Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Connect toko kunci eksternal
Ketika penyimpanan kunci eksternal Anda terhubung ke proxy penyimpanan kunci eksternal, Anda dapat [membuat kunci KMS di toko kunci eksternal Anda dan menggunakan kunci](create-cmk-keystore.md) KMS yang ada dalam operasi [kriptografi](manage-cmk-keystore.md#use-cmk-keystore).
Proses yang menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal berbeda berdasarkan konektivitas penyimpanan kunci eksternal.
+ Saat Anda menghubungkan penyimpanan kunci eksternal dengan [konektivitas titik akhir publik](keystore-external.md#concept-xks-connectivity), AWS KMS mengirimkan [GetHealthStatus permintaan](keystore-external.md#concept-proxy-apis) ke proxy penyimpanan kunci eksternal untuk memvalidasi [titik akhir URI proxy, [jalur URI proxy](create-xks-keystore.md#require-path)](create-xks-keystore.md#require-endpoint), dan kredensi otentikasi [proxy](keystore-external.md#concept-xks-credential). Respons yang berhasil dari proxy mengonfirmasi bahwa [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) dan [jalur URI proxy](create-xks-keystore.md#require-path) akurat dan dapat diakses, dan bahwa proxy mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal.
+ Saat Anda menghubungkan penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity) ke proxy penyimpanan kunci eksternal, AWS KMS lakukan hal berikut:
+ [Mengonfirmasi bahwa domain untuk nama DNS pribadi yang ditentukan dalam [titik akhir URI proxy telah diverifikasi](create-xks-keystore.md#require-endpoint).](vpc-connectivity.md#xks-private-dns)
+ Membuat titik akhir antarmuka dari AWS KMS VPC ke layanan titik akhir VPC Anda.
+ Membuat zona host pribadi untuk nama DNS pribadi yang ditentukan dalam titik akhir URI proxy
+ Mengirim [GetHealthStatuspermintaan](keystore-external.md#concept-proxy-apis) ke proxy penyimpanan kunci eksternal. Respons yang berhasil dari proxy mengonfirmasi bahwa [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) dan [jalur URI proxy](create-xks-keystore.md#require-path) akurat dan dapat diakses, dan bahwa proxy mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal.
Operasi connect memulai proses menghubungkan toko kunci kustom Anda, tetapi menghubungkan kunci eksternal menyimpannya proxy eksternal membutuhkan waktu sekitar lima menit. Respons sukses dari operasi koneksi tidak menunjukkan bahwa penyimpanan kunci eksternal terhubung. Untuk mengonfirmasi bahwa koneksi berhasil, gunakan AWS KMS konsol atau [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operasi untuk melihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) eksternal penyimpanan kunci Anda.
Ketika status koneksi`FAILED`, kode kesalahan koneksi ditampilkan di AWS KMS konsol dan ditambahkan ke `DescribeCustomKeyStore` respons. Untuk bantuan menafsirkan kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).
## Connect dan sambungkan kembali ke toko kunci eksternal Anda
Anda dapat menghubungkan, atau menghubungkan kembali, penyimpanan kunci eksternal Anda di AWS KMS konsol atau dengan menggunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi.
### Menggunakan AWS KMS konsol
Anda dapat menggunakan AWS KMS konsol untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal.
1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS Key Management Service (AWS KMS) di [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Untuk mengubah Wilayah AWS, gunakan pemilih Wilayah di sudut kanan atas halaman.
1. Di panel navigasi, pilih **Toko kunci khusus, Toko** **kunci eksternal**.
1. Pilih baris toko kunci eksternal yang ingin Anda sambungkan.
Jika [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal **GAGAL**, Anda harus [memutuskan penyimpanan kunci eksternal](disconnect-keystore.md#disconnect-keystore-console) sebelum Anda menghubungkannya.
1. Dari menu **Key Store Actions**, pilih **Connect**.
**Proses koneksi biasanya memakan waktu sekitar lima menit untuk diselesaikan. Ketika operasi selesai, [status koneksi](xks-connect-disconnect.md#xks-connection-state) berubah menjadi CONNECTED.**
Jika status koneksi **Gagal**, arahkan kursor ke status *koneksi untuk melihat kode kesalahan koneksi*, yang menjelaskan penyebab kesalahan. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes). Untuk menghubungkan penyimpanan kunci eksternal dengan status koneksi **Gagal**, Anda harus terlebih dahulu [memutuskan penyimpanan kunci kustom](disconnect-keystore.md#disconnect-keystore-console).
### Menggunakan AWS KMS API
Untuk menghubungkan toko kunci eksternal yang terputus, gunakan [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi.
Sebelum menghubungkan, [status koneksi](xks-connect-disconnect.md#xks-connection-state) dari toko kunci eksternal harus`DISCONNECTED`. Jika keadaan koneksi saat ini`FAILED`, [lepaskan penyimpanan kunci eksternal](about-xks-disconnecting.md#disconnect-xks-api), lalu sambungkan.
Proses koneksi memakan waktu sekitar lima menit untuk diselesaikan. Kecuali gagal dengan cepat, `ConnectCustomKeyStore` mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat status koneksi dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)respons.
Contoh dalam bagian ini menggunakan [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), tetapi Anda dapat menggunakan bahasa pemrograman yang didukung.
Untuk mengidentifikasi penyimpanan kunci eksternal, gunakan ID toko kunci kustom. Anda dapat menemukan ID di halaman **Toko kunci kustom** di konsol atau dengan menggunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Sebelum menjalankan contoh ini, ganti contoh ID dengan yang valid.
```
$ aws kms connect-custom-key-store --custom-key-store-id {{cks-1234567890abcdef0}}
```
`ConnectCustomKeyStore`Operasi tidak mengembalikan `ConnectionState` responsnya. Untuk memverifikasi bahwa penyimpanan kunci eksternal terhubung, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi. Secara default, operasi ini mengembalikan semua penyimpanan kunci kustom di akun dan Wilayah Anda. Namun Anda dapat menggunakan parameter `CustomKeyStoreId` atau `CustomKeyStoreName` (tetapi tidak keduanya) untuk membatasi respons ke penyimpanan kunci kustom tertentu. `ConnectionState`Nilai `CONNECTED` menunjukkan bahwa penyimpanan kunci eksternal terhubung ke proxy penyimpanan kunci eksternal.
```
$ aws kms describe-custom-key-stores --custom-key-store-name {{ExampleXksVpc}}
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Jika `ConnectionState` nilai dalam `DescribeCustomKeyStores` respons adalah`FAILED`, `ConnectionErrorCode` elemen menunjukkan alasan kegagalan.
Dalam contoh berikut, `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` nilai untuk `ConnectionErrorCode` menunjukkan bahwa tidak AWS KMS dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Pastikan `XksProxyVpcEndpointServiceName` sudah benar, prinsipal AWS KMS layanan adalah prinsipal yang diizinkan pada layanan titik akhir VPC Amazon, dan bahwa layanan titik akhir VPC tidak memerlukan penerimaan permintaan koneksi. Untuk bantuan menanggapi kode kesalahan koneksi, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](xks-troubleshooting.md#xks-connection-error-codes).
```
$ aws kms describe-custom-key-stores --custom-key-store-name {{ExampleXksVpc}}
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```