Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memecahkan masalah toko kunci eksternal
<a name="xks-troubleshooting"></a>

Resolusi untuk sebagian besar masalah dengan penyimpanan kunci eksternal ditunjukkan oleh pesan kesalahan yang AWS KMS ditampilkan dengan setiap pengecualian, atau oleh [kode kesalahan koneksi](#fix-xks-connection) yang AWS KMS kembali ketika upaya untuk [menghubungkan penyimpanan kunci eksternal](xks-connect-disconnect.md) ke proxy penyimpanan kunci eksternal gagal. Namun, beberapa masalah sedikit lebih kompleks. 

Saat mendiagnosis masalah dengan penyimpanan kunci eksternal, pertama-tama temukan penyebabnya. Ini akan mempersempit berbagai solusi dan membuat pemecahan masalah Anda lebih efisien.
+ AWS KMS — Masalahnya mungkin ada di dalam AWS KMS, seperti nilai yang salah dalam [konfigurasi penyimpanan kunci eksternal](create-xks-keystore.md#xks-requirements) Anda.
+ Eksternal — Masalah mungkin berasal dari luar AWS KMS, termasuk masalah dengan konfigurasi atau pengoperasian proxy penyimpanan kunci eksternal, manajer kunci eksternal, kunci eksternal, atau layanan titik akhir VPC.
+ Jaringan — Ini mungkin masalah dengan konektivitas atau jaringan, seperti masalah dengan titik akhir proxy, port, tumpukan IP, atau nama atau domain DNS pribadi Anda.

**catatan**  
Ketika operasi manajemen pada penyimpanan kunci eksternal gagal, mereka menghasilkan beberapa pengecualian yang berbeda. Tetapi operasi AWS KMS kriptografi kembali `KMSInvalidStateException` untuk semua kegagalan yang terkait dengan konfigurasi eksternal atau status koneksi dari penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan teks pesan kesalahan yang menyertainya.  
[ConnectCustomKeyStore](xks-connect-disconnect.md)Operasi berhasil dengan cepat sebelum proses koneksi selesai. Untuk menentukan apakah proses koneksi berhasil, lihat [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal. Jika proses koneksi gagal, AWS KMS mengembalikan [kode kesalahan koneksi](#xks-connection-error-codes) yang menjelaskan penyebabnya dan menyarankan solusi.

**Topics**
+ [Alat pemecahan masalah untuk penyimpanan kunci eksternal](#xks-troubleshooting-tools)
+ [Kesalahan konfigurasi](#fix-xks-configuration)
+ [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection)
+ [Kesalahan latensi dan batas waktu](#fix-xks-latency)
+ [Kesalahan kredensi otentikasi](#fix-xks-credentials)
+ [Kesalahan status kunci](#fix-unavailable-xks-keys)
+ [Kesalahan dekripsi](#fix-xks-decrypt)
+ [Kesalahan kunci eksternal](#fix-external-key)
+ [Masalah proxy](#fix-xks-proxy)
+ [Masalah otorisasi proxy](#fix-xks-authorization)

## Alat pemecahan masalah untuk penyimpanan kunci eksternal
<a name="xks-troubleshooting-tools"></a>

AWS KMS menyediakan beberapa alat untuk membantu Anda mengidentifikasi dan menyelesaikan masalah dengan toko kunci eksternal Anda dan kuncinya. Gunakan alat ini bersama dengan alat yang disediakan dengan proxy penyimpanan kunci eksternal dan manajer kunci eksternal Anda.

**catatan**  
Proxy penyimpanan kunci eksternal dan pengelola kunci eksternal Anda mungkin menyediakan metode yang lebih mudah untuk membuat dan memelihara penyimpanan kunci eksternal Anda dan kunci KMS-nya. Untuk detailnya, lihat dokumentasi untuk alat eksternal Anda. 

**AWS KMS pengecualian dan pesan kesalahan**  
AWS KMS memberikan pesan kesalahan terperinci tentang masalah apa pun yang dihadapinya. Anda dapat menemukan informasi tambahan tentang AWS KMS pengecualian di [https://docs.aws.amazon.com/kms/latest/APIReference/](https://docs.aws.amazon.com/kms/latest/APIReference/) dan AWS SDKs. Bahkan jika Anda menggunakan AWS KMS konsol, Anda mungkin menemukan referensi ini berguna. Misalnya, lihat daftar [Kesalahan](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateCustomKeyStore.html#API_CreateCustomKeyStore_Errors) untuk `CreateCustomKeyStores` operasi.  
Untuk mengoptimalkan kinerja proxy penyimpanan kunci eksternal Anda, AWS KMS mengembalikan pengecualian berdasarkan keandalan proxy Anda dalam periode agregasi tertentu selama 5 menit. Jika terjadi Kesalahan Server Internal 500, Layanan 503 Tidak Tersedia, atau batas waktu koneksi, proxy dengan keandalan tinggi mengembalikan `KMSInternalException` dan memicu percobaan ulang otomatis untuk memastikan bahwa permintaan akhirnya berhasil. Namun, proxy dengan keandalan rendah kembali`KMSInvalidStateException`. Untuk informasi selengkapnya, lihat [Memantau penyimpanan kunci eksternal](https://docs.aws.amazon.com/kms/latest/developerguide/xks-monitoring.html).   
Jika masalah muncul di AWS layanan yang berbeda, seperti ketika Anda menggunakan kunci KMS di penyimpanan kunci eksternal Anda untuk melindungi sumber daya di AWS layanan lain, AWS layanan mungkin memberikan informasi tambahan untuk membantu Anda mengidentifikasi masalah. Jika AWS layanan tidak menyediakan pesan, Anda dapat melihat pesan kesalahan di [CloudTrail log](logging-using-cloudtrail.md) yang merekam penggunaan kunci KMS Anda.

**[CloudTrail log](logging-using-cloudtrail.md)**  
Setiap operasi AWS KMS API, termasuk tindakan di AWS KMS konsol, dicatat dalam AWS CloudTrail log. AWS KMS mencatat entri log untuk operasi yang berhasil dan gagal. Untuk operasi yang gagal, entri log menyertakan nama AWS KMS pengecualian (`errorCode`) dan pesan kesalahan (`errorMessage`). Anda dapat menggunakan informasi ini untuk membantu Anda mengidentifikasi dan mengatasi kesalahan. Sebagai contoh, lihat [Dekripsi kegagalan dengan kunci KMS di toko kunci eksternal](ct-decrypt.md#ct-decrypt-xks-fail).  
Entri log juga menyertakan ID permintaan. Jika permintaan mencapai proxy penyimpanan kunci eksternal Anda, Anda dapat menggunakan ID permintaan di entri log untuk menemukan permintaan yang sesuai di log proxy Anda, jika proxy Anda menyediakannya.

**[CloudWatch metrik](monitoring-cloudwatch.md#kms-metrics)**  
AWS KMS mencatat CloudWatch metrik Amazon terperinci tentang pengoperasian dan kinerja penyimpanan kunci eksternal Anda, termasuk latensi, pembatasan, kesalahan proxy, status pengelola kunci eksternal, jumlah hari hingga sertifikat TLS Anda kedaluwarsa, dan usia kredensyal autentikasi proxy yang dilaporkan. Anda dapat menggunakan metrik ini untuk mengembangkan model data untuk pengoperasian penyimpanan kunci eksternal dan CloudWatch alarm yang mengingatkan Anda tentang masalah yang akan datang sebelum terjadi.   
AWS KMS merekomendasikan agar Anda membuat CloudWatch alarm untuk memantau metrik penyimpanan kunci eksternal. Alarm ini akan mengingatkan Anda tentang tanda-tanda awal masalah sebelum berkembang.

**[Grafik pemantauan](xks-monitoring.md)**  
AWS KMS menampilkan grafik CloudWatch metrik penyimpanan kunci eksternal pada halaman detail untuk setiap penyimpanan kunci eksternal di AWS KMS konsol. Anda dapat menggunakan data dalam grafik untuk membantu menemukan sumber kesalahan, mendeteksi masalah yang akan datang, menetapkan garis dasar, dan memperbaiki ambang alarm Anda. CloudWatch Untuk detail tentang menafsirkan grafik pemantauan dan menggunakan datanya, lihat. [Pantau toko kunci eksternal](xks-monitoring.md)

**Menampilkan toko kunci eksternal dan kunci KMS**  
AWS KMS menampilkan informasi terperinci tentang penyimpanan kunci eksternal Anda dan kunci KMS di toko kunci eksternal di AWS KMS konsol, dan dalam respons terhadap [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)dan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi. Tampilan ini mencakup bidang khusus untuk penyimpanan kunci eksternal dan kunci KMS dengan informasi yang dapat Anda gunakan untuk pemecahan masalah, seperti [status koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal dan ID kunci eksternal yang terkait dengan kunci KMS. Lihat perinciannya di [Lihat toko kunci eksternal](view-xks-keystore.md).

**[Klien Uji Proxy XKS](https://github.com/aws-samples/aws-kms-xksproxy-test-client)**  
AWS KMS menyediakan klien pengujian open source yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Anda dapat menggunakan klien pengujian ini untuk mengidentifikasi dan menyelesaikan masalah dengan proxy penyimpanan kunci eksternal Anda.

## Kesalahan konfigurasi
<a name="fix-xks-configuration"></a>

[Saat membuat penyimpanan kunci eksternal, Anda menentukan nilai properti yang terdiri dari *konfigurasi* penyimpanan kunci eksternal Anda, seperti [kredensi otentikasi proxy](create-xks-keystore.md#require-credential), [titik akhir URI proxy, jalur [URI proxy,](create-xks-keystore.md#require-path) dan nama layanan titik akhir](create-xks-keystore.md#require-endpoint) VPC.](create-xks-keystore.md#require-vpc-service-name) Ketika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan mengembalikan kesalahan yang menunjukkan nilai yang salah. 

Banyak masalah konfigurasi dapat diselesaikan dengan memperbaiki nilai yang salah. Anda dapat memperbaiki jalur URI proxy yang tidak valid atau kredensi otentikasi proxy tanpa memutuskan penyimpanan kunci eksternal. Untuk definisi nilai-nilai ini, termasuk persyaratan keunikan, lihat. [Memasang prasyarat](create-xks-keystore.md#xks-requirements) Untuk petunjuk tentang memperbarui nilai-nilai ini, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Untuk menghindari kesalahan pada jalur URI proxy dan nilai kredensi autentikasi proxy, saat membuat atau memperbarui penyimpanan kunci eksternal, unggah [file konfigurasi proxy](create-xks-keystore.md#proxy-configuration-file) ke konsol. AWS KMS Ini adalah file berbasis JSON dengan jalur URI proxy dan nilai kredensi otentikasi proxy yang disediakan oleh proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Anda tidak dapat menggunakan file konfigurasi proxy dengan operasi AWS KMS API, tetapi Anda dapat menggunakan nilai dalam file untuk membantu Anda memberikan nilai parameter untuk permintaan API yang cocok dengan nilai dalam proxy Anda.

### Kesalahan konfigurasi umum
<a name="fix-xks-gen-configuration"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyInvalidConfigurationException` (operasi manajemen, kecuali untuk) `CreateKey`

[**Kode kesalahan koneksi**](#xks-connection-error-codes):`XKS_PROXY_INVALID_CONFIGURATION`, `XKS_PROXY_INVALID_TLS_CONFIGURATION`

Untuk penyimpanan kunci eksternal dengan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint), AWS KMS uji nilai properti saat Anda membuat dan memperbarui penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan [konektivitas layanan titik akhir VPC](choose-xks-connectivity.md#xks-vpc-connectivity), AWS KMS uji nilai properti saat Anda menghubungkan dan memperbarui penyimpanan kunci eksternal. 

**catatan**  
`ConnectCustomKeyStore`Operasi, yang asinkron, mungkin berhasil meskipun upaya untuk menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan kunci eksternal gagal. Dalam hal ini, tidak ada pengecualian, tetapi status koneksi penyimpanan kunci eksternal Gagal, dan kode kesalahan koneksi menjelaskan pesan kesalahan. Untuk informasi selengkapnya, lihat [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection).

Jika AWS KMS mendeteksi kesalahan dalam nilai properti, operasi gagal dan kembali `XksProxyInvalidConfigurationException` dengan salah satu pesan kesalahan berikut.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena jalur URI tidak valid. Verifikasi jalur URI untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu. | 
+ [Jalur URI proxy](create-xks-keystore.md#require-path) adalah jalur dasar untuk AWS KMS permintaan ke proxy APIs. Jika jalur ini salah, semua permintaan ke proxy gagal. Untuk [melihat jalur URI proxy saat ini](view-xks-keystore.md) untuk penyimpanan kunci eksternal Anda, gunakan AWS KMS konsol atau `DescribeCustomKeyStores` operasi. Untuk menemukan jalur URI proxy yang benar, lihat dokumentasi proxy penyimpanan kunci eksternal Anda. Untuk bantuan mengoreksi nilai jalur URI proxy Anda, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).
+ Jalur URI proxy untuk proxy penyimpanan kunci eksternal Anda dapat berubah dengan pembaruan ke proxy penyimpanan kunci eksternal atau pengelola kunci eksternal Anda. Untuk informasi tentang perubahan ini, lihat dokumentasi untuk proxy penyimpanan kunci eksternal atau pengelola kunci eksternal.


|  | 
| --- |
| `XKS_PROXY_INVALID_TLS_CONFIGURATION`AWS KMS tidak dapat membuat koneksi TLS ke proxy penyimpanan kunci eksternal. Verifikasi konfigurasi TLS, termasuk sertifikatnya. | 
+ Semua proxy penyimpanan kunci eksternal memerlukan sertifikat TLS. Sertifikat TLS harus dikeluarkan oleh otoritas sertifikat publik (CA) yang didukung untuk toko kunci eksternal. Untuk daftar dukungan CAs, lihat [Otoritas Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities) di Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal.
+ Untuk konektivitas titik akhir publik, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama domain di [titik akhir URI proxy](create-xks-keystore.md#require-endpoint) untuk proxy penyimpanan kunci eksternal. Misalnya, jika titik akhir publik adalah https://myproxy.xks.example.com, TLS, CN pada sertifikat TLS harus atau. `myproxy.xks.example.com` `*.xks.example.com`
+ [Untuk konektivitas layanan titik akhir VPC, nama umum subjek (CN) pada sertifikat TLS harus cocok dengan nama DNS pribadi untuk layanan titik akhir VPC Anda.](create-xks-keystore.md#require-vpc-service-name) Misalnya, jika nama DNS pribadi adalah myproxy-private.xks.example.com, CN pada sertifikat TLS harus atau. `myproxy-private.xks.example.com` `*.xks.example.com`
+ Sertifikat TLS tidak dapat kedaluwarsa. [Untuk mendapatkan tanggal kedaluwarsa sertifikat TLS, gunakan alat SSL, seperti OpenSSL.](https://www.openssl.org/) Untuk memantau tanggal kedaluwarsa sertifikat TLS yang terkait dengan penyimpanan kunci eksternal, gunakan metrik. [XksProxyCertificateDaysToExpire](monitoring-cloudwatch.md#metric-xks-proxy-certificate-days-to-expire) CloudWatch Jumlah hari untuk tanggal kedaluwarsa sertifikasi TLS Anda juga muncul di [bagian **Pemantauan** konsol](xks-monitoring.md). AWS KMS 
+ Jika Anda menggunakan [konektivitas titik akhir publik](choose-xks-connectivity.md#xks-connectivity-public-endpoint), gunakan alat uji SSL untuk menguji konfigurasi SSL Anda. Kesalahan koneksi TLS dapat terjadi akibat rantai sertifikat yang salah. 

### Kesalahan konfigurasi konektivitas layanan titik akhir VPC
<a name="fix-xks-vpc-configuration"></a>

**Pengecualian**:`XksProxyVpcEndpointServiceNotFoundException`, `XksProxyVpcEndpointServiceInvalidConfigurationException`

Selain masalah konektivitas umum, Anda mungkin mengalami masalah berikut saat membuat, menghubungkan, atau memperbarui penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC. AWS KMS menguji nilai properti penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC saat [membuat](create-xks-keystore.md), [menghubungkan](xks-connect-disconnect.md), dan [memperbarui](update-xks-keystore.md) penyimpanan kunci eksternal. Ketika operasi manajemen gagal karena kesalahan konfigurasi, mereka menghasilkan pengecualian berikut:


|  | 
| --- |
| XksProxyVpcEndpointServiceNotFoundException | 

Penyebabnya mungkin salah satu dari berikut ini:
+ Nama layanan titik akhir VPC yang salah. Verifikasi bahwa nama layanan titik akhir VPC untuk penyimpanan kunci eksternal sudah benar dan cocok dengan nilai titik akhir URI proxy untuk penyimpanan kunci eksternal. Untuk menemukan nama layanan titik akhir VPC, gunakan konsol [VPC](https://console.aws.amazon.com/vpc) Amazon atau operasinya. [DescribeVpcEndpointServices](https://docs.aws.amazon.com/AmazonVPC/latest/APIReference/DescribeVpcEndpointServices.html) Untuk menemukan nama layanan titik akhir VPC dan titik akhir URI proxy dari penyimpanan kunci eksternal yang ada, gunakan AWS KMS konsol atau operasi. [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) Lihat perinciannya di [Lihat toko kunci eksternal](view-xks-keystore.md).
+ Layanan titik akhir VPC mungkin berbeda Wilayah AWS dari penyimpanan kunci eksternal. Verifikasi bahwa layanan titik akhir VPC dan penyimpanan kunci eksternal berada di Wilayah yang sama. (Nama eksternal nama Wilayah, seperti, adalah bagian dari nama layanan titik akhir VPC`us-east-1`, seperti com.amazonaws.vpce.us-east-1. vpce-svc-example.) Untuk daftar persyaratan layanan titik akhir VPC untuk penyimpanan kunci eksternal, lihat. [Layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) Anda tidak dapat memindahkan layanan titik akhir VPC atau penyimpanan kunci eksternal ke Wilayah lain. Namun, Anda dapat membuat penyimpanan kunci eksternal baru di Wilayah yang sama dengan layanan titik akhir VPC. Untuk detailnya, lihat [Konfigurasikan konektivitas layanan titik akhir VPC](vpc-connectivity.md) dan [Buat toko kunci eksternal](create-xks-keystore.md).
+ AWS KMS bukan prinsipal yang diizinkan untuk layanan titik akhir VPC. Daftar **Allow principals** untuk layanan endpoint VPC harus menyertakan nilai, seperti. `cks.kms.{{<region>}}.amazonaws.com` `cks.kms.{{eu-west-3}}.amazonaws.com` Untuk petunjuk tentang menambahkan nilai ini, lihat [Mengelola izin](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#add-remove-permissions) di *AWS PrivateLink Panduan*.


|  | 
| --- |
| XksProxyVpcEndpointServiceInvalidConfigurationException | 

Kesalahan ini terjadi ketika layanan titik akhir VPC gagal memenuhi salah satu persyaratan berikut:
+ VPC membutuhkan setidaknya dua subnet pribadi, masing-masing di Availability Zone yang berbeda. *Untuk bantuan menambahkan subnet ke VPC Anda, [lihat Membuat subnet di VPC Anda di Panduan Pengguna Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-subnets.html#create-subnets).*
+ [Jenis layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) Anda harus menggunakan penyeimbang beban jaringan, bukan penyeimbang beban gateway.
+ Penerimaan tidak harus diperlukan untuk layanan titik akhir VPC (**Penerimaan yang diperlukan** harus salah.). Jika penerimaan manual dari setiap permintaan koneksi diperlukan, AWS KMS tidak dapat menggunakan layanan titik akhir VPC untuk terhubung ke proxy penyimpanan kunci eksternal. Untuk detailnya, lihat [Menerima atau menolak permintaan koneksi](https://docs.aws.amazon.com/vpc/latest/privatelink/configure-endpoint-service.html#accept-reject-connection-requests) di *AWS PrivateLink Panduan*.
+ Layanan titik akhir VPC harus memiliki nama DNS pribadi yang merupakan subdomain dari domain publik. Misalnya, jika nama DNS pribadi adalah`https://myproxy-private.xks.example.com`, `example.com` domain `xks.example.com` atau harus memiliki server DNS publik. *Untuk melihat atau mengubah nama DNS pribadi untuk layanan titik akhir VPC Anda, [lihat Mengelola nama DNS untuk layanan titik akhir VPC](https://docs.aws.amazon.com/vpc/latest/privatelink/manage-dns-names.html) di Panduan.AWS PrivateLink *
+ **Status verifikasi Domain** domain untuk nama DNS pribadi Anda harus`verified`. Untuk melihat dan memperbarui status verifikasi domain nama DNS pribadi, lihat[Langkah 5: Verifikasi domain nama DNS pribadi Anda](vpc-connectivity.md#xks-private-dns). Mungkin perlu beberapa menit agar status verifikasi yang diperbarui muncul setelah Anda menambahkan catatan teks yang diperlukan. 
**catatan**  
Domain DNS pribadi dapat diverifikasi hanya jika itu adalah subdomain dari domain publik. Jika tidak, status verifikasi domain DNS pribadi tidak berubah, bahkan setelah Anda menambahkan catatan TXT yang diperlukan. 
+ Pastikan bahwa setiap firewall antara AWS KMS dan proxy penyimpanan kunci eksternal memungkinkan lalu lintas ke dan dari port 443 pada proxy. AWS KMS berkomunikasi di port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.
+ Nama DNS pribadi dari layanan titik akhir VPC harus cocok dengan nilai titik akhir [URI proxy](create-xks-keystore.md#require-endpoint) untuk penyimpanan kunci eksternal. Untuk penyimpanan kunci eksternal dengan konektivitas layanan titik akhir VPC, titik akhir URI proxy harus `https://` diikuti dengan nama DNS pribadi dari layanan titik akhir VPC. Untuk melihat nilai titik akhir URI proxy, lihat[Lihat toko kunci eksternal](view-xks-keystore.md). Untuk mengubah nilai titik akhir URI proxy, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

## Kesalahan koneksi penyimpanan kunci eksternal
<a name="fix-xks-connection"></a>

[Proses menghubungkan penyimpanan kunci eksternal ke proxy penyimpanan](about-xks-connecting.md) kunci eksternal membutuhkan waktu sekitar lima menit untuk menyelesaikannya. Kecuali gagal dengan cepat, `ConnectCustomKeyStore` operasi mengembalikan respons HTTP 200 dan objek JSON tanpa properti. Namun, respons awal ini tidak menunjukkan bahwa koneksi berhasil. Untuk menentukan apakah penyimpanan kunci eksternal terhubung, lihat [status koneksinya](xks-connect-disconnect.md#xks-connection-state). Jika koneksi gagal, status koneksi penyimpanan kunci eksternal berubah `FAILED` dan AWS KMS mengembalikan [kode kesalahan koneksi](#xks-connection-error-codes) yang menjelaskan penyebab kegagalan.

**catatan**  
Ketika status koneksi penyimpanan kunci kustom`FAILED`, Anda harus memutuskan penyimpanan kunci khusus sebelum mencoba menghubungkannya kembali. Anda tidak dapat menghubungkan penyimpanan kunci kustom dengan status koneksi `FAILED`.

Untuk melihat status koneksi penyimpanan kunci eksternal:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionState` elemen.
+ Di AWS KMS konsol, **status koneksi** muncul di tabel penyimpanan kunci eksternal. Juga, pada halaman detail untuk setiap penyimpanan kunci eksternal, **status Koneksi** muncul di bagian **Konfigurasi umum**.

Ketika status koneksi`FAILED`, kode kesalahan koneksi membantu menjelaskan kesalahan. 

Untuk melihat kode kesalahan koneksi:
+ Dalam [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)tanggapannya, lihat nilai `ConnectionErrorCode` elemen. Elemen ini muncul dalam `DescribeCustomKeyStores` respons hanya ketika `ConnectionState` ada`FAILED`.
+ Untuk melihat kode kesalahan koneksi di AWS KMS konsol, pada halaman detail untuk penyimpanan kunci eksternal dan arahkan kursor ke nilai **Gagal**.  
![Kode kesalahan koneksi pada halaman detail toko kunci khusus](http://docs.aws.amazon.com/id_id/kms/latest/developerguide/images/connection-error-code.png)

### Kode kesalahan koneksi untuk penyimpanan kunci eksternal
<a name="xks-connection-error-codes"></a>

Kode kesalahan koneksi berikut berlaku untuk toko kunci eksternal

`INTERNAL_ERROR`  
AWS KMS tidak dapat menyelesaikan permintaan karena kesalahan internal. Coba lagi permintaannya. Untuk permintaan `ConnectCustomKeyStore`, putuskan koneksi penyimpanan kunci kustom sebelum mencoba menyambungkan lagi.

`INVALID_CREDENTIALS`  
Salah satu atau kedua `XksProxyAuthenticationCredential` nilai tidak valid pada proxy penyimpanan kunci eksternal yang ditentukan.

`NETWORK_ERRORS`  
Kesalahan jaringan AWS KMS mencegah menghubungkan toko kunci khusus ke toko kunci pendukungnya.

`XKS_PROXY_ACCESS_DENIED`  
AWS KMS permintaan ditolak akses ke proxy penyimpanan kunci eksternal. Jika proxy penyimpanan kunci eksternal memiliki aturan otorisasi, verifikasi bahwa mereka mengizinkan AWS KMS untuk berkomunikasi dengan proxy atas nama Anda.

`XKS_PROXY_INVALID_CONFIGURATION`  
Kesalahan konfigurasi mencegah penyimpanan kunci eksternal terhubung ke proxy-nya. Verifikasi nilai`XksProxyUriPath`.

`XKS_PROXY_INVALID_RESPONSE`  
AWS KMS tidak dapat menafsirkan respons dari proxy penyimpanan kunci eksternal. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.

`XKS_PROXY_INVALID_TLS_CONFIGURATION`  
AWS KMS tidak dapat terhubung ke proxy penyimpanan kunci eksternal karena konfigurasi TLS tidak valid. Verifikasi bahwa proxy penyimpanan kunci eksternal mendukung TLS 1.2 atau 1.3. Juga, verifikasi bahwa sertifikat TLS tidak kedaluwarsa, bahwa itu cocok dengan nama host dalam `XksProxyUriEndpoint` nilai, dan bahwa itu ditandatangani oleh otoritas sertifikat tepercaya yang termasuk dalam daftar Otoritas [Sertifikat Tepercaya](https://github.com/aws/aws-kms-xksproxy-api-spec/blob/main/TrustedCertificateAuthorities).

`XKS_PROXY_NOT_REACHABLE`  
AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal Anda. Verifikasi bahwa `XksProxyUriEndpoint` `XksProxyUriPath` dan benar. Gunakan alat untuk proxy penyimpanan kunci eksternal Anda untuk memverifikasi bahwa proxy aktif dan tersedia di jaringannya. Juga, verifikasi bahwa instans pengelola kunci eksternal Anda beroperasi dengan benar. Upaya koneksi gagal dengan kode kesalahan koneksi ini jika proxy melaporkan bahwa semua instance pengelola kunci eksternal tidak tersedia.

`XKS_PROXY_TIMED_OUT`  
AWS KMS dapat terhubung ke proxy penyimpanan kunci eksternal, tetapi proxy tidak merespons AWS KMS dalam waktu yang ditentukan. Jika Anda melihat kode kesalahan koneksi ini berulang kali, beri tahu vendor proxy penyimpanan kunci eksternal Anda.

`XKS_VPC_ENDPOINT_SERVICE_INVALID_CONFIGURATION`  
Konfigurasi layanan titik akhir Amazon VPC tidak sesuai dengan persyaratan untuk penyimpanan kunci eksternal AWS KMS .  
+ Layanan titik akhir VPC harus berupa layanan titik akhir untuk titik akhir antarmuka di pemanggil. Akun AWS
+ Ini harus memiliki penyeimbang beban jaringan (NLB) yang terhubung ke setidaknya dua subnet, masing-masing di Availability Zone yang berbeda.
+ `Allow principals`Daftar harus mencakup kepala AWS KMS layanan untuk Wilayah`cks.kms.<region>.amazonaws.com`, seperti`cks.kms.us-east-1.amazonaws.com`.
+ Itu *tidak* boleh memerlukan [penerimaan](https://docs.aws.amazon.com/vpc/latest/privatelink/create-endpoint-service.html) permintaan koneksi.
+ Itu harus memiliki nama DNS pribadi. Nama DNS pribadi untuk penyimpanan kunci eksternal dengan `VPC_ENDPOINT_SERVICE` konektivitas harus unik di dalamnya Wilayah AWS.
+ Domain nama DNS pribadi harus memiliki [status verifikasi](https://docs.aws.amazon.com/vpc/latest/privatelink/verify-domains.html). `verified`
+ [Sertifikat TLS](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/create-tls-listener.html) menentukan nama host DNS pribadi di mana titik akhir dapat dijangkau.

`XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND`  
AWS KMS tidak dapat menemukan layanan titik akhir VPC yang digunakannya untuk berkomunikasi dengan proxy penyimpanan kunci eksternal. Verifikasi bahwa `XksProxyVpcEndpointServiceName` itu benar dan kepala AWS KMS layanan memiliki izin konsumen layanan di layanan titik akhir Amazon VPC.

## Kesalahan latensi dan batas waktu
<a name="fix-xks-latency"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyUriUnreachableException` (operasi manajemen)

[**Kode kesalahan koneksi**](#xks-connection-error-codes):`XKS_PROXY_NOT_REACHABLE`, `XKS_PROXY_TIMED_OUT`

Ketika tidak AWS KMS dapat menghubungi proxy dalam interval batas waktu 250 milidetik, ia mengembalikan pengecualian. `CreateCustomKeyStore`dan `UpdateCustomKeyStore` kembali`XksProxyUriUnreachableException`. Operasi kriptografi mengembalikan standar `KMSInvalidStateException` dengan pesan kesalahan yang menjelaskan masalah. Jika `ConnectCustomKeyStore` gagal, AWS KMS mengembalikan [kode kesalahan koneksi](#fix-xks-connection) yang menjelaskan masalah. 

Kesalahan batas waktu mungkin merupakan masalah sementara yang dapat diselesaikan dengan mencoba kembali permintaan. Jika masalah berlanjut, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan bahwa titik akhir URI proxy, jalur URI proxy, dan nama layanan titik akhir VPC (jika ada) sudah benar di penyimpanan kunci eksternal Anda. Juga, verifikasi bahwa manajer kunci eksternal Anda dekat dengan Wilayah AWS untuk penyimpanan kunci eksternal Anda. Jika Anda perlu memperbarui salah satu dari nilai-nilai ini, lihat[Edit properti penyimpanan kunci eksternal](update-xks-keystore.md).

Untuk melacak pola latensi, gunakan [`XksProxyLatency`](monitoring-cloudwatch.md#metric-xks-proxy-latency) CloudWatch metrik dan grafik **latensi rata-rata** (berdasarkan metrik tersebut) di [bagian ** AWS KMS Pemantauan**](xks-monitoring.md) konsol. Proxy penyimpanan kunci eksternal Anda mungkin juga menghasilkan log dan metrik yang melacak latensi dan batas waktu.


|  | 
| --- |
| `XksProxyUriUnreachableException`AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Ini mungkin masalah jaringan sementara. Jika Anda melihat kesalahan ini berulang kali, verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan URI titik akhir sudah benar di penyimpanan kunci eksternal Anda. | 
+ Proxy penyimpanan kunci eksternal tidak menanggapi permintaan API AWS KMS proxy dalam interval batas waktu 250 milidetik. Ini mungkin menunjukkan masalah jaringan sementara atau masalah operasional atau kinerja dengan proxy. Jika mencoba lagi tidak menyelesaikan masalah, beri tahu administrator proxy penyimpanan kunci eksternal Anda.

Kesalahan latensi dan batas waktu sering bermanifestasi sebagai kegagalan koneksi. Ketika [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi gagal, *status koneksi* penyimpanan kunci eksternal berubah `FAILED` dan AWS KMS mengembalikan *kode kesalahan koneksi* yang menjelaskan kesalahan. Untuk daftar kode kesalahan koneksi dan saran untuk menyelesaikan kesalahan, lihat[Kode kesalahan koneksi untuk penyimpanan kunci eksternal](#xks-connection-error-codes). Daftar kode koneksi untuk **Semua toko kunci khusus dan toko** **kunci eksternal** berlaku untuk toko kunci eksternal. Kesalahan koneksi berikut terkait dengan latensi dan batas waktu.


|  | 
| --- |
| `XKS_PROXY_NOT_REACHABLE`<br />-atau-<br />`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS tidak dapat berkomunikasi dengan proxy penyimpanan kunci eksternal. Verifikasi bahwa proxy penyimpanan kunci eksternal Anda aktif dan terhubung ke jaringan, dan jalur URI dan titik akhir URI atau nama layanan VPC sudah benar di penyimpanan kunci eksternal Anda. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ Proxy penyimpanan kunci eksternal tidak aktif dan atau tidak terhubung ke jaringan.
+ Ada kesalahan pada [titik akhir URI proxy](create-xks-keystore.md#require-endpoint), [jalur URI proxy](create-xks-keystore.md#require-path), atau nilai nama [layanan titik akhir VPC](create-xks-keystore.md#require-vpc-service-name) (jika ada) dalam konfigurasi penyimpanan kunci eksternal. Untuk melihat konfigurasi penyimpanan kunci eksternal, gunakan [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operasi atau [lihat halaman detail](view-xks-keystore.md) untuk penyimpanan kunci eksternal di AWS KMS konsol.
+ Mungkin ada kesalahan konfigurasi jaringan, seperti kesalahan port, pada jalur jaringan antara AWS KMS dan proxy penyimpanan kunci eksternal. AWS KMS berkomunikasi dengan proxy penyimpanan kunci eksternal pada port 443 over. IPv4 Nilai ini tidak dapat dikonfigurasi.
+ Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai [GetHealthStatus](keystore-external.md#concept-proxy-apis)tanggapan) bahwa semua instance pengelola kunci eksternal berada`UNAVAILABLE`, [ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operasi gagal dengan a`ConnectionErrorCode`. `XKS_PROXY_NOT_REACHABLE` Untuk bantuan, lihat dokumentasi pengelola kunci eksternal Anda.
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan Wilayah AWS dengan penyimpanan kunci eksternal. Latensi ping (network round-trip time (RTT)) antara manajer kunci eksternal Wilayah AWS dan eksternal tidak boleh lebih dari 35 milidetik. Anda mungkin harus membuat penyimpanan kunci eksternal di Wilayah AWS yang lebih dekat dengan manajer kunci eksternal, atau memindahkan manajer kunci eksternal ke pusat data yang lebih dekat ke Wilayah AWS.


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`<br />-atau-<br />`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException`AWS KMS menolak permintaan karena proxy penyimpanan kunci eksternal tidak merespons tepat waktu. Coba lagi permintaannya. Jika Anda melihat kesalahan ini berulang kali, laporkan ke administrator proxy penyimpanan kunci eksternal Anda. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.
+ Kesalahan batas waktu dapat terjadi ketika proxy tidak dirancang untuk menangani volume dan frekuensi permintaan dari AWS KMS. Jika CloudWatch metrik Anda menunjukkan masalah terus-menerus, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
+ Kesalahan batas waktu dapat terjadi ketika koneksi antara pengelola kunci eksternal dan VPC Amazon untuk penyimpanan kunci eksternal tidak beroperasi dengan benar. Jika Anda menggunakan AWS Direct Connect, verifikasi bahwa VPC dan pengelola kunci eksternal Anda dapat berkomunikasi secara efektif. Untuk bantuan menyelesaikan masalah apa pun, lihat [Pemecahan Masalah AWS Direct Connect di Panduan](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Troubleshooting.html) Pengguna. Direct Connect 


|  | 
| --- |
| `XKS_PROXY_TIMED_OUT`<br />-atau-<br />`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`, `XksProxyUriUnreachableException` Proxy penyimpanan kunci eksternal tidak menanggapi permintaan dalam waktu yang ditentukan. Coba lagi permintaannya. Jika Anda melihat kesalahan ini berulang kali, laporkan ke administrator proxy penyimpanan kunci eksternal Anda. | 
+ Kesalahan ini dapat dihasilkan dari jarak fisik yang jauh antara manajer kunci eksternal dan proxy penyimpanan kunci eksternal. Jika memungkinkan, pindahkan proxy penyimpanan kunci eksternal lebih dekat ke manajer kunci eksternal.

## Kesalahan kredensi otentikasi
<a name="fix-xks-credentials"></a>

**Pengecualian**: `CustomKeyStoreInvalidStateException` (`CreateKey`), `KMSInvalidStateException` (operasi kriptografi), `XksProxyIncorrectAuthenticationCredentialException` (operasi manajemen selain) `CreateKey`

Anda membuat dan memelihara kredensi otentikasi untuk AWS KMS proxy penyimpanan kunci eksternal Anda. Kemudian Anda memberi tahu AWS KMS nilai kredensialnya saat Anda membuat penyimpanan kunci eksternal. Untuk mengubah kredensi otentikasi, lakukan perubahan pada proxy penyimpanan kunci eksternal Anda. Kemudian [perbarui kredensi](update-xks-keystore.md#xks-edit-name) untuk toko kunci eksternal Anda. Jika proxy Anda memutar kredensi, Anda harus [memperbarui kredensi](update-xks-keystore.md#xks-edit-name) untuk penyimpanan kunci eksternal Anda. 

Jika proxy penyimpanan kunci eksternal tidak akan mengautentikasi permintaan yang ditandatangani dengan [kredensi otentikasi proxy](keystore-external.md#concept-xks-credential) untuk penyimpanan kunci eksternal Anda, efeknya bergantung pada permintaan:
+ `CreateCustomKeyStore`dan `UpdateCustomKeyStore` gagal dengan sebuah `XksProxyIncorrectAuthenticationCredentialException`
+ `ConnectCustomKeyStore`berhasil, tetapi koneksi gagal. Status koneksi adalah `FAILED` dan kode kesalahan koneksi adalah`INVALID_CREDENTIALS`. Lihat perinciannya di [Kesalahan koneksi penyimpanan kunci eksternal](#fix-xks-connection).
+ Operasi kriptografi kembali `KMSInvalidStateException` untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Pesan kesalahan yang menyertainya menjelaskan masalah.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat mengautentikasi. AWS KMS Verifikasi kredensyal untuk penyimpanan kunci eksternal Anda dan perbarui jika perlu.  | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci akses atau kunci akses rahasia untuk penyimpanan kunci eksternal tidak cocok dengan nilai yang ditetapkan pada proxy penyimpanan kunci eksternal. 

  Untuk memperbaiki kesalahan ini, [perbarui kredensi otentikasi proxy](update-xks-keystore.md#xks-edit-name) untuk penyimpanan kunci eksternal Anda. Anda dapat membuat perubahan ini tanpa memutuskan penyimpanan kunci eksternal Anda.
+ Proxy terbalik antara AWS KMS dan proxy penyimpanan kunci eksternal dapat memanipulasi header HTTP dengan cara yang membatalkan tanda tangan SigV4. Untuk memperbaiki kesalahan ini, beri tahu administrator proxy Anda.

## Kesalahan status kunci
<a name="fix-unavailable-xks-keys"></a>

**Pengecualian**: `KMSInvalidStateException`

`KMSInvalidStateException`digunakan untuk dua tujuan berbeda untuk kunci KMS di toko kunci kustom. 
+ Ketika operasi manajemen, seperti`CancelKeyDeletion`, gagal dan mengembalikan pengecualian ini, ini menunjukkan bahwa [status kunci](key-state.md) dari kunci KMS tidak kompatibel dengan operasi.
+ Ketika [operasi kriptografi](kms-cryptography.md#cryptographic-operations) pada kunci KMS di toko kunci kustom gagal`KMSInvalidStateException`, itu dapat menunjukkan masalah dengan status kunci dari kunci KMS. Tetapi operasi AWS KMS kriptografi kembali `KMSInvalidStateException` untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi di penyimpanan kunci eksternal. Untuk mengidentifikasi masalah, gunakan pesan kesalahan yang menyertai pengecualian.

Untuk menemukan status kunci yang diperlukan untuk operasi AWS KMS API, lihat[Status AWS KMS kunci kunci](key-state.md). Untuk menemukan status kunci kunci KMS, pada halaman **Kunci yang dikelola Pelanggan**, lihat bidang **Status** kunci KMS. Atau, gunakan [DescribeKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeKey.html)operasi dan lihat `KeyState` elemen dalam respons. Lihat perinciannya di [Identifikasi dan lihat kunci](viewing-keys.md).

**catatan**  
Status kunci dari kunci KMS di penyimpanan kunci eksternal tidak menunjukkan apa pun tentang status [kunci eksternal](keystore-external.md#concept-external-key) yang terkait. Untuk informasi tentang status kunci eksternal, gunakan pengelola kunci eksternal dan alat proxy penyimpanan kunci eksternal.   
`CustomKeyStoreInvalidStateException`Ini mengacu pada [keadaan koneksi](xks-connect-disconnect.md#xks-connection-state) penyimpanan kunci eksternal, bukan [status kunci](key-state.md) dari kunci KMS.

Operasi kriptografi pada kunci KMS di toko kustom mungkin gagal karena status kunci dari kunci KMS adalah atau. `Unavailable` `PendingDeletion` (Kunci dinonaktifkan kembali`DisabledException`.)
+ Kunci KMS memiliki status `Disabled` kunci hanya ketika Anda sengaja menonaktifkan kunci KMS di AWS KMS konsol atau dengan menggunakan operasi. [DisableKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_DisableKey.html) Sementara kunci KMS dinonaktifkan, Anda dapat melihat dan mengelola kunci, tetapi Anda tidak dapat menggunakannya dalam operasi kriptografi. Untuk memperbaiki masalah ini, aktifkan kuncinya. Lihat perinciannya di [Aktifkan dan nonaktifkan kunci](enabling-keys.md).
+ Kunci KMS memiliki status `Unavailable` kunci ketika penyimpanan kunci eksternal terputus dari proxy penyimpanan kunci eksternal. Untuk memperbaiki kunci KMS yang tidak tersedia, [sambungkan kembali penyimpanan kunci eksternal](xks-connect-disconnect.md). Setelah penyimpanan kunci eksternal terhubung kembali, status kunci kunci KMS di penyimpanan kunci eksternal secara otomatis dikembalikan ke keadaan sebelumnya, seperti `Enabled` atau. `Disabled`

  Kunci KMS memiliki status `PendingDeletion` kunci ketika telah dijadwalkan untuk dihapus dan sedang dalam masa tunggu. Kesalahan status kunci pada kunci KMS yang tertunda penghapusan menunjukkan bahwa kunci tidak boleh dihapus, baik karena sedang digunakan untuk enkripsi, atau diperlukan untuk dekripsi. [Untuk mengaktifkan kembali kunci KMS, batalkan penghapusan terjadwal, dan kemudian aktifkan kunci.](enabling-keys.md) Lihat perinciannya di [Jadwalkan penghapusan kunci](deleting-keys-scheduling-key-deletion.md).

## Kesalahan dekripsi
<a name="fix-xks-decrypt"></a>

**Pengecualian**: `KMSInvalidStateException`

Ketika operasi [Dekripsi](https://docs.aws.amazon.com/kms/latest/APIReference/API_Decrypt.html) dengan kunci KMS di penyimpanan kunci eksternal gagal, AWS KMS mengembalikan standar `KMSInvalidStateException` yang digunakan operasi kriptografi untuk semua kesalahan konfigurasi eksternal dan kesalahan status koneksi pada penyimpanan kunci eksternal. Pesan kesalahan menunjukkan masalah.

Untuk mendekripsi ciphertext yang dienkripsi menggunakan [enkripsi ganda](keystore-external.md#concept-double-encryption), manajer kunci eksternal pertama menggunakan kunci eksternal untuk mendekripsi lapisan luar ciphertext. Kemudian AWS KMS gunakan bahan AWS KMS kunci dalam kunci KMS untuk mendekripsi lapisan dalam ciphertext. Ciphertext yang tidak valid atau rusak dapat ditolak oleh manajer kunci eksternal atau. AWS KMS

Pesan kesalahan berikut menyertai `KMSInvalidStateException` ketika dekripsi gagal. Ini menunjukkan masalah dengan ciphertext atau konteks enkripsi opsional dalam permintaan.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena ciphertext yang ditentukan atau data tambahan yang diautentikasi rusak, hilang, atau tidak valid. | 
+ Ketika proxy penyimpanan kunci eksternal atau manajer kunci eksternal melaporkan bahwa ciphertext atau konteks enkripsi tidak valid, biasanya menunjukkan masalah dengan ciphertext atau konteks enkripsi dalam permintaan yang dikirim ke. `Decrypt` AWS KMS Untuk `Decrypt` operasi, AWS KMS kirimkan proxy ciphertext dan konteks enkripsi yang sama yang diterimanya dalam permintaan. `Decrypt` 

  Kesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi `Decrypt` permintaannya. Jika masalah berlanjut, verifikasi bahwa ciphertext tidak diubah atau rusak. Juga, verifikasi bahwa konteks enkripsi dalam `Decrypt` permintaan untuk AWS KMS mencocokkan konteks enkripsi dalam permintaan yang mengenkripsi data.


|  | 
| --- |
| Ciphertext yang dikirimkan proxy penyimpanan kunci eksternal untuk dekripsi, atau konteks enkripsi, rusak, hilang, atau tidak valid. | 
+ Ketika AWS KMS menolak ciphertext yang diterima dari proxy, ini menunjukkan bahwa manajer kunci eksternal atau proxy mengembalikan ciphertext yang tidak valid atau rusak ke. AWS KMS

  Kesalahan ini mungkin disebabkan oleh masalah jaringan dalam perjalanan, seperti bit terbalik. Coba lagi `Decrypt` permintaannya. Jika masalah berlanjut, verifikasi bahwa pengelola kunci eksternal beroperasi dengan benar, dan bahwa proxy penyimpanan kunci eksternal tidak mengubah ciphertext yang diterimanya dari pengelola kunci eksternal sebelum mengembalikannya. AWS KMS

## Kesalahan kunci eksternal
<a name="fix-external-key"></a>

[Kunci eksternal adalah kunci](keystore-external.md#concept-external-key) kriptografi di manajer kunci eksternal yang berfungsi sebagai bahan kunci eksternal untuk kunci KMS. AWS KMS tidak dapat langsung mengakses kunci eksternal. Ini harus meminta manajer kunci eksternal (melalui proxy penyimpanan kunci eksternal) untuk menggunakan kunci eksternal untuk mengenkripsi data atau mendekripsi ciphertext.

Anda menentukan ID kunci eksternal di pengelola kunci eksternal ketika Anda membuat kunci KMS di penyimpanan kunci eksternal Anda. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Untuk mencegah masalah dengan kunci KMS, `CreateKey` operasi meminta proxy penyimpanan kunci eksternal untuk memverifikasi ID dan konfigurasi kunci eksternal. Jika kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, `CreateKey` operasi gagal dengan pengecualian dan pesan kesalahan yang mengidentifikasi masalah. 

Namun, masalah dapat terjadi setelah kunci KMS dibuat. Jika operasi kriptografi gagal karena masalah dengan kunci eksternal, operasi gagal dan mengembalikan pesan kesalahan yang menunjukkan masalah. `KMSInvalidStateException`

### CreateKey kesalahan untuk kunci eksternal
<a name="fix-external-key-create"></a>

**Pengecualian**:`XksKeyAlreadyInUseException`,, `XksKeyNotFoundException` `XksKeyInvalidConfigurationException`

[CreateKey](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateKey.html)Operasi mencoba memverifikasi ID dan properti kunci eksternal yang Anda berikan di parameter **ID kunci Eksternal** (konsol) atau `XksKeyId` (API). Praktik ini dirancang untuk mendeteksi kesalahan lebih awal sebelum Anda mencoba menggunakan kunci eksternal dengan kunci KMS.

**Kunci eksternal digunakan** 

Setiap kunci KMS di toko kunci eksternal harus menggunakan kunci eksternal yang berbeda. Ketika `CreateKey` mengenali bahwa ID kunci eksternal (XksKeyId) untuk kunci KMS tidak unik di penyimpanan kunci eksternal, gagal dengan file. `XksKeyAlreadyInUseException` 

Jika Anda menggunakan beberapa IDs untuk kunci eksternal yang sama, tidak `CreateKey` akan mengenali duplikat. Namun, kunci KMS dengan kunci eksternal yang sama tidak dapat dioperasikan karena memiliki bahan AWS KMS kunci dan metadata yang berbeda. 

**Kunci eksternal tidak ditemukan** 

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, `CreateKey` operasi gagal dan kembali `XksKeyNotFoundException` dengan pesan kesalahan berikut.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci eksternal (`XksKeyId`) untuk kunci KMS mungkin tidak valid. Untuk menemukan ID untuk proxy kunci eksternal yang digunakan untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal. 
+ Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, gunakan kunci eksternal yang berbeda dengan tombol KMS. Untuk daftar atau persyaratan untuk kunci eksternal, lihat[Persyaratan untuk kunci KMS di toko kunci eksternal](create-xks-keys.md#xks-key-requirements).

**Persyaratan kunci eksternal tidak terpenuhi**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, `CreateKey` operasi gagal dan kembali `XksKeyInvalidConfigurationException` dengan salah satu pesan kesalahan berikut.


|  | 
| --- |
| Spesifikasi kunci dari kunci eksternal harus AES\_256. Spesifikasi kunci dari kunci eksternal yang ditentukan adalah{{<key-spec>}}. | 
+ Kunci eksternal harus berupa kunci enkripsi simetris 256-bit dengan spesifikasi kunci AES\_256. Jika kunci eksternal yang ditentukan adalah tipe yang berbeda, tentukan ID kunci eksternal yang memenuhi persyaratan ini. 


|  | 
| --- |
| Status kunci eksternal harus DIAKTIFKAN. Status kunci eksternal yang ditentukan adalah{{<status>}}. | 
+ Kunci eksternal harus diaktifkan di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak diaktifkan, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya, atau tentukan kunci eksternal yang diaktifkan.


|  | 
| --- |
| Penggunaan kunci dari kunci eksternal harus mencakup ENKRIPSI dan DEKRIPSI. Penggunaan kunci dari kunci eksternal yang ditentukan adalah < {{key-usage}} >. | 
+ Kunci eksternal harus dikonfigurasi untuk enkripsi dan dekripsi di manajer kunci eksternal. Jika kunci eksternal yang ditentukan tidak menyertakan operasi ini, gunakan alat pengelola kunci eksternal Anda untuk mengubah operasi, atau tentukan kunci eksternal yang berbeda.

### Kesalahan operasi kriptografi untuk kunci eksternal
<a name="fix-external-key-crypto"></a>

**Pengecualian**: `KMSInvalidStateException`

Ketika proxy penyimpanan kunci eksternal tidak dapat menemukan kunci eksternal yang terkait dengan kunci KMS, atau kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, operasi kriptografi gagal. 

Masalah kunci eksternal yang terdeteksi selama operasi kriptografi lebih sulit diselesaikan daripada masalah kunci eksternal yang terdeteksi sebelum membuat kunci KMS. Anda tidak dapat mengubah ID kunci eksternal setelah kunci KMS dibuat. Jika kunci KMS belum mengenkripsi data apa pun, Anda dapat menghapus kunci KMS dan membuat yang baru dengan ID kunci eksternal yang berbeda. Namun, ciphertext yang dihasilkan dengan kunci KMS tidak dapat didekripsi oleh kunci KMS lainnya, bahkan yang memiliki kunci eksternal yang sama, karena kunci akan memiliki metadata kunci yang berbeda dan bahan kunci yang berbeda. AWS KMS Sebagai gantinya, sejauh mungkin, gunakan alat pengelola kunci eksternal Anda untuk menyelesaikan masalah dengan kunci eksternal. 

Ketika proxy penyimpanan kunci eksternal melaporkan masalah dengan kunci eksternal, operasi kriptografi kembali `KMSInvalidStateException` dengan pesan kesalahan yang mengidentifikasi masalah.

**Kunci eksternal tidak ditemukan**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa ia tidak dapat menemukan kunci eksternal menggunakan ID kunci eksternal (XksKeyId) untuk kunci KMS, operasi kriptografi mengembalikan a `KMSInvalidStateException` dengan pesan kesalahan berikut. 


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena tidak dapat menemukan kunci eksternal. | 

Kesalahan ini dapat terjadi karena alasan berikut:
+ ID kunci eksternal (`XksKeyId`) untuk kunci KMS tidak lagi valid. 

  Untuk menemukan ID kunci eksternal yang terkait dengan kunci KMS Anda, [lihat detail kunci KMS](identify-key-types.md#view-xks-key). Untuk menemukan ID yang digunakan proxy kunci eksternal untuk mengidentifikasi kunci eksternal, lihat proxy penyimpanan kunci eksternal atau dokumentasi pengelola kunci eksternal.

  AWS KMS memverifikasi ID kunci eksternal saat membuat kunci KMS di toko kunci eksternal. Namun, ID mungkin menjadi tidak valid, terutama jika nilai ID kunci eksternal adalah alias atau nama yang bisa berubah. Anda tidak dapat mengubah ID kunci eksternal yang terkait dengan kunci KMS yang ada. Untuk mendekripsi ciphertext apa pun yang dienkripsi di bawah kunci KMS, Anda harus mengaitkan kembali kunci eksternal dengan ID kunci eksternal yang ada.

  Jika Anda belum menggunakan kunci KMS untuk mengenkripsi data, Anda dapat membuat kunci KMS baru dengan ID kunci eksternal yang valid. Namun, jika Anda telah membuat ciphertext dengan kunci KMS, Anda tidak dapat menggunakan kunci KMS lain untuk mendekripsi ciphertext, bahkan jika menggunakan kunci eksternal yang sama.
+ Kunci eksternal mungkin telah dihapus dari pengelola kunci eksternal Anda. Untuk menyelidiki, gunakan alat pengelola kunci eksternal Anda. Jika memungkinkan, cobalah untuk [memulihkan materi kunci](fix-keystore.md#fix-keystore-recover-backing-key) dari salinan atau cadangan manajer kunci eksternal Anda. Jika kunci eksternal dihapus secara permanen, setiap ciphertext yang dienkripsi di bawah kunci KMS terkait tidak dapat dipulihkan.

**Kesalahan konfigurasi kunci eksternal**

Ketika proxy penyimpanan kunci eksternal melaporkan bahwa kunci eksternal tidak [memenuhi persyaratan](create-xks-keys.md#xks-key-requirements) untuk digunakan dengan kunci KMS, operasi kriptografi kembali `KMSInvalidStateException` dengan salah satu pesan kesalahan berikut. 


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak mendukung operasi yang diminta. | 
+ Kunci eksternal harus mendukung enkripsi dan dekripsi. Jika penggunaan kunci tidak termasuk enkripsi dan dekripsi, gunakan alat pengelola kunci eksternal Anda untuk mengubah penggunaan kunci.


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak permintaan karena kunci eksternal tidak diaktifkan di pengelola kunci eksternal. | 
+ Kunci eksternal harus diaktifkan dan tersedia untuk digunakan di pengelola kunci eksternal. Jika status kunci eksternal tidak`Enabled`, gunakan alat pengelola kunci eksternal Anda untuk mengaktifkannya.

## Masalah proxy
<a name="fix-xks-proxy"></a>

**Pengecualian**: 

 `CustomKeyStoreInvalidStateException`(`CreateKey`), `KMSInvalidStateException` (operasi kriptografi),`UnsupportedOperationException`,`XksProxyUriUnreachableException`, `XksProxyInvalidResponseException` (operasi manajemen selain`CreateKey`)

Proxy penyimpanan kunci eksternal memediasi semua komunikasi antara AWS KMS dan manajer kunci eksternal. Ini menerjemahkan AWS KMS permintaan generik ke dalam format yang dapat dipahami oleh manajer kunci eksternal Anda. Jika proxy penyimpanan kunci eksternal tidak sesuai dengan [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/), atau jika tidak beroperasi dengan benar, atau tidak dapat berkomunikasi AWS KMS, Anda tidak akan dapat membuat atau menggunakan kunci KMS di penyimpanan kunci eksternal Anda. 

Sementara banyak kesalahan menyebutkan proxy penyimpanan kunci eksternal karena peran pentingnya dalam arsitektur penyimpanan kunci eksternal, masalah tersebut mungkin berasal dari manajer kunci eksternal atau kunci eksternal. 

Masalah di bagian ini berhubungan dengan masalah dengan desain atau pengoperasian proxy penyimpanan kunci eksternal. Menyelesaikan masalah ini mungkin memerlukan perubahan pada perangkat lunak proxy. Konsultasikan dengan administrator proxy Anda. Untuk membantu mendiagnosis masalah proxy, AWS KMS berikan [XKS Proxy Text Client](https://github.com/aws-samples/aws-kms-xksproxy-test-client), klien pengujian open source yang memverifikasi bahwa proxy penyimpanan kunci eksternal Anda sesuai dengan Spesifikasi API [Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/).


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `XksProxyUriUnreachableException`Proxy penyimpanan kunci eksternal dalam keadaan tidak sehat. Jika Anda melihat pesan ini berulang kali, beri tahu administrator proxy penyimpanan kunci eksternal Anda. | 
+ Kesalahan ini dapat menunjukkan masalah operasional atau kesalahan perangkat lunak di proxy penyimpanan kunci eksternal. Anda dapat menemukan entri CloudTrail log untuk operasi AWS KMS API yang menghasilkan setiap kesalahan. Kesalahan ini dapat diatasi dengan mencoba kembali operasi. Namun, jika tetap ada, beri tahu administrator proxy penyimpanan kunci eksternal Anda.
+ Ketika proxy penyimpanan kunci eksternal melaporkan (sebagai [GetHealthStatus](keystore-external.md#concept-proxy-apis)tanggapan) bahwa semua instance pengelola kunci eksternal berada`UNAVAILABLE`, upaya untuk membuat atau memperbarui penyimpanan kunci eksternal gagal dengan pengecualian ini. Jika kesalahan ini berlanjut, lihat dokumentasi pengelola kunci eksternal Anda.


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `XksProxyInvalidResponseException`AWS KMS tidak dapat menafsirkan respons dari proxy penyimpanan kunci eksternal. Jika Anda melihat kesalahan ini berulang kali, konsultasikan administrator proxy penyimpanan kunci eksternal Anda. | 
+ AWS KMS operasi menghasilkan pengecualian ini ketika proxy mengembalikan respons tidak terdefinisi yang tidak AWS KMS dapat mengurai atau menafsirkan. Kesalahan ini mungkin terjadi sesekali karena masalah eksternal sementara atau kesalahan jaringan sporadis. Namun, jika tetap ada, ini mungkin menunjukkan bahwa proxy penyimpanan kunci eksternal tidak sesuai dengan Spesifikasi [API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Beri tahu administrator atau vendor toko kunci eksternal Anda.


|  | 
| --- |
| `CustomKeyStoreInvalidStateException`, `KMSInvalidStateException` atau `UnsupportedOperationException`<br />Proxy penyimpanan kunci eksternal menolak permintaan karena tidak mendukung operasi kriptografi yang diminta. | 
+ Proxy penyimpanan kunci eksternal harus mendukung semua [proxy](keystore-external.md#concept-proxy-apis) yang APIs ditentukan dalam [Spesifikasi API Proxy Toko Kunci AWS KMS Eksternal](https://github.com/aws/aws-kms-xksproxy-api-spec/). Kesalahan ini menunjukkan bahwa proxy tidak mendukung operasi yang terkait dengan permintaan. Beri tahu administrator atau vendor toko kunci eksternal Anda.

## Masalah otorisasi proxy
<a name="fix-xks-authorization"></a>

**Pengecualian**:`CustomKeyStoreInvalidStateException`, `KMSInvalidStateException`

Beberapa proxy penyimpanan kunci eksternal menerapkan persyaratan otorisasi untuk penggunaan kunci eksternalnya. Proxy penyimpanan kunci eksternal diizinkan, tetapi tidak diperlukan, untuk merancang dan mengimplementasikan skema otorisasi yang memungkinkan pengguna tertentu untuk meminta operasi tertentu dalam kondisi tertentu. Misalnya, proxy mungkin memungkinkan pengguna untuk mengenkripsi dengan kunci eksternal tertentu, tetapi tidak untuk mendekripsi dengannya. Untuk informasi selengkapnya, lihat [Otorisasi proxy penyimpanan kunci eksternal (opsional)](authorize-xks-key-store.md#xks-proxy-authorization).

Otorisasi proxy didasarkan pada metadata yang AWS KMS termasuk dalam permintaannya ke proxy. `awsSourceVpce`Bidang `awsSourceVpc` dan disertakan dalam metadata hanya jika permintaan berasal dari titik akhir VPC dan hanya ketika pemanggil berada di akun yang sama dengan kunci KMS. 

```
"requestMetadata": {
    "awsPrincipalArn": string,
    "awsSourceVpc": string, // optional
    "awsSourceVpce": string, // optional
    "kmsKeyArn": string,
    "kmsOperation": string,
    "kmsRequestId": string,
    "kmsViaService": string // optional
}
```

Ketika proxy menolak permintaan karena kegagalan otorisasi, AWS KMS operasi terkait gagal. `CreateKey`kembali`CustomKeyStoreInvalidStateException`. AWS KMS operasi kriptografi kembali`KMSInvalidStateException`. Keduanya menggunakan pesan kesalahan berikut:


|  | 
| --- |
| Proxy penyimpanan kunci eksternal menolak akses ke operasi. Verifikasi bahwa pengguna dan kunci eksternal keduanya diotorisasi untuk operasi ini, dan coba permintaan lagi. | 
+ Untuk mengatasi kesalahan, gunakan pengelola kunci eksternal atau alat proxy penyimpanan kunci eksternal untuk menentukan mengapa otorisasi gagal. Kemudian, perbarui prosedur yang menyebabkan permintaan tidak sah atau gunakan alat proxy penyimpanan kunci eksternal Anda untuk memperbarui kebijakan otorisasi. Anda tidak dapat menyelesaikan kesalahan ini di AWS KMS.