Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Connect un key store esterno
Quando l'archivio delle chiavi esterne è connesso al relativo proxy, puoi [creare chiavi KMS nello stesso archivio delle chiavi esterne](create-cmk-keystore.md) e utilizzare le chiavi KMS esistenti in [operazioni di crittografia](manage-cmk-keystore.md#use-cmk-keystore).
Il processo che collega un archivio delle chiavi esterne al relativo proxy varia in base alla connettività dell'archivio.
+ Quando connetti un archivio di chiavi esterno con [connettività endpoint pubblica](keystore-external.md#concept-xks-connectivity), AWS KMS invia una [GetHealthStatus richiesta](keystore-external.md#concept-proxy-apis) al proxy dell'archivio chiavi esterno per convalidare l'[endpoint URI del proxy, il percorso URI](create-xks-keystore.md#require-endpoint) [del proxy](create-xks-keystore.md#require-path) e le credenziali di autenticazione del [proxy](keystore-external.md#concept-xks-credential). Una risposta positiva da parte del proxy conferma che l'[endpoint dell'URI proxy](create-xks-keystore.md#require-endpoint) e il [percorso URI proxy](create-xks-keystore.md#require-path) sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne.
+ Quando colleghi un key store esterno con [connettività del servizio endpoint VPC](choose-xks-connectivity.md#xks-vpc-connectivity) al relativo proxy di archiviazione chiavi esterno, AWS KMS effettua le seguenti operazioni:
+ Conferma che il dominio per il nome DNS privato specificato nell'[endpoint URI proxy](create-xks-keystore.md#require-endpoint) è [verificato](vpc-connectivity.md#xks-private-dns).
+ Crea un endpoint di interfaccia da un AWS KMS VPC al tuo servizio di endpoint VPC.
+ Crea una zona ospitata privata per il nome DNS privato specificato nell'endpoint URI proxy
+ Invia una [GetHealthStatusrichiesta al proxy](keystore-external.md#concept-proxy-apis) dell'archivio chiavi esterno. Una risposta positiva da parte del proxy conferma che l'[endpoint dell'URI proxy](create-xks-keystore.md#require-endpoint) e il [percorso URI proxy](create-xks-keystore.md#require-path) sono corretti e accessibili e che il proxy ha autenticato la richiesta firmata con le [credenziali di autenticazione proxy](keystore-external.md#concept-xks-credential) per l'archivio delle chiavi esterne.
L'operazione di connessione avvia il processo di connessione dell'archivio delle chiavi personalizzate, ma il collegamento di un archivio delle chiavi esterne al relativo proxy esterno richiede circa cinque minuti. Una risposta positiva dell'operazione di connessione non indica che l'archivio delle chiavi esterne sia connesso. Per confermare che la connessione è avvenuta correttamente, utilizza la AWS KMS console o l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/DescribeCustomKeyStores.html)operazione per visualizzare lo [stato della connessione](xks-connect-disconnect.md#xks-connection-state) del tuo key store esterno.
Quando lo stato della connessione è `FAILED` 0, nella AWS KMS console viene visualizzato un codice di errore di connessione che viene aggiunto alla `DescribeCustomKeyStore` risposta. Per informazioni sull'interpretazione dei codici di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).
## Connect e riconnettiti al tuo key store esterno
È possibile connettere o ricollegare l'archivio chiavi esterno nella AWS KMS console o utilizzando l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione.
### Utilizzo della console AWS KMS
È possibile utilizzare la AWS KMS console per connettere un archivio chiavi esterno al relativo proxy di archiviazione chiavi esterno.
1. Accedi a Console di gestione AWS e apri la console AWS Key Management Service (AWS KMS) su [https://console.aws.amazon.com/kms](https://console.aws.amazon.com/kms).
1. Per modificare il Regione AWS, usa il selettore della regione nell'angolo in alto a destra della pagina.
1. Nel pannello di navigazione, scegli **Custom key stores** (Archivi delle chiavi personalizzate), **External key stores** (Archivi delle chiavi esterne).
1. Scegli la riga relativa all'archivio delle chiavi esterne che vuoi connettere.
Se la voce [Connection state](xks-connect-disconnect.md#xks-connection-state) (Stato connessione) dell'archivio delle chiavi esterne è **FAILED** (NON RIUSCITO), devi [disconnettere l'archivio](disconnect-keystore.md#disconnect-keystore-console) prima di connetterlo.
1. Dal menu **Key store actions** (Operazioni per l'archivio delle chiavi), scegli **Connect** (Connetti).
Il completamento del processo di connessione richiede in genere circa cinque minuti. Al termine dell'operazione, lo [stato di connessione](xks-connect-disconnect.md#xks-connection-state) cambia in **CONNECTED** (CONNESSO).
Se lo stato della connessione è **Failed** (Non riuscito), passa il mouse sullo stato per visualizzare il *codice di errore di connessione* e la causa dell'errore. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes). Per connettere un archivio delle chiavi esterne con uno stato di connessione **Failed** (Non riuscito), devi innanzitutto [disconnettere l'archivio delle chiavi personalizzate](disconnect-keystore.md#disconnect-keystore-console).
### Utilizzando l'API AWS KMS
Per connettere un archivio di chiavi esterno disconnesso, utilizzare l'[ConnectCustomKeyStore](https://docs.aws.amazon.com/kms/latest/APIReference/API_ConnectCustomKeyStore.html)operazione.
Prima della connessione, lo [stato](xks-connect-disconnect.md#xks-connection-state) dell'archivio delle chiavi esterne deve essere `DISCONNECTED`. Se lo stato di connessione corrente è `FAILED`, [disconnetti l'archivio delle chiavi esterne](about-xks-disconnecting.md#disconnect-xks-api) e riconnettilo.
Il completamento del processo di connessione può richiedere fino a cinque minuti. Se l'operazione non genera rapidamente un errore, `ConnectCustomKeyStore` restituisce una risposta HTTP 200 e un oggetto JSON senza proprietà. Questa risposta iniziale non indica tuttavia che la connessione è riuscita. Per determinare se l'archivio chiavi esterno è connesso, vedi lo stato della connessione nella [DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)risposta.
Gli esempi in questa sezione utilizzano [AWS Command Line Interface (AWS CLI)](https://aws.amazon.com/cli/), ma puoi usare anche qualsiasi linguaggio di programmazione supportato.
Per identificare l'archivio delle chiavi esterne, utilizza l'ID dell'archivio delle chiavi personalizzate. È possibile trovare l'ID nella pagina **Custom key stores** della console o utilizzando l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Prima di eseguire questo esempio, sostituisci l'ID di esempio con uno valido.
```
$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0
```
L'operazione `ConnectCustomKeyStore` non restituisce alcun `ConnectionState` nella risposta. Per verificare che l'archivio chiavi esterno sia connesso, utilizzare l'[DescribeCustomKeyStores](https://docs.aws.amazon.com/kms/latest/APIReference/API_DescribeCustomKeyStores.html)operazione. Per impostazione predefinita, questa operazione restituisce tutti gli store delle chiavi personalizzate presenti nel tuo account e nella regione. Puoi tuttavia utilizzare il parametro `CustomKeyStoreName` o `CustomKeyStoreId` (ma non entrambi) per limitare la risposta a determinati store delle chiavi personalizzate. Un `ConnectionState` con valore `CONNECTED` indica che l'archivio delle chiavi esterne è connesso al relativo proxy.
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "CONNECTED",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```
Se il valore `ConnectionState` nella risposta `DescribeCustomKeyStores` è `FAILED`, l'elemento `ConnectionErrorCode` indica il motivo dell'errore.
Nell'esempio seguente, il `XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND` valore di `ConnectionErrorCode` indica che non AWS KMS riesce a trovare il servizio endpoint VPC che utilizza per comunicare con il proxy dell'archivio chiavi esterno. Verifica che `XksProxyVpcEndpointServiceName` sia corretto, che l'entità del AWS KMS servizio sia un'entità consentita sul servizio endpoint Amazon VPC e che il servizio endpoint VPC non richieda l'accettazione delle richieste di connessione. Per informazioni sulla risposta a un codice di errore di connessione, consulta [Codici di errore di connessione per archivi delle chiavi esterne](xks-troubleshooting.md#xks-connection-error-codes).
```
$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
"CustomKeyStores": [
{
"CustomKeyStoreId": "cks-9876543210fedcba9",
"CustomKeyStoreName": "ExampleXksVpc",
"ConnectionState": "FAILED",
"ConnectionErrorCode": "XKS_VPC_ENDPOINT_SERVICE_NOT_FOUND",
"CreationDate": "2022-12-13T18:34:10.675000+00:00",
"CustomKeyStoreType": "EXTERNAL_KEY_STORE",
"XksProxyConfiguration": {
"AccessKeyId": "ABCDE98765432EXAMPLE",
"Connectivity": "VPC_ENDPOINT_SERVICE",
"UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
"UriPath": "/example/prefix/kms/xks/v1",
"VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
}
}
]
}
```