本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 連接和中斷連接外部金鑰存放區
新的外部金鑰存放區未連接。若要在外部金鑰存放區 AWS KMS keys 中建立和使用 ,您需要將外部金鑰存放區連接到其[外部金鑰存放區代理](keystore-external.md#concept-xks-proxy)。您可以隨時連接和中斷連接您的外部金鑰存放區,並且[檢視其連接狀態](view-xks-keystore.md)。
當您的外部金鑰存放區中斷連線時, AWS KMS 無法與您的外部金鑰存放區代理通訊。因此,您可以檢視和管理外部金鑰存放區和其現有 KMS 金鑰。但是,您無法在外部金鑰存放區中建立 KMS 金鑰,或在密碼編譯操作中使用其 KMS 金鑰。您可能需要在某些時候中斷連接外部金鑰存放區,例如在編輯其屬性時,但需要進行相應的規劃。中斷連接金鑰存放區可能會中斷使用其 KMS 金鑰之 AWS 服務的操作。
您不需要連接您的外部金鑰存放區。您可以將外部金鑰存放區無限期保留在中斷連接狀態,並只在您需要使用它時連接它。不過,您可能希望定期測試連接,以驗證設定正確並且可連接。
當您中斷連接自訂金鑰存放區時,該金鑰存放區中的 KMS 金鑰會立即變成無法使用 (視最終一致性而定)。不過,使用受 KMS 金鑰保護之[資料金鑰](data-keys.md)所加密的資源不會受影響,除非再次使用 KMS 金鑰 (例如解密資料金鑰)。此問題會影響 AWS 服務,其中許多服務會使用資料金鑰來保護您的資源。如需詳細資訊,請參閱[無法使用的 KMS 金鑰如何影響資料金鑰](unusable-kms-keys.md)。
**注意**
僅當金鑰存放區從未連接或明確中斷連接時,外部金鑰存放區才會處於 `DISCONNECTED` 狀態。`CONNECTED` 狀態並不表示外部金鑰存放區或其支援元件正在高效運作。如需外部金鑰存放區元件效能的相關資訊,請參閱每個外部金鑰存放區詳細資訊頁面之 **Monitoring** (監控) 區段中的圖表。如需詳細資訊,請參閱[監控外部金鑰存放區](xks-monitoring.md)。
您的外部金鑰管理器可能提供額外的方法來停止和重新啟動 AWS KMS 外部金鑰存放區與外部金鑰存放區代理之間的通訊,或外部金鑰存放區代理與外部金鑰管理器之間的通訊。如需詳細資訊,請參閱外部金鑰管理器文件。
**Topics**
+ [連線狀態](#xks-connection-state)
+ [連接外部金鑰存放區](about-xks-connecting.md)
+ [中斷連接外部金鑰存放區](about-xks-disconnecting.md)
## 連線狀態
連接和中斷連接會變更自訂金鑰存放區的*連接狀態*。 AWS CloudHSM 金鑰存放區和外部金鑰存放區的連線狀態值相同。
若要檢視自訂金鑰存放區的連線狀態,請使用 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html) 操作或 AWS KMS 主控台。**Connection state** (連接狀態) 會顯示在每個自訂金鑰存放區資料表、每個自訂金鑰存放區詳細資料頁面的 **General configuration** (一般組態) 區段以及自訂金鑰存放區中 KMS 金鑰的 **Cryptographic configuration** (密碼編譯組態) 索引標籤中。如需詳細資訊,請參閱 [檢視 AWS CloudHSM 金鑰存放區](view-keystore.md) 和 [檢視外部金鑰存放區](view-xks-keystore.md)。
自訂金鑰存放區可以有下列其中一個連接狀態:
+ `CONNECTED`:自訂金鑰存放區已連接至其備份金鑰存放區。您可在自訂金鑰存放區中建立和使用 KMS 金鑰。
*金鑰存放區的後端* AWS CloudHSM 金鑰存放區是其相關聯的 AWS CloudHSM 叢集。外部金鑰存放區的*備份金鑰存放區*是外部金鑰存放區代理及其支援的外部金鑰管理器。
CONNECTED 狀態表示連接成功,且自訂金鑰存放區尚未有意中斷連接。這並不表示連接運作正常。如需有關與 AWS CloudHSM 金鑰存放區相關聯之 AWS CloudHSM 叢集狀態的資訊,請參閱 AWS CloudHSM 《 使用者指南》中的[取得 的 CloudWatch 指標 AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/hsm-metrics-cw.html)。如需有關外部金鑰存放區狀態和操作的相關資訊,請參閱每個外部金鑰存放區詳細資訊頁面的**監控**區段中的圖表。如需詳細資訊,請參閱[監控外部金鑰存放區](xks-monitoring.md)。
+ `CONNECTING`:連接自訂金鑰存放區的程序正在進行中。這是暫時的狀態。
+ `DISCONNECTED`:自訂金鑰存放區從未連接到其備份,或使用 AWS KMS 主控台或 [DisconnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/DisconnectCustomKeyStores.html) 操作刻意中斷連線。
+ `DISCONNECTING`:中斷連接自訂金鑰存放區的程序正在進行中。這是暫時的狀態。
+ `FAILED`:嘗試連接自訂金鑰存放區失敗。[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html) 回應中的 `ConnectionErrorCode` 指出該問題。
若要連接自訂金鑰存放區,其連接狀態必須為 `DISCONNECTED`。如果連接狀態為 `FAILED`,則請使用 `ConnectionErrorCode` 來識別並解決問題。請先中斷連接自訂金鑰存放區,然後再重試連接。如需連線失敗的協助,請參閱 [外部金鑰存放區連接錯誤](xks-troubleshooting.md#fix-xks-connection)。如需有關回應連接錯誤代碼的說明,請參閱 [外部金鑰存放區的連接錯誤代碼](xks-troubleshooting.md#xks-connection-error-codes)。
若要檢視連接錯誤代碼:
+ 在 [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html) 回應中,檢視 `ConnectionErrorCode` 元素的值。只有當 `ConnectionState` 為 `FAILED` 時,此元素才會出現在 `DescribeCustomKeyStores` 回應中。
+ 若要在 AWS KMS 主控台中檢視連線錯誤代碼,請在外部金鑰存放區的詳細資訊頁面上,並將滑鼠游標移至**失敗**值。
