Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Modifier les propriétés du magasin de clés externe
Vous pouvez modifier les propriétés sélectionnées d'un magasin de clés externe existant.
Vous pouvez modifier certaines propriétés lorsque le magasin de clés externe est connecté ou déconnecté. Pour les autres propriétés, vous devez d'abord déconnecter votre magasin de clés externe de son proxy de magasin de clés externe. L'état de connexion du magasin de clés externe doit être DISCONNECTED. Lorsque votre magasin de clés externe est déconnecté, vous pouvez gérer le magasin de clés et ses clés KMS, mais vous ne pouvez pas créer ou utiliser des clés KMS dans le magasin de clés externe. Pour connaître l'état de connexion de votre magasin de clés externe, utilisez l'DescribeCustomKeyStoresopération ou consultez la section Configuration générale sur la page détaillée du magasin de clés externe.
Avant de mettre à jour les propriétés de votre magasin de clés externe, AWS KMS envoie une GetHealthStatusdemande au proxy du magasin de clés externe en utilisant les nouvelles valeurs. Si la requête aboutit, cela indique que vous pouvez vous connecter et vous authentifier à un proxy de magasin de clés externe avec les valeurs de propriété mises à jour. Si la requête échoue, l'opération de modification échoue avec une exception qui identifie l'erreur.
Lorsque l'opération de modification est terminée, les valeurs de propriété mises à jour pour votre magasin de clés externe apparaissent dans la console AWS KMS et dans la réponse de DescribeCustomKeyStores. Toutefois, il peut s'écouler jusqu'à cinq minutes avant que les modifications ne soient pleinement effectives.
Si vous modifiez votre magasin de clés externe dans la console AWS KMS, vous pouvez charger un fichier de configuration de proxy JSON qui spécifie le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy. Certains proxys de magasin de clés externe génèrent ce fichier pour vous. Pour plus de détails, veuillez consulter la documentation de votre proxy de magasin de clés externe ou de votre gestionnaire de clés externe.
Avertissement
Les valeurs de propriété mises à jour doivent connecter votre magasin de clés externe à un proxy pour le même gestionnaire de clés externe que celui utilisé dans les valeurs précédentes, ou pour une sauvegarde ou un instantané du gestionnaire de clés externe avec les mêmes clés cryptographiques. Si votre magasin de clés externe perd définitivement l'accès aux clés externes associées à ses clés KMS, le texte chiffré qui a été chiffré au moyen de ces clés externes est irrécupérable. En particulier, la modification de la connectivité de proxy d'un magasin de clés externe peut empêcher AWS KMS d'accéder à vos clés externes.
Astuce
Certains gestionnaires de clés externes proposent une méthode plus simple pour modifier les propriétés du magasin de clés externe. Pour en savoir plus, veuillez consulter la documentation de votre gestionnaire de clés externe.
Vous pouvez modifier les propriétés suivantes d'un magasin de clés externe.
| Propriétés du magasin de clés externe modifiables | Tout état de connexion | Exiger l'état Déconnecté |
|---|---|---|
| Nom du magasin de clés personnalisé Un nom convivial requis pour un magasin de clés personnalisé. ImportantN'incluez pas d'informations confidentielles ou sensibles dans ce champ. Ce champ peut être affiché en texte brut dans les CloudTrail journaux et autres sorties. |
 |
|
| Identifiant d'authentification du proxy () XksProxyAuthenticationCredential (Vous devez spécifier à la fois l'ID de clé d'accès et la clé d'accès secrète, même si vous ne modifiez qu'un seul élément.) |
|
|
| Chemin de l'URI du proxy (XksProxyUriPath) | |
|
| Connectivité proxy (XksProxyConnectivity) (Vous devez également mettre à jour le point de terminaison d'URI de proxy. Si vous passez à la connectivité au service de point de terminaison d'un VPC, vous devez spécifier un nom de service de point de terminaison d'un VPC proxy.) |
|
|
| Point de terminaison URI du proxy (XksProxyUriEndpoint) Si vous modifiez l'URI du point de terminaison du proxy, vous devrez peut-être aussi modifier le certificat TLS associé. |
|
|
| Nom du service de point de terminaison VPC proxy () XksProxyVpcEndpointServiceName (Ce champ est obligatoire pour la connectivité au service de point de terminaison d'un VPC) |
|
Modifier un magasin de clés externe (console)
Lorsque vous modifiez un magasin de clés, vous pouvez changer n'importe laquelle des valeurs modifiables. Certaines modifications nécessitent que le magasin de clés externe soit déconnecté de son proxy de magasin de clés externe.
Si vous modifiez le chemin d'URI de proxy ou les informations d'identification pour l'authentification du proxy, vous pouvez saisir les nouvelles valeurs ou charger un fichier de configuration de proxy de magasin de clés externe qui contient les nouvelles valeurs.
-
Connectez-vous à AWS Management Console et ouvrez la console AWS Key Management Service (AWS KMS) à l'adresse https://console.aws.amazon.com/kms
. -
Pour changer le paramètre Région AWS, utilisez le sélecteur de région dans l'angle supérieur droit de la page.
Dans le panneau de navigation, sélectionnez Custom key stores (Magasins de clés personnalisés), External key stores (Magasins de clés externes).
-
Choisissez la ligne du magasin de clés externe que vous souhaitez modifier.
-
Si nécessaire, déconnectez le magasin de clés externe de son proxy de magasin de clés externe. Dans le menu Key store actions (Actions de magasin de clés), choisissez Disconnect (Déconnecter).
-
À partir du menu Key store actions (Actions de magasin de clés), choisissez Edit (Modifier).
-
Modifiez une ou plusieurs propriétés modifiables du magasin de clés externe. Vous pouvez également charger un fichier de configuration de proxy de magasin de clés externe contenant des valeurs pour le chemin d'URI de proxy et les informations d'identification pour l'authentification du proxy. Vous pouvez utiliser un fichier de configuration de proxy même si certaines valeurs spécifiées dans le fichier n'ont pas changé.
-
Choisissez Update external key store (Mettre à jour le magasin de clés externe).
-
Passez en revue l'avertissement et, si vous décidez de continuer, confirmez-le, puis choisissez Update external key store (Mettre à jour le magasin de clés externe).
Lorsque la procédure se déroule avec succès, un message décrit les propriétés que vous avez modifiées. Si elle ne réussit pas, un message d'erreur s'affiche qui décrit le problème et fournit une aide pour le résoudre.
-
Si nécessaire, reconnectez le magasin de clés externe. Dans le menu Key store actions (Actions de magasin de clés), choisissez Connect (Connecter).
Vous pouvez laisser le magasin de clés externe déconnecté. Mais, tant qu'il est déconnecté, vous ne pouvez pas créer de clés KMS dans le magasin de clés externe ou utiliser les clés KMS du magasin de clés externe pour les opérations cryptographiques.
Modifier un magasin de clés externe (API)
Pour modifier les propriétés d'un magasin de clés externe, utilisez l'UpdateCustomKeyStoreopération. Vous pouvez modifier plusieurs propriétés d'un magasin de clés externe dans la même opération. Si l'opération aboutit, AWS KMS renvoie une réponse HTTP 200 et un objet JSON sans propriétés.
Utilisez le paramètre CustomKeyStoreId pour identifier le magasin de clés externe. Utilisez les autres paramètres pour modifier les propriétés. Vous ne pouvez pas utiliser de fichier de configuration de proxy pour l'opération UpdateCustomKeyStore. Le fichier de configuration du proxy n'est pris en charge que par la console AWS KMS. Vous pouvez toutefois utiliser le fichier de configuration du proxy pour vous aider à déterminer les valeurs de paramètres correctes pour le proxy de votre magasin de clés externe.
Les exemples de cette section utilisent la AWS Command Line Interface (AWS CLI)
Avant de commencer, si nécessaire, déconnectez le magasin de clés externe de son proxy de magasin de clés externe. Après la mise à jour, vous pouvez, si nécessaire, reconnecter le magasin de clés externe à son proxy de magasin de clés externe. Vous pouvez laisser le magasin de clés externe à l'état déconnecté, mais vous devez le reconnecter avant de pouvoir créer des clés KMS dans le magasin de clés ou d'utiliser les clés KMS existantes du magasin de clés pour les opérations cryptographiques.
Note
Si vous utilisez l'AWS CLI version 1.0, exécutez la commande suivante avant de spécifier un paramètre avec une valeur HTTP ou HTTPS, tel que le paramètre XksProxyUriEndpoint.
aws configure set cli_follow_urlparam false
Sinon, l'AWS CLI version 1.0 remplace la valeur du paramètre par le contenu trouvé à cette adresse URI, provoquant l'erreur suivante :
Error parsing parameter '--xks-proxy-uri-endpoint': Unable to retrieve https:// : received non 200 status code of 404
Modifier le nom du magasin de clés externe
Le premier exemple utilise l'UpdateCustomKeyStoreopération pour changer le nom convivial du magasin de clés externe enXksKeyStore. La commande utilise le paramètre CustomKeyStoreId pour identifier le magasin de clés personnalisé et le paramètre CustomKeyStoreName pour spécifier le nouveau nom du magasin de clés personnalisé. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0--new-custom-key-store-nameXksKeyStore
Modifier les informations d'identification pour l'authentification du proxy
L'exemple suivant met à jour les informations d'identification pour l'authentification du proxy qu'AWS KMS utilise pour s'authentifier auprès du proxy de magasin de clés externe. Vous pouvez utiliser une commande comme celle-ci pour effectuer une rotation des informations d'identification si elles ont subi une rotation sur votre proxy.
Mettez d'abord à jour les informations d'identification sur le proxy de votre magasin de clés externe. Utilisez ensuite cette fonctionnalité pour signaler la modification à AWS KMS. (Votre proxy prendra brièvement en charge les anciennes et les nouvelles informations d'identification afin que vous ayez le temps de les mettre à jour dans AWS KMS.)
Vous devez toujours spécifier à la fois l'ID de la clé d'accès et la clé d'accès secrète dans les informations d'identification, même si une seule valeur est modifiée.
Les deux premières commandes définissent des variables pour contenir les valeurs des informations d'identification. Les opérations UpdateCustomKeyStore utilisent le paramètre CustomKeyStoreId pour identifier le magasin de clés externe. Il utilise le paramètre XksProxyAuthenticationCredential avec ses champs AccessKeyId et RawSecretAccessKey pour spécifier les nouvelles informations d'identification. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$accessKeyID=access key id$secretAccessKey=secret access key$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-authentication-credential \ AccessKeyId=$accessKeyId,RawSecretAccessKey=$secretAccessKey
Modifier le chemin d'URI de proxy
L'exemple suivant met à jour le chemin d'URI de proxy (XksProxyUriPath). La combinaison du point de terminaison d'URI de proxy et du chemin d'URI de proxy doit être unique dans l'Compte AWS et la région. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-uri-path/kms/xks/v1
Modifier la connectivité au service de point de terminaison d'un VPC
L'exemple suivant utilise l'UpdateCustomKeyStoreopération pour modifier le type de connectivité du proxy du magasin de clés externe enVPC_ENDPOINT_SERVICE. Pour effectuer cette modification, vous devez spécifier les valeurs requises pour la connectivité au service de point de terminaison d'un VPC, notamment le nom du service de point de terminaison d'un VPC (XksProxyVpcEndpointServiceName) et une valeur de point de terminaison d'URI de proxy (XksProxyUriEndpoint) qui inclut le nom DNS privé du service de point de terminaison d'un VPC. Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "VPC_ENDPOINT_SERVICE" \ --xks-proxy-uri-endpointhttps://myproxy-private.xks.example.com\ --xks-proxy-vpc-endpoint-service-namecom.amazonaws.vpce.us-east-1.vpce-svc-example
Passer à une connectivité au point de terminaison public
L'exemple suivant remplace le type de connectivité du proxy de magasin de clés externe par PUBLIC_ENDPOINT. Lorsque vous effectuez cette modification, vous devez mettre à jour la valeur du point de terminaison de l'URI de proxy (XksProxyUriEndpoint). Remplacez toutes les valeurs d'exemple par des valeurs réelles pour votre magasin de clés externe.
Note
La connectivité au point de terminaison d'un VPC offre une plus grande sécurité que la connectivité au point de terminaison public. Avant de passer à la connectivité au point de terminaison public, envisagez d'autres options, notamment la localisation de votre proxy de magasin de clés externe sur site et l'utilisation du VPC uniquement pour la communication.
$aws kms update-custom-key-store --custom-key-store-idcks-1234567890abcdef0\ --xks-proxy-connectivity "PUBLIC_ENDPOINT" \ --xks-proxy-uri-endpoint https://myproxy.xks.example.com
