Connecter et déconnecter un magasin de clés AWS CloudHSM - AWS Key Management Service
Connecter un magasin de clés AWS CloudHSMDéconnecter un magasin de clés AWS CloudHSMConnecter un magasin de clés AWS CloudHSM (console)Connecter un magasin de clés personnalisé (API)Déconnecter un magasin de clés AWS CloudHSM (console)Déconnecter un magasin de clés AWS CloudHSM (API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connecter et déconnecter un magasin de clés AWS CloudHSM

Les nouveaux magasins de clés AWS CloudHSM ne sont pas connectés. Avant de pouvoir créer et utiliser les AWS KMS keys de votre magasin de clés AWS CloudHSM, vous devez le connecter à son cluster AWS CloudHSM associé. Vous pouvez connecter et déconnecter votre magasin de clés AWS CloudHSM à tout moment, et afficher son état de connexion.

Vous n'avez pas besoin de connecter votre magasin de clés AWS CloudHSM. Vous pouvez conserver un magasin de clés AWS CloudHSM dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous avez besoin de l'utiliser. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

Note

Les magasins de clés AWS CloudHSM sont à l'état de connexion DISCONNECTED uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si votre magasin de clés AWS CloudHSM est à l'état de connexion CONNECTED, mais que vous rencontrez des difficultés à l'utiliser, assurez-vous que son cluster AWS CloudHSM associé est actif et contient au moins un module HSM actif. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Dépannage d'un magasin de clés personnalisé.

Connecter un magasin de clés AWS CloudHSM

Lorsque vous connectez un magasin de clés AWS CloudHSM, AWS KMS recherche le cluster AWS CloudHSM associé, s'y connecte, se connecte au client AWS CloudHSM comme utilisateur de chiffrement kmsuser (CU), puis effectue une rotation du mot de passe kmsuser. AWS KMS reste connecté au client AWS CloudHSM aussi longtemps que le magasin de clés AWS CloudHSM est connecté.

Pour établir la connexion, AWS KMS crée un groupe de sécurité nommé kms-<custom key store ID> dans le cloud privé virtuel (VPC) du cluster. Le groupe de sécurité possède une règle qui permet le trafic entrant depuis le groupe de sécurité du cluster. AWS KMS crée également une interface réseau Elastic (ENI) dans chaque zone de disponibilité du sous-réseau privé pour le cluster. AWS KMS ajoute les interfaces réseau Elastic (ENI) au kms-<cluster ID> groupe de sécurité et au groupe de sécurité du cluster. La description de chaque ENI est KMS managed ENI for cluster <cluster-ID>.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes.

Avant de connecter le magasin de clés AWS CloudHSM, vérifiez qu'il répond aux exigences.

  • Son cluster AWS CloudHSM cluster associé doit contenir au moins un module HSM actif. Pour connaître le nombre de HSM dans le cluster, visualisez le cluster dans la AWS CloudHSM console ou utilisez l'DescribeClustersopération. Si nécessaire, vous pouvez ajouter un module HSM.

  • Le cluster doit avoir un compte d'utilisateur de chiffrement kmsuser (CU), mais cet CU ne peut pas être connecté au cluster lorsque vous connectez le magasin de clés AWS CloudHSM. Pour obtenir de l'aide sur la déconnexion, reportez-vous à la section Comment se déconnecter et se reconnecter.

  • L'état de connexion du magasin de clés AWS CloudHSM ne peut pas être DISCONNECTING ou FAILED. Pour afficher l'état de la connexion, utilisez la AWS KMS console ou la DescribeCustomKeyStoresréponse. Si l'état de la connexion est FAILED, déconnectez le magasin de clés personnalisé, résolvez le problème, puis connectez-le à nouveau.

Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Comment corriger un échec de connexion.

Lorsque votre magasin de clés AWS CloudHSM est connecté, vous pouvez y créer des clés KMS et utiliser les clés KMS existantes dans les opérations cryptographiques.

Déconnecter un magasin de clés AWS CloudHSM

Lorsque vous déconnectez un magasin de clés AWS CloudHSM, AWS KMS se déconnecte du client AWS CloudHSM, se déconnecte du cluster AWS CloudHSM associé et supprime l'infrastructure réseau qu'il a créée pour prendre en charge la connexion.

Même si un magasin de clés AWS CloudHSM est déconnecté, vous pouvez gérer le magasin de clés AWS CloudHSM et ses clés KMS, mais vous ne pouvez pas créer ou utiliser des clés KMS dans le magasin de clés AWS CloudHSM. L'état de connexion du magasin de clés est DISCONNECTED et l'état de la clé des clés KMS du magasin de clés personnalisé est Unavailable, sauf si elles sont PendingDeletion. Vous pouvez reconnecter le magasin de clés AWS CloudHSM à tout moment.

Lorsque vous déconnectez un magasin de clés personnalisé, les clés KMS du magasin de clés deviennent immédiatement inutilisables (sous réserve d'une éventuelle cohérence). Toutefois, les ressources chiffrées à l'aide de clés de données protégées par la clé KMS ne sont pas affectées tant que la clé KMS n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés KMS inutilisables affectent les clés de données.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés personnalisé, identifiez les clés KMS du magasin de clés personnalisé et déterminez leur utilisation antérieure.

Vous pouvez déconnecter un magasin de clés AWS CloudHSM pour des raisons telles que les suivantes :

  • Pour effectuer une rotation du mot de passe kmsuser. AWS KMS modifie le mode de passe de kmsuser chaque fois qu'il se connecte au cluster AWS CloudHSM. Pour forcer une rotation de mot de passe, déconnectez-vous et reconnectez-vous.

  • Pour auditer les éléments de clé des clés KMS du cluster AWS CloudHSM. Lorsque vous déconnectez le magasin de clés personnalisé, AWS KMS se déconnecte du compte de l'utilisateur de chiffrement kmsuser du client AWS CloudHSM. Ceci vous permet de vous connecter au cluster en tant qu'utilisateur du chiffrement kmsuser, et d'auditer et gérer les éléments de clé pour la clé KMS.

  • Pour désactiver immédiatement toutes les clés KMS dans le magasin de clés AWS CloudHSM. Vous pouvez désactiver et réactiver les clés KMS dans un magasin de AWS CloudHSM clés en utilisant l'DisableKeyopération AWS Management Console ou. Ces opérations s'effectuent rapidement, mais elles agissent sur une seule clé KMS à la fois. La déconnexion du magasin de clés AWS CloudHSM fait immédiatement passer l'état de toutes les clés KMS du magasin de clés AWS CloudHSM à Unavailable, ce qui les empêche d'être utilisées dans toute opération cryptographique.

  • Pour réparer un échec de tentative de connexion. Si une tentative de connexion d'un magasin de clés AWS CloudHSM échoue (l'état de connexion du magasin de clés personnalisé est FAILED), vous devez déconnecter le magasin de clés AWS CloudHSM avant d'essayer de le connecter à nouveau.

Connecter un magasin de clés AWS CloudHSM (console)

Pour connecter un magasin de clés AWS CloudHSM dans l'AWS Management Console, commencez par sélectionner le magasin de clés AWS CloudHSM à partir de la page Custom key stores (Magasins de clés personnalisés). Le processus de connexion peut prendre jusqu'à 20 minutes.

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés).

  4. Choisissez la ligne du magasin de clés AWS CloudHSM que vous souhaitez connecter.

    Si l'état de connexion du magasin de clés AWS CloudHSM est Failed (Échec), vous devez déconnecter le magasin de clés personnalisé avant de le connecter.

  5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Connect (Connecter).

AWS KMS commence le processus de connexion de votre magasin de clés personnalisé. Il recherche le cluster AWS CloudHSM associé, crée l'infrastructure réseau requise, la connecte, se connecte au cluster AWS CloudHSM en tant qu'utilisateur de chiffrement (CU) kmsuser et effectue une rotation du mot de passe kmsuser. Une fois l'opération terminée, l'état de la connexion devient Connected.

Si l'opération échoue, un message d'erreur s'affiche qui décrit la raison de l'échec. Avant d'essayer de le connecter à nouveau, affichez l'état de connexion de votre magasin de clés AWS CloudHSM. Si le statut est Failed, vous devez déconnecter le magasin de clés personnalisé avant de vous connecter à nouveau. Si vous avez besoin d'aide, consultez Dépannage d'un magasin de clés personnalisé.

Suivant : Créer des clés KMS dans un magasin de clés AWS CloudHSM.

Connecter un magasin de clés personnalisé (API)

Pour connecter un magasin de AWS CloudHSM clés déconnecté, utilisez l'ConnectCustomKeyStoreopération. Le cluster AWS CloudHSM associé doit contenir au moins un module HSM actif et l'état de la connexion ne peut pas être FAILED.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. Sauf si elle échoue rapidement, l'opération renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer l'état de connexion du magasin de clés personnalisé, consultez la DescribeCustomKeyStoresréponse.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Pour identifier le magasin de clés AWS CloudHSM, utilisez son ID du magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des stockages de clés personnalisés de la console ou en utilisant l'DescribeCustomKeyStoresopération sans paramètres. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que le magasin de AWS CloudHSM clés est connecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreNameou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Si ConnectionState a la valeur CONNECTED, cela indique que le magasin de clés personnalisé est connecté à son cluster AWS CloudHSM.

Note

Le champ CustomKeyStoreType a été ajouté à la réponse DescribeCustomKeyStores pour distinguer les magasins de clés AWS CloudHSM des magasins de clés externes.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleCloudHSMKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "CONNECTED"
   ],
}

Si la valeur de ConnectionState est failed, l'élément ConnectionErrorCode indique la raison de l'échec. Dans ce cas, AWS KMS n'a pas pu trouver un cluster AWS CloudHSM dans votre compte avec l'ID de cluster cluster-1a23b4cdefg. Si vous avez supprimé le cluster, vous pouvez le restaurer à partir d'une sauvegarde du cluster d'origine, puis modifier l'ID de cluster pour le magasin de clés personnalisé. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique Comment corriger un échec de connexion.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>",
      "CreationDate": "1.499288695918E9",
      "ConnectionState": "FAILED"
      "ConnectionErrorCode": "CLUSTER_NOT_FOUND"
   ],
}

Suivant : Créer des clés KMS dans un magasin de clés AWS CloudHSM.

Déconnecter un magasin de clés AWS CloudHSM (console)

Pour déconnecter un magasin de clés AWS CloudHSM connecté dans la AWS Management Console, commencez à sélectionner le magasin de clés AWS CloudHSM à partir de la page Custom Key Stores (Magasins de clés personnalisés).

  1. Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms.

  2. Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés).

  4. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter.

  5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).

Une fois l'opération terminée, l'état de la connexion passe de Disconnecting à Disconnected. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

Déconnecter un magasin de clés AWS CloudHSM (API)

Pour déconnecter un magasin de AWS CloudHSM clés connecté, utilisez l'DisconnectCustomKeyStoreopération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Cet exemple déconnecte un magasin de clés AWS CloudHSM. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que le magasin de AWS CloudHSM clés est déconnecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName ou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Si ConnectionState a la valeur DISCONNECTED, cela indique que cet exemple de magasin de clés AWS CloudHSM n'est pas connecté à son cluster AWS CloudHSM.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0
{
   "CustomKeyStores": [
      "CloudHsmClusterId": "cluster-1a23b4cdefg",
      "ConnectionState": "DISCONNECTED",
      "CreationDate": "1.499288695918E9",
      "CustomKeyStoreId": "cks-1234567890abcdef0",
      "CustomKeyStoreName": "ExampleKeyStore",
      "CustomKeyStoreType": "AWS_CLOUDHSM",
      "TrustAnchorCertificate": "<certificate string appears here>"
   ],
}