Connectez et déconnectez un AWS CloudHSM magasin de clés - AWS Key Management Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Connectez et déconnectez un AWS CloudHSM magasin de clés

New AWS CloudHSM les magasins de clés ne sont pas connectés. Avant de pouvoir créer et utiliser AWS KMS keys dans votre AWS CloudHSM magasin de clés, vous devez le connecter à son magasin associé AWS CloudHSM grappe. Vous pouvez connecter et déconnecter votre AWS CloudHSM stockez les clés à tout moment et consultez l'état de sa connexion.

Vous n'êtes pas obligé de connecter votre AWS CloudHSM magasin de clés. Vous pouvez laisser un AWS CloudHSM stockez les clés dans un état déconnecté indéfiniment et connectez-le uniquement lorsque vous en avez besoin. Cependant, vous pouvez tester la connexion régulièrement pour vérifier que les paramètres sont corrects et que le magasin peut être connecté.

Note

AWS CloudHSM les magasins de clés ont un état de DISCONNECTED connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si vos recettes AWS CloudHSM l'état de la connexion au magasin de clés est CONNECTED mais vous rencontrez des difficultés pour l'utiliser, assurez-vous qu'il est associé AWS CloudHSM le cluster est actif et contient au moins un actifHSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Dépannage d'un magasin de clés personnalisé.

Connecter un AWS CloudHSM magasin de clés

Lorsque vous connectez un AWS CloudHSM magasin de clés, AWS KMS trouve les éléments associés AWS CloudHSM cluster, s'y connecte, se connecte au AWS CloudHSM client en tant qu'utilisateur kmsuser cryptographique (CU), puis fait pivoter le kmsuser mot de passe. AWS KMS reste connecté au AWS CloudHSM client tant que AWS CloudHSM le magasin de clés est connecté.

Pour établir la connexion, AWS KMS crée un groupe de sécurité nommé kms-<custom key store ID> dans le cloud privé virtuel (VPC) du cluster. Le groupe de sécurité dispose d'une règle unique qui autorise le trafic entrant en provenance du groupe de sécurité du cluster. AWS KMS crée également une elastic network interface (ENI) dans chaque zone de disponibilité du sous-réseau privé du cluster. AWS KMS ajoute le ENIs au groupe kms-<cluster ID> de sécurité et le groupe de sécurité du cluster. La description de chacun ENI estKMS managed ENI for cluster <cluster-ID>.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes.

Avant de connecter le AWS CloudHSM magasin de clés, vérifiez qu'il répond aux exigences.

  • C'est associé AWS CloudHSM le cluster doit contenir au moins un actifHSM. Pour trouver le nombre de HSMs dans le cluster, visualisez le cluster dans le AWS CloudHSM console ou utilisez l'DescribeClustersopération. Si nécessaire, vous pouvez ajouter un HSM.

  • Le cluster doit disposer d'un compte utilisateur kmsuser crypté (CU), mais ce CU ne peut pas être connecté au cluster lorsque vous connectez AWS CloudHSM magasin de clés. Pour obtenir de l'aide sur la déconnexion, reportez-vous à la section Comment se déconnecter et se reconnecter.

  • L'état de connexion du AWS CloudHSM le magasin de clés ne peut pas être DISCONNECTING ouFAILED. Pour afficher l'état de la connexion, utilisez le AWS KMS console ou DescribeCustomKeyStoresréponse. Si l'état de la connexion est FAILED, déconnectez le magasin de clés personnalisé, résolvez le problème, puis connectez-le à nouveau.

Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Comment corriger un échec de connexion.

Lorsque votre AWS CloudHSM le magasin de clés est connecté, vous pouvez y créer des KMS clés et utiliser des KMS clés existantes dans des opérations cryptographiques.

Déconnexion d'un AWS CloudHSM magasin de clés

Lorsque vous déconnectez un AWS CloudHSM magasin de clés, AWS KMS se déconnecte du AWS CloudHSM client, se déconnecte de l'appareil associé AWS CloudHSM cluster, et supprime l'infrastructure réseau qu'il a créée pour prendre en charge la connexion.

Alors qu'un AWS CloudHSM le magasin de clés est déconnecté, vous pouvez gérer le AWS CloudHSM le magasin de clés et ses KMS clés, mais vous ne pouvez pas créer ou utiliser de KMS clés dans AWS CloudHSM magasin de clés. L'état de connexion du magasin de clés est DISCONNECTED et l'état clé des KMS clés du magasin de clés personnalisé estUnavailable, sauf si elles le sontPendingDeletion. Vous pouvez reconnecter le AWS CloudHSM magasin de clés à tout moment.

Lorsque vous déconnectez un magasin de clés personnalisé, les KMS clés du magasin de clés deviennent immédiatement inutilisables (sous réserve de cohérence éventuelle). Toutefois, les ressources chiffrées avec des clés de données protégées par la KMS clé ne sont pas affectées tant que la KMS clé n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.

Note

Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.

Pour mieux estimer l'effet de la déconnexion de votre magasin de clés personnalisé, identifiez les KMS clés dans le magasin de clés personnalisé et déterminez leur utilisation passée.

Vous pouvez déconnecter un AWS CloudHSM magasin de clés pour des raisons telles que les suivantes :

  • Pour modifier le kmsuser mot de passe. AWS KMS change le kmsuser mot de passe chaque fois qu'il se connecte au AWS CloudHSM grappe. Pour forcer une rotation de mot de passe, déconnectez-vous et reconnectez-vous.

  • Pour auditer le matériel clé relatif aux KMS clés figurant dans le AWS CloudHSM grappe. Lorsque vous déconnectez le magasin de clés personnalisé, AWS KMS se déconnecte du compte utilisateur kmsuser cryptographique dans le AWS CloudHSM client. Cela vous permet de vous connecter au cluster en tant que kmsuser CU et d'auditer et de gérer les éléments clés de la KMS clé.

  • Pour désactiver immédiatement toutes les KMS touches du AWS CloudHSM magasin de clés. Vous pouvez désactiver et réactiver KMS les clés dans un AWS CloudHSM stockez les clés en utilisant le AWS Management Console ou l'DisableKeyopération. Ces opérations se terminent rapidement, mais elles agissent sur une KMS touche à la fois. Déconnexion du AWS CloudHSM le magasin de clés modifie immédiatement l'état des clés de toutes les KMS clés du AWS CloudHSM key store toUnavailable, ce qui empêche leur utilisation dans toute opération cryptographique.

  • Pour réparer un échec de tentative de connexion. Si vous tentez de connecter un AWS CloudHSM échec du magasin de clés (l'état de connexion du magasin de clés personnalisé estFAILED), vous devez déconnecter le AWS CloudHSM stockez les clés avant de réessayer de le connecter.

Connectez un AWS CloudHSM magasin de clés (console)

Pour connecter un AWS CloudHSM magasin de clés dans le AWS Management Console, commencez par sélectionner AWS CloudHSM magasin de clés depuis la page Stockages de clés personnalisés. Le processus de connexion peut prendre jusqu'à 20 minutes.

  1. Connectez-vous au AWS Management Console et ouvrez le AWS Key Management Service (AWS KMS) console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Custom key stores, AWS CloudHSM magasins clés.

  4. Choisissez la ligne du AWS CloudHSM magasin de clés que vous souhaitez connecter.

    Si l'état de connexion du AWS CloudHSM Le magasin de clés a échoué, vous devez déconnecter le magasin de clés personnalisé avant de le connecter.

  5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Connect (Connecter).

AWS KMS lance le processus de connexion à votre magasin de clés personnalisé. Il trouve les AWS CloudHSM cluster, construit l'infrastructure réseau requise, s'y connecte, se connecte au AWS CloudHSM se regroupe en tant que kmsuser CU, et fait pivoter le kmsuser mot de passe. Une fois l'opération terminée, l'état de la connexion devient Connected.

Si l'opération échoue, un message d'erreur s'affiche qui décrit la raison de l'échec. Avant de réessayer de vous connecter, consultez l'état de connexion de votre AWS CloudHSM magasin de clés. Si le statut est Failed, vous devez déconnecter le magasin de clés personnalisé avant de vous connecter à nouveau. Si vous avez besoin d'aide, consultez Dépannage d'un magasin de clés personnalisé.

Suivant : Créez des KMS clés dans un AWS CloudHSM magasin de clés.

Connect un magasin de clés personnalisé (API)

Pour connecter une personne déconnectée AWS CloudHSM magasin de clés, utilisez l'ConnectCustomKeyStoreopération. L'associé AWS CloudHSM le cluster doit contenir au moins un élément actif HSM et l'état de connexion ne peut pas l'êtreFAILED.

Le processus de connexion peut prendre un certain temps pour s'achever, jusqu'à 20 minutes. À moins qu'elle n'échoue rapidement, l'opération renvoie une réponse HTTP 200 et un JSON objet sans propriétés. Cependant, cette réponse initiale n'indique pas que la connexion a abouti. Pour déterminer l'état de connexion du magasin de clés personnalisé, consultez la DescribeCustomKeyStoresréponse.

Les exemples de cette section utilisent le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation compatible.

Pour identifier le AWS CloudHSM magasin de clés, utilisez son identifiant de magasin de clés personnalisé. Vous pouvez trouver l'ID sur la page des stockages de clés personnalisés de la console ou en utilisant l'DescribeCustomKeyStoresopération sans paramètres. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms connect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que AWS CloudHSM le magasin de clés est connecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreNameou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La ConnectionState valeur de CONNECTED indique que le magasin de clés personnalisé est connecté à son AWS CloudHSM grappe.

Note

Le CustomKeyStoreType champ a été ajouté à la DescribeCustomKeyStores réponse pour distinguer AWS CloudHSM magasins de clés provenant de magasins de clés externes.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleCloudHSMKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "CONNECTED" ], }

Si la valeur de ConnectionState est failed, l'élément ConnectionErrorCode indique la raison de l'échec. Dans ce cas, AWS KMS Impossible de trouver un AWS CloudHSM cluster dans votre compte avec l'ID du clustercluster-1a23b4cdefg. Si vous avez supprimé le cluster, vous pouvez le restaurer à partir d'une sauvegarde du cluster d'origine, puis modifier l'ID de cluster pour le magasin de clés personnalisé. Pour obtenir de l'aide afin de répondre à un code d'erreur de connexion, veuillez consulter la rubrique Comment corriger un échec de connexion.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CloudHsmClusterId": "cluster-1a23b4cdefg", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate string appears here>", "CreationDate": "1.499288695918E9", "ConnectionState": "FAILED" "ConnectionErrorCode": "CLUSTER_NOT_FOUND" ], }

Suivant : Créez des KMS clés dans un AWS CloudHSM magasin de clés.

Déconnectez un AWS CloudHSM magasin de clés (console)

Pour déconnecter une personne connectée AWS CloudHSM magasin de clés dans le AWS Management Console, commencez par choisir AWS CloudHSM magasin de clés depuis la page Stockages de clés personnalisés.

  1. Connectez-vous au AWS Management Console et ouvrez le AWS Key Management Service (AWS KMS) console à l'adresse https://console.aws.amazon.com/kms.

  2. Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.

  3. Dans le volet de navigation, sélectionnez Custom key stores, AWS CloudHSM magasins clés.

  4. Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter.

  5. Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).

Une fois l'opération terminée, l'état de la connexion passe de Disconnecting à Disconnected. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.

Déconnectez un AWS CloudHSM magasin de clés (API)

Pour déconnecter une personne connectée AWS CloudHSM magasin de clés, utilisez l'DisconnectCustomKeyStoreopération. Si l'opération est réussie, AWS KMS renvoie une réponse HTTP 200 et un JSON objet sans propriétés.

Les exemples de cette section utilisent le AWS Command Line Interface (AWS CLI), mais vous pouvez utiliser n'importe quel langage de programmation compatible.

Cet exemple déconnecte un AWS CloudHSM magasin de clés. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.

$ aws kms disconnect-custom-key-store --custom-key-store-id cks-1234567890abcdef0

Pour vérifier que AWS CloudHSM le magasin de clés est déconnecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName ou CustomKeyStoreId (mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La ConnectionState valeur de DISCONNECTED indique que cet exemple AWS CloudHSM le magasin de clés n'est pas connecté à son AWS CloudHSM grappe.

$ aws kms describe-custom-key-stores --custom-key-store-id cks-1234567890abcdef0 { "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "<certificate string appears here>" ], }