukan untuk pengelola penyimpanan kunci eksternal. Karena penyimpanan kunci khusus bukan AWS sumber daya, Anda tidak dapat memberikan izin ke penyimpanan kunci eksternal untuk prinsipal di tempat lain. Akun AWS
+ `kms:CreateCustomKeyStore`
+ `kms:DescribeCustomKeyStores`
+ `kms:ConnectCustomKeyStore`
+ `kms:DisconnectCustomKeyStore`
+ `kms:UpdateCustomKeyStore`
+ `kms:DeleteCustomKeyStore`

Untuk membuat penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir Amazon VPC dan layanan titik](choose-xks-connectivity.md#xks-vpc-connectivity) akhir VPC dimiliki oleh yang berbeda Akun AWS, Anda juga memerlukan izin berikut:
+ `ec2:DescribeVPCEndpointServices`

Prinsipal yang membuat penyimpanan kunci eksternal memerlukan izin untuk membuat dan mengkonfigurasi komponen penyimpanan kunci eksternal. Prinsipal dapat membuat toko kunci eksternal hanya di akun mereka sendiri. Untuk membuat penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), kepala sekolah harus memiliki izin untuk membuat komponen berikut:
+ VPC Amazon
+ Subnet publik dan pribadi
+ Penyeimbang beban jaringan dan kelompok sasaran
+ Layanan titik akhir Amazon VPC

[Untuk detailnya, lihat [Manajemen identitas dan akses untuk VPC Amazon](https://docs.aws.amazon.com/vpc/latest/userguide/security-iam.html), [Identitas, dan manajemen akses untuk titik akhir VPC dan layanan titik akhir VPC serta izin API Elastic Load](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-iam.html) Balancing.](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/elb-api-permissions.html)

## Mengotorisasi pengguna kunci KMS di toko kunci eksternal
<a name="authorize-xks-users"></a>

Prinsipal yang membuat dan mengelola AWS KMS keys di toko kunci eksternal Anda memerlukan [izin yang sama dengan](create-keys.md#create-key-permissions) mereka yang membuat dan mengelola kunci KMS apa pun. AWS KMS[Kebijakan kunci default](key-policy-default.md) untuk kunci KMS di penyimpanan kunci eksternal identik dengan kebijakan kunci default untuk kunci KMS di. AWS KMS[Attribute-based access control](abac.md) (ABAC), yang menggunakan tag dan alias untuk mengontrol akses ke kunci KMS, juga efektif pada kunci KMS di toko kunci eksternal.

[Prinsipal yang menggunakan kunci KMS di toko kunci kustom Anda untuk operasi kriptografi memerlukan izin untuk melakukan [operasi kriptografi](manage-cmk-keystore.md#use-cmk-keystore) dengan kunci KMS, seperti KMS: Decrypt.](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) Anda dapat memberikan izin ini di IAM atau kebijakan kunci. Namun, mereka tidak memerlukan izin tambahan untuk menggunakan kunci KMS di toko kunci khusus.

Untuk menetapkan izin yang hanya berlaku untuk kunci KMS di penyimpanan kunci eksternal, gunakan kondisi [`kms:KeyOrigin`](conditions-kms.md#conditions-kms-key-origin)kebijakan dengan nilai. `EXTERNAL_KEY_STORE` Anda dapat menggunakan kondisi ini untuk membatasi izin [kms:](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html) atau CreateKey izin apa pun yang khusus untuk sumber daya kunci KMS. Misalnya, kebijakan IAM berikut memungkinkan identitas yang dilampirkan untuk memanggil operasi yang ditentukan pada semua kunci KMS di akun, asalkan kunci KMS berada di penyimpanan kunci eksternal. Perhatikan bahwa Anda dapat membatasi izin ke kunci KMS di toko kunci eksternal, dan kunci KMS di Akun AWS, tetapi tidak untuk penyimpanan kunci eksternal tertentu di akun.

```
{
  "Sid": "AllowKeysInExternalKeyStores",
  "Effect": "Allow",
  "Action": [
    "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
  ],
  "Resource": "arn:aws:kms:us-west-2:111122223333:key/*",
  "Condition": {
    "StringEquals": {
      "kms:KeyOrigin": "EXTERNAL_KEY_STORE"
    }
  }
}
```

## Otorisasi AWS KMS untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda
<a name="allowlist-kms-xks"></a>

AWS KMS berkomunikasi dengan pengelola kunci eksternal Anda hanya melalui [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) yang Anda berikan. AWS KMS mengautentikasi proxy Anda dengan menandatangani permintaannya menggunakan [proses Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) dengan [kredensi otentikasi proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-credential) yang Anda tentukan. Jika Anda menggunakan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint) untuk proxy penyimpanan kunci eksternal Anda, AWS KMS tidak memerlukan izin tambahan apa pun. 

Namun, jika Anda menggunakan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), Anda harus memberikan AWS KMS izin untuk membuat titik akhir antarmuka ke layanan endpoint Amazon VPC Anda. Izin ini diperlukan terlepas dari apakah proxy penyimpanan kunci eksternal ada di VPC Anda atau proxy penyimpanan kunci eksternal berada di tempat lain, tetapi menggunakan layanan titik akhir VPC untuk berkomunikasi dengannya. AWS KMS

 AWS KMS Untuk memungkinkan membuat titik akhir antarmuka, gunakan konsol [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) atau [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)operasinya. Izinkan izin untuk prinsipal berikut:`cks.kms.<region>.amazonaws.com`.

Jika layanan titik akhir VPC Amazon Anda dimiliki oleh yang berbeda Akun AWS selain Akun AWS memiliki penyimpanan kunci eksternal (XKS), Anda juga harus mengizinkan akses XKS ke layanan titik akhir VPC. Untuk melakukannya, [izinkan Akun AWS ID XKS sebagai prinsipal untuk layanan endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) Amazon VPC.

------
#### [ Same Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki Akun AWS sama dengan penyimpanan kunci eksternal Anda, Anda harus menambahkan AWS KMS ke daftar **Izinkan prinsipal** untuk layanan titik akhir VPC Anda.

Contoh berikut menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI perintah untuk memungkinkan untuk terhubung AWS KMS ke layanan titik akhir VPC yang ditentukan di Wilayah AS Barat (Oregon) (us-west-2). Sebelum menggunakan perintah ini, ganti ID layanan Amazon VPC dan Wilayah AWS dengan nilai yang valid untuk konfigurasi Anda.

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com"]'
```

Untuk menghapus izin ini, gunakan [konsol VPC Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) atau [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)dengan parameter. `RemoveAllowedPrincipals`

------
#### [ Cross Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki oleh yang lain Akun AWS, Anda harus menambahkan keduanya AWS KMS dan penyimpanan kunci eksternal Anda ke daftar **Izinkan prinsipal** untuk layanan titik akhir VPC Anda.

Contoh berikut menggunakan [https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-vpc-endpoint-service-permissions.html) AWS CLI perintah untuk mengizinkan keduanya AWS KMS dan penyimpanan kunci eksternal (XKS) Anda terhubung ke layanan titik akhir VPC yang ditentukan di Wilayah AS Barat (Oregon) (us-west-2). Sebelum menggunakan perintah ini, ganti ID layanan Amazon VPC Wilayah AWS, dan ARN utama IAM dengan nilai yang valid untuk konfigurasi Anda. Prinsipal IAM harus diganti dengan prinsipal di pemilik XKS. Akun AWS

Dalam contoh ini, `arn:aws:iam::123456789012:role/cks_role` adalah prinsipal IAM di akun pemilik XKS, yang akan digunakan untuk membuat, memperbarui, atau menghubungkan XKS ke layanan titik akhir VPC Anda. Jika Anda ingin mengizinkan semua prinsipal di akun pemilik XKS untuk mengakses layanan titik akhir VPC Anda, Anda dapat menentukan. `arn:aws:iam::123456789012:root`

```
modify-vpc-endpoint-service-permissions
--service-id vpce-svc-12abc34567def0987
--add-allowed-principals '["cks.kms.us-west-2.amazonaws.com", "arn:aws:iam::123456789012:role/cks_role"]'
```

Untuk menghapus izin ini, gunakan [konsol VPC Amazon](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) atau [ModifyVpcEndpointServicePermissions](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_ModifyVpcEndpointServicePermissions.html)dengan parameter. `RemoveAllowedPrincipals`

------

## Otorisasi proxy penyimpanan kunci eksternal (opsional)
<a name="xks-proxy-authorization"></a>

Beberapa proxy penyimpanan kunci eksternal menerapkan persyaratan otorisasi untuk penggunaan kunci eksternalnya. Proxy penyimpanan kunci eksternal diizinkan, tetapi tidak diperlukan, untuk merancang dan mengimplementasikan skema otorisasi yang memungkinkan pengguna tertentu untuk meminta operasi tertentu hanya dalam kondisi tertentu. Misalnya, proxy mungkin dikonfigurasi untuk memungkinkan pengguna A mengenkripsi dengan kunci eksternal tertentu, tetapi tidak untuk mendekripsi dengannya.

Otorisasi proxy independen dari [otentikasi proxy berbasis SIGV4 yang AWS KMS memerlukan semua proxy](keystore-external.md#concept-xks-credential) penyimpanan kunci eksternal. Ini juga independen dari kebijakan utama, kebijakan IAM, dan hibah yang mengotorisasi akses ke operasi yang memengaruhi penyimpanan kunci eksternal atau kunci KMS-nya.

Untuk mengaktifkan otorisasi oleh proxy penyimpanan kunci eksternal, AWS KMS sertakan metadata di setiap [permintaan API proxy](keystore-external.md#concept-proxy-apis), termasuk pemanggil, kunci KMS, AWS KMS operasi, (jika ada). Layanan AWS Metadata permintaan untuk versi 1 (v1) dari API proxy kunci eksternal adalah sebagai berikut.

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Misalnya, Anda dapat mengonfigurasi proxy Anda untuk mengizinkan permintaan dari prinsipal tertentu (`awsPrincipalArn`), tetapi hanya jika permintaan dibuat atas nama prinsipal oleh Layanan AWS (`kmsViaService`) tertentu.

Jika otorisasi proxy gagal, AWS KMS operasi terkait gagal dengan pesan yang menjelaskan kesalahan. Untuk detailnya, lihat [Masalah otorisasi proxy](xks-troubleshooting.md#fix-xks-authorization).

## Autentikasi mTLS (tidak digunakan lagi)
<a name="xks-mtls"></a>

Versi sebelumnya dari panduan ini menyebutkan *Mutual Transport Layer Security* (mTLS) sebagai mekanisme otentikasi sekunder opsional untuk mengautentikasi permintaan dari. AWS KMS Dengan mTL, kedua belah pihak (AWS KMS sebagai klien dan proxy XKS sebagai server) berkomunikasi melalui saluran TLS menggunakan sertifikat untuk mengautentikasi satu sama lain.

Namun, perubahan pada [Kebijakan Program Root Chrome (Bagian 4.2.2) melarang root](https://googlechrome.github.io/chromerootprogram/policy-archive/policy-version-1-7/#422-pki-hierarchies-included-in-the-chrome-root-store) tepercaya publik yang CAs termasuk dalam Toko Root Chrome menerbitkan sertifikat dengan ekstensi ClientAuth Extended Key Usage (EKU) setelah 15 Juni 2026. Akibatnya, tidak AWS KMS dapat lagi memperoleh sertifikat klien yang cocok untuk MTL dari [Amazon Trust Services](https://www.amazontrust.com/repository/). Proxy XKS apa pun yang digunakan untuk membuat penyimpanan kunci eksternal baru AWS KMS setelah 16 Maret 2026 tidak boleh memerlukan mTL. Setelah 15 Juni 2026, proxy XKS apa pun yang dikonfigurasi untuk mewajibkan mTL tidak akan dapat berkomunikasi dengannya. AWS KMS Pelanggan harus mengandalkan otentikasi SiGv4 untuk memverifikasi bahwa permintaan berasal. AWS KMS Untuk informasi selengkapnya, lihat [Kredensi otentikasi proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-credential).

# Pilih opsi konektivitas proxy penyimpanan kunci eksternal
<a name="choose-xks-connectivity"></a>

Sebelum membuat penyimpanan kunci eksternal Anda, pilih opsi konektivitas yang menentukan cara AWS KMS berkomunikasi dengan komponen penyimpanan kunci eksternal Anda. Opsi konektivitas yang Anda pilih menentukan sisa proses perencanaan.

Jika Anda membuat penyimpanan kunci eksternal, Anda perlu menentukan bagaimana AWS KMS berkomunikasi dengan [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) Anda. Pilihan ini akan menentukan komponen mana yang Anda butuhkan dan bagaimana Anda mengonfigurasinya. AWS KMS mendukung opsi konektivitas berikut.
+ [Konektivitas titik akhir publik](#xks-connectivity-public-endpoint)
+ [Konektivitas layanan titik akhir VPC](#xks-vpc-connectivity)

Pilih opsi yang memenuhi tujuan kinerja dan keamanan Anda.

Sebelum Anda mulai, [konfirmasikan bahwa Anda memerlukan toko kunci eksternal](keystore-external.md#do-i-need-xks). Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.

**Pertimbangan-pertimbangan**
+ Jika proxy penyimpanan kunci eksternal Anda dibangun ke dalam pengelola kunci eksternal Anda, konektivitas Anda mungkin telah ditentukan sebelumnya. Untuk panduan, lihat dokumentasi untuk pengelola kunci eksternal atau proxy penyimpanan kunci eksternal Anda.
+ Anda dapat [mengubah opsi konektivitas proxy penyimpanan kunci eksternal Anda](update-xks-keystore.md) bahkan di toko kunci eksternal yang beroperasi. Namun, prosesnya harus direncanakan dan dijalankan dengan hati-hati untuk meminimalkan gangguan, menghindari kesalahan, dan memastikan akses berkelanjutan ke kunci kriptografi yang mengenkripsi data Anda.

## Konektivitas titik akhir publik
<a name="xks-connectivity-public-endpoint"></a>

AWS KMS terhubung ke proxy penyimpanan kunci eksternal (proxy XKS) melalui internet menggunakan titik akhir publik.

Opsi konektivitas ini lebih mudah diatur dan dipelihara, dan selaras dengan beberapa model manajemen kunci. Namun, itu mungkin tidak memenuhi persyaratan keamanan beberapa organisasi.

![\[Konektivitas titik akhir publik\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-public-endpoint-60.png)


**Persyaratan**

Jika Anda memilih konektivitas titik akhir publik, berikut ini diperlukan. 
+ Proxy penyimpanan kunci eksternal Anda harus dapat dijangkau pada titik akhir yang dapat dirutekan secara publik. 
+ Anda dapat menggunakan titik akhir publik yang sama untuk beberapa penyimpanan kunci eksternal asalkan mereka menggunakan nilai [jalur URI proxy](create-xks-keystore.md#require-path) yang berbeda. 
+ Anda tidak dapat menggunakan titik akhir yang sama untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik dan penyimpanan kunci eksternal apa pun dengan konektivitas layanan titik akhir VPC yang sama Wilayah AWS, meskipun penyimpanan kunci berbeda. Akun AWS
+ Anda harus mendapatkan sertifikat TLS yang dikeluarkan oleh otoritas sertifikat publik yang didukung untuk toko kunci eksternal. Untuk daftar, lihat [Otoritas Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). 

  Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama domain di [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalah`https://myproxy.xks.example.com`, TLS, CN pada sertifikat TLS harus atau. `myproxy.xks.example.com` `*.xks.example.com`
+ Pastikan bahwa setiap firewall antara AWS KMS dan proxy penyimpanan kunci eksternal memungkinkan lalu lintas ke dan dari port 443 pada proxy. AWS KMS berkomunikasi di port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.

Untuk semua persyaratan untuk penyimpanan kunci eksternal, lihat [Merakit prasyarat](create-xks-keystore.md#xks-requirements).

## Konektivitas layanan titik akhir VPC
<a name="xks-vpc-connectivity"></a>

AWS KMS terhubung ke proxy penyimpanan kunci eksternal (proxy XKS) dengan membuat titik akhir antarmuka ke layanan titik akhir VPC Amazon yang Anda buat dan konfigurasikan. Anda bertanggung jawab untuk [membuat layanan titik akhir VPC](vpc-connectivity.md) dan menghubungkan VPC Anda ke pengelola kunci eksternal Anda.

Layanan endpoint Anda dapat menggunakan salah satu opsi [ network-to-AmazonVPC yang didukung](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) untuk komunikasi, termasuk. [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/) 

Opsi konektivitas ini lebih rumit untuk diatur dan dipelihara. Tetapi menggunakan AWS PrivateLink, yang memungkinkan AWS KMS untuk terhubung secara pribadi ke VPC Amazon Anda dan proxy toko kunci eksternal Anda tanpa menggunakan internet publik.

Anda dapat menemukan proxy toko kunci eksternal Anda di VPC Amazon Anda.

![\[Konektivitas layanan titik akhir VPC - Proxy XKS di VPC Anda\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-proxy-in-vpc-60.png)


Atau, Anda dapat menemukan proxy penyimpanan kunci eksternal di luar AWS Cloud dan menggunakan layanan titik akhir VPC Amazon Anda hanya untuk komunikasi yang aman. AWS KMS

![\[Konektivitas layanan titik akhir VPC - proxy XKS di luar AWS\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/xks-proxy-via-vpc-60.png)


Anda juga dapat menghubungkan toko kunci eksternal ke layanan endpoint VPC Amazon yang dimiliki oleh orang lain. Akun AWS Keduanya Akun AWS membutuhkan [izin yang diperlukan](authorize-xks-key-store.md#authorize-xks-managers) untuk memungkinkan komunikasi antara AWS KMS dan layanan titik akhir VPC 

**Pelajari lebih lanjut**:
+ Tinjau proses untuk membuat toko kunci eksternal, termasuk [merakit prasyarat](create-xks-keystore.md#xks-requirements). Ini akan membantu Anda memastikan bahwa Anda memiliki semua komponen yang Anda butuhkan saat membuat toko kunci eksternal Anda.
+ Pelajari cara [mengontrol akses ke penyimpanan kunci eksternal Anda](authorize-xks-key-store.md), termasuk izin yang diperlukan oleh administrator dan pengguna penyimpanan kunci eksternal. 
+ Pelajari tentang [ CloudWatch metrik dan dimensi Amazon yang AWS KMS direkam](monitoring-cloudwatch.md#kms-metrics) untuk penyimpanan kunci eksternal. Kami sangat menyarankan agar Anda membuat alarm untuk memantau penyimpanan kunci eksternal Anda sehingga Anda dapat mendeteksi tanda-tanda awal masalah kinerja dan operasional.

# Konfigurasikan konektivitas layanan titik akhir VPC
<a name="vpc-connectivity"></a>

Gunakan panduan di bagian ini untuk membuat dan mengonfigurasi AWS sumber daya dan komponen terkait yang diperlukan untuk penyimpanan kunci eksternal yang menggunakan konektivitas layanan [titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Sumber daya yang terdaftar untuk opsi konektivitas ini adalah suplemen untuk [sumber daya yang diperlukan untuk semua toko kunci eksternal](create-xks-keystore.md#xks-requirements). Setelah Anda membuat dan mengkonfigurasi sumber daya yang diperlukan, Anda dapat [membuat penyimpanan kunci eksternal Anda](create-xks-keystore.md).

Anda dapat menemukan proxy penyimpanan kunci eksternal di VPC Amazon atau menemukan proxy di luar AWS dan menggunakan layanan titik akhir VPC Anda untuk komunikasi.

Sebelum Anda mulai, [konfirmasikan bahwa Anda memerlukan toko kunci eksternal](keystore-external.md#do-i-need-xks). Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.

**catatan**  
Beberapa elemen yang diperlukan untuk konektivitas layanan titik akhir VPC mungkin disertakan dalam pengelola kunci eksternal Anda. Selain itu, perangkat lunak Anda mungkin memiliki persyaratan konfigurasi tambahan. Sebelum membuat dan mengonfigurasi AWS sumber daya di bagian ini, lihat dokumentasi proxy dan manajer kunci Anda.

**Topics**
+ [Persyaratan untuk konektivitas layanan titik akhir VPC](#xks-vpce-service-requirements)
+ [Langkah 1: Buat VPC Amazon dan subnet](#xks-create-vpc)
+ [Langkah 2: Buat grup target](#xks-target-group)
+ [Langkah 3: Buat penyeimbang beban jaringan](#xks-nlb)
+ [Langkah 4: Buat layanan titik akhir VPC](#xks-vpc-svc)
+ [Langkah 5: Verifikasi domain nama DNS pribadi Anda](#xks-private-dns)
+ [Langkah 6: Otorisasi AWS KMS untuk terhubung ke layanan titik akhir VPC](#xks-vpc-authorize-kms)

## Persyaratan untuk konektivitas layanan titik akhir VPC
<a name="xks-vpce-service-requirements"></a>

Jika Anda memilih konektivitas layanan titik akhir VPC untuk penyimpanan kunci eksternal Anda, sumber daya berikut diperlukan. 
+ VPC Amazon yang terhubung ke pengelola kunci eksternal Anda. Itu harus memiliki setidaknya dua [subnet](https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html) pribadi di dua Availability Zone yang berbeda.

  Anda dapat menggunakan VPC Amazon yang ada untuk toko kunci eksternal Anda, asalkan [memenuhi persyaratan](#xks-vpc-requirements) untuk digunakan dengan toko kunci eksternal. Beberapa toko kunci eksternal dapat berbagi VPC Amazon, tetapi setiap toko kunci eksternal harus memiliki layanan titik akhir VPC sendiri dan nama DNS pribadi.
+ [Layanan endpoint VPC Amazon yang didukung oleh AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-share-your-services.html) [[penyeimbang beban jaringan](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/introduction.html) dan grup target.](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-target-groups.html) 

  Layanan endpoint tidak dapat memerlukan penerimaan. Juga, Anda harus menambahkan AWS KMS sebagai kepala sekolah yang diizinkan. Ini memungkinkan AWS KMS untuk membuat titik akhir antarmuka sehingga dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.
+ Nama DNS pribadi untuk layanan titik akhir VPC yang unik di dalamnya. Wilayah AWS

  Nama DNS pribadi harus merupakan subdomain dari domain publik tingkat tinggi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, itu harus menjadi subdomain dari domain publik seperti `xks.example.com` atau. `example.com`

  Anda harus [memverifikasi kepemilikan](#xks-private-dns) domain DNS untuk nama DNS pribadi.
+ Sertifikat TLS yang dikeluarkan oleh [otoritas sertifikat publik yang didukung](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) untuk proxy penyimpanan kunci eksternal Anda. 

  Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`
+ Untuk meminimalkan latensi jaringan, buat AWS komponen Anda di bagian yang [didukung Wilayah AWS](keystore-external.md#xks-regions) yang paling dekat dengan [pengelola kunci eksternal](keystore-external.md#concept-ekm) Anda. Jika memungkinkan, pilih Wilayah dengan waktu pulang-pergi jaringan (RTT) 35 milidetik atau kurang.

Untuk semua persyaratan untuk penyimpanan kunci eksternal, lihat [Merakit prasyarat](create-xks-keystore.md#xks-requirements).

## Langkah 1: Buat VPC Amazon dan subnet
<a name="xks-create-vpc"></a>

Konektivitas layanan titik akhir VPC memerlukan VPC Amazon yang terhubung ke pengelola kunci eksternal Anda dengan setidaknya dua subnet pribadi. Anda dapat membuat VPC Amazon atau menggunakan VPC Amazon yang sudah ada yang memenuhi persyaratan untuk toko kunci eksternal. Untuk bantuan dalam membuat VPC Amazon baru, lihat [Membuat VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#Create-VPC) di Panduan Pengguna *Amazon Virtual Private Cloud*.

### Persyaratan untuk VPC Amazon Anda
<a name="xks-vpc-requirements"></a>

Layanan endpoint Amazon VPC harus memiliki properti berikut untuk bekerja dengan toko kunci eksternal.
+ Harus berada di [Wilayah yang didukung](keystore-external.md#xks-regions) sebagai toko kunci eksternal Anda.
+ Memerlukan setidaknya dua subnet pribadi, masing-masing di Availability Zone yang berbeda.
+ Rentang alamat IP pribadi VPC Amazon Anda tidak boleh tumpang tindih dengan rentang alamat IP pribadi dari pusat data yang menghosting manajer kunci [eksternal](keystore-external.md#concept-ekm) Anda.
+ Semua komponen harus digunakan IPv4.

Anda memiliki banyak opsi untuk menghubungkan VPC Amazon ke proxy penyimpanan kunci eksternal Anda. Pilih opsi yang memenuhi kebutuhan kinerja dan keamanan Anda. Untuk daftar, lihat [Connect VPC Anda ke jaringan lain dan opsi konektivitas Network-to-Amazon ](https://docs.aws.amazon.com/vpc/latest/userguide/extend-intro.html) [VPC](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html). Untuk detail selengkapnya [Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html), lihat, dan [Panduan AWS Site-to-Site VPN Pengguna](https://docs.aws.amazon.com/vpn/latest/s2svpn/).

### Membuat VPC Amazon untuk toko kunci eksternal Anda
<a name="xks-vpc-create"></a>

Gunakan petunjuk berikut untuk membuat VPC Amazon untuk toko kunci eksternal Anda. VPC Amazon hanya diperlukan jika Anda memilih opsi konektivitas layanan titik [akhir VPC](choose-xks-connectivity.md). Anda dapat menggunakan VPC Amazon yang sudah ada yang memenuhi persyaratan untuk penyimpanan kunci eksternal.

Ikuti petunjuk dalam topik [Buat VPC, subnet, dan sumber daya VPC lainnya](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html#create-vpc-and-other-resources) menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| IPv4 Blok CIDR | Masukkan alamat IP untuk VPC Anda. Rentang alamat IP pribadi VPC Amazon Anda tidak boleh tumpang tindih dengan rentang alamat IP pribadi dari pusat data yang menghosting manajer kunci [eksternal](keystore-external.md#concept-ekm) Anda. | 
| Jumlah Availability Zone (AZs) | 2 atau lebih | 
| Jumlah subnet publik |  Tidak ada yang diperlukan (0)  | 
| Jumlah subnet pribadi | Satu untuk setiap AZ | 
| Gateway NAT | Tidak ada yang diperlukan. | 
| Titik akhir VPC | Tidak ada yang diperlukan. | 
| Aktifkan nama host DNS | Ya | 
| Aktifkan resolusi DNS | Ya | 

Pastikan untuk menguji komunikasi VPC Anda. Misalnya, jika proxy penyimpanan kunci eksternal Anda tidak terletak di VPC Amazon Anda, buat instans Amazon EC2 di VPC Amazon Anda, verifikasi bahwa VPC Amazon dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.

### Menghubungkan VPC ke manajer kunci eksternal
<a name="xks-vpc-to-ekm"></a>

Hubungkan VPC ke pusat data yang menampung pengelola kunci eksternal Anda menggunakan salah satu [opsi konektivitas jaringan](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) yang didukung Amazon VPC. Pastikan instans Amazon EC2 di VPC (atau proxy penyimpanan kunci eksternal, jika ada di VPC), dapat berkomunikasi dengan pusat data dan pengelola kunci eksternal.

## Langkah 2: Buat grup target
<a name="xks-target-group"></a>

Sebelum Anda membuat layanan endpoint VPC yang diperlukan, buat komponen yang diperlukan, network load balancer (NLB) dan grup target. Network load balancer (NLB) mendistribusikan permintaan di antara beberapa target sehat, yang mana pun dapat melayani permintaan. Pada langkah ini, Anda membuat grup target dengan setidaknya dua host untuk proxy penyimpanan kunci eksternal Anda, dan mendaftarkan alamat IP Anda dengan grup target.

Ikuti petunjuk dalam [Mengkonfigurasi topik grup target](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-target-group) menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| Tipe target | Alamat IP | 
| Protokol | TCP | 
| Port |  443  | 
| Jenis alamat IP | IPv4 | 
| VPC | Pilih VPC tempat Anda akan membuat layanan titik akhir VPC untuk toko kunci eksternal Anda. | 
| Protokol dan jalur pemeriksaan kesehatan | Protokol dan jalur pemeriksaan kesehatan Anda akan berbeda dengan konfigurasi proxy penyimpanan kunci eksternal Anda. Konsultasikan dokumentasi untuk pengelola kunci eksternal atau proxy penyimpanan kunci eksternal Anda.Untuk informasi umum tentang mengonfigurasi pemeriksaan kesehatan untuk grup target Anda, lihat [Pemeriksaan Kesehatan untuk grup target Anda](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/target-group-health-checks.html) di Panduan Pengguna Elastic Load Balancing untuk Network Load Balancers. | 
| Jaringan | Alamat IP pribadi lainnya | 
| IPv4 alamat | Alamat pribadi proxy toko kunci eksternal Anda | 
| Port | 443 | 

## Langkah 3: Buat penyeimbang beban jaringan
<a name="xks-nlb"></a>

Penyeimbang beban jaringan mendistribusikan lalu lintas jaringan, termasuk permintaan dari AWS KMS proxy penyimpanan kunci eksternal Anda, ke target yang dikonfigurasi.

Ikuti petunjuk dalam [Konfigurasi penyeimbang beban dan topik pendengar](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-network-load-balancer.html#configure-load-balancer) untuk mengonfigurasi dan menambahkan pendengar dan membuat penyeimbang beban menggunakan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| Skema | Internal | 
| Jenis alamat IP | IPv4 | 
| Pemetaan jaringan |  Pilih VPC tempat Anda akan membuat layanan titik akhir VPC untuk toko kunci eksternal Anda.  | 
| Pemetaan | Pilih kedua zona ketersediaan (setidaknya dua) yang Anda konfigurasikan untuk subnet VPC Anda. Verifikasi nama subnet dan alamat IP pribadi. | 
| Protokol | TCP | 
| Port | 443 | 
| Tindakan default: Teruskan ke | Pilih [grup target](#xks-target-group) untuk penyeimbang beban jaringan Anda. | 

## Langkah 4: Buat layanan titik akhir VPC
<a name="xks-vpc-svc"></a>

Biasanya, Anda membuat titik akhir ke layanan. Namun, ketika Anda membuat layanan titik akhir VPC, Anda adalah penyedia, dan AWS KMS membuat titik akhir ke layanan Anda. Untuk penyimpanan kunci eksternal, buat layanan titik akhir VPC dengan penyeimbang beban jaringan yang Anda buat di langkah sebelumnya. Layanan titik akhir VPC dapat Akun AWS sama dengan penyimpanan kunci eksternal Anda atau yang lain. Akun AWS

Beberapa toko kunci eksternal dapat berbagi VPC Amazon, tetapi setiap toko kunci eksternal harus memiliki layanan titik akhir VPC sendiri dan nama DNS pribadi.

Ikuti petunjuk dalam topik [Create an endpoint service](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html#create-endpoint-service-nlb) untuk membuat layanan endpoint VPC Anda dengan nilai wajib berikut. Untuk bidang lain, terima nilai default dan berikan nama seperti yang diminta.


| Bidang | Nilai | 
| --- | --- | 
| Jenis penyeimbang beban | Jaringan | 
| Penyeimbang beban yang tersedia | Pilih [penyeimbang beban jaringan](#xks-nlb) yang Anda buat pada langkah sebelumnya.Jika penyeimbang beban baru Anda tidak muncul dalam daftar, verifikasi bahwa statusnya aktif. Mungkin perlu beberapa menit agar status penyeimbang beban berubah dari penyediaan menjadi aktif. | 
| Penerimaan diperlukan | Salah. Hapus centang pada kotak centang.*Tidak memerlukan penerimaan*. AWS KMS tidak dapat terhubung ke layanan titik akhir VPC tanpa penerimaan manual. Jika penerimaan diperlukan, upaya untuk [membuat penyimpanan kunci eksternal](create-xks-keystore.md) gagal dengan `XksProxyInvalidConfigurationException` pengecualian.  | 
| Aktifkan nama DNS pribadi | Kaitkan nama DNS pribadi dengan layanan | 
| Nama DNS pribadi | Masukkan nama DNS pribadi yang unik di dalamnya Wilayah AWS. Nama DNS pribadi harus menjadi subdomain dari domain publik tingkat yang lebih tinggi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, itu harus menjadi subdomain dari domain publik seperti `xks.example.com` atau. `example.com`Nama DNS pribadi ini harus cocok dengan nama umum subjek (CN) dalam sertifikat TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal Anda. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`Jika sertifikat dan nama DNS pribadi tidak cocok, upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal dengan kode kesalahan koneksi. `XKS_PROXY_INVALID_TLS_CONFIGURATION` Lihat perinciannya di [Kesalahan konfigurasi umum](xks-troubleshooting.md#fix-xks-gen-configuration). | 
| Jenis alamat IP yang didukung | IPv4 | 

## Langkah 5: Verifikasi domain nama DNS pribadi Anda
<a name="xks-private-dns"></a>

Saat Anda membuat layanan titik akhir VPC, status verifikasi domainnya adalah. `pendingVerification` Sebelum menggunakan layanan titik akhir VPC untuk membuat penyimpanan kunci eksternal, status ini harus. `verified` Untuk memverifikasi bahwa Anda memiliki domain yang terkait dengan nama DNS pribadi Anda, Anda harus membuat catatan TXT di server DNS publik.

Misalnya, jika nama DNS pribadi untuk layanan `myproxy-private.xks.example.com` titik akhir VPC Anda, Anda harus membuat catatan TXT di domain publik, `xks.example.com` seperti `example.com` atau, mana pun yang bersifat publik. AWS PrivateLink mencari catatan TXT terlebih dahulu `xks.example.com` dan kemudian. `example.com`

**Tip**  
Setelah Anda menambahkan catatan TXT, mungkin perlu beberapa menit untuk mengubah nilai **status verifikasi Domain** dari `pendingVerification` ke. `verify`

Untuk memulai, cari status verifikasi domain Anda menggunakan salah satu metode berikut. Nilai yang valid adalah `verified`, `pendingVerification`, dan `failed`. 
+ Di [konsol VPC Amazon](https://console.aws.amazon.com/vpc), pilih layanan **Endpoint, dan pilih layanan endpoint** Anda. Di panel detail, lihat **Status verifikasi domain**.
+ Gunakan [DescribeVpcEndpointServiceConfigurations](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_DescribeVpcEndpointServiceConfigurations.html)operasi. `State`Nilainya ada di `ServiceConfigurations.PrivateDnsNameConfiguration.State` lapangan.

Jika status verifikasi tidak`verified`, ikuti petunjuk dalam topik [verifikasi kepemilikan Domain](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html#verify-domain-ownership) untuk menambahkan catatan TXT ke server DNS domain Anda dan verifikasi bahwa catatan TXT diterbitkan. Kemudian periksa kembali status verifikasi Anda.

Anda tidak diharuskan membuat catatan A untuk nama domain DNS pribadi. Saat AWS KMS membuat titik akhir antarmuka ke layanan titik akhir VPC Anda AWS PrivateLink , secara otomatis membuat zona yang dihosting dengan catatan A yang diperlukan untuk nama domain pribadi di VPC. AWS KMS Untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC, ini terjadi ketika Anda [menghubungkan penyimpanan kunci eksternal Anda ke proxy penyimpanan](xks-connect-disconnect.md) kunci eksternal.

## Langkah 6: Otorisasi AWS KMS untuk terhubung ke layanan titik akhir VPC
<a name="xks-vpc-authorize-kms"></a>

Lihat prosedur berikut untuk mengelola izin layanan titik akhir Amazon VPC Anda. Setiap langkah tergantung pada konektivitas dan konfigurasi antara penyimpanan kunci eksternal Anda, layanan titik akhir VPC, dan. Akun AWS

------
#### [ Same Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki Akun AWS sama dengan penyimpanan kunci eksternal Anda, Anda harus menambahkan AWS KMS ke daftar **Izinkan prinsipal** untuk layanan titik akhir VPC Anda. Ini memungkinkan AWS KMS untuk membuat titik akhir antarmuka ke layanan titik akhir VPC Anda. Jika AWS KMS bukan prinsipal yang diizinkan, upaya untuk membuat penyimpanan kunci eksternal akan gagal dengan `XksProxyVpcEndpointServiceNotFoundException` pengecualian.

Ikuti petunjuk dalam topik [Kelola izin](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) di *AWS PrivateLink Panduan*. Gunakan nilai yang diperlukan berikut.


| Bidang | Nilai | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caSebagai contoh, `cks.kms.us-east-1.amazonaws.com`. | 

------
#### [ Cross Akun AWS ]

Ketika layanan titik akhir VPC Anda dimiliki oleh yang lain, Akun AWS Anda harus menambahkan keduanya AWS KMS dan akun Anda ke daftar **Izinkan** prinsipal. Ini memungkinkan AWS KMS dan penyimpanan kunci eksternal Anda untuk membuat titik akhir antarmuka ke layanan titik akhir VPC Anda. Jika AWS KMS bukan prinsipal yang diizinkan, upaya untuk membuat penyimpanan kunci eksternal akan gagal dengan `XksProxyVpcEndpointServiceNotFoundException` pengecualian. Anda harus menyediakan Akun AWS ARN tempat penyimpanan kunci eksternal berada.

Ikuti petunjuk dalam topik [Kelola izin](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) di *AWS PrivateLink Panduan*. Gunakan nilai yang diperlukan berikut.


| Bidang | Nilai | 
| --- | --- | 
| AWS KMS ARN | cks.kms.<region>.amazonaws.com.rproxy.govskope.caSebagai contoh, `cks.kms.us-east-1.amazonaws.com`. | 
| Akun AWS ARN | arn:aws:iam::111122223333:role/role\$1nameSebagai contoh, `arn:aws:iam::123456789012:role/cks_role`. | 

------

**Selanjutnya:** [Buat toko kunci eksternal](create-xks-keystore.md)

# Buat toko kunci eksternal
<a name="create-xks-keystore"></a>

Anda dapat membuat satu atau banyak toko kunci eksternal di masing-masing Akun AWS dan Wilayah. Setiap penyimpanan kunci eksternal harus dikaitkan dengan pengelola kunci eksternal di luar AWS, dan proxy penyimpanan kunci eksternal (proxy XKS) yang memediasi komunikasi antara AWS KMS dan manajer kunci eksternal Anda. Lihat perinciannya di [Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md). Sebelum Anda mulai, [konfirmasikan bahwa Anda memerlukan toko kunci eksternal](keystore-external.md#do-i-need-xks). Sebagian besar pelanggan dapat menggunakan kunci KMS yang didukung oleh materi AWS KMS utama.

**Tip**  
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk membuat penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Sebelum Anda membuat toko kunci eksternal Anda, Anda perlu [merakit prasyarat](#xks-requirements). Selama proses pembuatan, Anda menentukan properti penyimpanan kunci eksternal Anda. Yang terpenting, Anda menunjukkan apakah penyimpanan kunci eksternal Anda AWS KMS menggunakan [titik akhir publik atau layanan titik akhir](choose-xks-connectivity.md#xks-connectivity-public-endpoint) [VPC](choose-xks-connectivity.md#xks-vpc-connectivity) untuk terhubung ke proxy penyimpanan kunci eksternalnya. Anda juga menentukan detail koneksi, termasuk titik akhir URI proxy dan jalur dalam titik akhir proxy tersebut tempat AWS KMS mengirimkan permintaan API ke proxy. 

**Pertimbangan-pertimbangan**
+ KMS tidak dapat berkomunikasi IPv6 dengan toko kunci Eksternal.
+  Jika Anda menggunakan konektivitas titik akhir publik, pastikan itu AWS KMS dapat berkomunikasi dengan proxy Anda melalui internet menggunakan koneksi HTTPS. Ini termasuk mengkonfigurasi TLS pada proxy penyimpanan kunci eksternal dan memastikan bahwa setiap firewall antara AWS KMS dan proxy memungkinkan IPv4 lalu lintas ke dan dari port 443 pada proxy. Saat membuat penyimpanan kunci eksternal dengan konektivitas titik akhir publik, AWS KMS menguji koneksi dengan mengirimkan permintaan status ke proxy penyimpanan kunci eksternal. Tes ini memverifikasi bahwa titik akhir dapat dijangkau dan proxy penyimpanan kunci eksternal Anda akan menerima permintaan yang ditandatangani dengan kredensi otentikasi proxy [penyimpanan kunci eksternal](keystore-external.md#concept-xks-credential) Anda. Jika permintaan pengujian ini gagal, operasi untuk membuat penyimpanan kunci eksternal gagal.
+ Jika Anda menggunakan konektivitas layanan titik akhir VPC, pastikan penyeimbang beban jaringan, nama DNS pribadi, dan layanan titik akhir VPC dikonfigurasi dengan benar dan operasional. Jika proxy penyimpanan kunci eksternal tidak ada di VPC, Anda perlu memastikan bahwa layanan titik akhir VPC dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. (AWS KMS menguji konektivitas layanan titik akhir VPC saat Anda [menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan](xks-connect-disconnect.md) kunci eksternal.)
+ AWS KMS merekam [ CloudWatch metrik dan dimensi Amazon](monitoring-cloudwatch.md#kms-metrics) terutama untuk toko kunci eksternal. Grafik pemantauan berdasarkan beberapa metrik ini muncul di AWS KMS konsol untuk setiap penyimpanan kunci eksternal. Kami sangat menyarankan Anda menggunakan metrik ini untuk membuat alarm yang memantau penyimpanan kunci eksternal Anda. Alarm ini mengingatkan Anda tentang tanda-tanda awal masalah kinerja dan operasional sebelum terjadi. Untuk petunjuk, lihat [Pantau toko kunci eksternal](xks-monitoring.md).
+ Toko kunci eksternal tunduk pada [kuota sumber daya](resource-limits.md#cks-resource-quota). Penggunaan kunci KMS di toko kunci eksternal tunduk pada [kuota permintaan](requests-per-second.md#rps-key-stores). Tinjau kuota ini sebelum merancang implementasi penyimpanan kunci eksternal Anda. 

**catatan**  
Tinjau konfigurasi Anda untuk dependensi melingkar yang mungkin mencegahnya berfungsi.  
Misalnya, jika Anda membuat proxy penyimpanan kunci eksternal menggunakan AWS sumber daya, pastikan bahwa mengoperasikan proxy tidak memerlukan ketersediaan kunci KMS di penyimpanan kunci eksternal yang diakses melalui proxy tersebut.

Semua toko kunci eksternal baru dibuat dalam keadaan terputus. Sebelum Anda dapat membuat kunci KMS toko kunci eksternal Anda, Anda harus [menghubungkannya](about-xks-connecting.md) ke proxy penyimpanan kunci eksternal. Untuk mengubah properti penyimpanan kunci eksternal Anda, [edit pengaturan penyimpanan kunci eksternal Anda](update-xks-keystore.md).

**Topics**
+ [Memasang prasyarat](#xks-requirements)
+ [Buat toko kunci eksternal baru](#create-xks)

## Memasang prasyarat
<a name="xks-requirements"></a>

Sebelum Anda membuat penyimpanan kunci eksternal, Anda perlu merakit komponen yang diperlukan, termasuk [pengelola kunci eksternal](keystore-external.md#concept-ekm) yang akan Anda gunakan untuk mendukung penyimpanan kunci eksternal dan [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) yang menerjemahkan AWS KMS permintaan ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda. 

Komponen berikut diperlukan untuk semua toko kunci eksternal. Selain komponen ini, Anda perlu menyediakan komponen untuk mendukung [opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md) yang Anda pilih.

**Tip**  
Manajer kunci eksternal Anda mungkin menyertakan beberapa komponen ini, atau mereka mungkin dikonfigurasi untuk Anda. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.  
[Jika Anda membuat penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah [file konfigurasi proxy berbasis JSON yang menentukan jalur URI proxy](#proxy-configuration-file)[dan kredensi otentikasi proxy](#require-path).](keystore-external.md#concept-xks-credential) Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.

### Manajer kunci eksternal
<a name="require-ekm"></a>

Setiap penyimpanan kunci eksternal memerlukan setidaknya satu instance [pengelola kunci eksternal](keystore-external.md#concept-ekm). Ini bisa berupa modul keamanan perangkat keras fisik atau virtual (HSM), atau perangkat lunak manajemen kunci.

Anda dapat menggunakan satu manajer kunci, tetapi kami merekomendasikan setidaknya dua contoh manajer kunci terkait yang berbagi kunci kriptografi untuk redundansi. Toko kunci eksternal tidak memerlukan penggunaan eksklusif manajer kunci eksternal. Namun, manajer kunci eksternal harus memiliki kapasitas untuk menangani frekuensi yang diharapkan dari enkripsi dan permintaan dekripsi dari AWS layanan yang menggunakan kunci KMS di penyimpanan kunci eksternal untuk melindungi sumber daya Anda. Manajer kunci eksternal Anda harus dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Jika proxy penyimpanan kunci eksternal Anda mengizinkannya, Anda dapat mengubah pengelola kunci eksternal yang Anda kaitkan dengan proxy penyimpanan kunci eksternal Anda, tetapi manajer kunci eksternal yang baru harus berupa cadangan atau snapshot dengan materi kunci yang sama. Jika kunci eksternal yang Anda kaitkan dengan kunci KMS tidak lagi tersedia untuk proxy penyimpanan kunci eksternal Anda, tidak AWS KMS dapat mendekripsi ciphertext yang dienkripsi dengan kunci KMS.

Manajer kunci eksternal harus dapat diakses oleh proxy penyimpanan kunci eksternal. Jika [GetHealthStatus](keystore-external.md#xks-concepts)respons dari proxy melaporkan bahwa semua instance pengelola kunci eksternal adalah`Unavailable`, semua upaya untuk membuat penyimpanan kunci eksternal gagal dengan file. [`XksProxyUriUnreachableException`](xks-troubleshooting.md#fix-xks-proxy) 

### Proksi penyimpanan kunci eksternal
<a name="require-proxy"></a>

Anda harus menentukan [proxy penyimpanan kunci eksternal (proxy](keystore-external.md#concept-xks-proxy) XKS) yang sesuai dengan persyaratan desain dalam Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Anda dapat mengembangkan atau membeli proxy penyimpanan kunci eksternal, atau menggunakan proxy penyimpanan kunci eksternal yang disediakan oleh atau dibangun ke dalam manajer kunci eksternal Anda. AWS KMS merekomendasikan agar proxy penyimpanan kunci eksternal Anda dikonfigurasi untuk menangani hingga 1800 permintaan per detik dan merespons dalam batas waktu 250 milidetik untuk setiap permintaan. Kami menyarankan Anda menemukan manajer kunci eksternal dekat dengan Wilayah AWS sehingga waktu pulang-pergi jaringan (RTT) adalah 35 milidetik atau kurang.

Anda dapat menggunakan proxy penyimpanan kunci eksternal untuk lebih dari satu penyimpanan kunci eksternal, tetapi setiap penyimpanan kunci eksternal harus memiliki titik akhir dan jalur URI yang unik dalam proxy penyimpanan kunci eksternal untuk permintaannya.

Jika Anda menggunakan konektivitas layanan titik akhir VPC, Anda dapat menemukan proxy penyimpanan kunci eksternal di VPC Amazon Anda, tetapi itu tidak diperlukan. Anda dapat menemukan proxy Anda di luar AWS, seperti di pusat data pribadi Anda, dan menggunakan layanan titik akhir VPC hanya untuk berkomunikasi dengan proxy. 

### Kredensi otentikasi proxy
<a name="require-credential"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan kredensi otentikasi proxy penyimpanan kunci eksternal Anda ()`XksProxyAuthenticationCredential`. 

Anda harus membuat [kredensi otentikasi](keystore-external.md#concept-xks-credential) (`XksProxyAuthenticationCredential`) untuk AWS KMS proxy penyimpanan kunci eksternal Anda. AWS KMS mengautentikasi proxy Anda dengan menandatangani permintaannya menggunakan [proses Signature Version 4 (SigV4)](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) dengan kredensi otentikasi proxy penyimpanan kunci eksternal. Anda menentukan kredensi otentikasi saat membuat penyimpanan kunci eksternal dan [Anda dapat mengubahnya](update-xks-keystore.md) kapan saja. Jika proxy Anda memutar kredensi Anda, pastikan untuk memperbarui nilai kredensi untuk penyimpanan kunci eksternal Anda.

Kredensi otentikasi proxy memiliki dua bagian. Anda harus menyediakan kedua bagian untuk toko kunci eksternal Anda.
+ ID kunci akses: Mengidentifikasi kunci akses rahasia. Anda dapat memberikan ID ini dalam teks biasa.
+ Kunci akses rahasia: Bagian rahasia dari kredensi. AWS KMS mengenkripsi kunci akses rahasia di kredensi sebelum menyimpannya.

Kredensyal SigV4 yang AWS KMS digunakan untuk menandatangani permintaan ke proxy penyimpanan kunci eksternal tidak terkait dengan kredensyal SigV4 apa pun yang terkait dengan prinsip apa pun di akun Anda. AWS Identity and Access Management AWS Jangan gunakan kembali kredensi IAM SiGv4 apa pun untuk proxy penyimpanan kunci eksternal Anda.

### Konektivitas proxy
<a name="require-connectivity"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan opsi konektivitas proxy penyimpanan kunci eksternal Anda (`XksProxyConnectivity`).

AWS KMS dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda dengan menggunakan [titik akhir publik atau layanan titik akhir](choose-xks-connectivity.md#xks-connectivity-public-endpoint) [Amazon Virtual Private Cloud (Amazon VPC)](choose-xks-connectivity.md#xks-vpc-connectivity). Meskipun titik akhir publik lebih mudah untuk dikonfigurasi dan dipelihara, itu mungkin tidak memenuhi persyaratan keamanan untuk setiap instalasi. Jika Anda memilih opsi konektivitas layanan titik akhir VPC Amazon, Anda harus membuat dan memelihara komponen yang diperlukan, termasuk VPC Amazon dengan setidaknya dua subnet di dua Availability Zone yang berbeda, layanan titik akhir VPC dengan penyeimbang beban jaringan dan grup target, dan nama DNS pribadi untuk layanan titik akhir VPC.

Anda dapat [mengubah opsi konektivitas proxy](update-xks-keystore.md) untuk penyimpanan kunci eksternal Anda. Namun, Anda harus memastikan bahwa ketersediaan berkelanjutan dari materi utama yang terkait dengan kunci KMS di toko kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

Untuk bantuan menentukan opsi konektivitas proxy mana yang terbaik untuk penyimpanan kunci eksternal Anda, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md). Untuk bantuan membuat konfigurasi konektivitas layanan titik akhir VPC, lihat. [Konfigurasikan konektivitas layanan titik akhir VPC](vpc-connectivity.md)

### Titik akhir URI proxy
<a name="require-endpoint"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan endpoint (`XksProxyUriEndpoint`) yang AWS KMS digunakan untuk mengirim permintaan ke proxy penyimpanan kunci eksternal. 

Protokol harus HTTPS. AWS KMS berkomunikasi IPv4 di port 443. Jangan tentukan port dalam nilai titik akhir URI proxy.
+ [Konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint) - Tentukan titik akhir yang tersedia untuk umum untuk proxy penyimpanan kunci eksternal Anda. Titik akhir ini harus dapat dijangkau sebelum Anda membuat penyimpanan kunci eksternal Anda. 
+ [Konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) — Tentukan `https://` diikuti dengan nama DNS pribadi dari layanan titik akhir VPC.

Sertifikat server TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus cocok dengan nama domain di titik akhir URI proxy penyimpanan kunci eksternal dan dikeluarkan oleh otoritas sertifikat yang didukung untuk penyimpanan kunci eksternal. Untuk daftar, lihat [Otoritas Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities). Otoritas sertifikat Anda akan memerlukan bukti kepemilikan domain sebelum menerbitkan sertifikat TLS. 

Nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi. Misalnya, jika nama DNS pribadi adalah`myproxy-private.xks.example.com`, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`

Anda dapat [mengubah titik akhir URI proxy Anda](update-xks-keystore.md), tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan kunci KMS di penyimpanan kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

**Persyaratan keunikan**
+ Nilai gabungan URI endpoint (`XksProxyUriEndpoint`) dan proxy URI path (`XksProxyUriPath`) harus unik di Akun AWS dan Region.
+ Penyimpanan kunci eksternal dengan konektivitas titik akhir publik dapat berbagi titik akhir URI proxy yang sama, asalkan memiliki nilai jalur URI proxy yang berbeda.
+ Penyimpanan kunci eksternal dengan konektivitas titik akhir publik tidak dapat menggunakan nilai titik akhir URI proxy yang sama dengan penyimpanan kunci eksternal mana pun dengan konektivitas layanan titik akhir VPC yang sama Wilayah AWS, meskipun penyimpanan kunci berbeda. Akun AWS
+  Setiap penyimpanan kunci eksternal dengan konektivitas titik akhir VPC harus memiliki nama DNS pribadinya sendiri. Titik akhir URI proxy (nama DNS pribadi) harus unik di Akun AWS dan Wilayah.

### Jalur URI proxy
<a name="require-path"></a>

Untuk membuat penyimpanan kunci eksternal, Anda harus menentukan jalur dasar di proxy penyimpanan kunci eksternal Anda ke proxy yang [diperlukan APIs](keystore-external.md#concept-proxy-apis). Nilai harus dimulai dengan `/` dan harus diakhiri dengan/kms/xks/v1 di mana `v1` mewakili versi AWS KMS API untuk proxy penyimpanan kunci eksternal. Jalur ini dapat menyertakan awalan opsional antara elemen yang diperlukan seperti`/example-prefix/kms/xks/v1`. Untuk menemukan nilai ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal Anda.

AWS KMS mengirimkan permintaan proxy ke alamat yang ditentukan oleh penggabungan titik akhir URI proxy dan jalur URI proxy. Misalnya, jika titik akhir URI proxy `https://myproxy.xks.example.com` dan jalur URI proxy adalah`/kms/xks/v1`, AWS KMS kirimkan permintaan API proksi ke`https://myproxy.xks.example.com/kms/xks/v1`. 

Anda dapat [mengubah jalur URI proxy Anda](update-xks-keystore.md), tetapi pastikan bahwa proxy penyimpanan kunci eksternal memiliki akses ke materi kunci yang terkait dengan kunci KMS di penyimpanan kunci eksternal Anda. Jika tidak, AWS KMS tidak dapat mendekripsi ciphertext apa pun yang dienkripsi dengan kunci KMS tersebut.

**Persyaratan keunikan**
+ Nilai gabungan URI endpoint (`XksProxyUriEndpoint`) dan proxy URI path (`XksProxyUriPath`) harus unik di Akun AWS dan Region. 

### Layanan titik akhir VPC
<a name="require-vpc-service-name"></a>

Menentukan nama layanan endpoint Amazon VPC yang digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Komponen ini hanya diperlukan untuk penyimpanan kunci eksternal yang menggunakan konektivitas layanan titik akhir VPC. Untuk bantuan menyiapkan dan mengonfigurasi layanan titik akhir VPC Anda untuk penyimpanan kunci eksternal, lihat. [Konfigurasikan konektivitas layanan titik akhir VPC](vpc-connectivity.md)

Layanan titik akhir VPC harus memiliki properti berikut:
+ Layanan titik akhir VPC dapat berada di tempat yang sama atau berbeda dengan penyimpanan kunci Akun AWS eksternal.
  + Layanan titik akhir VPC harus berada di tempat yang Wilayah AWS sama dengan penyimpanan kunci eksternal.
  + Anda harus memberikan Akun AWS ID layanan endpoint VPC jika berada di tempat yang berbeda. Akun AWS
+ Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.
+ *Daftar prinsip izin* untuk layanan titik akhir VPC harus menyertakan prinsip AWS KMS layanan untuk Wilayah:, seperti. `cks.kms.<region>.amazonaws.com` `cks.kms.us-east-1.amazonaws.com`
  + Jika layanan titik akhir VPC Amazon Anda dimiliki oleh yang berbeda Akun AWS selain Akun AWS memiliki penyimpanan kunci eksternal (XKS), Anda juga harus mengizinkan akses XKS ke layanan titik akhir VPC. Untuk melakukannya, [izinkan Akun AWS ID XKS sebagai prinsipal untuk layanan endpoint](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) Amazon VPC.
+ Itu tidak boleh memerlukan penerimaan permintaan koneksi. 
+ Itu harus memiliki nama DNS pribadi dalam domain publik tingkat yang lebih tinggi. Misalnya, Anda dapat memiliki nama DNS pribadi myproxy-private.xks.example.com di domain publik. `xks.example.com`

  Nama DNS pribadi untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC harus unik di dalamnya. Wilayah AWS
+ [Status verifikasi domain domain](vpc-connectivity.md#xks-private-dns) nama DNS pribadi harus`verified`. 
+ Sertifikat server TLS yang dikonfigurasi pada proxy penyimpanan kunci eksternal harus menentukan nama host DNS pribadi di mana titik akhir dapat dijangkau.

**Persyaratan keunikan**
+ Toko kunci eksternal dengan konektivitas titik akhir VPC dapat berbagi`Amazon VPC`, tetapi setiap toko kunci eksternal harus memiliki layanan titik akhir VPC sendiri dan nama DNS pribadi.

### File konfigurasi proxy
<a name="proxy-configuration-file"></a>

*File konfigurasi proxy adalah file* berbasis JSON opsional yang berisi nilai untuk [jalur URI proxy](#require-path) dan properti [kredensi otentikasi proxy](#require-credential) dari penyimpanan kunci eksternal Anda. Saat membuat atau [mengedit penyimpanan kunci eksternal](update-xks-keystore.md) di AWS KMS konsol, Anda dapat mengunggah file konfigurasi proxy untuk menyediakan nilai konfigurasi untuk penyimpanan kunci eksternal Anda. Menggunakan file ini menghindari kesalahan pengetikan dan penyisipan, dan memastikan bahwa nilai di penyimpanan kunci eksternal Anda cocok dengan nilai di proxy penyimpanan kunci eksternal Anda. 

File konfigurasi proxy dihasilkan oleh proxy penyimpanan kunci eksternal. Untuk mengetahui apakah proxy penyimpanan kunci eksternal Anda menawarkan file konfigurasi proxy, lihat dokumentasi proxy penyimpanan kunci eksternal Anda.

Berikut ini adalah contoh file konfigurasi proxy yang terbentuk dengan baik dengan nilai fiktif.

```
{
  "XksProxyUriPath": "/example-prefix/kms/xks/v1",
  "XksProxyAuthenticationCredential": {
    "AccessKeyId": "ABCDE12345670EXAMPLE",
    "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE="
  }
}
```

Anda dapat mengunggah file konfigurasi proxy hanya saat membuat atau mengedit penyimpanan kunci eksternal di AWS KMS konsol. Anda tidak dapat menggunakannya dengan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)atau, tetapi Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

## Buat toko kunci eksternal baru
<a name="create-xks"></a>

Setelah Anda mengumpulkan prasyarat yang diperlukan, Anda dapat membuat toko kunci eksternal baru di AWS KMS konsol atau dengan menggunakan operasi. [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)

### Menggunakan AWS KMS konsol
<a name="create-keystore-console"></a>

Sebelum membuat penyimpanan kunci eksternal, [pilih jenis konektivitas proxy Anda](choose-xks-connectivity.md) dan pastikan bahwa Anda telah membuat dan mengonfigurasi semua [komponen yang diperlukan](#xks-requirements). Jika Anda memerlukan bantuan untuk menemukan salah satu nilai yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda.

**catatan**  
Saat Anda membuat penyimpanan kunci eksternal di Konsol Manajemen AWS, Anda dapat mengunggah *file konfigurasi proxy berbasis JSON dengan nilai untuk jalur URI proxy* [dan kredensi otentikasi](#require-path) [proxy](#require-credential). Beberapa proxy menghasilkan file ini untuk Anda. Hal ini tidak diperlukan.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih **Buat toko kunci eksternal**.

1. Masukkan nama ramah untuk toko kunci eksternal. Nama harus unik di antara semua toko kunci eksternal di akun Anda.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.

1. Pilih jenis [konektivitas proxy](#require-connectivity) Anda. 

   Pilihan konektivitas proxy Anda menentukan [komponen yang diperlukan](#xks-requirements) untuk proxy penyimpanan kunci eksternal Anda. Untuk bantuan membuat pilihan ini, lihat[Pilih opsi konektivitas proxy penyimpanan kunci eksternal](choose-xks-connectivity.md).

   1. Pilih layanan titik akhir **VPC lintas akun jika layanan titik akhir** VPC Anda berada di tempat yang berbeda. Akun AWS Kemudian masukkan Akun AWS ID untuk pemilik titik akhir VPC di bidang ID akun pemilik layanan **titik akhir VPC**.

   1. Pilih atau masukkan nama [layanan titik akhir VPC](#require-vpc-service-name) untuk penyimpanan kunci eksternal ini. Langkah ini hanya muncul ketika jenis konektivitas proxy penyimpanan kunci eksternal Anda adalah layanan **titik akhir VPC**.

      Layanan titik akhir VPC dan layanan tersebut VPCs harus memenuhi persyaratan untuk penyimpanan kunci eksternal. Lihat perinciannya di [Memasang prasyarat](#xks-requirements).

1. Pilih atau masukkan nama [layanan titik akhir VPC](#require-vpc-service-name) untuk penyimpanan kunci eksternal ini. Langkah ini hanya muncul ketika jenis konektivitas proxy penyimpanan kunci eksternal Anda adalah layanan **titik akhir VPC**.

   Layanan titik akhir VPC dan layanan tersebut VPCs harus memenuhi persyaratan untuk penyimpanan kunci eksternal. Lihat perinciannya di [Memasang prasyarat](#xks-requirements).

1. Masukkan [titik akhir URI proxy](#require-endpoint) Anda. Protokol harus HTTPS. AWS KMS berkomunikasi IPv4 di port 443. Jangan tentukan port dalam nilai titik akhir URI proxy.

   Jika AWS KMS mengenali layanan titik akhir VPC yang Anda tentukan pada langkah sebelumnya, itu melengkapi bidang ini untuk Anda.

   Untuk konektivitas titik akhir publik, masukkan URI titik akhir yang tersedia untuk umum. Untuk konektivitas titik akhir VPC, masukkan `https://` diikuti dengan nama DNS pribadi layanan titik akhir VPC.

1. Untuk memasukkan nilai untuk awalan [jalur URI proxy](#require-path) dan [kredensi otentikasi proxy](#require-credential), unggah file konfigurasi proxy, atau masukkan nilai secara manual.
   + Jika Anda memiliki [file konfigurasi proxy](#proxy-configuration-file) opsional yang berisi nilai untuk [jalur URI proxy](#require-path.title) dan [kredensi otentikasi proxy](#require-credential), pilih **Unggah file konfigurasi**. Ikuti langkah-langkah untuk mengunggah file.

     Saat file diunggah, konsol menampilkan nilai dari file di bidang yang dapat diedit. Anda dapat mengubah nilai sekarang atau [mengedit nilai-nilai ini](update-xks-keystore.md) setelah penyimpanan kunci eksternal dibuat.

     Untuk menampilkan nilai kunci akses rahasia, pilih **Tampilkan kunci akses rahasia**.
   + Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan jalur URI proxy dan nilai kredensi otentikasi proxy secara manual.

     1. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan URI proxy secara manual. Konsol memasok nilai**/kms/xks/v1** yang diperlukan. 

        Jika [jalur URI proxy](#require-path) Anda menyertakan awalan opsional, seperti `example-prefix` in`/example-prefix/kms/xks/v1`, masukkan awalan di bidang **awalan jalur Proxy URI**. Jika tidak, biarkan bidang kosong.

     1. Jika Anda tidak memiliki file konfigurasi proxy, Anda dapat memasukkan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) Anda secara manual. Baik ID kunci akses dan kunci akses rahasia diperlukan.
        + Dalam **kredensi proxy: ID kunci akses, masukkan ID** kunci akses dari kredensi otentikasi proxy. ID kunci akses mengidentifikasi kunci akses rahasia. 
        + Di **Proxy credential: Secret Access Key, masukkan kunci** akses rahasia dari kredensi otentikasi proxy.

        Untuk menampilkan nilai kunci akses rahasia, pilih **Tampilkan kunci akses rahasia**.

        Prosedur ini tidak mengatur atau mengubah kredensi otentikasi yang Anda buat pada proxy penyimpanan kunci eksternal Anda. Itu hanya mengaitkan nilai-nilai ini dengan toko kunci eksternal Anda. Untuk informasi tentang pengaturan, perubahan, dan kredensi autentikasi proxy yang berputar, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci. 

        Jika kredensi otentikasi proxy Anda berubah, [edit setelan kredensyal untuk penyimpanan](update-xks-keystore.md) kunci eksternal Anda.

1. Pilih **Buat toko kunci eksternal**.

Ketika prosedur berhasil, toko kunci eksternal baru muncul dalam daftar toko kunci eksternal di akun dan wilayah. Jika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [CreateKey kesalahan untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-create).

**Berikutnya**: Toko kunci eksternal baru tidak terhubung secara otomatis. Sebelum Anda dapat membuat AWS KMS keys di toko kunci eksternal Anda, Anda harus [menghubungkan toko kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal.

### Menggunakan AWS KMS API
<a name="create-keystore-api"></a>

Anda dapat menggunakan [CreateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html)operasi untuk membuat toko kunci eksternal baru. Untuk bantuan menemukan nilai untuk parameter yang diperlukan, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci.

**Tip**  
Anda tidak dapat mengunggah [file konfigurasi proxy](#proxy-configuration-file) saat menggunakan `CreateCustomKeyStore` operasi. Namun, Anda dapat menggunakan nilai dalam file konfigurasi proxy untuk memastikan bahwa nilai parameter Anda benar.

Untuk membuat penyimpanan kunci eksternal, `CreateCustomKeyStore` operasi memerlukan nilai parameter berikut.
+ `CustomKeyStoreName`— Nama ramah untuk toko kunci eksternal yang unik di akun.
**penting**  
Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.
+ `CustomKeyStoreType`— Tentukan`EXTERNAL_KEY_STORE`.
+ [`XksProxyConnectivity`](#require-connectivity)— Tentukan `PUBLIC_ENDPOINT` atau`VPC_ENDPOINT_SERVICE`.
+ [`XksProxyAuthenticationCredential`](keystore-external.md#concept-xks-credential)— Tentukan ID kunci akses dan kunci akses rahasia. 
+ [`XksProxyUriEndpoint`](#require-endpoint)— Titik akhir yang AWS KMS digunakan untuk berkomunikasi dengan proxy penyimpanan kunci eksternal Anda.
+ [`XksProxyUriPath`](#require-path)— Jalur dalam proxy ke proxy APIs. 
+ [`XksProxyVpcEndpointServiceName`](#require-vpc-service-name)— Diperlukan hanya ketika `XksProxyConnectivity` nilai Anda`VPC_ENDPOINT_SERVICE`.

**catatan**  
Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan nilai HTTP atau HTTPS, seperti `XksProxyUriEndpoint` parameter.  

```
aws configure set cli_follow_urlparam false
```
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di alamat URI tersebut, menyebabkan kesalahan berikut:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

Contoh berikut menggunakan nilai fiktif. Sebelum menjalankan perintah, ganti dengan nilai yang valid untuk penyimpanan kunci eksternal Anda.

Buat toko kunci eksternal dengan konektivitas titik akhir publik.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStorePublic \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity PUBLIC_ENDPOINT \
        --xks-proxy-uri-endpoint https://myproxy.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Buat toko kunci eksternal dengan konektivitas layanan titik akhir VPC.

```
$ aws kms create-custom-key-store
        --custom-key-store-name ExampleExternalKeyStoreVPC \
        --custom-key-store-type EXTERNAL_KEY_STORE \
        --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \
        --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \
        --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
        --xks-proxy-uri-path /kms/xks/v1 \
        --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>
```

Saat operasi berhasil, `CreateCustomKeyStore` mengembalikan ID penyimpanan kunci kustom, seperti yang ditunjukkan dalam contoh tanggapan berikut.

```
{
    "CustomKeyStoreId": cks-1234567890abcdef0
}
```

Jika operasi gagal, perbaiki kesalahan yang ditunjukkan oleh pengecualian, dan coba lagi. Untuk bantuan tambahan, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).

**Berikutnya**: Untuk menggunakan penyimpanan kunci eksternal, [sambungkan ke proxy penyimpanan kunci eksternal](xks-connect-disconnect.md).

# Edit properti penyimpanan kunci eksternal
<a name="update-xks-keystore"></a>

Anda dapat mengedit properti yang dipilih dari penyimpanan kunci eksternal yang ada. 

Anda dapat mengedit beberapa properti saat penyimpanan kunci eksternal terhubung atau terputus. Untuk properti lain, Anda harus terlebih dahulu [memutuskan penyimpanan kunci eksternal Anda](xks-connect-disconnect.md) dari proxy penyimpanan kunci eksternal. [Status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal harus`DISCONNECTED`. Sementara toko kunci eksternal Anda terputus, Anda dapat mengelola penyimpanan kunci dan kunci KMS-nya, tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci eksternal. Untuk menemukan [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi atau lihat bagian **Konfigurasi umum** pada halaman detail untuk penyimpanan kunci eksternal.

Sebelum memperbarui properti penyimpanan kunci eksternal Anda, AWS KMS kirimkan [GetHealthStatus](keystore-external.md#concept-proxy-apis)permintaan ke proxy penyimpanan kunci eksternal menggunakan nilai baru. Jika permintaan berhasil, ini menunjukkan bahwa Anda dapat menghubungkan dan mengautentikasi ke proxy penyimpanan kunci eksternal dengan nilai properti yang diperbarui. Jika permintaan gagal, operasi edit gagal dengan pengecualian yang mengidentifikasi kesalahan.

Saat operasi edit selesai, nilai properti yang diperbarui untuk penyimpanan kunci eksternal Anda akan muncul di AWS KMS konsol dan `DescribeCustomKeyStores` respons. Namun, perlu waktu hingga lima menit agar perubahan sepenuhnya efektif.

[Jika Anda mengedit penyimpanan kunci eksternal di AWS KMS konsol, Anda memiliki opsi untuk mengunggah [file konfigurasi proxy berbasis JSON yang menentukan jalur URI proxy](create-xks-keystore.md#proxy-configuration-file)[dan kredensi otentikasi proxy](create-xks-keystore.md#require-path).](keystore-external.md#concept-xks-credential) Beberapa proxy penyimpanan kunci eksternal menghasilkan file ini untuk Anda. Untuk detailnya, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.

**Awas**  
Nilai properti yang diperbarui harus menghubungkan penyimpanan kunci eksternal Anda ke proxy untuk pengelola kunci eksternal yang sama dengan nilai sebelumnya, atau untuk cadangan atau snapshot dari pengelola kunci eksternal dengan kunci kriptografi yang sama. Jika penyimpanan kunci eksternal Anda secara permanen kehilangan aksesnya ke kunci eksternal yang terkait dengan kunci KMS-nya, ciphertext yang dienkripsi di bawah kunci eksternal tersebut tidak dapat dipulihkan. Secara khusus, mengubah konektivitas proxy dari penyimpanan kunci eksternal dapat AWS KMS mencegah mengakses kunci eksternal Anda.

**Tip**  
Beberapa manajer kunci eksternal menyediakan metode yang lebih sederhana untuk mengedit properti penyimpanan kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

Anda dapat mengubah properti berikut dari penyimpanan kunci eksternal.


| Properti penyimpanan kunci eksternal yang dapat diedit | Status koneksi apa pun | Memerlukan status Terputus | 
| --- | --- | --- | 
| Nama penyimpanan kunci kustom Nama ramah yang diperlukan untuk toko kunci khusus. Jangan sertakan informasi rahasia atau sensitif di bidang ini. Bidang ini dapat ditampilkan dalam plaintext di CloudTrail log dan output lainnya.  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) () XksProxyAuthenticationCredential(Anda harus menentukan ID kunci akses dan kunci akses rahasia, bahkan jika Anda hanya mengubah satu elemen.) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Jalur URI proxy](create-xks-keystore.md#require-path) (XksProxyUriPath) | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) |  | 
| [Konektivitas proxy](keystore-external.md#concept-xks-connectivity) (XksProxyConnectivity)(Anda juga harus memperbarui titik akhir URI proxy. Jika Anda mengubah ke konektivitas layanan titik akhir VPC, Anda harus menentukan nama layanan titik akhir VPC proxy.) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 
| [Titik akhir URI proxy](create-xks-keystore.md#require-endpoint) () XksProxyUriEndpointJika Anda mengubah URI titik akhir proxy, Anda mungkin juga perlu mengubah sertifikat TLS terkait. |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 
| Nama [layanan titik akhir VPC proxy](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceName(Bidang ini diperlukan untuk konektivitas layanan titik akhir VPC) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 
| Pemilik [layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) () XksProxyVpcEndpointServiceOwner(Bidang ini diperlukan untuk konektivitas layanan titik akhir VPC) |  | ![\[Green checkmark icon indicating success or completion.\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/icon-successful.png) | 

## Edit properti toko kunci eksternal Anda
<a name="edit-xks-keystore"></a>

Anda dapat mengedit properti penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="update-keystore-console"></a>

Saat Anda mengedit penyimpanan kunci, Anda dapat mengubah salah satu nilai yang dapat diedit. Beberapa perubahan mengharuskan penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal.

Jika Anda mengedit jalur URI proxy atau kredensi otentikasi proxy, Anda dapat memasukkan nilai baru atau mengunggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) penyimpanan kunci eksternal yang menyertakan nilai baru.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih toko kunci yang ingin Anda edit.

   1. Jika perlu, lepaskan penyimpanan kunci eksternal dari proxy penyimpanan kunci eksternal. Dari menu **Key Store Actions**, pilih **Disconnect**.

1. Dari menu **Key store actions**, pilih **Edit**.

1. Ubah satu atau beberapa properti penyimpanan kunci eksternal yang dapat diedit. Anda juga dapat mengunggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) penyimpanan kunci eksternal dengan nilai untuk jalur URI proxy dan kredensyal otentikasi proksi. Anda dapat menggunakan file konfigurasi proxy meskipun beberapa nilai yang ditentukan dalam file tidak berubah.

1. Pilih **Perbarui toko kunci eksternal**. 

1. Tinjau peringatan, dan jika Anda memutuskan untuk melanjutkan, konfirmasikan peringatan, lalu pilih **Perbarui toko kunci eksternal**.

   Ketika prosedur berhasil, pesan menjelaskan properti yang Anda edit. Ketika prosedur gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya.

1. Jika perlu, sambungkan kembali toko kunci eksternal. Dari menu **Key Store Actions**, pilih **Connect**.

   Anda dapat membiarkan toko kunci eksternal terputus. [Tetapi saat terputus, Anda tidak dapat membuat kunci KMS di penyimpanan kunci eksternal atau menggunakan kunci KMS di penyimpanan kunci eksternal dalam operasi kriptografi.](manage-cmk-keystore.md#use-cmk-keystore)

### Menggunakan AWS KMS API
<a name="update-keystore-api"></a>

Untuk mengubah properti penyimpanan kunci eksternal, gunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi. Anda dapat mengubah beberapa properti penyimpanan kunci eksternal dalam operasi yang sama. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. 

Gunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan kunci eksternal. Gunakan parameter lain untuk mengubah properti. Anda tidak dapat menggunakan [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) dengan `UpdateCustomKeyStore` operasi. File konfigurasi proxy hanya didukung oleh AWS KMS konsol. Namun, Anda dapat menggunakan file konfigurasi proxy untuk membantu Anda menentukan nilai parameter yang benar untuk proxy penyimpanan kunci eksternal Anda.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Sebelum Anda mulai, [jika perlu](#update-xks-keystore), [lepaskan penyimpanan kunci eksternal](xks-connect-disconnect.md) dari proxy penyimpanan kunci eksternal. Setelah memperbarui, jika perlu, Anda dapat [menghubungkan kembali toko kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal. Anda dapat meninggalkan penyimpanan kunci eksternal dalam keadaan terputus, tetapi Anda harus menghubungkannya kembali sebelum Anda dapat membuat kunci KMS baru di toko kunci atau menggunakan kunci KMS yang ada di toko kunci untuk operasi kriptografi.

**catatan**  
Jika Anda menggunakan AWS CLI versi 1.0, jalankan perintah berikut sebelum menentukan parameter dengan nilai HTTP atau HTTPS, seperti `XksProxyUriEndpoint` parameter.  

```
aws configure set cli_follow_urlparam false
```
Jika tidak, AWS CLI versi 1.0 menggantikan nilai parameter dengan konten yang ditemukan di alamat URI tersebut, menyebabkan kesalahan berikut:  

```
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve 
https:// : received non 200 status code of 404
```

#### Ubah nama toko kunci eksternal
<a name="xks-edit-name"></a>

Contoh pertama menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi untuk mengubah nama ramah dari penyimpanan kunci eksternal menjadi`XksKeyStore`. Perintah menggunakan parameter `CustomKeyStoreId` untuk mengidentifikasi penyimpanan kunci kustom dan `CustomKeyStoreName` untuk menentukan nama baru untuk penyimpanan kunci kustom. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 --new-custom-key-store-name XksKeyStore
```

#### Mengubah kredensi otentikasi proxy
<a name="xks-edit-credential"></a>

Contoh berikut memperbarui kredensi otentikasi proxy yang AWS KMS digunakan untuk mengautentikasi ke proxy penyimpanan kunci eksternal. Anda dapat menggunakan perintah seperti ini untuk memperbarui kredensi jika diputar pada proxy Anda.

Perbarui kredensi pada proxy penyimpanan kunci eksternal Anda terlebih dahulu. Kemudian gunakan fitur ini untuk melaporkan perubahan ke AWS KMS. (Proxy Anda akan secara singkat mendukung kredensi lama dan baru sehingga Anda punya waktu untuk memperbarui kredensi Anda.) AWS KMS

Anda harus selalu menentukan ID kunci akses dan kunci akses rahasia di kredensi, meskipun hanya satu nilai yang diubah. 

Dua perintah pertama mengatur variabel untuk menyimpan nilai kredensi. `UpdateCustomKeyStore`Operasi menggunakan `CustomKeyStoreId` parameter untuk mengidentifikasi penyimpanan kunci eksternal. Ini menggunakan `XksProxyAuthenticationCredential` parameter dengan `AccessKeyId` dan `RawSecretAccessKey` bidangnya untuk menentukan kredensi baru. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ accessKeyID=access key id
$ secretAccessKey=secret access key

$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
        --xks-proxy-authentication-credential \ 
            AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
```

#### Ubah jalur URI proxy
<a name="xks-edit-path"></a>

Contoh berikut memperbarui jalur URI proxy (`XksProxyUriPath`). Kombinasi titik akhir URI proxy dan jalur URI proxy harus unik di Akun AWS dan Wilayah. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-uri-path /kms/xks/v1
```

#### Ubah ke konektivitas layanan titik akhir VPC
<a name="xks-edit-connectivity-vpc"></a>

Contoh berikut menggunakan [UpdateCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_UpdateCustomKeyStore.html)operasi untuk mengubah jenis konektivitas proxy penyimpanan kunci eksternal ke`VPC_ENDPOINT_SERVICE`. Untuk membuat perubahan ini, Anda harus menentukan nilai yang diperlukan untuk konektivitas layanan titik akhir VPC, termasuk nama layanan titik akhir VPC (`XksProxyVpcEndpointServiceName`) dan nilai titik akhir URI proxy () yang menyertakan nama DNS pribadi untuk layanan titik akhir VPC. `XksProxyUriEndpoint` Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \
            --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \
            --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example
```

#### Ubah ke konektivitas titik akhir publik
<a name="xks-edit-connectivity-public"></a>

Contoh berikut mengubah jenis konektivitas proxy penyimpanan kunci eksternal menjadi`PUBLIC_ENDPOINT`. Ketika Anda membuat perubahan ini, Anda harus memperbarui nilai endpoint (`XksProxyUriEndpoint`) URI proxy. Ganti semua nilai contoh dengan nilai aktual untuk penyimpanan kunci eksternal Anda.

**catatan**  
Konektivitas titik akhir VPC memberikan keamanan yang lebih besar daripada konektivitas titik akhir publik. Sebelum beralih ke konektivitas titik akhir publik, pertimbangkan opsi lain, termasuk menemukan proxy penyimpanan kunci eksternal Anda di tempat dan menggunakan VPC hanya untuk komunikasi. 

```
$ aws kms update-custom-key-store --custom-key-store-id cks-1234567890abcdef0 \
            --xks-proxy-connectivity "PUBLIC_ENDPOINT" \
            --xks-proxy-uri-endpoint https://myproxy.xks.example.com
```

# Lihat toko kunci eksternal
<a name="view-xks-keystore"></a>

Anda dapat melihat toko kunci eksternal di setiap akun dan Wilayah dengan menggunakan AWS KMS konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

Ketika Anda melihat penyimpanan kunci eksternal, Anda dapat melihat yang berikut:
+ Informasi dasar tentang toko kunci, termasuk nama ramah, ID, jenis toko kunci, dan tanggal pembuatannya.
+ Informasi konfigurasi untuk [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy), termasuk [jenis konektivitas](keystore-external.md#concept-xks-connectivity), [titik akhir dan [jalur](create-xks-keystore.md#require-path) URI proxy](create-xks-keystore.md#require-endpoint), dan [ID kunci akses kredensi](keystore-external.md#concept-xks-credential) [otentikasi proxy](keystore-external.md#concept-xks-credential) Anda saat ini.
+ Jika proxy penyimpanan kunci eksternal menggunakan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), konsol akan menampilkan nama layanan titik akhir VPC.
+ [Keadaan koneksi](xks-connect-disconnect.md#xks-connection-state) saat ini. 
**catatan**  
Nilai status koneksi **terputus** menunjukkan bahwa penyimpanan kunci eksternal tidak pernah terhubung, atau sengaja terputus dari proxy penyimpanan kunci eksternal. Namun, jika upaya Anda untuk menggunakan kunci KMS di penyimpanan kunci eksternal yang terhubung gagal, itu mungkin menunjukkan masalah dengan penyimpanan kunci eksternal atau proksi. Untuk bantuan, lihat [Kesalahan koneksi penyimpanan kunci eksternal](xks-troubleshooting.md#fix-xks-connection).
+ Bagian [Pemantauan](xks-monitoring.md) dengan grafik [ CloudWatch metrik Amazon](monitoring-cloudwatch.md#kms-metrics) yang dirancang untuk membantu Anda mendeteksi dan menyelesaikan masalah dengan penyimpanan kunci eksternal Anda. Untuk bantuan menafsirkan grafik, menggunakannya dalam perencanaan dan pemecahan masalah, dan membuat CloudWatch alarm berdasarkan metrik dalam grafik, lihat. [Pantau toko kunci eksternal](xks-monitoring.md)

## Properti penyimpanan kunci eksternal
<a name="view-xks-properties"></a>

Properti berikut dari penyimpanan kunci eksternal terlihat di AWS KMS konsol dan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)responsnya. 

### Properti toko kunci kustom
<a name="view-xks-custom-key-store"></a>

Nilai berikut muncul di bagian **konfigurasi umum** halaman detail untuk setiap toko kunci kustom. Properti ini berlaku untuk semua toko kunci kustom, termasuk toko kunci dan toko AWS CloudHSM kunci eksternal.

**ID penyimpanan kunci kustom**  
ID unik yang ditetapkan AWS KMS ke toko kunci kustom.

**Nama penyimpanan kunci kustom**  
Nama ramah yang Anda tetapkan ke toko kunci kustom saat Anda membuatnya. Anda dapat mengubah nilai ini kapan saja.

**Jenis toko kunci khusus**  
Jenis toko kunci khusus. Nilai yang valid adalah AWS CloudHSM (`AWS_CLOUDHSM`) atau External key store (`EXTERNAL_KEY_STORE`). Anda tidak dapat mengubah jenis setelah Anda membuat toko kunci kustom.

**Tanggal pembuatan**  
Tanggal penyimpanan kunci khusus dibuat. Tanggal ini ditampilkan dalam waktu setempat untuk Wilayah AWS. 

**Status koneksi**  
Menunjukkan apakah toko kunci khusus terhubung ke toko kunci pendukungnya. Status koneksi `DISCONNECTED` hanya jika toko kunci khusus tidak pernah terhubung ke toko kunci pendukungnya, atau sengaja terputus. Lihat perinciannya di [Status koneksi](xks-connect-disconnect.md#xks-connection-state).

### Properti konfigurasi penyimpanan kunci eksternal
<a name="view-xks-configuration"></a>

Nilai-nilai berikut muncul di bagian **konfigurasi proxy penyimpanan kunci eksternal** dari halaman detail untuk setiap penyimpanan kunci eksternal dan dalam `XksProxyConfiguration` elemen [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. Untuk penjelasan rinci tentang setiap bidang, termasuk persyaratan keunikan dan bantuan menentukan nilai yang benar untuk setiap bidang, lihat [Memasang prasyarat](create-xks-keystore.md#xks-requirements) di topik *Membuat penyimpanan kunci eksternal*.

**Konektivitas proxy**  
Menunjukkan apakah penyimpanan kunci eksternal menggunakan [konektivitas titik akhir publik atau konektivitas](choose-xks-connectivity.md#xks-connectivity-public-endpoint) layanan titik [akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity).

**Titik akhir URI proxy**  
Titik akhir yang AWS KMS digunakan untuk terhubung ke [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy) Anda. 

**Jalur URI proxy**  
Jalur dari titik akhir URI proxy tempat AWS KMS mengirimkan [permintaan API proxy](keystore-external.md#concept-proxy-apis).

**Kredensi proxy: ID kunci akses**  
Bagian dari [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) yang Anda buat di proxy penyimpanan kunci eksternal Anda. ID kunci akses mengidentifikasi kunci akses rahasia dalam kredensi.   
AWS KMS menggunakan proses penandatanganan SiGv4 dan kredensi otentikasi proxy untuk menandatangani permintaannya ke proxy penyimpanan kunci eksternal Anda. Kredensi dalam tanda tangan memungkinkan proxy penyimpanan kunci eksternal untuk mengautentikasi permintaan atas nama Anda dari. AWS KMS

**Nama layanan titik akhir VPC**  
Nama layanan endpoint Amazon VPC yang mendukung toko kunci eksternal Anda. Nilai ini hanya muncul ketika penyimpanan kunci eksternal menggunakan konektivitas [layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Anda dapat menemukan proxy penyimpanan kunci eksternal Anda di VPC atau menggunakan layanan titik akhir VPC untuk berkomunikasi secara aman dengan proxy penyimpanan kunci eksternal Anda.

**ID pemilik layanan titik akhir VPC**  
ID layanan endpoint Amazon VPC yang mendukung penyimpanan kunci eksternal Anda. Nilai ini hanya muncul ketika penyimpanan kunci eksternal menggunakan konektivitas [layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity). Anda dapat menemukan proxy penyimpanan kunci eksternal Anda di VPC atau menggunakan layanan titik akhir VPC untuk berkomunikasi secara aman dengan proxy penyimpanan kunci eksternal Anda.

## Lihat properti penyimpanan kunci eksternal Anda
<a name="view-xks"></a>

Anda dapat melihat penyimpanan kunci eksternal dan properti terkaitnya di AWS KMS konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

### Menggunakan AWS KMS konsol
<a name="view-xks-keystore-console"></a>

Untuk melihat penyimpanan kunci eksternal di akun dan Wilayah tertentu, gunakan prosedur berikut.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Untuk melihat informasi rinci tentang toko kunci eksternal, pilih nama toko kunci.

### Menggunakan AWS KMS API
<a name="view-xks-keystore-api"></a>

Untuk melihat toko kunci eksternal Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi output ke penyimpanan kunci kustom tertentu. 

Untuk penyimpanan kunci khusus, output terdiri dari ID penyimpanan kunci kustom, nama, dan jenis, dan [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci. Jika status koneksi`FAILED`, output juga menyertakan a `ConnectionErrorCode` yang menjelaskan alasan kesalahan. Untuk bantuan menafsirkan `ConnectionErrorCode` untuk penyimpanan kunci eksternal, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

Untuk penyimpanan kunci eksternal, output juga mencakup `XksProxyConfiguration` elemen. Elemen ini mencakup [jenis konektivitas](create-xks-keystore.md#require-connectivity), [titik akhir URI proxy](create-xks-keystore.md#require-endpoint), [jalur URI proxy](create-xks-keystore.md#require-path), dan ID kunci akses dari kredensi [otentikasi proxy](keystore-external.md#concept-xks-credential).

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Misalnya, perintah berikut mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah. Anda dapat menggunakan parameter `Limit` dan `Marker` ke halaman melalui penyimpanan kunci kustom dalam output.

```
$ aws kms describe-custom-key-stores
```

Perintah berikut menggunakan `CustomKeyStoreName` parameter untuk mendapatkan hanya contoh penyimpanan kunci eksternal dengan nama `ExampleXksPublic` ramah. Toko kunci contoh ini menggunakan konektivitas titik akhir publik. Ini terhubung ke proxy penyimpanan kunci eksternal. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksPublic
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleXksPublic",
      "ConnectionState": "CONNECTED",    
      "CreationDate": "2022-12-14T20:17:36.419000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE12345670EXAMPLE",
        "Connectivity": "PUBLIC_ENDPOINT",
        "UriEndpoint": "https://xks.example.com:6443",
        "UriPath": "/example/prefix/kms/xks/v1"
      }
    }
  ]
}
```

Perintah berikut mendapatkan contoh penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. Dalam contoh ini, penyimpanan kunci eksternal terhubung ke proxy penyimpanan kunci eksternal. 

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

A [`ConnectionState`](xks-connect-disconnect.md#xks-connection-state)`Disconnected`menunjukkan bahwa penyimpanan kunci eksternal tidak pernah terhubung atau sengaja terputus dari proxy penyimpanan kunci eksternalnya. Namun, jika upaya untuk menggunakan kunci KMS di penyimpanan kunci eksternal yang terhubung gagal, itu mungkin menunjukkan masalah dengan proxy penyimpanan kunci eksternal atau komponen eksternal lainnya.

Jika `ConnectionState` penyimpanan kunci eksternal adalah`FAILED`, `DescribeCustomKeyStores` responsnya mencakup `ConnectionErrorCode` elemen yang menjelaskan alasan kesalahan.

Misalnya, dalam output berikut, `XKS_PROXY_TIMED_OUT` nilai menunjukkan AWS KMS dapat terhubung ke proxy penyimpanan kunci eksternal, tetapi koneksi gagal karena proxy penyimpanan kunci eksternal tidak merespons AWS KMS dalam waktu yang ditentukan. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda. Untuk bantuan dengan hal ini dan kegagalan kesalahan koneksi lainnya, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_PROXY_TIMED_OUT",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Pantau toko kunci eksternal
<a name="xks-monitoring"></a>

AWS KMS mengumpulkan metrik untuk setiap interaksi dengan toko kunci eksternal dan menerbitkannya di akun Anda. CloudWatch Metrik ini digunakan untuk menghasilkan grafik di bagian pemantauan halaman detail untuk setiap penyimpanan kunci eksternal. Topik berikut merinci cara menggunakan grafik untuk mengidentifikasi dan memecahkan masalah operasional dan konfigurasi yang memengaruhi penyimpanan kunci eksternal Anda. Sebaiknya gunakan CloudWatch metrik untuk menyetel alarm yang memberi tahu Anda saat penyimpanan kunci eksternal Anda tidak berfungsi seperti yang diharapkan. Untuk informasi selengkapnya, lihat [Memantau dengan Amazon CloudWatch](monitoring-cloudwatch.md).

**Topics**
+ [Melihat grafik](#xks-monitoring-navigate)
+ [Menafsirkan grafik](#interpreting-graphs)

## Melihat grafik
<a name="xks-monitoring-navigate"></a>

Anda dapat melihat grafik pada berbagai tingkat detail. Secara default, setiap grafik menggunakan rentang waktu tiga jam dan [periode](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) agregasi lima menit. Anda dapat menyesuaikan tampilan grafik di dalam konsol, tetapi perubahan Anda akan kembali ke pengaturan default ketika halaman detail penyimpanan kunci eksternal ditutup atau browser di-refresh. Untuk bantuan terkait CloudWatch terminologi Amazon, lihat [ CloudWatch Konsep Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html).

### Lihat detail titik data
<a name="graph-data-point"></a>

Data dalam setiap grafik dikumpulkan berdasarkan [AWS KMS metrik](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics). Untuk melihat informasi lebih lanjut tentang titik data tertentu, jeda mouse di atas titik data pada grafik garis. Ini akan menampilkan pop-up dengan informasi lebih lanjut tentang metrik dari mana grafik itu berasal. Setiap item daftar menampilkan nilai [dimensi](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Dimension) yang direkam pada titik data tersebut. Pop-up menampilkan nilai null (**—**) jika tidak ada data metrik yang tersedia untuk nilai dimensi pada titik data tersebut. Beberapa grafik merekam beberapa dimensi dan nilai untuk satu titik data. Grafik lain, seperti [grafik reliabilitas](#reliability-graph), menggunakan data yang dikumpulkan oleh metrik untuk menghitung nilai unik. Setiap item daftar dikaitkan dengan warna grafik garis yang berbeda.

### Ubah rentang waktu
<a name="graph-time-range"></a>

Untuk mengubah [rentang waktu](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/modify_graph_date_time.html), pilih salah satu rentang waktu yang telah ditentukan di sudut kanan atas bagian pemantauan. **Rentang waktu yang telah ditentukan dari 1 jam hingga 1 minggu (1 jam, **3 **jam**, **12 jam****, **1d, **3d**, atau 1w)**.** Ini menyesuaikan rentang waktu untuk semua grafik. Jika Anda ingin melihat satu grafik tertentu dalam rentang waktu yang berbeda, atau jika Anda ingin mengatur rentang waktu khusus, perbesar grafik atau lihat di CloudWatch konsol Amazon.

### Memperbesar grafik
<a name="graph-zoom"></a>

Anda dapat menggunakan [fitur zoom peta mini](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/zoom-graph.html) untuk fokus pada bagian grafik garis dan bagian grafik yang ditumpuk tanpa mengubah antara tampilan yang diperbesar dan diperbesar. Misalnya, Anda dapat menggunakan fitur zoom peta mini untuk fokus pada puncak dalam grafik, sehingga Anda dapat membandingkan lonjakan dengan grafik lain di bagian pemantauan dari garis waktu yang sama. 

1. Pilih dan seret pada area grafik yang ingin Anda fokuskan, dan kemudian lepaskan seretannya.

1. Untuk mengatur ulang zoom, pilih ikon **Atur ulang zoom**, yang terlihat seperti kaca pembesar dengan simbol minus (-) di dalamnya.

### Memperbesar grafik
<a name="graph-enlarge"></a>

Untuk memperbesar grafik, pilih ikon menu di sudut kanan atas grafik individual dan pilih **Perbesar**. Anda juga dapat memilih ikon perbesar yang muncul di sebelah ikon menu saat Anda mengarahkan kursor ke grafik.

Memperbesar grafik memungkinkan Anda untuk memodifikasi tampilan grafik lebih lanjut dengan menentukan periode yang berbeda, rentang waktu khusus, atau interval penyegaran. Perubahan ini akan kembali ke pengaturan default saat Anda menutup tampilan yang diperbesar.

Ubah periode  

1. Pilih menu **opsi Periode**. Secara default, menu ini menampilkan nilai: **5 menit**.

1. Pilih periode, periode yang telah ditentukan berkisar dari 1 detik hingga 30 hari.

   Misalnya, Anda dapat memilih tampilan satu menit, yang dapat berguna ketika pemecahan masalah. Atau, pilih tampilan satu jam yang kurang terperinci. Hal ini dapat berguna ketika melihat rentang waktu yang lebih luas (misalnya, 3 hari) sehingga Anda dapat melihat tren dari waktu ke waktu. Untuk informasi selengkapnya, lihat [Periode](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#CloudWatchPeriods) di *Panduan CloudWatch Pengguna Amazon*.

Ubah rentang waktu atau zona waktu  

1. **Pilih salah satu rentang waktu yang telah ditentukan, yang berkisar dari 1 jam hingga 1 minggu (1 jam, **3** **jam, **12 jam**, 1d****, **3d**, atau 1w)**.** Atau, Anda dapat memilih **Kustom** untuk mengatur rentang waktu Anda sendiri.

1. Pilih **Kustom**

   1. *Rentang waktu:* pilih tab **Absolute** di sudut kiri atas kotak. Gunakan pemilih kalender atau kotak bidang teks untuk menentukan rentang waktu.

   1. *Zona waktu:* pilih dropdown di sudut kanan atas kotak. Anda dapat mengubah zona waktu ke **UTC** atau **zona waktu lokal**.

1. Setelah Anda menentukan rentang waktu, pilih **Terapkan**.

Ubah seberapa sering data dalam grafik Anda di-refresh  

1. Pilih menu **Refresh options** di pojok kanan atas.

1. Pilih interval penyegaran (**Mati**, **10 Detik**, **1 Menit**, **2 Menit**, **5 Menit**, atau **15 Menit**). 

### Lihat grafik di konsol Amazon CloudWatch
<a name="graph-in-cloudwatch"></a>

Grafik di bagian pemantauan berasal dari metrik yang telah ditentukan sebelumnya yang AWS KMS diterbitkan ke Amazon. CloudWatch Anda dapat membukanya di dalam CloudWatch konsol dan menyimpannya ke CloudWatch dasbor. Jika Anda memiliki beberapa toko kunci eksternal, Anda dapat membuka grafik masing-masing CloudWatch dan menyimpannya ke satu dasbor untuk membandingkan kesehatan dan penggunaannya.

**Tambahkan ke CloudWatch dasbor**  
Pilih **Tambahkan ke dasbor** di sudut kanan atas untuk menambahkan semua grafik ke CloudWatch dasbor Amazon. Anda dapat memilih dasbor yang ada atau membuat yang baru. Untuk informasi tentang penggunaan dasbor ini untuk membuat tampilan grafik dan alarm yang disesuaikan, lihat Menggunakan [ CloudWatchdasbor Amazon di Panduan](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html) Pengguna *Amazon CloudWatch *.

**Lihat dalam CloudWatch metrik**  
Pilih ikon menu di sudut kanan atas grafik individual dan pilih **Lihat dalam metrik** untuk melihat grafik ini di CloudWatch konsol Amazon. Dari CloudWatch konsol, Anda dapat menambahkan grafik tunggal ini ke dasbor dan mengubah rentang waktu, periode, dan interval penyegaran. Untuk informasi selengkapnya, lihat, [Membuat grafik metrik](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/graph_metrics.html) di * CloudWatch Panduan Pengguna Amazon*.

## Menafsirkan grafik
<a name="interpreting-graphs"></a>

AWS KMS menyediakan beberapa grafik untuk memantau kesehatan toko kunci eksternal Anda di dalam AWS KMS konsol. Grafik ini secara otomatis dikonfigurasi dan berasal dari [AWS KMS metrik](https://docs.aws.amazon.com/kms/latest/developerguide/monitoring-cloudwatch.html#kms-metrics).

Data grafik dikumpulkan sebagai bagian dari panggilan yang Anda lakukan ke penyimpanan kunci eksternal dan kunci eksternal Anda. Anda mungkin melihat data mengisi grafik selama rentang waktu yang Anda tidak melakukan panggilan apa pun, data ini berasal dari `GetHealthStatus` panggilan berkala yang AWS KMS membuat atas nama Anda untuk memeriksa status proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda. Jika grafik Anda menampilkan pesan **Tidak ada data yang tersedia**, maka tidak ada panggilan yang direkam selama rentang waktu tersebut atau penyimpanan kunci eksternal Anda dalam [`DISCONNECTED`](xks-connect-disconnect.md#xks-connection-state)keadaan. Anda mungkin dapat mengidentifikasi waktu penyimpanan kunci eksternal Anda terputus dengan [menyesuaikan tampilan Anda ke rentang](#graph-time-range) waktu yang lebih luas.

**Topics**
+ [Total permintaan](#total-requests-graph)
+ [Keandalan](#reliability-graph)
+ [Latensi](#latency-graph)
+ [5 pengecualian teratas](#top-5-exceptions-graph)
+ [Hari sertifikat untuk kedaluwarsa](#cert-expire-graph)

### Total permintaan
<a name="total-requests-graph"></a>

Jumlah total AWS KMS permintaan yang diterima untuk penyimpanan kunci eksternal tertentu selama rentang waktu tertentu. Gunakan grafik ini untuk menentukan apakah Anda berisiko mengalami pelambatan.

AWS KMS merekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika Anda mendekati 540.000 panggilan dalam periode lima menit, Anda berisiko mengalami pelambatan.

Anda dapat memantau jumlah permintaan untuk operasi kriptografi pada kunci KMS di penyimpanan kunci eksternal Anda yang AWS KMS dibatasi dengan metrik. [ExternalKeyStoreThrottle](monitoring-cloudwatch.md#metric-throttling) 

Jika Anda mendapatkan `KMSInvalidStateException` kesalahan yang sangat sering dengan pesan yang menjelaskan bahwa permintaan ditolak “karena tingkat permintaan yang sangat tinggi,” itu mungkin menunjukkan bahwa manajer kunci eksternal atau proxy penyimpanan kunci eksternal Anda tidak dapat mengimbangi tingkat permintaan saat ini. Jika memungkinkan, turunkan tingkat permintaan Anda. Anda juga dapat mempertimbangkan untuk meminta penurunan nilai kuota permintaan toko kunci kustom Anda. Penurunan nilai kuota ini dapat meningkatkan pembatasan, tetapi ini menunjukkan bahwa AWS KMS menolak permintaan berlebih dengan cepat sebelum dikirim ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk meminta pengurangan kuota, silakan kunjungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home) dan buat kasus.

Grafik permintaan total berasal dari [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik, yang mengumpulkan data tentang respons yang berhasil dan tidak berhasil yang AWS KMS diterima dari proxy penyimpanan kunci eksternal Anda. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai `CustomKeyStoreId` dimensi di samping jumlah total AWS KMS permintaan yang direkam pada titik data tersebut. `CustomKeyStoreId`Akan selalu sama.

### Keandalan
<a name="reliability-graph"></a>

Persentase AWS KMS permintaan yang proxy penyimpanan kunci eksternal mengembalikan respons yang berhasil atau kesalahan yang tidak dapat dicoba ulang. Gunakan grafik ini untuk mengevaluasi kesehatan operasional proxy penyimpanan kunci eksternal Anda.

Ketika grafik menampilkan nilai kurang dari 100%, ini menunjukkan kasus di mana proxy tidak merespons atau merespons dengan kesalahan yang dapat dicoba ulang. Ini dapat menunjukkan masalah dengan jaringan, lambatnya proxy penyimpanan kunci eksternal atau manajer kunci eksternal, atau bug implementasi.

Jika permintaan menyertakan kredensi buruk dan proxy Anda merespons dengan`AuthenticationFailedException`, grafik akan tetap menunjukkan keandalan 100% karena proxy mengidentifikasi nilai yang salah dalam [permintaan API proxy penyimpanan kunci eksternal](keystore-external.md#concept-proxy-apis), dan oleh karena itu kegagalan diharapkan terjadi. Jika persentase grafik reliabilitas Anda 100%, maka proxy penyimpanan kunci eksternal Anda merespons seperti yang diharapkan. Jika grafik menampilkan nilai kurang dari 100%, maka proxy merespons dengan kesalahan yang dapat dicoba ulang atau habis waktu. Misalnya, jika proxy merespons dengan `ThrottlingException` karena tingkat permintaan yang sangat tinggi, itu akan menampilkan persentase keandalan yang lebih rendah karena proxy tidak dapat mengidentifikasi masalah tertentu dalam permintaan yang menyebabkannya gagal. Ini karena kesalahan yang dapat dicoba ulang kemungkinan merupakan masalah sementara yang dapat diselesaikan dengan mencoba kembali permintaan.

Respons kesalahan berikut akan menurunkan persentase keandalan. Anda dapat menggunakan [5 pengecualian teratas](#top-5-exceptions-graph) grafik dan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik untuk memantau lebih lanjut seberapa sering proxy Anda mengembalikan setiap kesalahan yang dapat dicoba ulang.
+ `InternalException`
+ `DependencyTimeoutException`
+ `ThrottlingException`
+ `XksProxyUnreachableException`

Grafik reliabilitas berasal dari [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik, yang mengumpulkan data tentang respons yang berhasil dan tidak berhasil yang AWS KMS diterima dari proxy penyimpanan kunci eksternal Anda. Persentase reliabilitas hanya akan lebih rendah jika respons memiliki `ErrorType` nilai`Retryable`. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai `CustomKeyStoreId` dimensi di samping persentase keandalan untuk AWS KMS permintaan yang direkam pada titik data tersebut. `CustomKeyStoreId`Akan selalu sama.

Sebaiknya gunakan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik untuk membuat CloudWatch alarm yang memberi tahu Anda tentang potensi masalah jaringan dengan memberi tahu Anda ketika lebih dari lima kesalahan yang dapat dicoba ulang direkam dalam periode satu menit. Untuk informasi selengkapnya, lihat [Buat alarm untuk kesalahan yang dapat dicoba ulang](xks-alarms.md#retryable-errors-alarm).

### Latensi
<a name="latency-graph"></a>

Jumlah milidetik yang diperlukan untuk proxy penyimpanan kunci eksternal untuk menanggapi AWS KMS permintaan. Gunakan grafik ini untuk mengevaluasi kinerja proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda.

AWS KMS mengharapkan proxy penyimpanan kunci eksternal untuk menanggapi setiap permintaan dalam 250 milidetik. Dalam kasus batas waktu jaringan, AWS KMS akan mencoba lagi permintaan sekali. Jika proxy gagal untuk kedua kalinya, latensi yang direkam adalah batas batas waktu gabungan untuk kedua upaya permintaan dan grafik akan menampilkan sekitar 500 milidetik. Dalam semua kasus lain di mana proxy tidak merespons dalam batas waktu 250 milidetik, latensi yang direkam adalah 250 milidetik. Jika proxy sering habis waktu pada operasi enkripsi dan dekripsi, konsultasikan dengan administrator proxy eksternal Anda. Untuk bantuan memecahkan masalah latensi, lihat. [Kesalahan latensi dan batas waktu](xks-troubleshooting.md#fix-xks-latency)

Respons lambat mungkin juga menunjukkan bahwa pengelola kunci eksternal Anda tidak dapat menangani lalu lintas permintaan saat ini. AWS KMS merekomendasikan bahwa manajer kunci eksternal Anda dapat menangani hingga 1800 permintaan untuk operasi kriptografi per detik. Jika pengelola kunci eksternal Anda tidak dapat menangani tarif 1800 permintaan per detik, pertimbangkan untuk meminta penurunan [kuota permintaan Anda untuk kunci KMS di toko kunci khusus](requests-per-second.md#rps-key-stores). Permintaan untuk operasi kriptografi menggunakan kunci KMS di toko kunci eksternal Anda akan gagal dengan cepat dengan [pengecualian pelambatan](throttling.md), daripada diproses dan kemudian ditolak oleh proxy penyimpanan kunci eksternal atau manajer kunci eksternal Anda.

Grafik latensi berasal dari [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrik. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai yang sesuai `KmsOperation` dan `XksOperation` dimensi di samping latensi rata-rata yang direkam untuk operasi pada titik data tersebut. Item daftar diurutkan dari latensi tertinggi ke terendah.

Sebaiknya gunakan [XksProxyLatency](monitoring-cloudwatch.md#metric-xks-proxy-latency) metrik untuk membuat CloudWatch alarm yang memberi tahu Anda saat latensi Anda mendekati batas waktu tunggu. Untuk informasi selengkapnya, lihat [Buat alarm untuk batas waktu respons](xks-alarms.md#latency-alarm).

### 5 pengecualian teratas
<a name="top-5-exceptions-graph"></a>

Lima pengecualian teratas untuk operasi kriptografi dan manajemen yang gagal selama rentang waktu tertentu. Gunakan grafik ini untuk melacak kesalahan yang paling sering terjadi, sehingga Anda dapat memprioritaskan upaya teknik Anda.

Jumlah ini mencakup pengecualian yang AWS KMS diterima dari proxy penyimpanan kunci eksternal dan `XksProxyUnreachableException` yang AWS KMS kembali secara internal ketika tidak dapat menjalin komunikasi dengan proxy penyimpanan kunci eksternal.

Tingkat kesalahan yang dapat dicoba ulang yang tinggi mungkin mengindikasikan kesalahan jaringan, sementara tingkat kesalahan yang tidak dapat dicoba ulang yang tinggi mungkin menunjukkan masalah dengan konfigurasi penyimpanan kunci eksternal Anda. Misalnya, lonjakan `AuthenticationFailedExceptions` menunjukkan perbedaan antara kredensil otentikasi yang dikonfigurasi AWS KMS dan proxy penyimpanan kunci eksternal. Untuk melihat konfigurasi penyimpanan kunci eksternal Anda, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk mengedit pengaturan penyimpanan kunci eksternal Anda, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Pengecualian yang AWS KMS diterima dari proxy penyimpanan kunci eksternal berbeda dari pengecualian yang AWS KMS dikembalikan ketika operasi gagal. AWS KMS operasi kriptografi mengembalikan `KMSInvalidStateException` untuk semua kegagalan yang terkait dengan konfigurasi eksternal atau status koneksi penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan teks pesan kesalahan yang menyertainya.

Tabel berikut menunjukkan pengecualian yang dapat muncul di 5 grafik pengecualian teratas dan pengecualian terkait yang AWS KMS kembali kepada Anda.


| Jenis kesalahan | Pengecualian ditampilkan dalam grafik | Pengecualian yang AWS KMS kembali kepada Anda | 
| --- | --- | --- | 
| Tidak dapat dicoba ulang | AccessDeniedException   Untuk bantuan penyelesaian masalah, lihat [Masalah otorisasi proxy](xks-troubleshooting.md#fix-xks-authorization). | **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | AuthenticationFailedException   Untuk bantuan penyelesaian masalah, lihat [Kesalahan kredensi otentikasi](xks-troubleshooting.md#fix-xks-credentials). | **`XksProxyIncorrectAuthenticationCredentialException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi.**`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`DependencyTimeoutException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan latensi dan batas waktu](xks-troubleshooting.md#fix-xks-latency). | **`XksProxyUriUnreachableException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`InternalException`** Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat berkomunikasi dengan pengelola kunci eksternal. Verifikasi bahwa konfigurasi proxy penyimpanan kunci eksternal sudah benar dan pengelola kunci eksternal tersedia. | **`XksProxyInvalidResponseException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidCiphertextException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan dekripsi](xks-troubleshooting.md#fix-xks-decrypt). | **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidKeyUsageException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan operasi kriptografi untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidStateException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan operasi kriptografi untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidConfigurationException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`InvalidUriPathException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan konfigurasi umum](xks-troubleshooting.md#fix-xks-gen-configuration). | **`XksProxyInvalidConfigurationException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`KeyNotFoundException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan kunci eksternal](xks-troubleshooting.md#fix-external-key). | **`XksKeyNotFoundException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`ThrottlingException`** Proxy penyimpanan kunci eksternal menolak permintaan karena tingkat permintaan yang sangat tinggi. Kurangi frekuensi panggilan Anda menggunakan tombol KMS di toko kunci eksternal ini. | **`XksProxyUriUnreachableException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`UnsupportedOperationException`** Untuk bantuan penyelesaian masalah, lihat [Kesalahan operasi kriptografi untuk kunci eksternal](xks-troubleshooting.md#fix-external-key-crypto). | **`XksKeyInvalidResponseException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Tidak dapat dicoba ulang | **`ValidationException`** Untuk bantuan penyelesaian masalah, lihat [Masalah proxy](xks-troubleshooting.md#fix-xks-proxy). | **`XksProxyInvalidResponseException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 
| Dicoba ulang | **`XksProxyUnreachableException`** Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan bahwa jalur URI dan titik akhir URI atau nama layanan VPC sudah benar di penyimpanan kunci eksternal Anda. | **`XksProxyUriUnreachableException`**dalam menanggapi `CreateCustomKeyStore` dan `UpdateCustomKeyStore` operasi. **`CustomKeyStoreInvalidStateException`**dalam menanggapi `CreateKey` operasi. **`KMSInvalidStateException`**dalam menanggapi operasi kriptografi. | 

Grafik 5 pengecualian teratas berasal dari [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik. Saat Anda [melihat titik data tertentu](#graph-data-point), pop-up menampilkan nilai `ExceptionName` dimensi di samping berapa kali pengecualian direkam pada titik data tersebut. Lima item daftar diurutkan dari pengecualian yang paling sering hingga yang paling sedikit.

Sebaiknya gunakan [XksProxyErrors](monitoring-cloudwatch.md#metric-xks-proxy-errors) metrik untuk membuat CloudWatch alarm yang memberi tahu Anda tentang potensi masalah konfigurasi dengan memberi tahu Anda ketika lebih dari lima kesalahan yang tidak dapat dicoba ulang direkam dalam periode satu menit. Untuk informasi selengkapnya, lihat [Buat alarm untuk kesalahan yang tidak dapat dicoba ulang](xks-alarms.md#nonretryable-errors-alarm).

### Hari sertifikat untuk kedaluwarsa
<a name="cert-expire-graph"></a>

Jumlah hari hingga sertifikat TLS untuk titik akhir proxy penyimpanan kunci eksternal Anda (`XksProxyUriEndpoint`) kedaluwarsa. Gunakan grafik ini untuk memantau kedaluwarsa sertifikat TLS Anda yang akan datang.

Ketika sertifikat kedaluwarsa, AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Semua data yang dilindungi oleh kunci KMS di toko kunci eksternal Anda menjadi tidak dapat diakses sampai Anda memperbarui sertifikat. 

Grafik sertifikat hari untuk kedaluwarsa berasal dari [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) metrik. Kami sangat menyarankan menggunakan metrik ini untuk membuat CloudWatch alarm yang memberi tahu Anda tentang kedaluwarsa yang akan datang. Kedaluwarsa sertifikat dapat mencegah Anda mengakses sumber daya terenkripsi Anda. Atur alarm untuk memberi waktu kepada organisasi Anda untuk memperbarui sertifikat sebelum kedaluwarsa. Lihat informasi yang lebih lengkap di [Buat alarm untuk kedaluwarsa sertifikat](xks-alarms.md#cert-expire-alarm).

# Connect dan lepaskan penyimpanan kunci eksternal
<a name="xks-connect-disconnect"></a>

Toko kunci eksternal baru tidak terhubung. Untuk membuat dan menggunakan AWS KMS keys di toko kunci eksternal Anda, Anda perlu menghubungkan toko kunci eksternal Anda ke [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy). Anda dapat menghubungkan dan memutuskan penyimpanan kunci eksternal Anda kapan saja, dan [melihat status koneksinya](view-xks-keystore.md).

Sementara penyimpanan kunci eksternal Anda terputus, AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Akibatnya, Anda dapat melihat dan mengelola toko kunci eksternal Anda dan kunci KMS yang ada. Namun, Anda tidak dapat membuat kunci KMS di toko kunci eksternal Anda, atau menggunakan kunci KMS-nya dalam operasi kriptografi. Anda mungkin perlu memutuskan penyimpanan kunci eksternal Anda di beberapa titik, seperti saat mengedit propertinya, tetapi rencanakan dengan tepat. Memutuskan sambungan toko kunci dapat mengganggu pengoperasian AWS layanan yang menggunakan kunci KMS-nya. 

Anda tidak diharuskan untuk menghubungkan toko kunci eksternal Anda. Anda dapat meninggalkan penyimpanan kunci eksternal dalam keadaan terputus tanpa batas waktu dan menghubungkannya hanya ketika Anda perlu menggunakannya. Namun, Anda mungkin ingin menguji koneksi secara berkala untuk memverifikasi bahwa pengaturan sudah benar dan dapat tersambung.

Saat Anda memutuskan penyimpanan kunci khusus, kunci KMS di toko kunci menjadi tidak dapat digunakan segera (tergantung pada konsistensi akhirnya). Namun, sumber daya yang dienkripsi dengan [kunci data](data-keys.md) yang dilindungi oleh kunci KMS tidak terpengaruh sampai kunci KMS digunakan lagi, seperti untuk mendekripsi kunci data. Masalah ini memengaruhi Layanan AWS, banyak di antaranya menggunakan kunci data untuk melindungi sumber daya Anda. Lihat perinciannya di [Bagaimana kunci KMS yang tidak dapat digunakan memengaruhi kunci data](unusable-kms-keys.md).

**catatan**  
Penyimpanan kunci eksternal berada dalam `DISCONNECTED` keadaan hanya ketika toko kunci tidak pernah terhubung atau Anda secara eksplisit memutuskannya. `CONNECTED`Status tidak menunjukkan bahwa penyimpanan kunci eksternal atau komponen pendukungnya beroperasi secara efisien. Untuk informasi tentang kinerja komponen penyimpanan kunci eksternal Anda, lihat grafik di bagian **Monitoring** pada halaman detail untuk setiap penyimpanan kunci eksternal. Lihat perinciannya di [Pantau toko kunci eksternal](xks-monitoring.md).  
Manajer kunci eksternal Anda mungkin menyediakan metode tambahan untuk menghentikan dan memulai kembali komunikasi antara penyimpanan kunci AWS KMS eksternal Anda dan proxy penyimpanan kunci eksternal Anda, atau antara proxy penyimpanan kunci eksternal dan manajer kunci eksternal. Untuk detailnya, lihat dokumentasi pengelola kunci eksternal Anda.

**Topics**
+ [Status koneksi](#xks-connection-state)
+ [Connect toko kunci eksternal](about-xks-connecting.md)
+ [Putuskan sambungan penyimpanan kunci eksternal](about-xks-disconnecting.md)

## Status koneksi
<a name="xks-connection-state"></a>

Menghubungkan dan memutuskan sambungan mengubah *status koneksi* toko kunci kustom Anda. Nilai status koneksi sama untuk penyimpanan AWS CloudHSM kunci dan penyimpanan kunci eksternal. 

Untuk melihat status koneksi penyimpanan kunci kustom Anda, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operasi atau AWS KMS konsol. **Status koneksi** muncul di setiap tabel penyimpanan kunci kustom, di bagian **konfigurasi umum** dari halaman detail untuk setiap toko kunci kustom, dan pada tab **konfigurasi kriptografi** kunci KMS di toko kunci khusus. Untuk detailnya, lihat [Lihat toko AWS CloudHSM kunci](view-keystore.md) dan [Lihat toko kunci eksternal](view-xks-keystore.md).

Toko kunci khusus dapat memiliki salah satu status koneksi berikut:
+ `CONNECTED`: Toko kunci khusus terhubung ke toko kunci pendukungnya. Anda dapat membuat dan menggunakan kunci KMS di toko kunci khusus.

  *Toko kunci pendukung untuk toko* AWS CloudHSM kunci adalah AWS CloudHSM cluster terkaitnya. Penyimpanan *kunci pendukung untuk penyimpanan* kunci eksternal adalah proxy penyimpanan kunci eksternal dan manajer kunci eksternal yang didukungnya.

  Status CONNECTED berarti bahwa koneksi berhasil dan penyimpanan kunci khusus belum sengaja terputus. Itu tidak menunjukkan bahwa koneksi beroperasi dengan benar. Untuk informasi tentang status AWS CloudHSM klaster yang terkait dengan penyimpanan AWS CloudHSM kunci Anda, lihat [Mendapatkan CloudWatch metrik AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html) di Panduan AWS CloudHSM Pengguna. Untuk informasi tentang status dan pengoperasian penyimpanan kunci eksternal Anda, lihat grafik di bagian **Pemantauan** halaman detail untuk setiap penyimpanan kunci eksternal. Lihat perinciannya di [Pantau toko kunci eksternal](xks-monitoring.md).
+ `CONNECTING`: Proses menghubungkan toko kunci khusus sedang berlangsung. Ini adalah keadaan sementara.
+ `DISCONNECTED`: Toko kunci khusus tidak pernah terhubung ke dukungannya, atau sengaja terputus dengan menggunakan AWS KMS konsol atau operasi. [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html) 
+ `DISCONNECTING`: Proses pemutusan penyimpanan kunci khusus sedang berlangsung. Ini adalah keadaan sementara.
+ `FAILED`: Upaya untuk menghubungkan toko kunci kustom gagal. `ConnectionErrorCode`Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)respon menunjukkan masalah.

Untuk menghubungkan toko kunci khusus, status koneksinya harus`DISCONNECTED`. Jika status koneksi`FAILED`, gunakan `ConnectionErrorCode` untuk mengidentifikasi dan menyelesaikan masalah. Kemudian lepaskan penyimpanan kunci khusus sebelum mencoba menghubungkannya lagi. Untuk bantuan dengan kegagalan koneksi, lihat [Kesalahan koneksi penyimpanan kunci eksternal](xks-troubleshooting.md#fix-xks-connection). Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

Untuk melihat kode kesalahan koneksi:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionErrorCode` elemen. Elemen ini muncul dalam `DescribeCustomKeyStores` respons hanya ketika `ConnectionState` ada`FAILED`.
+ Untuk melihat kode kesalahan koneksi di AWS KMS konsol, pada halaman detail untuk penyimpanan kunci eksternal dan arahkan kursor ke nilai **Gagal**.  
![\[Kode kesalahan koneksi pada halaman detail toko kunci khusus\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/connection-error-code.png)

# Connect toko kunci eksternal
<a name="about-xks-connecting"></a>

Ketika penyimpanan kunci eksternal Anda terhubung ke proxy penyimpanan kunci eksternal, Anda dapat [membuat kunci KMS di toko kunci eksternal Anda dan menggunakan kunci](create-cmk-keystore.md) KMS yang ada dalam operasi [kriptografi](manage-cmk-keystore.md#use-cmk-keystore). 

Proses yang menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal berbeda berdasarkan konektivitas penyimpanan kunci eksternal.
+ Saat Anda menghubungkan penyimpanan kunci eksternal dengan [konektivitas titik akhir publik](keystore-external.md#concept-xks-connectivity), AWS KMS mengirimkan [GetHealthStatus permintaan](keystore-external.md#concept-proxy-apis) ke proxy penyimpanan kunci eksternal untuk memvalidasi [titik akhir URI proxy, [jalur URI proxy](create-xks-keystore.md#require-path)](create-xks-keystore.md#require-endpoint), dan kredensi otentikasi [proxy](keystore-external.md#concept-xks-credential). Respons yang berhasil dari proxy mengonfirmasi bahwa [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) dan [jalur URI proxy](create-xks-keystore.md#require-path) akurat dan dapat diakses, dan bahwa proxy mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal.
+ Saat Anda menghubungkan penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) ke proxy penyimpanan kunci eksternal, AWS KMS lakukan hal berikut: 
  + [Mengonfirmasi bahwa domain untuk nama DNS pribadi yang ditentukan dalam [titik akhir URI proxy telah diverifikasi](create-xks-keystore.md#require-endpoint).](vpc-connectivity.md#xks-private-dns) 
  + Membuat titik akhir antarmuka dari AWS KMS VPC ke layanan titik akhir VPC Anda.
  + Membuat zona host pribadi untuk nama DNS pribadi yang ditentukan dalam titik akhir URI proxy
  + Mengirim [GetHealthStatuspermintaan](keystore-external.md#concept-proxy-apis) ke proxy penyimpanan kunci eksternal. Respons yang berhasil dari proxy mengonfirmasi bahwa [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) dan [jalur URI proxy](create-xks-keystore.md#require-path) akurat dan dapat diakses, dan bahwa proxy mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal.

Operasi connect memulai proses menghubungkan toko kunci kustom Anda, tetapi menghubungkan kunci eksternal menyimpannya proxy eksternal membutuhkan waktu sekitar lima menit. Respons sukses dari operasi koneksi tidak menunjukkan bahwa penyimpanan kunci eksternal terhubung. Untuk mengonfirmasi bahwa koneksi berhasil, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operasi untuk melihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) eksternal penyimpanan kunci Anda.

Ketika status koneksi`FAILED`, kode kesalahan koneksi ditampilkan di AWS KMS konsol dan ditambahkan ke `DescribeCustomKeyStore` respons. Untuk bantuan menafsirkan kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

## Connect dan sambungkan kembali ke toko kunci eksternal Anda
<a name="connect-xks"></a>

Anda dapat menghubungkan, atau menghubungkan kembali, penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="connect-xks-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal. 

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih baris toko kunci eksternal yang ingin Anda sambungkan. 

   Jika [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal **GAGAL**, Anda harus [memutuskan penyimpanan kunci eksternal](disconnect-keystore.md#disconnect-keystore-console) sebelum Anda menghubungkannya.

1. Dari menu **Key Store Actions**, pilih **Connect**.

**Proses koneksi biasanya memakan waktu sekitar lima menit untuk diselesaikan. Ketika operasi selesai, [status koneksi](xks-connect-disconnect.md#xks-connection-state) berubah menjadi CONNECTED.** 

Jika status koneksi **Gagal**, arahkan kursor ke status *koneksi untuk melihat kode kesalahan koneksi*, yang menjelaskan penyebab kesalahan. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes). Untuk menghubungkan penyimpanan kunci eksternal dengan status koneksi **Gagal**, Anda harus terlebih dahulu [memutuskan penyimpanan kunci kustom](disconnect-keystore.md#disconnect-keystore-console).

### Menggunakan AWS KMS API
<a name="connect-xks-api"></a>

Untuk menghubungkan toko kunci eksternal yang terputus, gunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi. 

Sebelum menghubungkan, [status koneksi](xks-connect-disconnect.md#xks-connection-state) dari toko kunci eksternal harus`DISCONNECTED`. Jika keadaan koneksi saat ini`FAILED`, [lepaskan penyimpanan kunci eksternal](about-xks-disconnecting.md#disconnect-xks-api), lalu sambungkan. 

Proses koneksi memakan waktu sekitar lima menit untuk diselesaikan. Kecuali gagal dengan cepat, `ConnectCustomKeyStore` mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat status koneksi dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons. 

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Untuk mengidentifikasi penyimpanan kunci eksternal, gunakan ID toko kunci kustom. Anda dapat menemukan ID di halaman **Toko kunci kustom** di konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.

```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

`ConnectCustomKeyStore`Operasi tidak mengembalikan `ConnectionState` responsnya. Untuk memverifikasi bahwa penyimpanan kunci eksternal terhubung, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. `ConnectionState`Nilai `CONNECTED` menunjukkan bahwa penyimpanan kunci eksternal terhubung ke proxy penyimpanan kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Jika `ConnectionState` nilai dalam `DescribeCustomKeyStores` respons adalah`FAILED`, `ConnectionErrorCode` elemen menunjukkan alasan kegagalan. 

Dalam contoh berikut, `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` nilai untuk `ConnectionErrorCode` menunjukkan bahwa tidak AWS KMS dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Pastikan `XksProxyVpcEndpointServiceName` sudah benar, prinsipal AWS KMS layanan adalah prinsipal yang diizinkan pada layanan titik akhir VPC Amazon, dan bahwa layanan titik akhir VPC tidak memerlukan penerimaan permintaan koneksi. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Putuskan sambungan penyimpanan kunci eksternal
<a name="about-xks-disconnecting"></a>

Ketika Anda memutuskan penyimpanan kunci eksternal dengan konektivitas [layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) dari proxy penyimpanan kunci eksternal AWS KMS , menghapus titik akhir antarmuka ke layanan titik akhir VPC dan menghapus infrastruktur jaringan yang dibuat untuk mendukung koneksi. Tidak diperlukan proses yang setara untuk penyimpanan kunci eksternal dengan konektivitas titik akhir publik. Tindakan ini tidak memengaruhi layanan titik akhir VPC atau komponen pendukungnya, dan tidak memengaruhi proxy penyimpanan kunci eksternal atau komponen eksternal apa pun.

Sementara penyimpanan kunci eksternal terputus, AWS KMS tidak mengirim permintaan apa pun ke proxy penyimpanan kunci eksternal. Status koneksi penyimpanan kunci eksternal adalah`DISCONNECTED`. Kunci KMS di penyimpanan kunci eksternal yang terputus berada dalam [keadaan `UNAVAILABLE` kunci](key-state.md) (kecuali jika sedang [menunggu penghapusan](deleting-keys.md)), yang berarti bahwa mereka tidak dapat digunakan dalam operasi kriptografi. Namun, Anda masih dapat melihat dan mengelola toko kunci eksternal Anda dan kunci KMS yang ada. 

Keadaan terputus dirancang untuk bersifat sementara dan reversibel. Anda dapat menghubungkan kembali toko kunci eksternal Anda kapan saja. Biasanya, tidak diperlukan konfigurasi ulang. Namun, jika ada properti dari proxy penyimpanan kunci eksternal yang terkait telah berubah saat terputus, seperti rotasi [kredensi otentikasi proksi](keystore-external.md#concept-xks-credential), Anda harus [mengedit pengaturan penyimpanan kunci eksternal sebelum](update-xks-keystore.md) menyambung kembali. 

**catatan**  
Sementara toko kunci khusus terputus, semua upaya untuk membuat kunci KMS di toko kunci khusus atau menggunakan kunci KMS yang ada dalam operasi kriptografi akan gagal. Tindakan ini dapat mencegah pengguna menyimpan dan mengakses data sensitif.

Untuk memperkirakan efek pemutusan penyimpanan kunci eksternal Anda dengan lebih baik, identifikasi kunci KMS di penyimpanan kunci eksternal dan [tentukan penggunaannya di masa lalu](deleting-keys-determining-usage.md).

Anda dapat memutuskan sambungan penyimpanan kunci eksternal karena alasan seperti berikut:
+ **Untuk mengedit propertinya.** Anda dapat mengedit nama penyimpanan kunci kustom, jalur URI proxy, dan kredensi otentikasi proxy saat penyimpanan kunci eksternal terhubung. Namun, untuk mengedit jenis konektivitas proxy, titik akhir URI proxy, atau nama layanan titik akhir VPC, Anda harus terlebih dahulu memutuskan penyimpanan kunci eksternal. Lihat perinciannya di [Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).
+ **Untuk menghentikan semua komunikasi** antara AWS KMS dan proxy penyimpanan kunci eksternal. Anda juga dapat menghentikan komunikasi antara AWS KMS dan proxy Anda dengan menonaktifkan layanan endpoint atau VPC endpoint Anda. Selain itu, proxy penyimpanan kunci eksternal atau perangkat lunak manajemen kunci Anda mungkin menyediakan mekanisme tambahan untuk AWS KMS mencegah komunikasi dengan proxy atau untuk mencegah proxy mengakses manajer kunci eksternal Anda.
+ **Untuk menonaktifkan semua kunci KMS** di toko kunci eksternal. Anda dapat [menonaktifkan dan mengaktifkan kembali kunci KMS](enabling-keys.md) di toko kunci eksternal dengan menggunakan AWS KMS konsol atau operasi. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Operasi ini selesai dengan cepat (tergantung pada konsistensi akhirnya), tetapi mereka bertindak pada satu kunci KMS pada satu waktu. Memutuskan sambungan penyimpanan kunci eksternal mengubah status kunci dari semua kunci KMS di penyimpanan kunci eksternal`Unavailable`, yang mencegahnya digunakan dalam operasi kriptografi apa pun.
+ **Untuk memperbaiki upaya koneksi yang gagal**. Jika upaya untuk menghubungkan penyimpanan kunci eksternal gagal (status koneksi penyimpanan kunci kustom`FAILED`), Anda harus memutuskan sambungan penyimpanan kunci eksternal sebelum Anda mencoba menghubungkannya lagi.

## Putuskan sambungan toko kunci eksternal Anda
<a name="disconnect-xks"></a>

Anda dapat memutuskan sambungan penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi.

### Menggunakan AWS KMS konsol
<a name="disconnect-xks-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal. Proses ini memakan waktu sekitar 5 menit untuk menyelesaikannya. 

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Pilih baris toko kunci eksternal yang ingin Anda putuskan. 

1. Dari menu **Key Store Actions**, pilih **Disconnect**.

Saat operasi selesai, status koneksi berubah dari **MENGHUBUNGKAN** menjadi **TERPUTUS**. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Kesalahan koneksi penyimpanan kunci eksternal](xks-troubleshooting.md#fix-xks-connection).

### Menggunakan AWS KMS API
<a name="disconnect-xks-api"></a>

Untuk memutuskan sambungan penyimpanan kunci eksternal yang terhubung, gunakan [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Prosesnya memakan waktu sekitar lima menit untuk menyelesaikannya. Untuk menemukan status koneksi penyimpanan kunci eksternal, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung. 

Contoh ini memutus penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. Sebelum menjalankan contoh ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk memverifikasi bahwa penyimpanan kunci eksternal terputus, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` dan `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. `ConnectionState`Nilai `DISCONNECTED` menunjukkan bahwa contoh penyimpanan kunci eksternal ini tidak lagi terhubung ke proxy penyimpanan kunci eksternal.

```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

# Hapus penyimpanan kunci eksternal
<a name="delete-xks"></a>

Ketika Anda menghapus penyimpanan kunci eksternal, AWS KMS menghapus semua metadata tentang penyimpanan kunci eksternal dari AWS KMS, termasuk informasi tentang proxy penyimpanan kunci eksternal. Operasi ini tidak memengaruhi [proxy penyimpanan kunci eksternal](keystore-external.md#concept-xks-proxy), [pengelola kunci eksternal](keystore-external.md#concept-ekm), [kunci eksternal](keystore-external.md#concept-external-key), atau AWS sumber daya apa pun yang Anda buat untuk mendukung penyimpanan kunci eksternal, seperti VPC Amazon atau layanan titik akhir VPC.

Sebelum Anda menghapus penyimpanan kunci eksternal, Anda harus [menghapus semua kunci KMS](deleting-keys.md) dari toko kunci dan [memutuskan penyimpanan kunci dari proxy penyimpanan](xks-connect-disconnect.md) kunci eksternal. Jika tidak, upaya untuk menghapus penyimpanan kunci gagal.

Menghapus penyimpanan kunci eksternal tidak dapat diubah, tetapi Anda dapat membuat penyimpanan kunci eksternal baru dan mengaitkannya dengan proxy penyimpanan kunci eksternal dan manajer kunci eksternal yang sama. Namun, Anda tidak dapat membuat ulang kunci KMS enkripsi simetris di penyimpanan kunci eksternal, bahkan Anda memiliki akses ke materi kunci eksternal yang sama. AWS KMS termasuk metadata dalam ciphertext simetris yang unik untuk setiap kunci KMS. Fitur keamanan ini memastikan bahwa hanya kunci KMS yang mengenkripsi data yang dapat mendekripsi itu. 

Alih-alih menghapus toko kunci eksternal, pertimbangkan untuk memutusnya. Sementara toko kunci eksternal terputus, Anda dapat mengelola penyimpanan kunci eksternal dan itu AWS KMS keys tetapi Anda tidak dapat membuat atau menggunakan kunci KMS di toko kunci eksternal. Anda dapat menghubungkan kembali penyimpanan kunci eksternal kapan saja dan melanjutkan menggunakan kunci KMS-nya untuk mengenkripsi dan mendekripsi data. Tidak ada biaya untuk proxy penyimpanan kunci eksternal yang terputus atau kunci KMS yang tidak tersedia.

Anda dapat menghapus toko kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi.

## Menggunakan AWS KMS konsol
<a name="delete-xks-console"></a>

Anda dapat menggunakan AWS KMS konsol untuk menghapus toko kunci eksternal.

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.

1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.

1. Temukan baris yang mewakili penyimpanan kunci eksternal yang ingin Anda hapus. Jika **status koneksi** penyimpanan kunci eksternal tidak **TERPUTUS**, Anda harus [memutuskan penyimpanan kunci eksternal](about-xks-disconnecting.md#disconnect-xks-console) sebelum Anda menghapusnya.

1. Dari menu **Key Store Actions**, pilih **Delete**.

Ketika operasi selesai, pesan sukses muncul dan penyimpanan kunci eksternal tidak lagi muncul di daftar toko kunci. Jika operasi gagal, muncul pesan kesalahan yang menjelaskan masalah dan memberikan bantuan tentang cara memperbaikinya. Jika Anda memerlukan bantuan lebih lanjut, lihat [Memecahkan masalah toko kunci eksternal](xks-troubleshooting.md).

## Menggunakan AWS KMS API
<a name="delete-xks-api"></a>

Untuk menghapus penyimpanan kunci eksternal, gunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi. Jika operasi berhasil, AWS KMS mengembalikan respons HTTP 200 dan objek JSON tanpa properti.

Untuk memulai, lepaskan penyimpanan kunci eksternal. Sebelum menjalankan perintah ini, ganti contoh ID penyimpanan kunci kustom dengan yang valid.

```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Setelah penyimpanan kunci eksternal terputus, Anda dapat menggunakan [DeleteCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DeleteCustomKeyStore.html)operasi untuk menghapusnya. 

```
$ aws kms delete-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```

Untuk mengonfirmasi bahwa toko kunci eksternal dihapus, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi.

```
$ aws kms describe-custom-key-stores
            
{
    "CustomKeyStores": []
}
```

Jika Anda menentukan nama toko kunci kustom atau ID yang tidak ada lagi, AWS KMS mengembalikan `CustomKeyStoreNotFoundException` pengecualian.

```
$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0

An error occurred (CustomKeyStoreNotFoundException) when calling the DescribeCustomKeyStore operation:
```

# Memecahkan masalah toko kunci eksternal
<a name="xks-troubleshooting"></a>

Resolusi untuk sebagian besar masalah dengan penyimpanan kunci eksternal ditunjukkan oleh pesan kesalahan yang AWS KMS ditampilkan dengan setiap pengecualian, atau oleh [kode kesalahan koneksi](#fix-xks-connection) yang AWS KMS kembali ketika upaya untuk [menghubungkan penyimpanan kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal gagal. Namun, beberapa masalah sedikit lebih kompleks. 

Saat mendiagnosis masalah dengan penyimpanan kunci eksternal, pertama-tama temukan penyebabnya. Ini akan mempersempit berbagai solusi dan membuat pemecahan masalah Anda lebih efisien.
+ AWS KMS — Masalahnya mungkin ada di dalam AWS KMS, seperti nilai yang salah dalam [konfigurasi penyimpanan kunci eksternal](create-xks-keystore.md#xks-requirements) Anda.
+ Eksternal — Masalah mungkin berasal dari luar AWS KMS, termasuk masalah dengan konfigurasi atau pengoperasian proxy penyimpanan kunci eksternal, manajer kunci eksternal, kunci eksternal, atau layanan titik akhir VPC.
+ Jaringan — Ini mungkin masalah dengan konektivitas atau jaringan, seperti masalah dengan titik akhir proxy, port, tumpukan IP, atau nama atau domain DNS pribadi Anda.

**catatan**  
Ketika operasi manajemen pada penyimpanan kunci eksternal gagal, mereka menghasilkan beberapa pengecualian yang berbeda. Tetapi operasi AWS KMS kriptografi kembali `KMSInvalidStateException` untuk semua kegagalan yang terkait dengan konfigurasi eksternal atau status koneksi dari penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan teks pesan kesalahan yang menyertainya.  
[ConnectCustomKeyStore](xks-connect-disconnect.md)Operasi berhasil dengan cepat sebelum proses koneksi selesai. Untuk menentukan apakah proses koneksi berhasil, lihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal. Jika proses koneksi gagal, AWS KMS mengembalikan [kode kesalahan koneksi](#xks-connection-error-codes) yang menjelaskan penyebabnya dan menyarankan solusi.

**Topics**
+ [Alat pemecahan masalah untuk penyimpanan kunci eksternal](#xks-troubleshooting-tools)
+ [Kesalahan konfigurasi](#fix-xks-configuration)
+ [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection)
+ [Kesalahan latensi dan batas waktu](#fix-xks-latency)
+ [Kesalahan kredensi otentikasi](#fix-xks-credentials)
+ [Kesalahan status kunci](#fix-unavailable-xks-keys)
+ [Kesalahan dekripsi](#fix-xks-decrypt)
+ [Kesalahan kunci eksternal](#fix-external-key)
+ [Masalah proxy](#fix-xks-proxy)
+ [Masalah otorisasi proxy](#fix-xks-authorization)

## Alat pemecahan masalah untuk penyimpanan kunci eksternal
<a name="xks-troubleshooting-tools"></a>

AWS KMS menyediakan beberapa alat untuk membantu Anda mengidentifikasi dan menyelesaikan masalah dengan toko kunci eksternal Anda dan kuncinya. Gunakan alat ini bersama dengan alat yang disediakan dengan proxy penyimpanan kunci eksternal dan manajer kunci eksternal Anda.

**catatan**  
Proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda mungkin menyediakan metode yang lebih mudah untuk membuat dan memelihara penyimpanan kunci eksternal Anda dan kunci KMS-nya. Untuk detailnya, lihat dokumentasi untuk alat eksternal Anda. 

**AWS KMS pengecualian dan pesan kesalahan**  
AWS KMS memberikan pesan kesalahan terperinci tentang masalah apa pun yang dihadapinya. Anda dapat menemukan informasi tambahan tentang AWS KMS pengecualian di [https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) dan AWS SDKs. Bahkan jika Anda menggunakan AWS KMS konsol, Anda mungkin menemukan referensi ini berguna. Misalnya, lihat daftar [Kesalahan](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) untuk `CreateCustomKeyStores` operasi.  
Untuk mengoptimalkan kinerja proxy penyimpanan kunci eksternal Anda, AWS KMS mengembalikan pengecualian berdasarkan keandalan proxy Anda dalam periode agregasi tertentu selama 5 menit. Jika terjadi Kesalahan Server Internal 500, Layanan 503 Tidak Tersedia, atau batas waktu koneksi, proxy dengan keandalan tinggi mengembalikan `KMSInternalException` dan memicu percobaan ulang otomatis untuk memastikan bahwa permintaan akhirnya berhasil. Namun, proxy dengan keandalan rendah kembali`KMSInvalidStateException`. Untuk informasi selengkapnya, lihat [Memantau penyimpanan kunci eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).   
Jika masalah muncul di AWS layanan yang berbeda, seperti ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal Anda untuk melindungi sumber daya di AWS layanan lain, AWS layanan mungkin memberikan informasi tambahan untuk membantu Anda mengidentifikasi masalah. Jika AWS layanan tidak menyediakan pesan, Anda dapat melihat pesan kesalahan di [CloudTrail log](logging-using-cloudtrail.md) yang merekam penggunaan kunci KMS Anda.

**[CloudTrail log](logging-using-cloudtrail.md)**  
Setiap operasi AWS KMS API, termasuk tindakan di AWS KMS konsol, dicatat dalam AWS CloudTrail log. AWS KMS mencatat entri log untuk operasi yang berhasil dan gagal. Untuk operasi yang gagal, entri log menyertakan nama AWS KMS pengecualian (`errorCode`) dan pesan kesalahan (`errorMessage`). Anda dapat menggunakan informasi ini untuk membantu Anda mengidentifikasi dan mengatasi kesalahan. Sebagai contoh, lihat [Dekripsi kegagalan dengan kunci KMS di toko kunci eksternal](ct-decrypt.md#ct-decrypt-xks-fail).  
Entri log juga menyertakan ID permintaan. Jika permintaan mencapai proxy penyimpanan kunci eksternal Anda, Anda dapat menggunakan ID permintaan di entri log untuk menemukan permintaan yang sesuai di log proxy Anda, jika proxy Anda menyediakannya.

**[CloudWatch metrik](monitoring-cloudwatch.md#kms-metrics)**  
AWS KMS mencatat CloudWatch metrik Amazon terperinci tentang pengoperasian dan kinerja penyimpanan kunci eksternal Anda, termasuk latensi, pembatasan, kesalahan proxy, status pengelola kunci eksternal, jumlah hari hingga sertifikat TLS Anda kedaluwarsa, dan usia kredensyal autentikasi proxy yang dilaporkan. Anda dapat menggunakan metrik ini untuk mengembangkan model data untuk pengoperasian penyimpanan kunci eksternal dan CloudWatch alarm yang mengingatkan Anda tentang masalah yang akan datang sebelum terjadi.   
AWS KMS merekomendasikan agar Anda membuat CloudWatch alarm untuk memantau metrik penyimpanan kunci eksternal. Alarm ini akan mengingatkan Anda tentang tanda-tanda awal masalah sebelum berkembang.

**[Grafik pemantauan](xks-monitoring.md)**  
AWS KMS menampilkan grafik CloudWatch metrik penyimpanan kunci eksternal pada halaman detail untuk setiap penyimpanan kunci eksternal di AWS KMS konsol. Anda dapat menggunakan data dalam grafik untuk membantu menemukan sumber kesalahan, mendeteksi masalah yang akan datang, menetapkan garis dasar, dan memperbaiki ambang alarm Anda. CloudWatch Untuk detail tentang menafsirkan grafik pemantauan dan menggunakan datanya, lihat. [Pantau toko kunci eksternal](xks-monitoring.md)

**Menampilkan toko kunci eksternal dan kunci KMS**  
AWS KMS menampilkan informasi terperinci tentang penyimpanan kunci eksternal Anda dan kunci KMS di toko kunci eksternal di AWS KMS konsol, dan dalam respons terhadap [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)dan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi. Tampilan ini mencakup bidang khusus untuk penyimpanan kunci eksternal dan kunci KMS dengan informasi yang dapat Anda gunakan untuk pemecahan masalah, seperti [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal dan ID kunci eksternal yang terkait dengan kunci KMS. Lihat perinciannya di [Lihat toko kunci eksternal](view-xks-keystore.md).

**[Klien Uji Proxy XKS](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**  
AWS KMS menyediakan klien pengujian open source yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Anda dapat menggunakan klien pengujian ini untuk mengidentifikasi dan menyelesaikan masalah dengan proxy penyimpanan kunci eksternal Anda.

## Kesalahan konfigurasi
<a name="fix-xks-configuration"></a>

[Saat membuat penyimpanan kunci eksternal, Anda menentukan nilai properti yang terdiri dari *konfigurasi* penyimpanan kunci eksternal Anda, seperti [kredensi otentikasi proxy](create-xks-keystore.md#require-credential), [titik akhir URI proxy, jalur [URI proxy,](create-xks-keystore.md#require-path) dan nama layanan titik akhir](create-xks-keystore.md#require-endpoint) VPC.](create-xks-keystore.md#require-vpc-service-name) Ketika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan mengembalikan kesalahan yang menunjukkan nilai yang salah. 

Banyak masalah konfigurasi dapat diselesaikan dengan memperbaiki nilai yang salah. Anda dapat memperbaiki jalur URI proxy yang tidak valid atau kredensi otentikasi proxy tanpa memutuskan penyimpanan kunci eksternal. Untuk definisi nilai-nilai ini, termasuk persyaratan keunikan, lihat. [Memasang prasyarat](create-xks-keystore.md#xks-requirements) Untuk petunjuk tentang memperbarui nilai-nilai ini, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Untuk menghindari kesalahan pada jalur URI proxy dan nilai kredensi autentikasi proxy, saat membuat atau memperbarui penyimpanan kunci eksternal, unggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) ke konsol. AWS KMS Ini adalah file berbasis JSON dengan jalur URI proxy dan nilai kredensi otentikasi proxy yang disediakan oleh proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Anda tidak dapat menggunakan file konfigurasi proxy dengan operasi AWS KMS API, tetapi Anda dapat menggunakan nilai dalam file untuk membantu Anda memberikan nilai parameter untuk permintaan API yang cocok dengan nilai dalam proxy Anda.

### Kesalahan konfigurasi umum
<a name="fix-xks-gen-configuration"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyInvalidConfigurationException` (operasi manajemen, kecuali untuk) `CreateKey`

[**Kode kesalahan koneksi**](#xks-connection-error-codes):`XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`

Untuk penyimpanan kunci eksternal dengan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint), AWS KMS uji nilai properti saat Anda membuat dan memperbarui penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), AWS KMS uji nilai properti saat Anda menghubungkan dan memperbarui penyimpanan kunci eksternal. 

**catatan**  
`ConnectCustomKeyStore`Operasi, yang asinkron, mungkin berhasil meskipun upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal. Dalam hal ini, tidak ada pengecualian, tetapi status koneksi penyimpanan kunci eksternal Gagal, dan kode kesalahan koneksi menjelaskan pesan kesalahan. Untuk informasi selengkapnya, lihat [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection).

Jika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan kembali `XksProxyInvalidConfigurationException` dengan salah satu pesan kesalahan berikut.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena jalur URI tidak valid. Verifikasi jalur URI untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu. | 
+ [Jalur URI proxy](create-xks-keystore.md#require-path) adalah jalur dasar untuk AWS KMS permintaan ke proxy APIs. Jika jalur ini salah, semua permintaan ke proxy gagal. Untuk [melihat jalur URI proxy saat ini](view-xks-keystore.md) untuk penyimpanan kunci eksternal Anda, gunakan AWS KMS konsol atau `DescribeCustomKeyStores` operasi. Untuk menemukan jalur URI proxy yang benar, lihat dokumentasi proxy penyimpanan kunci eksternal Anda. Untuk bantuan mengoreksi nilai jalur URI proxy Anda, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).
+ Jalur URI proxy untuk proxy penyimpanan kunci eksternal Anda dapat berubah dengan pembaruan ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk informasi tentang perubahan ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.


|  | 
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS tidak dapat membuat koneksi TLS ke proxy penyimpanan kunci eksternal. Verifikasi konfigurasi TLS, termasuk sertifikatnya. | 
+ Semua proxy penyimpanan kunci eksternal memerlukan sertifikat TLS. Sertifikat TLS harus dikeluarkan oleh otoritas sertifikat publik (CA) yang didukung untuk toko kunci eksternal. Untuk daftar dukungan CAs, lihat [Otoritas Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) di Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal.
+ Untuk konektivitas titik akhir publik, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama domain di [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalah https://myproxy.xks.example.com, TLS, CN pada sertifikat TLS harus atau. `myproxy.xks.example.com` `*.xks.example.com`
+ [Untuk konektivitas layanan titik akhir VPC, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi untuk layanan titik akhir VPC Anda.](create-xks-keystore.md#require-vpc-service-name) Misalnya, jika nama DNS pribadi adalah myproxy-private.xks.example.com, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`
+ Sertifikat TLS tidak dapat kedaluwarsa. [Untuk mendapatkan tanggal kedaluwarsa sertifikat TLS, gunakan alat SSL, seperti OpenSSL.](https://www.openssl.org/) Untuk memantau tanggal kedaluwarsa sertifikat TLS yang terkait dengan penyimpanan kunci eksternal, gunakan metrik. [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch Jumlah hari untuk tanggal kedaluwarsa sertifikasi TLS Anda juga muncul di [bagian **Pemantauan** konsol](xks-monitoring.md). AWS KMS 
+ Jika Anda menggunakan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint), gunakan alat uji SSL untuk menguji konfigurasi SSL Anda. Kesalahan koneksi TLS dapat terjadi akibat rantai sertifikat yang salah. 

### Kesalahan konfigurasi konektivitas layanan titik akhir VPC
<a name="fix-xks-vpc-configuration"></a>

**Pengecualian**:`XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`

Selain masalah konektivitas umum, Anda mungkin mengalami masalah berikut saat membuat, menghubungkan, atau memperbarui penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. AWS KMS menguji nilai properti penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC saat [membuat](create-xks-keystore.md), [menghubungkan](xks-connect-disconnect.md), dan [memperbarui](update-xks-keystore.md) penyimpanan kunci eksternal. Ketika operasi manajemen gagal karena kesalahan konfigurasi, mereka menghasilkan pengecualian berikut:


|  | 
| --- |
| XksProxyVpcEndpointServiceNotFoundException | 

Penyebabnya mungkin salah satu dari berikut ini:
+ Nama layanan titik akhir VPC yang salah. Verifikasi bahwa nama layanan titik akhir VPC untuk penyimpanan kunci eksternal sudah benar dan cocok dengan nilai titik akhir URI proxy untuk penyimpanan kunci eksternal. Untuk menemukan nama layanan titik akhir VPC, gunakan konsol [VPC](https://console.aws.amazon.com/vpc) Amazon atau operasinya. [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html) Untuk menemukan nama layanan titik akhir VPC dan titik akhir URI proxy dari penyimpanan kunci eksternal yang ada, gunakan AWS KMS konsol atau operasi. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Lihat perinciannya di [Lihat toko kunci eksternal](view-xks-keystore.md).
+ Layanan titik akhir VPC mungkin berbeda Wilayah AWS dari penyimpanan kunci eksternal. Verifikasi bahwa layanan titik akhir VPC dan penyimpanan kunci eksternal berada di Wilayah yang sama. (Nama eksternal nama Wilayah, seperti, adalah bagian dari nama layanan titik akhir VPC`us-east-1`, seperti com.amazonaws.vpce.us-east-1. vpce-svc-example.) Untuk daftar persyaratan layanan titik akhir VPC untuk penyimpanan kunci eksternal, lihat. [Layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) Anda tidak dapat memindahkan layanan titik akhir VPC atau penyimpanan kunci eksternal ke Wilayah lain. Namun, Anda dapat membuat penyimpanan kunci eksternal baru di Wilayah yang sama dengan layanan titik akhir VPC. Untuk detailnya, lihat [Konfigurasikan konektivitas layanan titik akhir VPC](vpc-connectivity.md) dan [Buat toko kunci eksternal](create-xks-keystore.md).
+ AWS KMS bukan prinsipal yang diizinkan untuk layanan titik akhir VPC. Daftar **Allow principals** untuk layanan endpoint VPC harus menyertakan nilai, seperti. `cks.kms.<region>.amazonaws.com` `cks.kms.eu-west-3.amazonaws.com` Untuk petunjuk tentang menambahkan nilai ini, lihat [Mengelola izin](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) di *AWS PrivateLink Panduan*.


|  | 
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException | 

Kesalahan ini terjadi ketika layanan titik akhir VPC gagal memenuhi salah satu persyaratan berikut:
+ VPC membutuhkan setidaknya dua subnet pribadi, masing-masing di Availability Zone yang berbeda. *Untuk bantuan menambahkan subnet ke VPC Anda, [lihat Membuat subnet di VPC Anda di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets).*
+ [Jenis layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) Anda harus menggunakan penyeimbang beban jaringan, bukan penyeimbang beban gateway.
+ Penerimaan tidak harus diperlukan untuk layanan titik akhir VPC (**Penerimaan yang diperlukan** harus salah.). Jika penerimaan manual dari setiap permintaan koneksi diperlukan, AWS KMS tidak dapat menggunakan layanan titik akhir VPC untuk terhubung ke proxy penyimpanan kunci eksternal. Untuk detailnya, lihat [Menerima atau menolak permintaan koneksi](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) di *AWS PrivateLink Panduan*.
+ Layanan titik akhir VPC harus memiliki nama DNS pribadi yang merupakan subdomain dari domain publik. Misalnya, jika nama DNS pribadi adalah`https://myproxy-private.xks.example.com`, `example.com` domain `xks.example.com` atau harus memiliki server DNS publik. *Untuk melihat atau mengubah nama DNS pribadi untuk layanan titik akhir VPC Anda, [lihat Mengelola nama DNS untuk layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) di Panduan.AWS PrivateLink *
+ **Status verifikasi Domain** domain untuk nama DNS pribadi Anda harus`verified`. Untuk melihat dan memperbarui status verifikasi domain nama DNS pribadi, lihat[Langkah 5: Verifikasi domain nama DNS pribadi Anda](vpc-connectivity.md#xks-private-dns). Mungkin perlu beberapa menit agar status verifikasi yang diperbarui muncul setelah Anda menambahkan catatan teks yang diperlukan. 
**catatan**  
Domain DNS pribadi dapat diverifikasi hanya jika itu adalah subdomain dari domain publik. Jika tidak, status verifikasi domain DNS pribadi tidak berubah, bahkan setelah Anda menambahkan catatan TXT yang diperlukan. 
+ Pastikan bahwa setiap firewall antara AWS KMS dan proxy penyimpanan kunci eksternal memungkinkan lalu lintas ke dan dari port 443 pada proxy. AWS KMS berkomunikasi di port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.
+ Nama DNS pribadi dari layanan titik akhir VPC harus cocok dengan nilai titik akhir [URI proxy](create-xks-keystore.md#require-endpoint) untuk penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC, titik akhir URI proxy harus `https://` diikuti dengan nama DNS pribadi dari layanan titik akhir VPC. Untuk melihat nilai titik akhir URI proxy, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk mengubah nilai titik akhir URI proxy, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

## Kesalahan koneksi penyimpanan kunci eksternal
<a name="fix-xks-connection"></a>

[Proses menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan](about-xks-connecting.md) kunci eksternal membutuhkan waktu sekitar lima menit untuk menyelesaikannya. Kecuali gagal dengan cepat, `ConnectCustomKeyStore` operasi mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat [status koneksinya](xks-connect-disconnect.md#xks-connection-state). Jika koneksi gagal, status koneksi penyimpanan kunci eksternal berubah `FAILED` dan AWS KMS mengembalikan [kode kesalahan koneksi](#xks-connection-error-codes) yang menjelaskan penyebab kegagalan.

**catatan**  
Ketika status koneksi penyimpanan kunci kustom`FAILED`, Anda harus memutuskan penyimpanan kunci khusus sebelum mencoba menghubungkannya kembali. Anda tidak dapat menghubungkan penyimpanan kunci kustom dengan status koneksi `FAILED`.

Untuk melihat status koneksi penyimpanan kunci eksternal:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionState` elemen.
+ Di AWS KMS konsol, **status koneksi** muncul di tabel penyimpanan kunci eksternal. Juga, pada halaman detail untuk setiap penyimpanan kunci eksternal, **status Koneksi** muncul di bagian **Konfigurasi umum**.

Ketika status koneksi`FAILED`, kode kesalahan koneksi membantu menjelaskan kesalahan. 

Untuk melihat kode kesalahan koneksi:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionErrorCode` elemen. Elemen ini muncul dalam `DescribeCustomKeyStores` respons hanya ketika `ConnectionState` ada`FAILED`.
+ Untuk melihat kode kesalahan koneksi di AWS KMS konsol, pada halaman detail untuk penyimpanan kunci eksternal dan arahkan kursor ke nilai **Gagal**.  
![\[Kode kesalahan koneksi pada halaman detail toko kunci khusus\]](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/connection-error-code.png)

### Kode kesalahan koneksi untuk penyimpanan kunci eksternal
<a name="xks-connection-error-codes"></a>

Kode kesalahan koneksi berikut berlaku untuk toko kunci eksternal

`INTERNAL_ERROR`  
AWS KMS tidak dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. Untuk permintaan `ConnectCustomKeyStore`, putuskan koneksi penyimpanan kunci kustom sebelum mencoba menyambungkan lagi.

`INVALID_CREDENTIALS`  
Salah satu atau kedua `XksProxyAuthenticationCredential` nilai tidak valid pada proxy penyimpanan kunci eksternal yang ditentukan.

`NETWORK_ERRORS`  
Kesalahan jaringan AWS KMS mencegah menghubungkan toko kunci khusus ke toko kunci pendukungnya.

`XKS_PROXY_ACCESS_DENIED`  
AWS KMS permintaan ditolak akses ke proxy penyimpanan kunci eksternal. Jika proxy penyimpanan kunci eksternal memiliki aturan otorisasi, verifikasi bahwa mereka mengizinkan AWS KMS untuk berkomunikasi dengan proxy atas nama Anda.

`XKS_PROXY_INVALID_CONFIGURATION`  
Kesalahan konfigurasi mencegah penyimpanan kunci eksternal terhubung ke proxy-nya. Verifikasi nilai`XksProxyUriPath`.

`XKS_PROXY_INVALID_RESPONSE`  
AWS KMS tidak dapat menafsirkan respons dari proxy penyimpanan kunci eksternal. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.

`XKS_PROXY_INVALID_TLS_CONFIGURATION`  
AWS KMS tidak dapat terhubung ke proxy penyimpanan kunci eksternal karena konfigurasi TLS tidak valid. Verifikasi bahwa proxy penyimpanan kunci eksternal mendukung TLS 1.2 atau 1.3. Juga, verifikasi bahwa sertifikat TLS tidak kedaluwarsa, bahwa itu cocok dengan nama host dalam `XksProxyUriEndpoint` nilai, dan bahwa itu ditandatangani oleh otoritas sertifikat tepercaya yang termasuk dalam daftar Otoritas [Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).

`XKS_PROXY_NOT_REACHABLE`  
AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Verifikasi bahwa `XksProxyUriEndpoint` `XksProxyUriPath` dan benar. Gunakan alat untuk proxy penyimpanan kunci eksternal Anda untuk memverifikasi bahwa proxy aktif dan tersedia di jaringannya. Juga, verifikasi bahwa instans pengelola kunci eksternal Anda beroperasi dengan benar. Upaya koneksi gagal dengan kode kesalahan koneksi ini jika proxy melaporkan bahwa semua instance pengelola kunci eksternal tidak tersedia.

`XKS_PROXY_TIMED_OUT`  
AWS KMS dapat terhubung ke proxy penyimpanan kunci eksternal, tetapi proxy tidak merespons AWS KMS dalam waktu yang ditentukan. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.

`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`  
Konfigurasi layanan titik akhir Amazon VPC tidak sesuai dengan persyaratan untuk penyimpanan kunci eksternal AWS KMS .  
+ Layanan titik akhir VPC harus berupa layanan titik akhir untuk titik akhir antarmuka di pemanggil. Akun AWS
+ Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.
+ `Allow principals`Daftar harus mencakup kepala AWS KMS layanan untuk Wilayah`cks.kms.<region>.amazonaws.com`, seperti`cks.kms.us-east-1.amazonaws.com`.
+ Itu *tidak* boleh memerlukan [penerimaan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) permintaan koneksi.
+ Itu harus memiliki nama DNS pribadi. Nama DNS pribadi untuk penyimpanan kunci eksternal dengan `VPC_ENDPOINT_SERVICE` konektivitas harus unik di dalamnya Wilayah AWS.
+ Domain nama DNS pribadi harus memiliki [status verifikasi](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html). `verified`
+ [Sertifikat TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) menentukan nama host DNS pribadi di mana titik akhir dapat dijangkau.

`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`  
AWS KMS tidak dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Verifikasi bahwa `XksProxyVpcEndpointServiceName` itu benar dan kepala AWS KMS layanan memiliki izin konsumen layanan di layanan titik akhir Amazon VPC.

## Kesalahan latensi dan batas waktu
<a name="fix-xks-latency"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyUriUnreachableException` (operasi manajemen)

[**Kode kesalahan koneksi**](#xks-connection-error-codes):`XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`

Ketika tidak AWS KMS dapat menghubungi proxy dalam interval batas waktu 250 milidetik, ia mengembalikan pengecualian. `CreateCustomKeyStore`dan `UpdateCustomKeyStore` kembali`XksProxyUriUnreachableException`. Operasi kriptografi mengembalikan standar `KMSInvalidStateException` dengan pesan kesalahan yang menjelaskan masalah. Jika `ConnectCustomKeyStore` gagal, AWS KMS mengembalikan [kode kesalahan koneksi](#fix-xks-connection) yang menjelaskan masalah. 

Kesalahan batas waktu mungkin merupakan masalah sementara yang dapat diselesaikan dengan mencoba kembali permintaan. Jika masalah berlanjut, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan bahwa titik akhir URI proxy, jalur URI proxy, dan nama layanan titik akhir VPC (jika ada) sudah benar di penyimpanan kunci eksternal Anda. Juga, verifikasi bahwa manajer kunci eksternal Anda dekat dengan Wilayah AWS untuk penyimpanan kunci eksternal Anda. Jika Anda perlu memperbarui salah satu dari nilai-nilai ini, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Untuk melacak pola latensi, gunakan [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch metrik dan grafik **latensi rata-rata** (berdasarkan metrik tersebut) di [bagian ** AWS KMS Pemantauan**](xks-monitoring.md) konsol. Proxy penyimpanan kunci eksternal Anda mungkin juga menghasilkan log dan metrik yang melacak latensi dan batas waktu.


|  | 
| --- |
| `XksProxyUriUnreachableException`AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Ini mungkin masalah jaringan sementara. Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan URI titik akhir sudah benar di penyimpanan kunci eksternal Anda. | 
+ Proxy penyimpanan kunci eksternal tidak menanggapi permintaan API AWS KMS proxy dalam interval batas waktu 250 milidetik. Ini mungkin menunjukkan masalah jaringan sementara atau masalah operasional atau kinerja dengan proxy. Jika mencoba lagi tidak menyelesaikan masalah, beri tahu administrator proxy penyimpanan kunci eksternal Anda.

Kesalahan latensi dan batas waktu sering bermanifestasi sebagai kegagalan koneksi. Ketika [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi gagal, *status koneksi* penyimpanan kunci eksternal berubah `FAILED` dan AWS KMS mengembalikan *kode kesalahan koneksi* yang menjelaskan kesalahan. Untuk daftar kode kesalahan koneksi dan saran untuk menyelesaikan kesalahan, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](#xks-connection-error-codes). Daftar kode koneksi untuk **Semua toko kunci khusus dan toko** **kunci eksternal** berlaku untuk toko kunci eksternal. Kesalahan koneksi berikut terkait dengan latensi dan batas waktu.


|  | 
| --- |
| `XKS_PROXY_NOT_REACHABLE`-atau-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan jalur URI dan titik akhir URI atau nama layanan VPC sudah benar di penyimpanan kunci eksternal Anda. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ Proxy penyimpanan kunci eksternal tidak aktif dan atau tidak terhubung ke jaringan.
+ Ada kesalahan pada [titik akhir URI proxy](create-xks-keystore.md#require-endpoint), [jalur URI proxy](create-xks-keystore.md#require-path), atau nilai nama [layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) (jika ada) dalam konfigurasi penyimpanan kunci eksternal. Untuk melihat konfigurasi penyimpanan kunci eksternal, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi atau [lihat halaman detail](view-xks-keystore.md) untuk penyimpanan kunci eksternal di AWS KMS konsol.
+ Mungkin ada kesalahan konfigurasi jaringan, seperti kesalahan port, pada jalur jaringan antara AWS KMS dan proxy penyimpanan kunci eksternal. AWS KMS berkomunikasi dengan proxy penyimpanan kunci eksternal pada port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.
+ Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai [GetHealthStatus](keystore-external.md#concept-proxy-apis)tanggapan) bahwa semua instance pengelola kunci eksternal berada`UNAVAILABLE`, [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi gagal dengan a`ConnectionErrorCode`. `XKS_PROXY_NOT_REACHABLE` Untuk bantuan, lihat dokumentasi pengelola kunci eksternal Anda.
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan Wilayah AWS dengan penyimpanan kunci eksternal. Latensi ping (network round-trip time (RTT)) antara manajer kunci eksternal Wilayah AWS dan eksternal tidak boleh lebih dari 35 milidetik. Anda mungkin harus membuat penyimpanan kunci eksternal di Wilayah AWS yang lebih dekat dengan manajer kunci eksternal, atau memindahkan manajer kunci eksternal ke pusat data yang lebih dekat ke Wilayah AWS.


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`-atau-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS menolak permintaan karena proxy penyimpanan kunci eksternal tidak merespons tepat waktu. Coba lagi permintaannya. Jika Anda melihat kesalahan ini berulang kali, laporkan ke administrator proxy penyimpanan kunci eksternal Anda. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.
+ Kesalahan batas waktu dapat terjadi ketika proxy tidak dirancang untuk menangani volume dan frekuensi permintaan dari AWS KMS. Jika CloudWatch metrik Anda menunjukkan masalah terus-menerus, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
+ Kesalahan batas waktu dapat terjadi ketika koneksi antara pengelola kunci eksternal dan VPC Amazon untuk penyimpanan kunci eksternal tidak beroperasi dengan benar. Jika Anda menggunakan AWS Direct Connect, verifikasi bahwa VPC dan pengelola kunci eksternal Anda dapat berkomunikasi secara efektif. Untuk bantuan menyelesaikan masalah apa pun, lihat [Pemecahan Masalah AWS Direct Connect di Panduan](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html) Pengguna. Direct Connect 


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`-atau-`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Proxy penyimpanan kunci eksternal tidak menanggapi permintaan dalam waktu yang ditentukan. Coba lagi permintaannya. Jika Anda melihat kesalahan ini berulang kali, laporkan ke administrator proxy penyimpanan kunci eksternal Anda. | 
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.

## Kesalahan kredensi otentikasi
<a name="fix-xks-credentials"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyIncorrectAuthenticationCredentialException` (operasi manajemen selain) `CreateKey`

Anda membuat dan memelihara kredensi otentikasi untuk AWS KMS proxy penyimpanan kunci eksternal Anda. Kemudian Anda memberi tahu AWS KMS nilai kredensialnya saat Anda membuat penyimpanan kunci eksternal. Untuk mengubah kredensi otentikasi, lakukan perubahan pada proxy penyimpanan kunci eksternal Anda. Kemudian [perbarui kredensi](update-xks-keystore.md#xks-edit-name) untuk toko kunci eksternal Anda. Jika proxy Anda memutar kredensi, Anda harus [memperbarui kredensi](update-xks-keystore.md#xks-edit-name) untuk penyimpanan kunci eksternal Anda. 

Jika proxy penyimpanan kunci eksternal tidak akan mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal Anda, efeknya bergantung pada permintaan:
+ `CreateCustomKeyStore`dan `UpdateCustomKeyStore` gagal dengan sebuah `XksProxyIncorrectAuthenticationCredentialException`
+ `ConnectCustomKeyStore`berhasil, tetapi koneksi gagal. Status koneksi adalah `FAILED` dan kode kesalahan koneksi adalah`INVALID_CREDENTIALS`. Lihat perinciannya di [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection).
+ Operasi kriptografi kembali `KMSInvalidStateException` untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Pesan kesalahan yang menyertainya menjelaskan masalah.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat mengautentikasi. AWS KMS Verifikasi kredensyal untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu.  | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci akses atau kunci akses rahasia untuk penyimpanan kunci eksternal tidak cocok dengan nilai yang ditetapkan pada proxy penyimpanan kunci eksternal. 

  Untuk memperbaiki kesalahan ini, [perbarui kredensi otentikasi proxy](update-xks-keystore.md#xks-edit-name) untuk penyimpanan kunci eksternal Anda. Anda dapat membuat perubahan ini tanpa memutuskan penyimpanan kunci eksternal Anda.
+ Proxy terbalik antara AWS KMS dan proxy penyimpanan kunci eksternal dapat memanipulasi header HTTP dengan cara yang membatalkan tanda tangan SigV4. Untuk memperbaiki kesalahan ini, beri tahu administrator proxy Anda.

## Kesalahan status kunci
<a name="fix-unavailable-xks-keys"></a>

**Pengecualian**: `KMSInvalidStateException`

`KMSInvalidStateException`digunakan untuk dua tujuan berbeda untuk kunci KMS di toko kunci kustom. 
+ Ketika operasi manajemen, seperti`CancelKeyDeletion`, gagal dan mengembalikan pengecualian ini, ini menunjukkan bahwa [status kunci](key-state.md) dari kunci KMS tidak kompatibel dengan operasi.
+ Ketika [operasi kriptografi](kms-cryptography.md#cryptographic-operations) pada kunci KMS di toko kunci kustom gagal`KMSInvalidStateException`, itu dapat menunjukkan masalah dengan status kunci dari kunci KMS. Tetapi operasi AWS KMS kriptografi kembali `KMSInvalidStateException` untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan pesan kesalahan yang menyertai pengecualian.

Untuk menemukan status kunci yang diperlukan untuk operasi AWS KMS API, lihat[Status AWS KMS kunci kunci](key-state.md). Untuk menemukan status kunci kunci KMS, pada halaman **Kunci yang dikelola Pelanggan**, lihat bidang **Status** kunci KMS. Atau, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi dan lihat `KeyState` elemen dalam respons. Lihat perinciannya di [Identifikasi dan lihat kunci](viewing-keys.md).

**catatan**  
Status kunci dari kunci KMS di penyimpanan kunci eksternal tidak menunjukkan apa pun tentang status [kunci eksternal](keystore-external.md#concept-external-key) yang terkait. Untuk informasi tentang status kunci eksternal, gunakan pengelola kunci eksternal dan alat proxy penyimpanan kunci eksternal.   
`CustomKeyStoreInvalidStateException`Ini mengacu pada [keadaan koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal, bukan [status kunci](key-state.md) dari kunci KMS.

Operasi kriptografi pada kunci KMS di toko kustom mungkin gagal karena status kunci dari kunci KMS adalah atau. `Unavailable` `PendingDeletion` (Kunci dinonaktifkan kembali`DisabledException`.)
+ Kunci KMS memiliki status `Disabled` kunci hanya ketika Anda sengaja menonaktifkan kunci KMS di AWS KMS konsol atau dengan menggunakan operasi. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Sementara kunci KMS dinonaktifkan, Anda dapat melihat dan mengelola kunci, tetapi Anda tidak dapat menggunakannya dalam operasi kriptografi. Untuk memperbaiki masalah ini, aktifkan kuncinya. Lihat perinciannya di [Aktifkan dan nonaktifkan kunci](enabling-keys.md).
+ Kunci KMS memiliki status `Unavailable` kunci ketika penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal. Untuk memperbaiki kunci KMS yang tidak tersedia, [sambungkan kembali penyimpanan kunci eksternal](xks-connect-disconnect.md). Setelah penyimpanan kunci eksternal terhubung kembali, status kunci kunci KMS di penyimpanan kunci eksternal secara otomatis dikembalikan ke keadaan sebelumnya, seperti `Enabled` atau. `Disabled`

  Kunci KMS memiliki status `PendingDeletion` kunci ketika telah dijadwalkan untuk dihapus dan sedang dalam masa tunggu. Kesalahan status kunci pada kunci KMS yang tertunda penghapusan menunjukkan bahwa kunci tidak boleh dihapus, baik karena sedang digunakan untuk enkripsi, atau diperlukan untuk dekripsi. [Untuk mengaktifkan kembali kunci KMS, batalkan penghapusan terjadwal, dan kemudian aktifkan kunci.](enabling-keys.md) Lihat perinciannya di [Jadwalkan penghapusan kunci](deleting-keys-scheduling-key-deletion.md).

## Kesalahan dekripsi
<a name="fix-xks-decrypt"></a>

**Pengecualian**: `KMSInvalidStateException`

Ketika operasi [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) dengan kunci KMS di penyimpanan kunci eksternal gagal, AWS KMS mengembalikan standar `KMSInvalidStateException` yang digunakan operasi kriptografi untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi pada penyimpanan kunci eksternal. Pesan kesalahan menunjukkan masalah.

Untuk mendekripsi ciphertext yang dienkripsi menggunakan [enkripsi ganda](keystore-external.md#concept-double-encryption), manajer kunci eksternal pertama menggunakan kunci eksternal untuk mendekripsi lapisan luar ciphertext. Kemudian AWS KMS gunakan bahan AWS KMS kunci dalam kunci KMS untuk mendekripsi lapisan dalam ciphertext. Ciphertext yang tidak valid atau rusak dapat ditolak oleh manajer kunci eksternal atau. AWS KMS

Pesan kesalahan berikut menyertai `KMSInvalidStateException` ketika dekripsi gagal. Ini menunjukkan masalah dengan ciphertext atau konteks enkripsi opsional dalam permintaan.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena ciphertext yang ditentukan atau data tambahan yang diautentikasi rusak, hilang, atau tidak valid. | 
+ Ketika proxy penyimpanan kunci eksternal atau manajer kunci eksternal melaporkan bahwa ciphertext atau konteks enkripsi tidak valid, biasanya menunjukkan masalah dengan ciphertext atau konteks enkripsi dalam permintaan yang dikirim ke. `Decrypt` AWS KMS Untuk `Decrypt` operasi, AWS KMS kirimkan proxy ciphertext dan konteks enkripsi yang sama yang diterimanya dalam permintaan. `Decrypt` 

  Kesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi `Decrypt` permintaannya. Jika masalah berlanjut, verifikasi bahwa ciphertext tidak diubah atau rusak. Juga, verifikasi bahwa konteks enkripsi dalam `Decrypt` permintaan untuk AWS KMS mencocokkan konteks enkripsi dalam permintaan yang mengenkripsi data.


|  | 
| --- |
| Ciphertext yang dikirimkan proxy penyimpanan kunci eksternal untuk dekripsi, atau konteks enkripsi, rusak, hilang, atau tidak valid. | 
+ Ketika AWS KMS menolak ciphertext yang diterima dari proxy, ini menunjukkan bahwa manajer kunci eksternal atau proxy mengembalikan ciphertext yang tidak valid atau rusak ke. AWS KMS

  Kesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi `Decrypt` permintaannya. Jika masalah berlanjut, verifikasi bahwa pengelola kunci eksternal beroperasi dengan benar, dan bahwa proxy penyimpanan kunci eksternal tidak mengubah ciphertext yang diterimanya dari pengelola kunci eksternal sebelum mengembalikannya. AWS KMS

## Kesalahan kunci eksternal
<a name="fix-external-key"></a>

[Kunci eksternal adalah kunci](keystore-external.md#concept-external-key) kriptografi di manajer kunci eksternal yang berfungsi sebagai bahan kunci eksternal untuk kunci KMS. AWS KMS tidak dapat langsung mengakses kunci eksternal. Ini harus meminta manajer kunci eksternal (melalui proxy penyimpanan kunci eksternal) untuk menggunakan kunci eksternal untuk mengenkripsi data atau mendekripsi ciphertext.

Anda menentukan ID kunci eksternal di pengelola kunci eksternal ketika Anda membuat kunci KMS di penyimpanan kunci eksternal Anda. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Untuk mencegah masalah dengan kunci KMS, `CreateKey` operasi meminta proxy penyimpanan kunci eksternal untuk memverifikasi ID dan konfigurasi kunci eksternal. Jika kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, `CreateKey` operasi gagal dengan pengecualian dan pesan kesalahan yang mengidentifikasi masalah. 

Namun, masalah dapat terjadi setelah kunci KMS dibuat. Jika operasi kriptografi gagal karena masalah dengan kunci eksternal, operasi gagal dan mengembalikan pesan kesalahan yang menunjukkan masalah. `KMSInvalidStateException`

### CreateKey kesalahan untuk kunci eksternal
<a name="fix-external-key-create"></a>

**Pengecualian**:`XksKeyAlreadyInUseException`,, `XksKeyNotFoundException` `XksKeyInvalidConfigurationException`

[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Operasi mencoba memverifikasi ID dan properti kunci eksternal yang Anda berikan di parameter **ID kunci Eksternal** (konsol) atau `XksKeyId` (API). Praktik ini dirancang untuk mendeteksi kesalahan lebih awal sebelum Anda mencoba menggunakan kunci eksternal dengan kunci KMS.

**Kunci eksternal digunakan** 

Setiap kunci KMS di toko kunci eksternal harus menggunakan kunci eksternal yang berbeda. Ketika `CreateKey` mengenali bahwa ID kunci eksternal (XksKeyId) untuk kunci KMS tidak unik di penyimpanan kunci eksternal, gagal dengan file. `XksKeyAlreadyInUseException` 

Jika Anda menggunakan beberapa IDs untuk kunci eksternal yang sama, tidak `CreateKey` akan mengenali duplikat. Namun, kunci KMS dengan kunci eksternal yang sama tidak dapat dioperasikan karena memiliki bahan AWS KMS kunci dan metadata yang berbeda. 

**Kunci eksternal tidak ditemukan** 

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, `CreateKey` operasi gagal dan kembali `XksKeyNotFoundException` dengan pesan kesalahan berikut.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci eksternal (`XksKeyId`) untuk kunci KMS mungkin tidak valid. Untuk menemukan ID untuk proxy kunci eksternal yang digunakan untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal. 
+ Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, gunakan kunci eksternal yang berbeda dengan tombol KMS. Untuk daftar atau persyaratan untuk kunci eksternal, lihat[Persyaratan untuk kunci KMS di toko kunci eksternal](create-xks-keys.md#xks-key-requirements).

**Persyaratan kunci eksternal tidak terpenuhi**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, `CreateKey` operasi gagal dan kembali `XksKeyInvalidConfigurationException` dengan salah satu pesan kesalahan berikut.


|  | 
| --- |
| Spesifikasi kunci dari kunci eksternal harus AES\$1256. Spesifikasi kunci dari kunci eksternal yang ditentukan adalah<key-spec>. | 
+ Kunci eksternal harus berupa kunci enkripsi simetris 256-bit dengan spesifikasi kunci AES\$1256. Jika kunci eksternal yang ditentukan adalah tipe yang berbeda, tentukan ID kunci eksternal yang memenuhi persyaratan ini. 


|  | 
| --- |
| Status kunci eksternal harus DIAKTIFKAN. Status kunci eksternal yang ditentukan adalah<status>. | 
+ Kunci eksternal harus diaktifkan di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak diaktifkan, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya, atau tentukan kunci eksternal yang diaktifkan.


|  | 
| --- |
| Penggunaan kunci dari kunci eksternal harus mencakup ENKRIPSI dan DEKRIPSI. Penggunaan kunci dari kunci eksternal yang ditentukan adalah < key-usage >. | 
+ Kunci eksternal harus dikonfigurasi untuk enkripsi dan dekripsi di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak menyertakan operasi ini, gunakan alat pengelola kunci eksternal Anda untuk mengubah operasi, atau tentukan kunci eksternal yang berbeda.

### Kesalahan operasi kriptografi untuk kunci eksternal
<a name="fix-external-key-crypto"></a>

**Pengecualian**: `KMSInvalidStateException`

Ketika proxy penyimpanan kunci eksternal tidak dapat menemukan kunci eksternal yang terkait dengan kunci KMS, atau kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, operasi kriptografi gagal. 

Masalah kunci eksternal yang terdeteksi selama operasi kriptografi lebih sulit diselesaikan daripada masalah kunci eksternal yang terdeteksi sebelum membuat kunci KMS. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Jika kunci KMS belum mengenkripsi data apa pun, Anda dapat menghapus kunci KMS dan membuat yang baru dengan ID kunci eksternal yang berbeda. Namun, ciphertext yang dihasilkan dengan kunci KMS tidak dapat didekripsi oleh kunci KMS lainnya, bahkan yang memiliki kunci eksternal yang sama, karena kunci akan memiliki metadata kunci yang berbeda dan bahan kunci yang berbeda. AWS KMS Sebagai gantinya, sejauh mungkin, gunakan alat pengelola kunci eksternal Anda untuk menyelesaikan masalah dengan kunci eksternal. 

Ketika proxy penyimpanan kunci eksternal melaporkan masalah dengan kunci eksternal, operasi kriptografi kembali `KMSInvalidStateException` dengan pesan kesalahan yang mengidentifikasi masalah.

**Kunci eksternal tidak ditemukan**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, operasi kriptografi mengembalikan a `KMSInvalidStateException` dengan pesan kesalahan berikut. 


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci eksternal (`XksKeyId`) untuk kunci KMS tidak lagi valid. 

  Untuk menemukan ID kunci eksternal yang terkait dengan kunci KMS Anda, [lihat detail kunci KMS](identify-key-types.md#view-xks-key). Untuk menemukan ID yang digunakan proxy kunci eksternal untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal.

  AWS KMS memverifikasi ID kunci eksternal saat membuat kunci KMS di toko kunci eksternal. Namun, ID mungkin menjadi tidak valid, terutama jika nilai ID kunci eksternal adalah alias atau nama yang bisa berubah. Anda tidak dapat mengubah ID kunci eksternal yang terkait dengan kunci KMS yang ada. Untuk mendekripsi ciphertext apa pun yang dienkripsi di bawah kunci KMS, Anda harus mengaitkan kembali kunci eksternal dengan ID kunci eksternal yang ada.

  Jika Anda belum menggunakan kunci KMS untuk mengenkripsi data, Anda dapat membuat kunci KMS baru dengan ID kunci eksternal yang valid. Namun, jika Anda telah membuat ciphertext dengan kunci KMS, Anda tidak dapat menggunakan kunci KMS lain untuk mendekripsi ciphertext, bahkan jika menggunakan kunci eksternal yang sama.
+ Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika memungkinkan, cobalah untuk [memulihkan materi kunci](fix-keystore.md#fix-keystore-recover-backing-key) dari salinan atau cadangan manajer kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, setiap ciphertext yang dienkripsi di bawah kunci KMS terkait tidak dapat dipulihkan.

**Kesalahan konfigurasi kunci eksternal**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, operasi kriptografi kembali `KMSInvalidStateException` dengan salah satu pesan kesalahan berikut. 


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak mendukung operasi yang diminta. | 
+ Kunci eksternal harus mendukung enkripsi dan dekripsi. Jika penggunaan kunci tidak termasuk enkripsi dan dekripsi, gunakan alat pengelola kunci eksternal Anda untuk mengubah penggunaan kunci.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak diaktifkan di pengelola kunci eksternal. | 
+ Kunci eksternal harus diaktifkan dan tersedia untuk digunakan di pengelola kunci eksternal. Jika status kunci eksternal tidak`Enabled`, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya.

## Masalah proxy
<a name="fix-xks-proxy"></a>

**Pengecualian**: 

 `CustomKeyStoreInvalidStateException`(`CreateKey`), `KMSInvalidStateException` (operasi kriptografi),`UnsupportedOperationException`,`XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (operasi manajemen selain`CreateKey`)

Proxy penyimpanan kunci eksternal memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal. Ini menerjemahkan AWS KMS permintaan generik ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda. Jika proxy penyimpanan kunci eksternal tidak sesuai dengan [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/), atau jika tidak beroperasi dengan benar, atau tidak dapat berkomunikasi AWS KMS, Anda tidak akan dapat membuat atau menggunakan kunci KMS di penyimpanan kunci eksternal Anda. 

Sementara banyak kesalahan menyebutkan proxy penyimpanan kunci eksternal karena peran pentingnya dalam arsitektur penyimpanan kunci eksternal, masalah tersebut mungkin berasal dari manajer kunci eksternal atau kunci eksternal. 

Masalah di bagian ini berhubungan dengan masalah dengan desain atau pengoperasian proxy penyimpanan kunci eksternal. Menyelesaikan masalah ini mungkin memerlukan perubahan pada perangkat lunak proxy. Konsultasikan dengan administrator proxy Anda. Untuk membantu mendiagnosis masalah proxy, AWS KMS berikan [XKS Proxy Text Client](https://github.com/aws-samples/aws-kms-xksproxy-test-client), klien pengujian open source yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan Spesifikasi API [Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/).


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `XksProxyUriUnreachableException`Proxy penyimpanan kunci eksternal dalam keadaan tidak sehat. Jika Anda melihat pesan ini berulang kali, beri tahu administrator proxy penyimpanan kunci eksternal Anda. | 
+ Kesalahan ini dapat menunjukkan masalah operasional atau kesalahan perangkat lunak di proxy penyimpanan kunci eksternal. Anda dapat menemukan entri CloudTrail log untuk operasi AWS KMS API yang menghasilkan setiap kesalahan. Kesalahan ini dapat diatasi dengan mencoba kembali operasi. Namun, jika tetap ada, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
+ Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai [GetHealthStatus](keystore-external.md#concept-proxy-apis)tanggapan) bahwa semua instance pengelola kunci eksternal berada`UNAVAILABLE`, upaya untuk membuat atau memperbarui penyimpanan kunci eksternal gagal dengan pengecualian ini. Jika kesalahan ini berlanjut, lihat dokumentasi pengelola kunci eksternal Anda.


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `XksProxyInvalidResponseException`AWS KMS tidak dapat menafsirkan respons dari proxy penyimpanan kunci eksternal. Jika Anda melihat kesalahan ini berulang kali, konsultasikan administrator proxy penyimpanan kunci eksternal Anda. | 
+ AWS KMS operasi menghasilkan pengecualian ini ketika proxy mengembalikan respons tidak terdefinisi yang tidak AWS KMS dapat mengurai atau menafsirkan. Kesalahan ini mungkin terjadi sesekali karena masalah eksternal sementara atau kesalahan jaringan sporadis. Namun, jika tetap ada, ini mungkin menunjukkan bahwa proxy penyimpanan kunci eksternal tidak sesuai dengan Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Beri tahu administrator atau vendor toko kunci eksternal Anda.


|  | 
| --- |
|  `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `UnsupportedOperationException` Proxy penyimpanan kunci eksternal menolak permintaan karena tidak mendukung operasi kriptografi yang diminta. | 
+ Proxy penyimpanan kunci eksternal harus mendukung semua [proxy](keystore-external.md#concept-proxy-apis) yang APIs ditentukan dalam [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Kesalahan ini menunjukkan bahwa proxy tidak mendukung operasi yang terkait dengan permintaan. Beri tahu administrator atau vendor toko kunci eksternal Anda.

## Masalah otorisasi proxy
<a name="fix-xks-authorization"></a>

**Pengecualian**:`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`

Beberapa proxy penyimpanan kunci eksternal menerapkan persyaratan otorisasi untuk penggunaan kunci eksternalnya. Proxy penyimpanan kunci eksternal diizinkan, tetapi tidak diperlukan, untuk merancang dan mengimplementasikan skema otorisasi yang memungkinkan pengguna tertentu untuk meminta operasi tertentu dalam kondisi tertentu. Misalnya, proxy mungkin memungkinkan pengguna untuk mengenkripsi dengan kunci eksternal tertentu, tetapi tidak untuk mendekripsi dengannya. Untuk informasi selengkapnya, lihat [Otorisasi proxy penyimpanan kunci eksternal (opsional)](authorize-xks-key-store.md#xks-proxy-authorization).

Otorisasi proxy didasarkan pada metadata yang AWS KMS termasuk dalam permintaannya ke proxy. `awsSourceVpce`Bidang `awsSourceVpc` dan disertakan dalam metadata hanya jika permintaan berasal dari titik akhir VPC dan hanya ketika pemanggil berada di akun yang sama dengan kunci KMS. 

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Ketika proxy menolak permintaan karena kegagalan otorisasi, AWS KMS operasi terkait gagal. `CreateKey`kembali`CustomKeyStoreInvalidStateException`. AWS KMS operasi kriptografi kembali`KMSInvalidStateException`. Keduanya menggunakan pesan kesalahan berikut:


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak akses ke operasi. Verifikasi bahwa pengguna dan kunci eksternal keduanya diotorisasi untuk operasi ini, dan coba permintaan lagi. | 
+ Untuk mengatasi kesalahan, gunakan pengelola kunci eksternal atau alat proxy penyimpanan kunci eksternal untuk menentukan mengapa otorisasi gagal. Kemudian, perbarui prosedur yang menyebabkan permintaan tidak sah atau gunakan alat proxy penyimpanan kunci eksternal Anda untuk memperbarui kebijakan otorisasi. Anda tidak dapat menyelesaikan kesalahan ini di AWS KMS.