Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Conexión y desconexión de almacenes de claves externos
Los nuevos almacenes de claves externos no están conectados. Para crear y usar AWS KMS keys en su almacén de claves externo, debe conectar su almacén de claves externo a su [proxy de almacén de claves externo](keystore-external.md#concept-xks-proxy). Puede conectar y desconectar su almacén de claves externo en cualquier momento y [ver su estado de conexión](view-xks-keystore.md).
Mientras el almacén de claves externo esté desconectado, AWS KMS no podrá comunicarse con el proxy del almacén de claves externo. Como resultado, puede ver y administrar su almacén de claves externo y sus claves de KMS existentes. Sin embargo, no puede crear claves de KMS en su almacén de claves externo ni utilizar sus claves de KMS en operaciones criptográficas. Puede que tenga que desconectar el almacén de claves externo en algún momento, por ejemplo, al editar sus propiedades, por lo que debería planificar ante eventualidades. La desconexión del almacén de claves podría interrumpir el funcionamiento de AWS los servicios que utilizan sus claves KMS.
No es obligatorio conectar el almacén de claves externo. Puede dejar un almacén de claves externo desconectado de forma indefinida y conectarlo únicamente cuando tenga que usarlo. Sin embargo, le recomendamos que compruebe la conexión de forma periódica para verificar que la configuración es correcta y que se puede conectar.
Al desconectar un almacén de claves personalizado, las claves de KMS del almacén de claves quedan inutilizables de inmediato (sujeto a posible coherencia). Sin embargo, los recursos cifrados con [claves de datos](data-keys.md) protegidas por la clave de KMS no se ven afectados hasta que se vuelva a utilizar la clave de KMS, por ejemplo, para descifrar la clave de datos. Este problema afecta a los Servicios de AWS, muchos de los cuales utilizan claves de datos para proteger sus recursos. Para obtener más información, consulte [Cómo afectan las claves de KMS obsoletas a las claves de datos](unusable-kms-keys.md).
**nota**
Los almacenes de claves externos tienen un estado `DISCONNECTED` solo cuando el almacén de claves nunca se ha conectado o lo desconecta explícitamente. Un estado `CONNECTED` no indica que el almacén de claves externo o sus componentes de soporte estén funcionando de manera eficiente. Para obtener información sobre el rendimiento de los componentes del almacén de claves externo, consulte los gráficos de la sección **Monitoreo** de la página de detalles de cada almacén de claves externo. Para obtener más información, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
El administrador de claves externo puede proporcionar métodos adicionales para detener y reiniciar la comunicación entre el almacén de claves AWS KMS externo y el proxy del almacén de claves externo, o entre el proxy del almacén de claves externo y el administrador de claves externo. Para obtener más detalles, consulte la documentación del administrador de claves externo.
**Topics**
+ [Estado de la conexión](#xks-connection-state)
+ [Conexión de un almacén de claves externo](about-xks-connecting.md)
+ [Desconexión de un almacén de claves externo](about-xks-disconnecting.md)
## Estado de la conexión
La conexión y la desconexión cambian el *estado de conexión* del almacén de claves personalizado. Los valores del estado de conexión son los mismos para los almacenes de AWS CloudHSM claves y los almacenes de claves externos.
Para ver el estado de conexión del almacén de claves personalizado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operación o la AWS KMS consola. El **Connection state** (Estado de la conexión) aparece en cada tabla de almacén de claves personalizado, en la sección **General configuration** (Configuración general), y en la pestaña **Cryptographic configuration** (Configuración criptográfica) de las claves de KMS de un almacén de claves personalizado. Para más detalles, consulte [Ver un almacén de AWS CloudHSM claves](view-keystore.md) y [Visualización de almacenes de claves externos](view-xks-keystore.md).
Un almacén de claves personalizado puede tener uno de los siguientes estados de conexión:
+ `CONNECTED`: el almacén de claves personalizado está conectado a su almacén de claves de respaldo. Puede crear y usar claves de KMS en el almacén de claves personalizado.
El *almacén de claves de respaldo* de un almacén de AWS CloudHSM claves es su AWS CloudHSM clúster asociado. El *almacén de claves de respaldo* de un almacén de claves externo es el proxy del almacén de claves externo y el administrador de claves externo que admite.
El estado CONNECTED (CONECTADO) significa que la conexión se ha realizado correctamente y que el almacén de claves personalizado no se ha desconectado intencionadamente. No indica que la conexión funcione correctamente. Para obtener información sobre el estado del AWS CloudHSM clúster asociado a su almacén de AWS CloudHSM claves, consulte [Obtener CloudWatch métricas AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html) en la Guía del AWS CloudHSM usuario. Para obtener información sobre el estado y el funcionamiento del almacén de claves externo, consulte los gráficos de la sección **Monitoreo** de la página de detalles de cada almacén de claves externo. Para obtener más información, consulte [Monitoreo de almacenes de claves externos](xks-monitoring.md).
+ `CONNECTING`: el proceso de conectar un almacén de claves personalizado está en curso. Este es un estado transitorio.
+ `DISCONNECTED`: El almacén de claves personalizado nunca se conectó a su soporte o se desconectó intencionadamente mediante la AWS KMS consola o la [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html)operación.
+ `DISCONNECTING`: el proceso de desconexión de un almacén de claves personalizado está en curso. Este es un estado transitorio.
+ `FAILED`: se produjo un error al intentar conectar el almacén de claves personalizado. Lo que `ConnectionErrorCode` aparece en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)respuesta indica el problema.
Para conectar un almacén de claves personalizado, su estado de conexión debe ser `DISCONNECTED`. Si el estado de la conexión es `FAILED`, utilice el `ConnectionErrorCode` para identificar y resolver el problema. Luego, desconecte el almacén de claves personalizado antes de intentar conectarse de nuevo. Si desea ayuda con las conexiones que dan error, consulte [Errores de conexión del almacén de claves externo](xks-troubleshooting.md#fix-xks-connection). Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).
Para ver el código de error de conexión:
+ En la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta, vea el valor del `ConnectionErrorCode` elemento. Este elemento aparece en la respuesta `DescribeCustomKeyStores` solo cuando el `ConnectionState` es `FAILED`.
+ Para ver el código de error de conexión en la AWS KMS consola, vaya a la página de detalles del almacén de claves externo y coloque el cursor sobre el valor de **error**.
![\[Código de error de conexión en la página de detalles del almacén de claves personalizado\]](http://docs.aws.amazon.com/es_es/kms/latest/developerguide/images/connection-error-code.png)
# Conexión de un almacén de claves externo
Cuando el almacén de claves externo esté conectado, puede [crear las claves de KMS en él](create-cmk-keystore.md) y usar las claves de KMS existentes en [operaciones criptográficas](manage-cmk-keystore.md#use-cmk-keystore).
El proceso que conecta un almacén de claves externo a su proxy del almacén de claves externo difiere en función de la conectividad del almacén de claves externo.
+ Cuando conectas un almacén de claves externo con [conectividad de punto final público](keystore-external.md#concept-xks-connectivity), AWS KMS envía una [GetHealthStatus solicitud](keystore-external.md#concept-proxy-apis) al proxy del almacén de claves externo para validar el [extremo URI del proxy, la ruta URI](create-xks-keystore.md#require-endpoint) [del proxy](create-xks-keystore.md#require-path) y la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential). Una respuesta correcta del proxy confirma que el [punto de conexión de la URI del proxy](create-xks-keystore.md#require-endpoint) y [la ruta de la URI del proxy](create-xks-keystore.md#require-path) son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) para el almacén de claves externo.
+ Al conectar un almacén de claves externo con [conectividad del servicio de punto final de VPC](choose-xks-connectivity.md#xks-vpc-connectivity) a su proxy de almacén de claves externo, AWS KMS hace lo siguiente:
+ Confirma que se ha [verificado](vpc-connectivity.md#xks-private-dns) el dominio del nombre DNS privado especificado en el [punto de conexión de URI del proxy](create-xks-keystore.md#require-endpoint).
+ Crea un punto final de interfaz desde una AWS KMS VPC hasta su servicio de punto final de VPC.
+ Crea una zona alojada privada para el nombre DNS privado especificado en el punto de conexión de URI del proxy
+ Envía una [GetHealthStatussolicitud](keystore-external.md#concept-proxy-apis) al proxy del almacén de claves externo. Una respuesta correcta del proxy confirma que el [punto de conexión de la URI del proxy](create-xks-keystore.md#require-endpoint) y [la ruta de la URI del proxy](create-xks-keystore.md#require-path) son precisos y accesibles, y que el proxy autenticó la solicitud firmada con la [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential) para el almacén de claves externo.
La operación de conexión inicia el proceso de conexión del almacén de claves personalizado, pero conectar un almacén de claves externo a su proxy externo tarda aproximadamente cinco minutos. Una respuesta correcta de la operación de conexión no indica que el almacén de claves externo esté conectado. Para confirmar que la conexión se ha realizado correctamente, utilice la AWS KMS consola o la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operación para ver el [estado de la conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo.
Cuando el estado de la conexión es`FAILED`, se muestra un código de error de conexión en la AWS KMS consola y se añade a la `DescribeCustomKeyStore` respuesta. Para obtener ayuda para interpretar los códigos de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).
## Conexión y reconexión a su almacén de claves externo
Puede conectar o volver a conectar el almacén de claves externo en la AWS KMS consola o mediante esta [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación.
### Uso de la consola AWS KMS
Puede utilizar la AWS KMS consola para conectar un almacén de claves externo a su proxy de almacén de claves externo.
1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Elija la fila del almacén de claves externo que desee conectar.
Si el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo es **FAILED** (ERROR), deberá [desconectar el almacén de claves externo](disconnect-keystore.md#disconnect-keystore-console) antes de conectarlo.
1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Connect** (Conectar).
El proceso de conexión suele tardar unos cinco minutos en completarse. Cuando se completa la operación, el [estado de la conexión](xks-connect-disconnect.md#xks-connection-state) cambia a **CONNECTED** (CONECTADO).
Si el estado de conexión es **Failed** (Error), coloque el cursor sobre el estado de la conexión para ver el *código de error de conexión*, que explica la causa del error. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes). Para conectar un almacén de claves externo con un estado de conexión **Failed** (Error), primero debe [desconectar el almacén de claves personalizado](disconnect-keystore.md#disconnect-keystore-console).
### Uso de la API AWS KMS
Para conectar un almacén de claves externo desconectado, utilice la [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operación.
Antes de realizar la conexión, el [estado de conexión](xks-connect-disconnect.md#xks-connection-state) del almacén de claves externo debe ser `DISCONNECTED`. Si el estado de conexión actual es `FAILED`, [desconecte el almacén de claves externo](about-xks-disconnecting.md#disconnect-xks-api) y conéctelo de nuevo.
El proceso de conexión tarda hasta cinco minutos en completarse. A menos que el error sea rápido, la operación `ConnectCustomKeyStore` devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. Sin embargo, esta respuesta inicial no indica que la conexión se haya realizado correctamente. Para determinar si el almacén de claves externo está conectado, consulte el estado de la conexión en la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respuesta.
En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
Para identificar el almacén de claves externo, use el ID del almacén de claves personalizado. Puede encontrar el ID en la página de **almacenes de claves personalizados** de la consola o mediante la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. Antes de ejecutar este ejemplo, reemplace el ID de ejemplo por uno válido.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
En cambio, la operación `ConnectCustomKeyStore` no devuelve el `ConnectionState` en su respuesta. Para comprobar que el almacén de claves externo está conectado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de `ConnectionState` `CONNECTED` indica que el almacén de claves externo está conectado a su proxy del almacén de claves externo.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Si el valor de `ConnectionState` en la respuesta `DescribeCustomKeyStores` es `FAILED`, el elemento `ConnectionErrorCode` indica el motivo del error.
En el siguiente ejemplo, el `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valor de `ConnectionErrorCode` indica que no AWS KMS puede encontrar el servicio de punto final de la VPC que utiliza para comunicarse con el proxy del almacén de claves externo. Compruebe que `XksProxyVpcEndpointServiceName` es correcto, que el principal del AWS KMS servicio es un principal permitido en el servicio de puntos de enlace de Amazon VPC y que el servicio de puntos de enlace de VPC no requiere la aceptación de las solicitudes de conexión. Para obtener ayuda sobre cómo responder a un código de error de conexión, consulte [Códigos de error de conexión para almacenes de claves externos](xks-troubleshooting.md#xks-connection-error-codes).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
# Desconexión de un almacén de claves externo
Al desconectar un almacén de claves externo con [conectividad a un servicio de punto de conexión de VPC](choose-xks-connectivity.md#xks-vpc-connectivity) de su proxy del almacén de claves externo, AWS KMS elimina el punto de conexión de su interfaz al servicio del punto de conexión de VPC y elimina la infraestructura de red que creó para respaldar la conexión. No se requiere ningún proceso equivalente para los almacenes de claves externos con puntos de conexión públicos. Esta acción no afecta al servicio del punto de conexión de VPC ni a ninguno de sus componentes de soporte, ni al proxy del almacén de claves externo ni a ningún componente externo.
Mientras el almacén de claves externo esté desconectado, AWS KMS no envía ninguna solicitud al proxy del almacén de claves externo. El estado de conexión del almacén de claves externo es `DISCONNECTED`. Las claves de KMS del almacén de claves externo desconectado se encuentran en el [estado de clave `UNAVAILABLE`](key-state.md) (a menos que estén [pendientes de eliminación](deleting-keys.md)), lo que significa que no se pueden utilizar en operaciones criptográficas. Sin embargo, aún puede ver y administrar su almacén de claves externo y sus claves de KMS existentes.
El estado desconectado está diseñado para ser temporal y reversible. Puede volver a conectar el almacén de claves externo en cualquier momento. Por lo general, no es necesaria ninguna reconfiguración. Sin embargo, si alguna de las propiedades del proxy del almacén de claves externo asociado cambió mientras estaba desconectado, como la rotación de su [credencial de autenticación del proxy](keystore-external.md#concept-xks-credential), debe [editar la configuración del almacén de claves externo](update-xks-keystore.md) antes de volver a conectarse.
**nota**
Mientras un almacén de claves personalizado esté desconectado, todos los intentos de crear claves KMS en el almacén de claves personalizado o de usar claves KMS existentes en operaciones criptográficas fallarán. Esta acción puede impedir que los usuarios almacenen y accedan a datos confidenciales.
Para realizar una mejor estimación del efecto de desconectar el almacén de claves externo, identifique las claves de KMS en el almacén de claves externo y [determine su uso en el pasado](deleting-keys-determining-usage.md).
Puede desconectar el almacén de claves externo por los motivos siguientes:
+ **Para editar sus propiedades.** Puede editar el nombre del almacén de claves personalizado, la ruta URI del proxy y la credencial de autenticación del proxy mientras el almacén de claves externo esté conectado. Sin embargo, para editar el tipo de conectividad del proxy, el punto de conexión URI del proxy o el nombre del servicio de punto de conexión de VPC, primero debe desconectar el almacén de claves externo. Para obtener más información, consulte [Edición de las propiedades del almacén de claves externo](update-xks-keystore.md).
+ **Para detener todas las comunicaciones** entre AWS KMS y el proxy del almacén de claves externo. También puede detener la comunicación entre AWS KMS y su proxy deshabilitando su punto final o el servicio de punto final de VPC. Además, el proxy del almacén de claves externo o el software de administración de claves pueden proporcionar mecanismos adicionales para AWS KMS impedir la comunicación con el proxy o impedir que el proxy acceda a su administrador de claves externo.
+ **Para deshabilitar todas las claves de KMS** en el almacén de claves externo. Puede [deshabilitar y volver a activar las claves KMS](enabling-keys.md) en un almacén de claves externo mediante la AWS KMS consola o la [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html)operación. Estas operaciones se completan rápidamente (sujeto a eventual consistencia), pero actúan en una clave de KMS cada vez. La desconexión del almacén de claves externo cambia el estado de clave de todas las claves de KMS en el almacén de claves externo a `Unavailable`, lo que evita que se utilicen en operaciones criptográficas.
+ **Para reparar un error en la conexión**. Si el intento de conexión al almacén de claves externo falla (el estado de la conexión del almacén de claves externo es `FAILED`), deberá desconectar el almacén de claves externo antes de intentar conectarlo de nuevo.
## Desconexión de su almacén de claves externo
Puede desconectar el almacén de claves externo de la AWS KMS consola o mediante esta [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación.
### Uso de la AWS KMS consola
Puede utilizar la AWS KMS consola para conectar un almacén de claves externo a su proxy de almacén de claves externo. Este proceso tarda alrededor de 5 minutos en completarse.
1. Inicia sesión en la consola AWS Key Management Service (AWS KMS) Consola de administración de AWS y ábrela en [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Para cambiarla Región de AWS, usa el selector de regiones en la esquina superior derecha de la página.
1. En el panel de navegación, elija **Custom key stores** (Almacenes de claves personalizados), **External key stores** (Almacenes de claves externos).
1. Elija la fila del almacén de claves externo que desee desconectar.
1. En el menú **Key store actions** (Acciones del almacén de claves), seleccione **Disconnect** (Desconectar).
Cuando la operación finalizada, el estado de conexión cambia de **DISCONNECTING (DESCONECTANDO)** a **DISCONNECTED (DESCONECTADO)**. Si la operación da error, aparecerá un mensaje de error donde se describe el problema y se explica cómo resolverlo. Si necesita más ayuda, consulte [Errores de conexión del almacén de claves externo](xks-troubleshooting.md#fix-xks-connection).
### Uso de la API AWS KMS
Para desconectar un almacén de claves externo conectado, utilice la [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisconnectCustomKeyStore.html)operación. Si la operación se realiza correctamente, AWS KMS devuelve una respuesta HTTP 200 y un objeto JSON sin propiedades. El proceso tarda hasta cinco minutos en completarse. Para encontrar el estado de la conexión del almacén de claves externo, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación.
En los ejemplos de esta sección, se utiliza la [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), pero puede usar cualquier lenguaje de programación admitido.
En este ejemplo, se desconecta un almacén de claves externo con la conectividad del servicio del punto de conexión de VPC. Antes de ejecutar este ejemplo, reemplace el ID del almacén de claves personalizado de ejemplo por uno válido.
```
$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
Para comprobar que el almacén de claves externo está desconectado, utilice la [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operación. De forma predeterminada, esta operación devuelve los almacenes de claves personalizados de su cuenta y región. Pero puede usar el parámetro `CustomKeyStoreId` o `CustomKeyStoreName` (pero no ambos) para limitar la respuesta a almacenes de claves personalizados determinados. El valor de `ConnectionState` `DISCONNECTED` indica que el almacén de claves externo ya no está conectado a su proxy del almacén de claves externo.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "DISCONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```