Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Conexión de un almacén de claves externo
<a name="about-xks-connecting"></a>

Cuando el almacén de claves externo esté conectado, puede [crear las claves de KMS en él](create-cmk-keystore.md) y usar las claves de KMS existentes en [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore). 

El proceso que conecta un almacén de claves externo a su proxy del almacén de claves externo difiere en función de la conectividad del almacén de claves externo.
+ Cuando conectas un almacén de claves externo con [conectividad de punto final público](keystore-external.md#concept-xks-connectivity), AWS KMS envía una [GetHealthStatus solicitud](keystore-external.md#concept-proxy-apis) al proxy del almacén de claves externo para validar el [extremo URI del proxy, la ruta URI](create-xks-keystore.md#require-endpoint) [del proxy](create-xks-keystore.md#require-path) y la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential). Una respuesta correcta del proxy confirma que el [punto de conexión de la URI del proxy](create-xks-keystore.md#require-endpoint) y [la ruta de la URI del proxy](create-xks-keystore.md#require-path) son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) para el almacén de claves externo.
+ Al conectar un almacén de claves externo con [conectividad del servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity) a su proxy de almacén de claves externo, AWS KMS hace lo siguiente: 
  + Confirma que se ha [verificado](vpc-connectivity.md#xks-private-dns) el dominio del nombre DNS privado especificado en el [punto de conexión de URI del proxy](create-xks-keystore.md#require-endpoint). 
  + Crea un punto final de interfaz desde una AWS KMS VPC hasta su servicio de punto final de VPC.
  + Crea una zona alojada privada para el nombre DNS privado especificado en el punto de conexión de URI del proxy
  + Envía una [GetHealthStatussolicitud](keystore-external.md#concept-proxy-apis) al proxy del almacén de claves externo. Una respuesta correcta del proxy confirma que el [punto de conexión de la URI del proxy](create-xks-keystore.md#require-endpoint) y [la ruta de la URI del proxy](create-xks-keystore.md#require-path) son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) para el almacén de claves externo.

La operación de conexión inicia el proceso de conexión del almacén de claves personalizado, pero conectar un almacén de claves externo a su proxy externo tarda aproximadamente cinco minutos. Una respuesta correcta de la operación de conexión no indica que el almacén de claves externo esté conectado. Para confirmar que la conexión se ha realizado correctamente, utilice la AWS KMS consola o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operación para ver el [estado de la conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo.

Cuando el estado de la conexión es`FAILED`, se muestra un código de error de conexión en la AWS KMS consola y se añade a la `DescribeCustomKeyStore` respuesta. Para obtener ayuda para interpretar los códigos de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).

## Conexión y reconexión a su almacén de claves externo
<a name="connect-xks"></a>

Puede conectar o volver a conectar el almacén de claves externo en la AWS KMS consola o mediante esta [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación.

### Uso de la consola AWS KMS
<a name="connect-xks-console"></a>

Puede utilizar la AWS KMS consola para conectar un almacén de claves externo a su proxy de almacén de claves externo. 

1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).

1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.

1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).

1. Elija la fila del almacén de claves externo que desee conectar. 

   Si el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo es **FAILED** (ERROR), deberá [desconectar el almacén de claves externo](disconnect-keystore.md#disconnect-keystore-console) antes de conectarlo.

1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Connect** (Conectar).

El proceso de conexión suele tardar unos cinco minutos en completarse. Cuando se completa la operación, el [estado de la conexión](xks-connect-disconnect.md#xks-connection-state) cambia a **CONNECTED** (CONECTADO). 

Si el estado de conexión es **Failed** (Error), coloque el cursor sobre el estado de la conexión para ver el *código de error de conexión*, que explica la causa del error. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes). Para conectar un almacén de claves externo con un estado de conexión **Failed** (Error), primero debe [desconectar el almacén de claves personalizado](disconnect-keystore.md#disconnect-keystore-console).

### Uso de la API AWS KMS
<a name="connect-xks-api"></a>

Para conectar un almacén de claves externo desconectado, utilice la [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación. 

Antes de realizar la conexión, el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo debe ser `DISCONNECTED`. Si el estado de conexión actual es `FAILED`, [desconecte el almacén de claves externo](about-xks-disconnecting.md#disconnect-xks-api) y conéctelo de nuevo. 

El proceso de conexión tarda hasta cinco minutos en completarse. A menos que el error sea rápido, la operación `ConnectCustomKeyStore` devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar si el almacén de claves externo está conectado, consulte el estado de la conexión en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta. 

En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido. 

Para identificar el almacén de claves externo, use el ID del almacén de claves personalizado. Puede encontrar el ID en la página de **almacenes de claves personalizados** de la consola o mediante la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.

```
$ aws kms connect-custom-key-store --custom-key-store-id {{cks-1234567890abcdef0}}
```

En cambio, la operación `ConnectCustomKeyStore` no devuelve el `ConnectionState` en su respuesta. Para comprobar que el almacén de claves externo está conectado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de `ConnectionState` `CONNECTED` indica que el almacén de claves externo está conectado a su proxy del almacén de claves externo.

```
$ aws kms describe-custom-key-stores --custom-key-store-name {{ExampleXksVpc}}
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "CONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```

Si el valor de `ConnectionState` en la respuesta `DescribeCustomKeyStores` es `FAILED`, el elemento `ConnectionErrorCode` indica el motivo del error. 

En el siguiente ejemplo, el `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valor de `ConnectionErrorCode` indica que no AWS KMS puede encontrar el servicio de punto final de la VPC que utiliza para comunicarse con el proxy del almacén de claves externo. Compruebe que `XksProxyVpcEndpointServiceName` es correcto, que el principal del AWS KMS servicio es un principal permitido en el servicio de puntos de enlace de Amazon VPC y que el servicio de puntos de enlace de VPC no requiere la aceptación de las solicitudes de conexión. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).

```
$ aws kms describe-custom-key-stores --custom-key-store-name {{ExampleXksVpc}}
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "FAILED",
      "ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}
```