Créer un magasin de clés externe - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer un magasin de clés externe

Vous pouvez créer un ou plusieurs magasins de clés externes dans chaque Compte AWS et région. Chaque magasin de clés externe doit être associé à un gestionnaire de clés externe en dehors d'AWS et à un proxy de magasin de clés externe (proxy XKS) qui assure la médiation des communications entre AWS KMS et votre gestionnaire de clés externe. Pour plus de détails, consultez Planifier un magasin de clés externe. Avant de commencer, vérifiez que vous avez besoin d'un magasin de clés externe. La plupart des clients peuvent utiliser des clés KMS soutenues par des éléments de clé AWS KMS.

Astuce

Certains gestionnaires de clés externes proposent une méthode plus simple pour créer un magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Avant de créer votre magasin de clés externe, vous devez réunir les conditions préalables. Au cours du processus de création, vous définissez les propriétés de votre magasin de clés externe. Plus important encore, vous indiquez si votre magasin de clés externe dans AWS KMS utilise un point de terminaison public ou un service de point de terminaison d'un VPC pour se connecter à son proxy de magasin de clés externe. Vous spécifiez également les détails de la connexion, y compris le point de terminaison de l'URI du proxy et le chemin au sein de ce point de terminaison du proxy où AWS KMS envoie les requêtes d'API au proxy.

  • Si vous utilisez une connectivité au point de terminaison public, assurez-vous qu'AWS KMS peut communiquer avec votre proxy via Internet à l'aide d'une connexion HTTPS. Cela implique de configurer le protocole TLS sur le proxy de magasin de clés externe et de s'assurer que tous les pare-feux situés entre AWS KMS et le proxy autorisent le trafic en provenance et à destination du port 443 sur le proxy. Lors de la création d'un magasin de clés externe avec une connectivité au point de terminaison public, AWS KMS teste la connexion en envoyant une requête d'état au proxy de magasin de clés externe. Ce test vérifie que le point de terminaison est accessible et que votre proxy de magasin de clés externe acceptera une requête signée avec vos informations d'identification pour l'authentification du proxy de magasin de clés externe. Si cette requête de test échoue, l'opération de création du magasin de clés externe échoue.

  • Si vous utilisez la connectivité au service de point de terminaison d'un VPC, assurez-vous que l'équilibreur de charge réseau, le nom DNS privé et le service de point de terminaison d'un VPC sont correctement configurés et opérationnels. Si le proxy de magasin de clés externe ne se trouve pas dans le VPC, vous devez vous assurer que le service de point de terminaison d'un VPC peut communiquer avec le proxy de magasin de clés externe. (AWS KMS teste la connectivité au service de point de terminaison d'un VPC lorsque vous connectez le magasin de clés externe à son proxy de magasin de clés externe.)

Considérations supplémentaires :

  • AWS KMSenregistre les CloudWatch statistiques et les dimensions d'Amazon, en particulier pour les principaux magasins externes. Des graphiques de surveillance basés sur certaines de ces métriques apparaissent dans la console AWS KMS pour chaque magasin de clés externe. Nous vous recommandons vivement d'utiliser ces métriques afin de créer des alertes qui surveillent votre magasin de clés externe. Ces alertes vous préviennent des signes précoces de problèmes de performance et de fonctionnement avant qu'ils ne se produisent. Pour obtenir des instructions, veuillez consulter Surveiller un magasin de clés externe.

  • Les magasins de clés externes sont soumis à des quotas de ressources. L'utilisation de clés KMS dans un magasin de clés externe est soumise à des quotas de requêtes. Passez en revue ces quotas avant de concevoir l'implémentation de votre magasin de clés externe.

Note

Vérifiez votre configuration pour détecter les dépendances circulaires susceptibles de l'empêcher de fonctionner.

Par exemple, si vous créez votre proxy de stockage de clés externe à l'aide de AWS ressources, assurez-vous que le fonctionnement du proxy ne nécessite pas la disponibilité d'une clé KMS dans un magasin de clés externe accessible via ce proxy.

Tous les nouveaux magasins de clés externes sont créés dans un état déconnecté. Avant de créer des clés KMS dans votre magasin de clés externe, vous devez le connecter à son proxy de magasin de clés externe. Pour modifier les propriétés de votre magasin de clés externe, modifiez les paramètres de votre magasin de clés externe.

Rassembler les conditions requises

Avant de créer un magasin de clés externe, vous devez réunir les composants requis, notamment le gestionnaire de clés externe que vous utiliserez pour prendre en charge le magasin de clés externe et le proxy de magasin de clés externe qui traduit les requêtes AWS KMS dans un format compréhensible par votre gestionnaire de clés externe.

Les composants suivants sont requis pour tous les magasins de clés externes. Outre ces composants, vous devez fournir les composants qui prennent en charge l'option de connectivité par proxy de magasin de clés externe que vous choisissez.

Astuce

Votre gestionnaire de clés externe peut inclure certains de ces composants, ou ils peuvent être configurés pour vous. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.

Si vous créez votre magasin de clés externe dans la console AWS KMS, vous pouvez charger un fichier de configuration de proxy JSON qui spécifie le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy. Certains proxys de magasin de clés externe génèrent ce fichier pour vous. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.

Gestionnaire de clés externe

Chaque magasin de clés externe nécessite au moins une instance de gestionnaire de clés externe. Il peut s'agir d'un module de sécurité matérielle (HSM) physique ou virtuel ou d'un logiciel de gestion des clés.

Vous pouvez utiliser un seul gestionnaire de clés, mais nous recommandons au moins deux instances de gestionnaire de clés connexes qui partagent des clés cryptographiques pour des raisons de redondance. Le magasin de clés externe ne nécessite pas l'utilisation exclusive du gestionnaire de clés externe. Toutefois, le gestionnaire de clés externe doit être capable de gérer la fréquence attendue des requêtes de chiffrement et de déchiffrement émanant des services AWS qui utilisent des clés KMS dans le magasin de clés externe pour protéger vos ressources. Votre gestionnaire de clés externe doit être configuré pour traiter jusqu'à 1 800 requêtes par seconde et pour répondre dans le délai d'expiration de 250 millisecondes pour chaque requête. Nous vous recommandons de placer le gestionnaire de clés externe à proximité d'une Région AWS de manière à ce que le temps d'aller-retour sur le réseau (RTT) soit inférieur ou égal à 35 millisecondes.

Si le proxy de votre magasin de clés externe le permet, vous pouvez modifier le gestionnaire de clés externe que vous associez à votre proxy de magasin de clés externe, mais le nouveau gestionnaire de clés externe doit être une sauvegarde ou un instantané contenant les mêmes éléments de clé. Si la clé externe que vous associez à une clé KMS n'est plus disponible pour le proxy de votre magasin de clés externe, AWS KMS ne peut pas déchiffrer le texte chiffré qui a été chiffré avec la clé KMS.

Le gestionnaire de clés externe doit être accessible au proxy de magasin de clés externe. Si la GetHealthStatusréponse du proxy indique que toutes les instances du gestionnaire de clés externe le sontUnavailable, toutes les tentatives de création d'une banque de clés externe échouent avec un XksProxyUriUnreachableException.

Proxy de magasin de clés externe

Vous devez spécifier un proxy de magasin de clés externe (proxy XKS) conforme aux exigences de conception de spécification de l'API du proxy de magasin de clés externe AWS KMS (langue française non garantie). Vous pouvez développer ou acheter un proxy de magasin de clés externe, ou utiliser un proxy de magasin de clés externe fourni par ou intégré à votre gestionnaire de clés externe. AWS KMS recommande que votre proxy de magasin de clés externe soit configuré pour traiter jusqu'à 1 800 requêtes par seconde et répondre dans le délai d'expiration de 250 millisecondes pour chaque requête. Nous vous recommandons de placer le gestionnaire de clés externe à proximité d'une Région AWS de manière à ce que le temps d'aller-retour sur le réseau (RTT) soit inférieur ou égal à 35 millisecondes.

Vous pouvez utiliser un proxy de magasin de clés externe pour plusieurs magasins de clés externes, mais chaque magasin de clés externe doit disposer d'un point de terminaison et d'un chemin d'URI uniques au sein du proxy de magasin de clés externe pour ses requêtes.

Si vous utilisez la connectivité au service de point de terminaison d'un VPC, vous pouvez localiser le proxy de votre magasin de clés externe dans votre Amazon VPC, mais cela n'est pas obligatoire. Vous pouvez localiser votre proxy à l'extérieur d'AWS, par exemple dans votre centre de données privé, et utiliser le service de point de terminaison d'un VPC uniquement pour communiquer avec le proxy.

Informations d'identification pour l'authentification du proxy

Pour créer un magasin de clés externe, vous devez spécifier vos informations d'identification pour l'authentification du proxy de magasin de clés externe (XksProxyAuthenticationCredential).

Vous devez définir des informations d'identification pour l'authentification (XksProxyAuthenticationCredential) pour AWS KMS sur votre proxy de magasin de clés externe. AWS KMS s'authentifie auprès de votre proxy en signant ses requêtes à l'aide du processus Signature version 4 (SigV4) en utilisant les informations d'identification pour l'authentification du proxy de magasin de clés externe. Vous spécifiez les informations d'identification pour l'authentification lorsque vous créez votre magasin de clés externe et vous pouvez les modifier à tout moment. Si votre proxy effectue une rotation de vos informations d'identification, veillez à mettre à jour les valeurs d'informations d'identification de votre magasin de clés externe.

Les informations d'identification pour l'authentification du proxy comportent deux parties. Vous devez fournir les deux parties pour votre magasin de clés externe.

  • ID de la clé d'accès : identifie la clé d'accès secrète. Vous pouvez fournir cet ID en texte brut.

  • Clé d'accès secrète : partie secrète des informations d'identification. AWS KMS chiffre la clé d'accès secrète contenue dans les informations d'identification avant de les stocker.

Les informations d'identification SigV4 qu'AWS KMS utilise pour signer les requêtes adressées au proxy de magasin de clés externe ne sont pas liées aux informations d'identification SigV4 associées aux principaux AWS Identity and Access Management de vos comptes AWS. Ne réutilisez aucune information d'identification IAM SigV4 pour votre proxy de magasin de clés externe.

Connectivité de proxy

Pour créer un magasin de clés externe, vous devez spécifier l'option de connectivité de proxy de votre magasin de clés externe (XksProxyConnectivity).

AWS KMS peut communiquer avec le proxy de votre magasin de clés externe en utilisant un point de terminaison public ou un service de point de terminaison Amazon Virtual Private Cloud (Amazon VPC). Bien qu'un point de terminaison public soit plus simple à configurer et à gérer, il se peut qu'il ne réponde pas aux exigences de sécurité de chaque installation. Si vous choisissez l'option de connectivité au service de point de terminaison d'un Amazon VPC, vous devez créer et gérer les composants requis, notamment un Amazon VPC avec au moins deux sous-réseaux dans deux zones de disponibilité différentes, un service de point de terminaison d'un VPC avec un équilibreur de charge réseau et un groupe cible, ainsi qu'un nom DNS privé pour le service de point de terminaison d'un VPC.

Vous pouvez modifier l'option de connectivité de proxy pour votre magasin de clés externe. Toutefois, vous devez vous assurer de la disponibilité continue des éléments de clé associés aux clés KMS dans votre magasin de clés externe. Sinon, AWS KMS ne peut pas déchiffrer le texte chiffré avec ces clés KMS.

Pour savoir quelle option de connectivité de proxy convient le mieux à votre magasin de clés externe, veuillez consulter la rubrique Choisir une option de connectivité de proxy. Pour obtenir de l'aide sur la création et la configuration de la connectivité au service de point de terminaison d'un VPC, veuillez consulter la rubrique Configurer la connectivité au service de point de terminaison d'un VPC.

Point de terminaison d'URI de proxy

Pour créer un magasin de clés externe, vous devez spécifier le point de terminaison (XksProxyUriEndpoint) qu'AWS KMS utilise pour envoyer des requêtes au proxy de magasin de clés externe.

Le protocole doit être HTTPS. AWS KMS communique sur le port 443. Ne spécifiez pas le port dans la valeur de point de terminaison d'URI de proxy.

Le certificat de serveur TLS configuré sur le proxy de magasin de clés externe doit correspondre au nom de domaine indiqué dans le point de terminaison de l'URI de proxy de magasin de clés externe et être émis par une autorité de certification prise en charge pour les magasins de clés externes. Pour obtenir une liste, veuillez consulter les Autorités de certification approuvées (langue française non garantie). Votre autorité de certification exigera une preuve de propriété du domaine avant de délivrer le certificat TLS.

Le nom commun (CN) du sujet sur le certificat TLS doit correspondre au nom DNS privé. Par exemple, si le nom DNS privé est myproxy-private.xks.example.com, le CN du certificat TLS doit être myproxy-private.xks.example.com ou *.xks.example.com.

Vous pouvez modifier le point de terminaison de l'URI de votre proxy, mais assurez-vous que le proxy de magasin de clés externe a accès aux éléments de clé associés aux clés KMS de votre magasin de clés externe. Sinon, AWS KMS ne peut pas déchiffrer le texte chiffré avec ces clés KMS.

Exigences relatives à l'unicité

  • La combinaison du point de terminaison d'URI de proxy (XksProxyUriEndpoint) et de la valeur du chemin d'URI de proxy (XksProxyUriPath) doit être unique dans l'Compte AWS et la région.

  • Les magasins de clés externes connectés à un point de terminaison public peuvent partager le même point de terminaison d'URI de proxy, à condition qu'ils aient des valeurs de chemin d'URI de proxy différentes.

  • Un magasin de clés externe connecté à un point de terminaison public ne peut pas utiliser une valeur de point de terminaison d'URI de proxy identique à celle d'un magasin de clés externe connecté aux services de point de terminaison d'un VPC dans la même Région AWS, même si les magasins de clés se trouvent dans des Comptes AWS différents.

  • Chaque magasin de clés externe connecté à un point de terminaison d'un VPC doit avoir son propre nom DNS privé. Le point de terminaison d'URI de proxy (nom DNS privé) doit être unique dans l'Compte AWS et la région.

Chemin d'URI de proxy

Pour créer un magasin de clés externe, vous devez spécifier le chemin de base vers les API de proxy requises dans votre proxy de magasin de clés externe. La valeur doit commencer par / et se terminer par /kms/xks/v1, où v1 représente la version de l'API AWS KMS pour le proxy de magasin de clés externe. Ce chemin peut inclure un préfixe facultatif entre les éléments requis tels que /example-prefix/kms/xks/v1. Pour trouver cette valeur, veuillez consulter la documentation de votre proxy de magasin de clés externe.

AWS KMS envoie des requêtes de proxy à l'adresse spécifiée par la concaténation du point de terminaison d'URI de proxy et du chemin d'URI de proxy. Par exemple, si le point de terminaison d'URI de proxy est https://myproxy.xks.example.com et que le chemin d'URI de proxy est /kms/xks/v1, AWS KMS envoie ses requêtes d'API proxy à https://myproxy.xks.example.com/kms/xks/v1.

Vous pouvez modifier le chemin d'URI de votre proxy, mais assurez-vous que le proxy de magasin de clés externe a accès aux éléments de clé associés aux clés KMS de votre magasin de clés externe. Sinon, AWS KMS ne peut pas déchiffrer le texte chiffré avec ces clés KMS.

Exigences relatives à l'unicité

  • La combinaison du point de terminaison d'URI de proxy (XksProxyUriEndpoint) et de la valeur du chemin d'URI de proxy (XksProxyUriPath) doit être unique dans l'Compte AWS et la région.

Service de point de terminaison d’un VPC

Spécifie le nom du service de point de terminaison d'un Amazon VPC utilisé pour communiquer avec le proxy de votre magasin de clés externe. Ce composant n'est requis que pour les magasins de clés externes qui utilisent la connectivité au service de point de terminaison d'un VPC. Pour obtenir de l'aide sur la configuration de votre service de point de terminaison d'un VPC pour un magasin de clés externe, veuillez consulter la rubrique Configurer la connectivité au service de point de terminaison d'un VPC.

Le service de point de terminaison d'un VPC doit posséder les propriétés suivantes :

  • Le service de point de terminaison d'un VPC doit se trouver dans les mêmes Compte AWS et région que le magasin de clés externe.

  • Il doit comporter un équilibreur de charge réseau (NLB) connecté à au moins deux sous-réseaux, dans deux zones de disponibilités distinctes.

  • La liste des principaux autorisés pour le service de point de terminaison d'un VPC doit inclure le principal de service AWS KMS pour la région : cks.kms.<region>.amazonaws.com, tel que cks.kms.us-east-1.amazonaws.com.

  • L'acceptation des requêtes de connexion ne doit pas être requise.

  • Il doit avoir un nom DNS privé dans un domaine public de niveau supérieur. Par exemple, vous pouvez avoir un nom DNS privé myproxy-private.xks.example.com dans le domaine public xks.example.com.

    Le nom DNS privé d'un magasin de clés externe doté d'une connectivité au service de point de terminaison d'un VPC doit être unique dans sa Région AWS.

  • L'état de vérification du domaine du nom DNS privé doit être verified.

  • Le certificat de serveur TLS configuré sur le proxy de magasin de clés externe doit spécifier le nom d'hôte DNS privé auquel le point de terminaison est accessible.

Exigences relatives à l'unicité

  • Les magasins de clés externes connectés à des points de terminaison d'un VPC peuvent partager un Amazon VPC, mais chaque magasin de clés externe doit disposer de son propre service de point de terminaison d'un VPC et d'un nom DNS privé.

Fichier de configuration du proxy

Un fichier de configuration de proxy est un fichier JSON facultatif qui contient des valeurs pour le chemin d'URI de proxy et les propriétés d'informations d'identification pour l'authentification du proxy de votre magasin de clés externe. Lorsque vous créez ou modifiez un magasin de clés externe dans la console AWS KMS, vous pouvez télécharger un fichier de configuration de proxy pour fournir des valeurs de configuration pour votre magasin de clés externe. L'utilisation de ce fichier évite les erreurs de saisie et de collage et garantit que les valeurs de votre magasin de clés externe correspondent à celles de votre proxy de magasin de clés externe.

Les fichiers de configuration du proxy sont générés par le proxy de magasin de clés externe. Pour savoir si votre proxy de magasin de clés externe propose un fichier de configuration de proxy, veuillez consulter la documentation relative à votre proxy de magasin de clés externe.

Voici un exemple de fichier de configuration de proxy correctement formaté avec des valeurs fictives.

{ "XksProxyUriPath": "/example-prefix/kms/xks/v1", "XksProxyAuthenticationCredential": { "AccessKeyId": "ABCDE12345670EXAMPLE", "RawSecretAccessKey": "0000EXAMPLEFA5FT0mCc3DrGUe2sti527BitkQ0Zr9MO9+vE=" } }

Vous ne pouvez charger un fichier de configuration du proxy que lors de la création ou de la modification d'un magasin de clés externe dans la console AWS KMS. Vous ne pouvez pas l'utiliser avec les UpdateCustomKeyStoreopérations CreateCustomKeyStoreor, mais vous pouvez utiliser les valeurs du fichier de configuration du proxy pour vous assurer que les valeurs de vos paramètres sont correctes.

Créer un magasin de clés externe (console)

Avant de créer un magasin de clés externe, consultez Planifier un magasin de clés externe, choisissez votre type de connectivité de proxy et assurez-vous d'avoir créé et configuré tous les composants requis. Si vous avez besoin d'aide pour trouver l'une des valeurs requises, consultez la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

Note

Lorsque vous créez un magasin de clés externe dans l'AWS Management Console, vous pouvez télécharger un fichier de configuration de proxy JSON contenant des valeurs pour le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy. Certains proxys génèrent ce fichier pour vous. Il n'est pas obligatoire.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).

  4. Choisissez Create external key store (Créer un magasin de clés externe).

  5. Saisissez un nom convivial pour le magasin de clés externe. Le nom doit être unique parmi tous les magasins de clés externes de votre compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  6. Choisissez votre type de connectivité de proxy.

    Votre choix de connectivité de proxy détermine les composants requis pour votre proxy de magasin de clés externe. Pour obtenir de l'aide pour faire ce choix, veuillez consulter la rubrique Choisir une option de connectivité de proxy.

  7. Choisissez ou saisissez le nom du service de point de terminaison d'un VPC pour ce magasin de clés externe. Cette étape s'affiche uniquement lorsque le type de connectivité du proxy de votre magasin de clés externe est VPC endpoint service (Service de point de terminaison d'un VPC).

    Le service de point de terminaison d'un VPC et ses VPC doivent répondre aux exigences d'un magasin de clés externe. Pour plus de détails, consultez Rassembler les conditions requises.

  8. Saisissez votre point de terminaison d'URI de proxy. Le protocole doit être HTTPS. AWS KMS communique sur le port 443. Ne spécifiez pas le port dans la valeur de point de terminaison d'URI de proxy.

    Si AWS KMS reconnaît le service de point de terminaison d'un VPC que vous avez spécifié à l'étape précédente, il complète ce champ à votre place.

    Pour la connectivité au point de terminaison public, saisissez un URI de point de terminaison accessible au public. Pour la connectivité au point de terminaison d'un VPC, saisissez https:// suivi du nom DNS privé du service de point de terminaison d'un VPC.

  9. Pour saisir les valeurs du préfixe du chemin d'URI de proxy et des informations d'identification pour l'authentification du proxy, chargez un fichier de configuration de proxy ou saisissez les valeurs manuellement.

    • Si vous disposez d'un fichier de configuration de proxy facultatif contenant des valeurs pour le chemin d'URI de votre proxy et les informations d'identification pour l'authentification du proxy, choisissez Upload configuration file (Charger le fichier de configuration). Suivez les instructions pour charger le fichier.

      Lorsque le fichier est chargé, la console affiche les valeurs du fichier dans des champs modifiables. Vous pouvez changer les valeurs maintenant ou modifier ces valeurs après la création du magasin de clés externe.

      Pour afficher la valeur de la clé d'accès secrète, choisissez Show secret access key (Afficher la clé d'accès secrète).

    • Si vous ne disposez pas d'un fichier de configuration du proxy, vous pouvez saisir manuellement le chemin d'URI de proxy et les valeurs d'informations d'identification pour l'authentification du proxy.

      1. Si vous n'avez pas de fichier de configuration de proxy, vous pouvez saisir manuellement l'URI de votre proxy. La console fournit la valeur /kms/xks/v1 requise.

        Si votre chemin d'URI de proxy inclut un préfixe facultatif, tel que l'example-prefix dans /example-prefix/kms/xks/v1, saisissez le préfixe dans le champ Proxy URI path prefix (Préfixe du chemin d'URI de proxy). Sinon, laissez le champ vide.

      2. Si vous ne disposez pas d'un fichier de configuration du proxy, vous pouvez saisir vos informations d'identification pour l'authentification du proxy manuellement. L'ID de clé d'accès et la clé d'accès secrète sont tous deux requis.

        • Dans Proxy credential: Access key ID (Informations d'identification du proxy : identifiant de la clé d'accès), saisissez l'ID de clé d'accès des informations d'identification pour l'authentification du proxy. L'ID de clé d'accès identifie la clé d'accès secrète.

        • Dans Proxy credential: Secret access key (Informations d'identification du proxy : clé d'accès secrète), saisissez la clé d'accès secrète des informations d'identification pour l'authentification du proxy.

        Pour afficher la valeur de la clé d'accès secrète, choisissez Show secret access key (Afficher la clé d'accès secrète).

        Cette procédure ne définit ni ne modifie les informations d'identification pour l'authentification que vous avez établies sur votre proxy de magasin de clés externe. Elle associe simplement ces valeurs à votre magasin de clés externe. Pour plus d'informations sur la définition, la modification et la rotation de vos informations d'identification pour l'authentification du proxy, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

        Si vos informations d'identification pour l'authentification du proxy changent, modifiez le paramètre des informations d'identification de votre magasin de clés externe.

  10. Choisissez Create external key store (Créer un magasin de clés externe).

Lorsque la procédure se termine avec succès, le nouveau magasin de clés externe s'affiche dans la liste des magasins de clés externes du compte et de la région. S'il ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez CreateKey erreurs pour la clé externe.

Suivant : les nouveaux magasins de clés externes ne sont pas automatiquement connectés. Avant de créer les AWS KMS keys dans votre magasin de clés externe, vous devez connecter le magasin de clés externe à son proxy de magasin de clés externe.

Créer un magasin de clés externe (API)

Vous pouvez utiliser cette CreateCustomKeyStoreopération pour créer un nouveau magasin de clés externe. Pour obtenir de l'aide pour trouver les valeurs des paramètres requis, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre logiciel de gestion des clés.

Astuce

Vous ne pouvez pas charger de fichier de configuration de proxy lors de l'utilisation de l'opération CreateCustomKeyStore. Vous pouvez toutefois utiliser les valeurs du fichier de configuration de proxy pour vous assurer que les valeurs de vos paramètres sont correctes.

Pour créer un magasin de clés externe, l'opération CreateCustomKeyStore nécessite les valeurs de paramètres suivantes.

  • CustomKeyStoreName : un nom convivial pour le magasin de clés externe qui est unique dans le compte.

    Important

    N'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties.

  • CustomKeyStoreType : spécifiez EXTERNAL_KEY_STORE.

  • XksProxyConnectivity : spécifiez PUBLIC_ENDPOINT ou VPC_ENDPOINT_SERVICE.

  • XksProxyAuthenticationCredential : spécifiez à la fois l'ID de clé d'accès et la clé d'accès secrète.

  • XksProxyUriEndpoint : le point de terminaison qu'AWS KMS utilise pour communiquer avec votre proxy de magasin de clés externe.

  • XksProxyUriPath : le chemin d'accès aux API de proxy au sein du proxy.

  • XksProxyVpcEndpointServiceName : obligatoire uniquement lorsque la valeur de votre XksProxyConnectivity est VPC_ENDPOINT_SERVICE.

Note

Si vous utilisez l'AWS CLI version 1.0, exécutez la commande suivante avant de spécifier un paramètre avec une valeur HTTP ou HTTPS, tel que le paramètre XksProxyUriEndpoint.

aws configure set cli_follow_urlparam false

Sinon, l'AWS CLI version 1.0 remplace la valeur du paramètre par le contenu trouvé à cette adresse URI, provoquant l'erreur suivante :

Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404

Les exemples suivants utilisent des valeurs fictives. Avant d'exécuter la commande, remplacez-les par des valeurs valides pour votre magasin de clés externe.

Créez un magasin de clés externe avec une connectivité au point de terminaison public.

$ aws kms create-custom-key-store --custom-key-store-name ExampleExternalKeyStorePublic \ --custom-key-store-type EXTERNAL_KEY_STORE \ --xks-proxy-connectivity PUBLIC_ENDPOINT \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com \ --xks-proxy-uri-path /kms/xks/v1 \ --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Créez un magasin de clés externe avec une connectivité au service de point de terminaison d'un VPC.

$ aws kms create-custom-key-store --custom-key-store-name ExampleExternalKeyStoreVPC \ --custom-key-store-type EXTERNAL_KEY_STORE \ --xks-proxy-connectivity VPC_ENDPOINT_SERVICE \ --xks-proxy-vpc-endpoint-service-name com.amazonaws.vpce.us-east-1.vpce-svc-example \ --xks-proxy-uri-endpoint https://myproxy-private.xks.example.com \ --xks-proxy-uri-path /kms/xks/v1 \ --xks-proxy-authentication-credential AccessKeyId=<value>,RawSecretAccessKey=<value>

Lorsque l'opération est réussie, CreateCustomKeyStore renvoie l'ID du magasin de clés personnalisé, comme illustré dans l'exemple de réponse suivant.

{ "CustomKeyStoreId": cks-1234567890abcdef0 }

Si l'opération échoue, corrigez l'erreur indiquée par l'exception, puis réessayez. Pour obtenir de l'aide supplémentaire, consultez Résoudre les problèmes liés aux magasins de clés externes.

Suivant : pour utiliser le magasin de clés externe, connectez-le à son proxy de magasin de clés externe.