Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Einen externen Schlüsselspeicher verbinden
Wenn Ihr externer Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist, können Sie [KMS-Schlüssel in Ihrem externen Schlüsselspeicher erstellen](create-cmk-keystore.md) und seine vorhandenen KMS-Schlüssel in [kryptografischen Vorgängen](manage-cmk-keystore.md#use-cmk-keystore) verwenden.
Der Prozess, der einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbindet, unterscheidet sich je nach der Konnektivität des externen Schlüsselspeichers.
+ Wenn Sie einen externen Schlüsselspeicher mit [öffentlicher Endpunktkonnektivität](keystore-external.md#concept-xks-connectivity) verbinden, AWS KMS sendet er eine [GetHealthStatus Anfrage](keystore-external.md#concept-proxy-apis) an den externen Schlüsselspeicher-Proxy, um den [Proxy-URI-Endpunkt, den [Proxy-URI-Pfad](create-xks-keystore.md#require-path)](create-xks-keystore.md#require-endpoint) und die [Anmeldeinformationen für die Proxyauthentifizierung](keystore-external.md#concept-xks-credential) zu überprüfen. Eine erfolgreiche Antwort vom Proxy bestätigt, dass der [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) und der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) korrekt und zugänglich sind und dass der Proxy die mit der [Proxy-Authentifizierungsanmeldeinformation](keystore-external.md#concept-xks-credential) für den externen Schlüsselspeicher signierte Anforderung authentifiziert hat.
+ Wenn Sie einen externen Schlüsselspeicher mit [VPC-Endpunktdienst-Konnektivität](choose-xks-connectivity.md#xks-vpc-connectivity) mit seinem externen Schlüsselspeicher-Proxy verbinden, AWS KMS geht Folgendes vor:
+ Bestätigt, dass die Domain für den im [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) angegebenen privaten DNS-Namen [verifiziert](vpc-connectivity.md#xks-private-dns) ist.
+ Erstellt einen Schnittstellenendpunkt von einer AWS KMS VPC zu Ihrem VPC-Endpunktdienst.
+ Erstellt eine private gehostete Zone für den im Proxy-URI-Endpunkt angegebenen privaten DNS-Namen.
+ Sendet eine [GetHealthStatusAnfrage](keystore-external.md#concept-proxy-apis) an den externen Schlüsselspeicher-Proxy. Eine erfolgreiche Antwort vom Proxy bestätigt, dass der [Proxy-URI-Endpunkt](create-xks-keystore.md#require-endpoint) und der [Proxy-URI-Pfad](create-xks-keystore.md#require-path) korrekt und zugänglich sind und dass der Proxy die mit der [Proxy-Authentifizierungsanmeldeinformation](keystore-external.md#concept-xks-credential) für den externen Schlüsselspeicher signierte Anforderung authentifiziert hat.
Der Verbindungsvorgang beginnt mit der Verbindung Ihres benutzerdefinierten Schlüsselspeichers, die Verbindung eines externen Schlüsselspeichers mit seinem externen Proxy dauert jedoch etwa fünf Minuten. Eine Erfolgsmeldung des Verbindungsvorgangs bedeutet nicht, dass der externe Schlüsselspeicher verbunden ist. Um zu überprüfen, ob die Verbindung erfolgreich war, verwenden Sie die AWS KMS Konsole oder den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)Vorgang, um den [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) Ihres externen Schlüsselspeichers anzuzeigen.
Wenn der Verbindungsstatus lautet`FAILED`, wird ein Verbindungsfehlercode in der AWS KMS Konsole angezeigt und der `DescribeCustomKeyStore` Antwort hinzugefügt. Hilfe zur Interpretation von Verbindungsfehlercodes finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes).
## Connect zu Ihrem externen Schlüsselspeicher her und stellen Sie erneut eine Verbindung her
Sie können Ihren externen Schlüsselspeicher in der AWS KMS Konsole oder mithilfe des Vorgangs verbinden oder erneut verbinden. [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)
### Mithilfe der Konsole AWS KMS
Sie können die AWS KMS Konsole verwenden, um einen externen Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy zu verbinden.
1. Melden Sie sich bei der Konsole AWS Key Management Service (AWS KMS) an AWS-Managementkonsole und öffnen Sie sie unter [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Um das zu ändern AWS-Region, verwenden Sie die Regionsauswahl in der oberen rechten Ecke der Seite.
1. Wählen Sie im Navigationsbereich **Custom key stores** (Benutzerdefinierte Schlüsselspeicher), **External key stores** (Externe Schlüsselspeicher) aus.
1. Wählen Sie die Zeile des externen Schlüsselspeichers aus, den Sie verbinden möchten.
Wenn der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers **FAILED** (FEHLGESCHLAGEN) ist, müssen Sie die [Verbindung des externen Schlüsselspeichers trennen](disconnect-keystore.md#disconnect-keystore-console), bevor Sie ihn verbinden.
1. Wählen Sie im Menü **Key store actions** (Schlüsselspeicheraktionen) die Option **Connect** (Verbinden) aus.
Der Verbindungsvorgang dauert in der Regel etwa fünf Minuten. Wenn der Vorgang abgeschlossen ist, ändert sich der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) in **CONNECTED** (VERBUNDEN).
Wenn der Verbindungsstatus **Failed** (Fehlgeschlagen) ist, bewegen Sie den Mauszeiger über den Verbindungsstatus, um den *Verbindungsfehlercode* zu sehen, der die Ursache des Fehlers erklärt. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes). Um einen externen Schlüsselspeicher mit dem Verbindungsstatus **Failed** (Fehlgeschlagen) zu verbinden, müssen Sie zuerst [den benutzerdefinierten Schlüsselspeicher trennen](disconnect-keystore.md#disconnect-keystore-console).
### Verwenden der API AWS KMS
Verwenden Sie den [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)Vorgang, um eine Verbindung zu einem getrennten externen Schlüsselspeicher herzustellen.
Vor der Verbindung muss der [Verbindungsstatus](xks-connect-disconnect.md#xks-connection-state) des externen Schlüsselspeichers `DISCONNECTED` sein. Wenn der Verbindungsstatus `FAILED` lautet, [trennen Sie den externen Schlüsselspeicher](about-xks-disconnecting.md#disconnect-xks-api) und stellen Sie anschließend die Verbindung her.
Der Verbindungsvorgang dauert etwa fünf Minuten. Wenn er nicht schnell fehlschlägt, gibt `ConnectCustomKeyStore` eine HTTP 200-Antwort und ein JSON-Objekt ohne Eigenschaften zurück. Diese erste Antwort gibt jedoch nicht an, dass die Verbindung erfolgreich war. Um festzustellen, ob der externe Schlüsselspeicher verbunden ist, sehen Sie sich den Verbindungsstatus in der [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Antwort an.
Für diese Beispiele wird die [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/) verwendet. Sie können aber jede unterstützte Programmiersprache nutzen.
Identifizieren Sie den externen Schlüsselspeicher anhand der ID des benutzerdefinierten Schlüsselspeichers. Sie finden die ID auf der Seite **Benutzerdefinierte Schlüsselspeicher** in der Konsole oder mithilfe des [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgangs. Ersetzen Sie vor Ausführung dieses Beispiels die Beispiel-ID durch eine gültige ID.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Der `ConnectCustomKeyStore`-Vorgang gibt den `ConnectionState` nicht in seiner Antwort zurück. Verwenden Sie den [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)Vorgang, um zu überprüfen, ob der externe Schlüsselspeicher angeschlossen ist. Diese Produktion gibt standardmäßig alle benutzerdefinierten Schlüsselspeicher innerhalb des Kontos und der Region zurück. Sie können jedoch entweder den Parameter `CustomKeyStoreId` oder `CustomKeyStoreName` (aber nicht beide) verwenden, um die Antwort auf bestimmte benutzerdefinierte Schlüsselspeicher zu begrenzen. Der `ConnectionState`-Wert `CONNECTED` bedeutet, dass der externe Schlüsselspeicher mit seinem externen Schlüsselspeicher-Proxy verbunden ist.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Wenn der `ConnectionState`-Wert in der `DescribeCustomKeyStores`-Antwort `FAILED` lautet, gibt das `ConnectionErrorCode`-Element den Grund für den Fehler an.
Im folgenden Beispiel `ConnectionErrorCode` gibt der `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` Wert für an, dass der VPC-Endpunktdienst, den er für die Kommunikation mit dem externen Schlüsselspeicher-Proxy verwendet, nicht gefunden werden AWS KMS kann. Stellen Sie sicher, `XksProxyVpcEndpointServiceName` dass der AWS KMS Service Principal ein zulässiger Principal auf dem Amazon VPC-Endpunktservice ist und dass der VPC-Endpunktservice keine Annahme von Verbindungsanfragen erfordert. Hilfe beim Beantworten eines Verbindungsfehlercodes finden Sie unter [Verbindungsfehlercodes für externe Schlüsselspeicher](xks-troubleshooting.md#xks-connection-error-codes).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```