本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 连接和断开外部密钥存储
新外部密钥存储未连接。要在外部密钥存储库 Amazon KMS keys 中创建和使用,您需要将外部密钥存储库连接到其[外部密钥存储代理服务器](keystore-external.md#concept-xks-proxy)。您可以随时连接和断开外部密钥存储,并[查看其连接状态](view-xks-keystore.md)。
当您的外部密钥存储断开连接时, Amazon KMS 无法与您的外部密钥存储代理进行通信。因此,您可以查看和管理外部密钥存储及其现有 KMS 密钥。不过,您不能在外部密钥存储中创建 KMS 密钥,也不能在加密操作中使用其 KMS 密钥。您可能需要在某些时候断开外部密钥存储的连接,例如编辑外部密钥存储的属性时,但要进行相应计划。断开密钥存储库的连接可能会中断使用其 KMS 密钥的 Amazon 服务的运行。
您无需连接外部密钥存储。您可以将外部密钥存储保持在无限期断开的状态并且仅在您需要使用它时进行连接。但是,您可能希望定期测试连接以验证设置是否正确以及自定义密钥存储是否可以连接。
当您断开自定义密钥存储时,密钥存储中的 KMS 密钥立即变得不可用(视最终一致性而定)。不过,在再次使用 KMS 密钥(例如解密数据密钥)之前,使用受 KMS 密钥保护的[数据密钥](data-keys.md)加密的资源不会受到影响。此问题会影响 Amazon Web Services 服务,因为许多服务使用数据密钥来保护您的资源。有关更多信息,请参阅 [不可用的 KMS 密钥如何影响数据密钥](unusable-kms-keys.md)。
**注意**
仅当密钥存储从未连接或您明确断开密钥存储连接时,外部密钥存储才会具有 `DISCONNECTED` 状态。`CONNECTED` 状态并不表示外部密钥存储或其支持组件正在高效运行。有关外部密钥存储组件性能的信息,请参阅每个外部密钥存储详细信息页面 **Monitoring**(监控)部分中的图表。有关更多信息,请参阅 [监控外部密钥存储](xks-monitoring.md)。
您的外部密钥管理器可能会提供其他方法来停止和重新启动 Amazon KMS 外部密钥存储与外部密钥存储代理之间或外部密钥存储代理与外部密钥管理器之间的通信。有关详细信息,请参阅外部密钥管理器的文档。
**Topics**
+ [连接状态](#xks-connection-state)
+ [连接外部密钥存储](about-xks-connecting.md)
+ [断开外部密钥存储](about-xks-disconnecting.md)
## 连接状态
连接和断开会改变自定义密钥存储的*连接状态*。 Amazon CloudHSM 密钥存储库和外部密钥存储库的连接状态值相同。
要查看自定义密钥库的连接状态,请使用[DescribeCustomKeyStores](https://docs.amazonaws.cn/kms/latest/APIReference/DescribeCustomKeyStores.html)操作或 Amazon KMS 控制台。**连接状态**显示在每个自定义密钥存储表中、每个自定义密钥存储详细信息页面的 **General configuration**(常规配置)部分中,以及自定义密钥存储中 KMS 密钥 **Cryptographic configuration**(加密配置)选项卡上。有关详细信息,请参阅 [查看密 Amazon CloudHSM 钥库](view-keystore.md) 和 [查看外部密钥存储](view-xks-keystore.md)。
自定义密钥存储可能具有以下连接状态之一:
+ `CONNECTED`:自定义密钥存储已连接到其备用密钥存储。您可以在自定义密钥存储中创建和使用 KMS 密钥。
*密钥库的备*用 Amazon CloudHSM 密钥存储区是其关联的 Amazon CloudHSM 集群。外部密钥存储的*备用密钥存储*是外部密钥存储代理及其支持的外部密钥管理器。
CONNECTED(已连接)状态表示连接成功且自定义密钥存储未被故意断开。但该状态并不表示连接运行正常。有关与您的 Amazon CloudHSM 密钥库关联的 Amazon CloudHSM 集群状态的信息,请参阅 Amazon CloudHSM 用户指南 Amazon CloudHSM中的[获取 CloudWatch 指标](https://docs.amazonaws.cn/cloudhsm/latest/userguide/hsm-metrics-cw.html)。有关外部密钥存储的状态和操作的信息,请参阅每个外部密钥存储详细信息页面 **Monitoring**(监控)部分的图表。有关更多信息,请参阅 [监控外部密钥存储](xks-monitoring.md)。
+ `CONNECTING`:连接自定义密钥存储的过程正在进行。这是一种暂时状态。
+ `DISCONNECTED`:自定义密钥库从未与其后端连接过,或者使用 Amazon KMS 控制台或[DisconnectCustomKeyStore](https://docs.amazonaws.cn/kms/latest/APIReference/DisconnectCustomKeyStores.html)操作故意断开了连接。
+ `DISCONNECTING`:断开自定义密钥存储的过程正在进行。这是一种暂时状态。
+ `FAILED`:尝试连接自定义密钥存储失败。[DescribeCustomKeyStores](https://docs.amazonaws.cn/kms/latest/APIReference/DescribeCustomKeyStores.html)响应`ConnectionErrorCode`中的表示问题所在。
要连接自定义密钥存储,其连接状态必须为 `DISCONNECTED`。如果连接状态为 `FAILED`,则使用 `ConnectionErrorCode` 来识别和解决问题。接着断开自定义密钥存储,然后再尝试重新连接。如需帮助解决连接失败问题,请参阅 [外部密钥存储连接错误](xks-troubleshooting.md#fix-xks-connection)。有关响应连接错误代码的帮助信息,请参阅 [外部密钥存储的连接错误代码](xks-troubleshooting.md#xks-connection-error-codes)。
要查看连接错误代码,请执行以下操作:
+ 在[DescribeCustomKeyStores](https://docs.amazonaws.cn/kms/latest/APIReference/API_DescribeCustomKeyStores.html)响应中,查看`ConnectionErrorCode`元素的值。只有当 `ConnectionState` 为 `FAILED` 时,此元素才会出现在 `DescribeCustomKeyStores` 响应中。
+ 要在 Amazon KMS 控制台中查看连接错误代码,请在外部密钥存储的详细信息页面上将鼠标悬停在 Faile **d** 值上。
