Connexion et déconnexion d'un magasin de clés personnalisé - AWS Key Management Service

Connexion et déconnexion d'un magasin de clés personnalisé

Les nouveaux magasins de clés personnalisés ne sont pas connectés. Avant de pouvoir créer et utiliser les AWS KMS keys de votre magasin de clés personnalisé, vous devez le connecter à son cluster AWS CloudHSM associé. Vous pouvez connecter et déconnecter votre magasin de clés personnalisé à tout moment, et afficher son statut de connexion.

Vous n'avez pas besoin de connecter votre magasins de clés personnalisé. Vous pouvez conserver un magasin de clés personnalisé dans un état déconnecté indéfiniment et le connecter uniquement lorsque vous avez besoin de l'utiliser. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

Note

Les magasins de clés personnalisés sont à l'état DISCONNECTED uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si votre magasin de clés personnalisé est à l'état CONNECTED, mais que vous rencontrez des difficultés à l'utiliser, assurez-vous que son cluster AWS CloudHSM associé est actif et contient au moins un module HSM actif. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Dépannage d'un magasin de clés personnalisé.

Connexion d'un magasin de clés personnalisé

Lorsque vous connectez un magasin de clés personnalisé, AWS KMS recherche le cluster AWS CloudHSM associé, s'y connecte, se connecte au client AWS CloudHSM comme utilisateur de chiffrement kmsuser (CU), puis renouvelle le mot de passe kmsuser. AWS KMS reste connecté au client AWS CloudHSM aussi longtemps que le magasin de clés personnalisé est connecté.

Pour établir la connexion, AWS KMS crée un groupe de sécurité nommé kms-<custom key store ID> dans le cloud privé virtuel (VPC) du cluster. Le groupe de sécurité possède une règle qui permet le trafic entrant depuis le groupe de sécurité du cluster. AWS KMS crée également une interface réseau Elastic (ENI) dans chaque zone de disponibilité du sous-réseau privé pour le cluster. AWS KMS ajoute les interfaces réseau Elastic (ENI) au kms-<cluster ID> groupe de sécurité et au groupe de sécurité du cluster. La description de chaque ENI est KMS managed ENI for cluster <cluster-ID>.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes.

Avant de connecter le magasin de clés personnalisé, vérifiez qu'il répond aux exigences.

  • Son cluster AWS CloudHSM associé doit contenir au moins un module HSM actif. Pour rechercher le nombre de modules HSM du cluster, affichez le cluster dans la console AWS CloudHSM ou utilisez l'opération DescribeClusters. Si nécessaire, vous pouvez ajouter un module HSM.

  • Le cluster doit avoir un compte d' utilisateur crypto (CU) kmsuser mais cette CU ne peut pas être connectée au cluster lorsque vous connectez le magasin de clés personnalisé. Pour obtenir de l'aide sur la déconnexion, reportez-vous à la section Comment se déconnecter et se reconnecter.

  • L'état de connexion du magasin de clés personnalisé ne peut pas être DISCONNECTING ou FAILED. Vous pouvez l'état de connexion dans la console ou à l'aide de l'opération DescribeCustomKeyStores. Si l'état de la connexion est FAILED, déconnectez le magasin de clés personnalisé, puis connectez-le.

Lorsque votre magasin de clés personnalisé est connecté, vous pouvez y créer des clés KMS et utiliser les clés KMS existantes dans les opérations de chiffrement.

Déconnexion d'un magasin de clés personnalisé

Lorsque vous déconnectez un magasin de clés personnalisé, AWS KMS se déconnecte du client AWS CloudHSM, se déconnecte du cluster AWS CloudHSM associé et supprime l'infrastructure réseau qu'il a créée pour prendre en charge la connexion.

Même si un magasin de clés personnalisé est déconnecté, vous pouvez gérer le magasin de clés personnalisé et ses AWS KMS keys (clés KMS), mais vous ne pouvez pas créer ou utiliser des clés KMS dans le magasin de clés personnalisé. Le statut du magasin de clés personnalisé est DISCONNECTED et l'état de la clé des clés KMS du magasin de clés personnalisé est Unavailable, sauf s'ils sont PendingDeletion. Vous pouvez reconnecter le magasin de clés personnalisé à tout moment.

Note

Même si un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de clés KMS dans le magasin de clés personnalisé ou d'utilisation de clés KMS existantes dans les opérations de chiffrement échouent. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés, identifiez les clés KMS du magasin de clés personnalisé et déterminez leur utilisation antérieure.

Vous pouvez vous déconnecter le magasin de clés personnalisé pour des raisons telles que les suivantes :

  • Pour effectuer une rotation du mot de passe kmsuser. AWS KMS modifie le mode de passe de kmsuser chaque fois qu'il se connecte au cluster AWS CloudHSM. Pour forcer une rotation de mot de passe, déconnectez-vous et reconnectez-vous.

  • Pour auditer les éléments de clé des clés KMS du cluster AWS CloudHSM. Lorsque vous déconnectez le magasin de clés personnalisé, AWS KMS se déconnecte du compte de l'utilisateur de chiffrement kmsuser du client AWS CloudHSM. Ceci vous permet de vous connecter au cluster en tant qu'utilisateur du chiffrement kmsuser, et d'auditer et gérer les éléments de clé pour la clé KMS.

  • Pour désactiver immédiatement toutes les clés KMS du magasin de clés personnalisé. Vous pouvez désactiver et réactiver les clés KMS d'un magasin de clés personnalisé à l'aide de la AWS Management Console ou de l'opération DisableKey. Ces opérations s'effectuent rapidement, mais elles agissent sur une seule clé KMS à la fois. La déconnexion immédiate modifie l'état de la clé de toutes les clés KMS de la clé personnalisée en Unavailable, ce qui empêche leur utilisation dans les opérations de chiffrement.

  • Pour réparer un échec de tentative de connexion. Si une tentative de connexion d'un magasin de clés personnalisé échoue (l'état de connexion du magasin de clés personnalisé est FAILED), vous devez déconnecter le magasin de clés personnalisé avant d'essayer de le connecter à nouveau.

Connecter un magasin de clés personnalisé (console)

Pour connecter un magasin de clés personnalisé dans AWS Management Console, commencez à sélectionner le magasin de clés personnalisé à partir de la page Magasins de clés personnalisés. L'ensemble du processus dure jusqu'à 20 minutes.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de région AWS, utilisez le Region selector (Sélecteur de région) dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, choisissez Custom key stores (Magasins de clés personnalisés).

  4. Choisissez le magasin de clés personnalisé que vous voulez connecter.

  5. Si le statut du magasin de clés personnalisé est FAILED, vous devez déconnecter le magasin de clés personnalisé avant de le connecter.

  6. Depuis le menu Actions du magasin de clés, sélectionnez Connexion d'un magasin de clés personnalisé.

AWS KMS commence le processus de connexion de votre magasin de clés personnalisé. Il recherche le cluster AWS CloudHSM associé, crée l'infrastructure réseau requise, la connecte, se connecte au cluster AWS CloudHSM en tant qu'utilisateur de chiffrement (CU) kmsuser et effectue une rotation du mot de passe kmsuser. Une fois l'opération terminée, l'état de la connexion devient CONNECTED.

Si l'opération échoue, un message d'erreur s'affiche qui décrit la raison de l'échec. Avant d'essayer de vous connecter à nouveau, affichez le statut de connexion de votre magasin de clés personnalisé. Si le statut est FAILED, vous devez déconnecter le magasin de clés personnalisé avant de vous connecter à nouveau. Si vous avez besoin d'aide, consultez Dépannage d'un magasin de clés personnalisé.

Suivant : Créer les clés KMS d'un magasin de clés personnalisé.

Connecter un magasin de clés personnalisé (API)

Pour connecter un magasin de clés personnalisé déconnecté, utilisez l'opération ConnectCustomKeyStore. Le cluster AWS CloudHSM associé doit contenir au moins un module HSM actif et l'état de la connexion ne peut pas être FAILED.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. Sauf si elle échoue rapidement, l'opération renvoie une réponse HTTP 200 et un objet JSON sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer l'état de connexion du magasin de clés personnalisé, utilisez l'opération DescribeCustomKeyStores.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Pour identifier le magasin de clés personnalisé, utilisez l'ID du magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page Magasins de clés personnalisés dans la console ou à l'aide de l'opération DescribeCustomKeyStores. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que le magasin de clés personnalisé est connecté, utilisez l'opération DescribeCustomKeyStores. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreIdou CustomKeyStoreName (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Si ConnectionState a la valeur CONNECTED, cela indique que le magasin de clés personnalisé est connecté à son cluster AWS CloudHSM.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

Si la valeur de ConnectionState est failed, l'élément ConnectionErrorCode indique la raison de l'échec. Dans ce cas, AWS KMS n'a pas pu trouver un cluster AWS CloudHSM dans votre compte avec l'ID de cluster cluster-1a23b4cdefg. Si vous avez supprimé le cluster, vous pouvez le restaurer à partir d'une sauvegarde du cluster d'origine, puis modifier l'ID de cluster pour le magasin de clés personnalisé.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" "ConnectionErrorCode": "CLUSTER_NOT_FOUND" ], }

Suivant : Créer les clés KMS d'un magasin de clés personnalisé.

Déconnecter un magasin de clés personnalisé (console)

Pour déconnecter un magasin de clés personnalisé connecté dans AWS Management Console, commencez à sélectionner le magasin de clés personnalisé à partir de la page Magasins de clés personnalisés.

  1. Connectez-vous à la AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms

  2. Pour changer de région AWS, utilisez le Region selector (Sélecteur de région) dans l'angle supérieur droit de la page.

  3. Dans le panneau de navigation, choisissez Custom key stores (Magasins de clés personnalisés).

  4. Choisissez le magasin de clés personnalisé que vous voulez déconnecter.

  5. Depuis le menu Actions du magasin de clés, sélectionnez Déconnexion d'un magasin de clés personnalisé.

Une fois l'opération terminée, l'état de la connexion passe de DISCONNECTING à DISCONNECTED. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

Déconnecter un magasin de clés personnalisé (API)

Pour déconnecter un magasin de clés personnalisé connecté, utilisez l'opération DisconnectCustomKeyStore. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.

Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation pris en charge.

Cet exemple déconnecte un magasin de clés personnalisé. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que le magasin de clés personnalisé est déconnecté, utilisez l'opération DescribeCustomKeyStores. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreId ou CustomKeyStoreName (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. Si ConnectionState a la valeur DISCONNECTED, cela indique que le magasin de clés personnalisé n'est pas connecté à son cluster AWS CloudHSM.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "TrustAnchorCertificate": "<certificate string appears here>" ], }