Déconnecter un magasin de clés externe - AWS Key Management Service
Déconnectez votre magasin de clés externe

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Déconnecter un magasin de clés externe

Lorsque vous déconnectez un magasin de clés externe connecté à un service de point de VPC terminaison de son proxy de magasin de clés externe, AWS KMS supprimez son point de terminaison d'interface vers le service de VPC point de terminaison et supprimez l'infrastructure réseau créée pour prendre en charge la connexion. Aucun processus équivalent n'est requis pour les magasins de clés externes disposant d'une connectivité au point de terminaison public. Cette action n'affecte pas le service de point de VPC terminaison ni aucun de ses composants de support, ni le proxy de stockage de clés externe ni aucun composant externe.

Lorsque le magasin de clés externe est déconnecté, AWS KMS n'envoie aucune demande au proxy du magasin de clés externe. L'état de connexion du magasin de clés externe est DISCONNECTED. Les KMS clés du magasin de clés externe déconnecté sont dans un état UNAVAILABLE clé (sauf si elles sont en attente de suppression), ce qui signifie qu'elles ne peuvent pas être utilisées dans des opérations cryptographiques. Cependant, vous pouvez toujours consulter et gérer votre magasin de clés externe et ses KMS clés existantes.

L'état déconnecté est conçu pour être temporaire et réversible. Vous pouvez reconnecter votre magasin de clés externe à tout moment. En général, aucune reconfiguration n'est nécessaire. Cependant, si des propriétés du proxy de magasin de clés externe associé ont changé pendant sa déconnexion, par exemple la rotation de ses informations d'identification pour l'authentification du proxy, vous devez modifier les paramètres du magasin de clés externe avant de le reconnecter.

Note

Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés externe, identifiez les KMS clés dans le magasin de clés externe et déterminez leur utilisation passée.

Vous pouvez déconnecter le magasin de clés externe pour des raisons telles que les suivantes :

  • Pour modifier ses propriétés. Vous pouvez modifier le nom du magasin de clés personnalisé, le URI chemin du proxy et les informations d'authentification du proxy lorsque le magasin de clés externe est connecté. Toutefois, pour modifier le type de connectivité du proxy, le point de URI terminaison du proxy ou le nom du service du point de VPC terminaison, vous devez d'abord déconnecter le magasin de clés externe. Pour plus de détails, consultez Modifier les propriétés du magasin de clés externe.

  • Pour arrêter toute communication entre AWS KMS et le proxy de stockage de clés externe. Vous pouvez également arrêter la communication entre AWS KMS et votre proxy en désactivant votre point de terminaison ou votre service de point de VPC terminaison. En outre, votre proxy de stockage de clés externe ou votre logiciel de gestion de clés peuvent fournir des mécanismes supplémentaires pour AWS KMS empêcher la communication avec le proxy ou pour empêcher le proxy d'accéder à votre gestionnaire de clés externe.

  • Pour désactiver toutes les KMS clés du magasin de clés externe. Vous pouvez désactiver et réactiver KMS les clés dans un magasin de clés externe à l'aide de la AWS KMS console ou de l'DisableKeyopération. Ces opérations se terminent rapidement (sous réserve d'une éventuelle cohérence), mais elles agissent sur une KMS touche à la fois. La déconnexion du magasin de clés externe change l'état des clés de toutes les KMS clés du magasin de clés externeUnavailable, ce qui empêche leur utilisation dans le cadre d'une opération cryptographique.

  • Pour réparer un échec de tentative de connexion. Si une tentative de connexion d'un magasin de clés externe échoue (l'état de connexion du magasin de clés personnalisé est FAILED), vous devez déconnecter le magasin de clés externe avant d'essayer de le connecter à nouveau.

Déconnectez votre magasin de clés externe

Vous pouvez déconnecter votre porte-clés externe dans la AWS KMS console ou en utilisant cette DisconnectCustomKeyStoreopération.

Vous pouvez utiliser la AWS KMS console pour connecter un magasin de clés externe à son proxy de magasin de clés externe. Ce processus prend environ cinq minutes.

  1. Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

  4. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter.

  5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).

Lorsque l'opération est terminée, l'état de la connexion passe de DISCONNECTINGà DISCONNECTED. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Erreurs de connexion au magasin de clés externe.

Pour déconnecter un magasin de clés externe connecté, utilisez l'DisconnectCustomKeyStoreopération. Si l'opération est réussie, AWS KMS renvoie une réponse HTTP 200 et un JSON objet sans propriétés. Le processus prend environ cinq minutes. Pour connaître l'état de connexion du magasin de clés externe, utilisez l'DescribeCustomKeyStoresopération.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Cet exemple déconnecte un magasin de clés externe connecté à un service de VPC point de terminaison. Avant d'exécuter cet exemple, remplacez l'exemple d'ID de magasin de clés personnalisé par un ID valide.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que le magasin de clés externe est déconnecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName ou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La valeur de ConnectionState égale à DISCONNECTED indique que cet exemple de magasin de clés externe n'est plus connecté à son proxy de magasin de clés externe.

$ aws kms describe-custom-key-stores --custom-key-store-name ExampleXksVpc
{
    "CustomKeyStores": [
    {
      "CustomKeyStoreId": "cks-9876543210fedcba9",
      "CustomKeyStoreName": "ExampleXksVpc",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "2022-12-13T18:34:10.675000+00:00",
      "CustomKeyStoreType": "EXTERNAL_KEY_STORE",
      "XksProxyConfiguration": { 
        "AccessKeyId": "ABCDE98765432EXAMPLE",
        "Connectivity": "VPC_ENDPOINT_SERVICE",
        "UriEndpoint": "https://example-proxy-uri-endpoint-vpc",
        "UriPath": "/example/prefix/kms/xks/v1",
        "VpcEndpointServiceName": "com.amazonaws.vpce.us-east-1.vpce-svc-example"
      }
    }
  ]
}