Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Déconnecter un magasin de AWS CloudHSM clés
Lorsque vous déconnectez un magasin de AWS CloudHSM clés, AWS KMS que vous vous déconnectez du AWS CloudHSM client, que vous vous déconnectez du AWS CloudHSM cluster associé et que vous supprimez l'infrastructure réseau créée pour prendre en charge la connexion.
Lorsqu'un magasin de AWS CloudHSM clés est déconnecté, vous pouvez gérer le magasin de AWS CloudHSM clés et ses KMS clés, mais vous ne pouvez pas créer ou utiliser de KMS clés dans le magasin de AWS CloudHSM clés. L'état de connexion du magasin de clés est DISCONNECTED
et l'état clé des KMS clés du magasin de clés personnalisé estUnavailable
, sauf si elles le sontPendingDeletion
. Vous pouvez reconnecter le magasin de AWS CloudHSM clés à tout moment.
Note
AWS CloudHSM les magasins de clés ont un état de DISCONNECTED
connexion uniquement lorsque le magasin de clés n'a jamais été connecté ou que vous le déconnectez explicitement. Si l'état de votre connexion au magasin de AWS CloudHSM clés est le même CONNECTED
mais que vous ne parvenez pas à l'utiliser, assurez-vous que le AWS CloudHSM cluster associé est actif et qu'il en contient au moins un actifHSMs. Pour obtenir de l'aide concernant les connexions ayant échoué, veuillez consulter Dépannage d'un magasin de clés personnalisé.
Lorsque vous déconnectez un magasin de clés personnalisé, les KMS clés du magasin de clés deviennent immédiatement inutilisables (sous réserve de cohérence éventuelle). Toutefois, les ressources chiffrées avec des clés de données protégées par la KMS clé ne sont pas affectées tant que la KMS clé n'est pas réutilisée, par exemple pour déchiffrer la clé de données. Ce problème affecte les Services AWS, dont beaucoup utilisent des clés de données pour protéger vos ressources. Pour plus de détails, consultez Comment les clés inutilisables affectent KMS les clés de données.
Note
Lorsqu'un magasin de clés personnalisé est déconnecté, toutes les tentatives de création de KMS clés dans le magasin de clés personnalisé ou d'utilisation de KMS clés existantes dans des opérations cryptographiques échoueront. Cette action peut empêcher les utilisateurs de stocker des données sensibles et d'y accéder.
Pour mieux estimer l'effet de la déconnexion de votre magasin de clés personnalisé, identifiez les KMS clés dans le magasin de clés personnalisé et déterminez leur utilisation passée.
Vous pouvez déconnecter un magasin de AWS CloudHSM clés pour les raisons suivantes :
-
Pour effectuer une rotation du mot de passe
kmsuser
. AWS KMS modifie le mode de passe dekmsuser
chaque fois qu'il se connecte au cluster AWS CloudHSM . Pour forcer une rotation de mot de passe, déconnectez-vous et reconnectez-vous. -
Pour auditer le matériel clé pour les KMS clés du AWS CloudHSM cluster. Lorsque vous déconnectez le magasin de clés personnalisé AWS KMS , vous vous déconnectez du compte utilisateur kmsuser cryptographique du AWS CloudHSM client. Cela vous permet de vous connecter au cluster en tant que
kmsuser
CU et d'auditer et de gérer les éléments clés de la KMS clé. -
Pour désactiver immédiatement toutes les KMS clés du magasin de AWS CloudHSM clés. Vous pouvez désactiver et réactiver KMS les clés dans un magasin de AWS CloudHSM clés en utilisant l'DisableKeyopération AWS Management Console ou. Ces opérations se terminent rapidement, mais elles agissent sur une KMS touche à la fois. La déconnexion du magasin de AWS CloudHSM clés change immédiatement l'état de toutes les KMS clés du magasin de AWS CloudHSM clés
Unavailable
, ce qui empêche leur utilisation dans le cadre d'une opération cryptographique. -
Pour réparer un échec de tentative de connexion. Si la tentative de connexion d'un magasin de AWS CloudHSM clés échoue (l'état de connexion du magasin de clés personnalisé est le cas
FAILED
), vous devez déconnecter le magasin de AWS CloudHSM clés avant de réessayer de le connecter.
Déconnectez votre magasin de AWS CloudHSM clés
Vous pouvez déconnecter votre AWS CloudHSM porte-clés dans la AWS KMS console ou en utilisant l'DisconnectCustomKeyStoreopération.
Pour déconnecter un magasin de AWS CloudHSM clés connecté dans la AWS KMS console, commencez par choisir le magasin de AWS CloudHSM clés sur la page Stockages de clés personnalisés.
-
Connectez-vous à la console AWS Key Management Service (AWS KMS) AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/kms.
-
Pour modifier le Région AWS, utilisez le sélecteur de région dans le coin supérieur droit de la page.
-
Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), AWS CloudHSM key stores (Magasins de clés).
-
Choisissez la ligne du magasin de clés externe que vous souhaitez déconnecter.
-
Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).
Une fois l'opération terminée, l'état de la connexion passe de Disconnecting à Disconnected. Si l'opération échoue, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre. Si vous avez besoin d'aide supplémentaire, consultez Dépannage d'un magasin de clés personnalisé.
Pour déconnecter un magasin de AWS CloudHSM clés connecté, utilisez l'DisconnectCustomKeyStoreopération. Si l'opération est réussie, AWS KMS renvoie une réponse HTTP 200 et un JSON objet sans propriétés.
Les exemples de cette section utilisent la AWS Command Line Interface
(AWS CLI)
Cet exemple déconnecte un magasin de AWS CloudHSM clés. Avant d'exécuter cet exemple, remplacez l'ID de l'exemple par un ID valide.
$
aws kms disconnect-custom-key-store --custom-key-store-id
cks-1234567890abcdef0
Pour vérifier que le magasin de AWS CloudHSM clés est déconnecté, utilisez l'DescribeCustomKeyStoresopération. Par défaut, cette opération renvoie tous les magasins de clés personnalisés de vos compte et région. Toutefois, vous pouvez utiliser le paramètre CustomKeyStoreName
ou CustomKeyStoreId
(mais pas les deux) pour limiter la réponse à des magasins de clés personnalisés en particulier. La ConnectionState
valeur de DISCONNECTED
indique que cet exemple de magasin de AWS CloudHSM clés n'est pas connecté à son AWS CloudHSM cluster.
$
aws kms describe-custom-key-stores --custom-key-store-id
cks-1234567890abcdef0
{ "CustomKeyStores": [ "CloudHsmClusterId": "cluster-1a23b4cdefg", "ConnectionState": "DISCONNECTED", "CreationDate": "1.499288695918E9", "CustomKeyStoreId": "cks-1234567890abcdef0", "CustomKeyStoreName": "ExampleKeyStore", "CustomKeyStoreType": "AWS_CLOUDHSM", "TrustAnchorCertificate": "
<certificate string appears here>
" ], }